2011 - WordPress.com · memoria 2011 9 en el apartado de publicaciones, además de los cinco números de la revista datospersonales.org y de la Memoria de Actividades 2010, hay que

memoria2011

1. RegistRo de ficheRos

2

edita: AgeNciA de PRotecciÓN de dAtos de LA coMUNidAd de MAdRid

© 2012 AgeNciA de PRotecciÓN de dAtos de LA coMUNidAd de MAdRidd.L.: M. 20902-2012issN: 1888-8682

diseño, maquetación e impresión: AdVANtiA, s.A.

memoria2011

3

Índice

1. Presentación del director ......................................................................................................................... 5

2. Registro de ficheros .................................................................................................................................. 11

3. control de ficheros. tutela de derechos e inspección ............................................................................. 19 3.1. Procedimientos administrativos ........................................................................................................ 21 3.1.1. introducción ........................................................................................................................... 21 3.1.2. tutela de derechos ................................................................................................................. 21 3.1.3. Procedimientos de inspección .............................................................................................. 22 3.2. Planes de inspección ........................................................................................................................ 24 3.2.1. introducción ........................................................................................................................... 24 3.2.2. Plan de inspección 2011-2012 sobre Política de Privacidad en páginas Web de centros

educativos Públicos de la comunidad de Madrid ................................................................ 24 3.3. sentencias de la jurisdicción contenciosa-administrativa ................................................................ 26

4. Asesoramiento .......................................................................................................................................... 27

5. consultoría ............................................................................................................................................... 33 5.1. Aspectos generales de protección de datos en Ayuntamientos de la comunidad de Madrid ....... 36 5.2. cámaras de videovigilancia, sitios web y redes Wifi en la Administración Local ........................... 37 5.3. Acciones en el ámbito de los servicios sociales locales y regionales ............................................. 38 5.4. Prácticas de alumnos universitarios en centros sanitarios .............................................................. 39 5.5. contenido del derecho de acceso ................................................................................................... 41 5.6. expedientes psicopedagógicos y educativos de los orientadores de los centros educativos ....... 42 5.7. Páginas web de las institutos de enseñanza secundaria ................................................................ 43 5.8. e-Administración en la Universidad y ficheros de investigación ...................................................... 43 5.9. Adecuación de nuevos tratamientos y guía de seguridad del excmo. Ayuntamiento de Madrid .. 46

6. día europeo de Protección de datos ....................................................................................................... 47

7. formación, difusión y gestión del conocimiento ...................................................................................... 51 7.1. Jornadas y formación ...................................................................................................................... 53 7.1.1. Vii Jornada de datos sanitarios ............................................................................................ 53 7.1.2. Vii Jornada de Protección de datos en los servicios sociales ............................................. 54 7.1.3. ii Jornada de Videovigilancia y Protección de datos ............................................................ 55 7.2. Participación APdcM en foros ......................................................................................................... 57 7.2.1. foRo de la sociedad española de informática de la salud (seis) ..................................... 57 7.2.2. foRo del data Privacy institute (dPi) ................................................................................... 57 7.2.3. foRo de la Asociación Profesional española de Privacidad (APeP) .................................. 58 7.3. formación específica ........................................................................................................................ 58 7.3.1. sanidad .................................................................................................................................. 58 7.3.2. servicios sociales .................................................................................................................. 59 7.3.3. curso de formación del cUMPLe .......................................................................................... 59

4

ÍNdice

7.3.4. Prevención de Riesgos .......................................................................................................... 60

7.3.5. ii edición del curso Virtual ..................................................................................................... 60

7.4. formación de alumnos universitarios ............................................................................................... 61

8. eventos ..................................................................................................................................................... 63

8.1. Número 50 de datospersonales.org ................................................................................................. 65

8.2. entrega premios olvidados ............................................................................................................... 65

8.3. entrega del Premio 2010 Mejores Prácticas .................................................................................... 66

8.4. Presentación Memoria 2010 ............................................................................................................. 67

8.5. ii seminario internacional “los retos de la protección de datos, seguridad y privacidad” .............. 67

8.6. seminario sobre transparencia Administrativa ................................................................................ 68

9. Publicaciones ............................................................................................................................................ 69

9.1. guía y Manual de Videovigilancia ..................................................................................................... 71

9.2. Revista www.datospersonales.org ................................................................................................... 72

9.3. Memoria del Premio 2010 ................................................................................................................. 75

10. Atención al ciudadano ............................................................................................................................ 77

11. colaboración entre la APdcM y otras Autoridades e instituciones de control ...................................... 81

11.1. grupos de trabajo entre Agencias ............................................................................................... 83

11.1.1. grupo de trabajo de directores ...................................................................................... 83

11.1.2. grupo de trabajo de Registro de ficheros ..................................................................... 83

11.1.3. grupo de trabajo de inspección ..................................................................................... 84

11.1.4. grupo de trabajo de Análisis Jurídico y Normativo ........................................................ 85

11.1.5. grupo de trabajo de secretarías generales ................................................................... 85

11.2. convenios y actividad de colaboración ....................................................................................... 85

11.3. formación a personal de otras autoridades de control ............................................................... 86

11.3.1. Autoridad de Protección de datos de Albania ................................................................ 86

11.3.2. Autoridad de Protección de datos de Bosnia-herzegovina ........................................... 86

11.3.3. Autoridad de Protección de datos de Macedonia .......................................................... 86

12. Actividad internacional ............................................................................................................................ 89

12.1. 33 conferencia internacional de Protección de datos ................................................................. 91

12.2. conferencia europea .................................................................................................................... 93

12.3. Proyecto europeo sURPRise (surveillance, Privacy and security) ............................................. 93

13. secretaría general .................................................................................................................................. 95

memoria2011

5

Presentación1.

6

1. PReseNtAciÓN

Presentación2.

memoria2011

7

PresentaciónLa Agencia de Protección de datos de la comunidad de Madrid desarrolla su actividad en cinco ámbitos princi-pales: registro de ficheros de datos personales, asesoramiento, formación y concienciación, consultoría y supervi-sión. Además, también lleva a cabo una intensa actividad de coordinación con el resto de autoridades de control españolas y extranjeras así como una importante participación en proyectos internacionales. en esta presentación intentaré hacer una rápida semblanza de las actuaciones de la APdcM en estos campos a lo largo de 2011.

en relación con el Registro de ficheros de datos Personales hay que señalar que las inscripciones de nuevos ficheros realizadas durante el año 2011 mantienen una tendencia estable de crecimiento respecto a años ante-riores. No es de esperar que se produzca una gran variación en el número de ficheros inscritos en el Registro, ya que existe un alto nivel de regularización de ficheros en la mayoría de los ámbitos de competencia de la APdcM y, especialmente, en lo que respecta a la Administración de la propia comunidad de Madrid.

Aunque desde el año 2008 el número total de ficheros ha experimentado tan solo una ligera variación, son mu-chas, sin embargo, las inscripciones que se realizan para modificar el contenido original de los ficheros creados, con el fin de reflejar adecuadamente la evolución de los sistemas de información de las AA.PP. este aumento del número de inscripciones de modificación, todas ellas supervisadas por la Agencia, pone de manifiesto la existencia de una marcada tendencia a la centralización de aplicaciones, que conlleva, en muchos casos, una reducción en el número de ficheros inscritos. esta tendencia ha continuado a lo largo de 2011, debido, funda-mentalmente, a la implantación del sistema centralizado de historia clínica en el ámbito de la atención primaria.

La actividad de asesoramiento se lleva a cabo, fundamentalmente, mediante la emisión de informes de cuatro tipos: informes preceptivos sobre la creación, modificación y supresión de ficheros, informes sobre la adaptación de contratos y convenios al artículo 12 de la LoPd en tratamientos por encargo, informes

preceptivos a la aprobación de normas e informes que dan respuesta a las consultas planteadas por los responsables de ficheros.

La elaboración de los primeros constituye una cierta actividad de control previo de legalidad de los trata-mientos de datos personales, habiéndose evacuado 138 informes de este tipo en el año 2011.

Por lo que respecta a los informes sobre la adap-tación de contratos y convenios que impliquen el tratamiento de datos por encargo, a lo que establece el artículo 12 de la LoPd y así comprobar que cuando se

8

PReseNtAciÓN

realice un tratamiento por cuenta de terceros se incluyen en el contrato que lo regula las obligaciones que debe cumplir dicho encargado del tratamiento respecto a los datos personales, se han realizado también 206 informes, que supone un importante aumento del 23% frente a los 167 de 2010, lo cual es debido al esfuerzo de conciencia-ción realizado por los consultores de la APdcM en este ámbito.

finalmente, en cuanto a los informes preceptivos previos a la aprobación de normas que supongan el tratamien-to de datos de carácter personal, se han informado, en la fase de proyecto, un total de 135 normas y se han evacuado 56 respuestas a consultas realizadas por los distintos responsables de ficheros.

en otro apartado, la formación siempre ha sido uno de los ejes estratégicos de la actividad de la Agencia de Protección de datos de la comunidad de Madrid y lo ha seguido siendo durante el año 2011, en el que se han celebrado 139 sesiones informativas a las que asistieron 2.738 personas lo que habla elocuentemente del es-fuerzo en este ámbito.

Pero, además, durante el año 2011 se celebraron tres jornadas temáticas a las que asistieron 517 personas: dos de ellas enfocadas a sectores donde existe un mayor volumen de tratamiento de datos, en muchas ocasiones de carácter sensible, como son la sanidad y los servicios sociales y la otra para dar respuesta a una de las materias que más controversia ha suscitado en los últimos años, como es la videovigilancia.

igualmente, la APdcM organizó varios eventos importantes. en el primero de ellos se celebró la publicación del número 50 de la revista digital de la APdcM datospersonales.org, número que tuvo el carácter de especial y en el que colaboraron numerosos y prestigiosos autores españoles y extranjeros. en dicho acto se contó con la presencia de los dos directores anteriores de la Agencia de Protección de datos de la comunidad de Madrid: dña. Rosa garcía ontoso (1997-2001) y d. Antonio troncoso Reigada (2001-2010) al que se le entregó una placa de reconocimiento por su labor al frente de la misma.

también se procedió a realizar un acto de entrega de premios a los menores que habían resultado ganadores del concurso “olvidados”, para fomentar el conocimiento y la concienciación de los jóvenes y adolescentes en relación con la privacidad de sus datos personales, que se puso en marcha para conmemorar el día europeo de Protección de datos que se celebra todos los años el 28 de enero.

del mismo modo, se entregaron los galardones a los ganadores del Vi Premio de Mejores Prácticas de las AA.PP. en Protección de datos. el primer premio fue concedido al excmo. Ayuntamiento de Zaragoza por su Protocolo de Actuación en materia de protección de datos de carácter personal implantado en la página web municipal. también se otorgaron tres menciones especiales al instituto Nacional de tecnologías de la comuni-cación (iNteco), a la dirección general de sistemas de información sanitaria del servicio Madrileño de salud y a la dirección general de calidad de los servicios y Atención al ciudadano de la comunidad de Madrid. finalmente, como reconocimiento al meritorio esfuerzo realizado por el excmo. Ayuntamiento de tavernes de la Valldigna para adaptar sus actividades a los principios de protección de datos se le concedió un diploma de reconocimiento.

memoria2011

9

en el apartado de publicaciones, además de los cinco números de la revista datospersonales.org y de la Memoria de Actividades 2010, hay que reseñar la publicación de la guía y el Manual de Videovigilancia, exclusivamente en formato electrónico a través del sitio web de la Agencia, que se han concebido como una herramienta práctica para que los responsables de ficheros respeten el derecho a la protección de datos personales en la instalación de videocámaras y para que a la hora de realizar dicha instalación adopten las medidas necesarias para respetar ese derecho.

en ambos documentos, se analizan las obligaciones que debe cumplir el responsable de ficheros que decida instalar cámaras, como son la creación del correspondiente fichero, el derecho de información, las posibles cesiones de datos, las medidas de seguridad, el deber de secreto, la posible existencia de un encargado de tratamiento así como la necesidad de elaborar un informe de Proporcionalidad que justifique el uso e instalación.

Por otro lado, la APdcM recibió visita de dª Blanca Lilia ibarra cadena, comisionada Presidenta de la comisión para el Acceso a la información Pública de Puebla (cAiP) y d. Agustín Millán gómez, comisionado ciudadano del instituto de Acceso a la información Pública y Protección de datos Personales del distrito federal (iNfoeM) de México. Además de las reuniones de trabajo mantenidas entre la APdcM y ambas instituciones mexicanas, los dos comisionados impartieron un seminario taller sobre transparencia Administrativa y Acceso a la informa-ción Pública para el personal de la APdcM.

como colofón a este apartado, hay que señalar que la APdcM coorganizó con la Universidad san Pablo-ceU el ii seminario internacional sobre los retos de la protección de datos, seguridad y privacidad en el marco del pro-yecto “Protección de datos, transparencia y seguridad”, Proyecto de i+d financiado por el Ministerio de ciencia e innovación, que gira en torno al derecho a la protección de datos y su tensión con las exigencias de seguridad ciudadana, transparencia, y la actividad de los mercados y cuya finalidad es definir las reglas que han de presidir el equilibrio necesario entre protección de datos, transparencia, seguridad y mercado, desde un enfoque jurídico e internacional.

Por lo que respecta al Área de Atención al ciudadano, su objetivo prioritario es proporcionar a las personas in-formación y orientación acerca de los derechos reconocidos en la normativa vigente en materia de protección de datos de carácter personal, contribuyendo en la difusión de este derecho fundamental y supone, generalmente, la primera aproximación de los ciudadanos a esta materia y la vía inicial de resolución de sus dudas y consultas. en el año 2011, el número total de consultas atendidas en esta Unidad fue de 1.925.

en este repaso a lo más significativo de la actividad de la APdcM me referiré ahora a la labor de supervisión y control, una función crucial y esencial de la APdcM para asegurar el cumplimiento de la legislación de protección de datos y garantizar los derechos de los ciudadanos. durante el año 2011 se han tramitado 135 expedientes de tutela de derechos, siendo destacable el número de las que se refieren a historias clínicas y a publicaciones de datos personales en internet a través de Boletines oficiales y páginas web institucionales.

en relación con los expedientes de inspección abiertos para investigar posibles infracciones a la legislación de protección de datos en 2011 se han incoado 144 entre los que cabe reseñar los 42 correspondientes a la pues-

10

ta en marcha de un plan sectorial de inspección de oficio –esto es, sin que mediara ninguna denuncia contra dichos responsables de ficheros- de las políticas de privacidad de los centros educativos Públicos de la comu-nidad de Madrid.

en el apartado internacional, la APdcM es socio del consorcio establecido para desarrollar el Proyecto europeo sURPRise (surveillance, Privacy and security) que ha sido seleccionado por la comisión europea en 2011 para otorgarle financiación a través del programa coRdis.

La comisión europea aprobó este proyecto cuya finalidad es realizar un estudio detallado de la relación existente entre la seguridad, incluyendo la videovigilancia, y la privacidad de los ciudadanos, ya que en ocasiones, esta relación se acepta como una merma del derecho a la privacidad a favor de la seguridad, pero en otras, los ciu-dadanos no están dispuestos a ver menoscabada su privacidad más allá de un intercambio o negociación entre ellas en las que ambas ceden para llegar a un equilibrio. el proyecto comienza su andadura el 1 de febrero de 2012 y en sucesivas memorias se irá dando cuenta de sus resultados

Y para finalizar quiero manifestar mi reconocimiento y agradecimiento a todo el personal de la Agencia de Pro-tección de datos de la comunidad de Madrid sin cuya dedicación y esfuerzo no sería posible llevar a cabo las actividades que sumariamente he tratado de describir ni llevarlas hasta Uds. a través de esta Memoria de Acti-vidades 2011.

Santiago Abascal Condedirector

PReseNtAciÓN

memoria2011

11

Registro de ficheros

2.

12


Registro de ficheros

2.

memoria2011

13

La consulta al Registro de ficheros es gratuita y está disponible para cualquier persona que lo solicite, es-pecialmente a través de internet en el sitio web de la Agencia www.apdcm.es, canal “Registro de ficheros”.

tal como establece el artículo 20.2 de la Ley 8/2001, periódicamente, la Agencia de Protección de datos remitirá a la Agencia española de Protección de da-tos el contenido del Registro de ficheros de datos Personales de la comunidad de Madrid, al objeto de su inscripción en el Registro general de Protección de datos.

Las inscripciones de nuevos ficheros realizadas du-rante el año 2011 mantienen una tendencia estable de crecimiento respecto a años anteriores. La mo-tivación de esta situación debe buscarse en el alto nivel de regularización de ficheros ya existente en de-terminados ámbitos de competencia de la Agencia de Protección de datos de la comunidad de Madrid, especialmente en su Administración.

desde el año 2008, además, debe tenerse en cuenta que aunque el número de ficheros totales sufre lige-ras variaciones, son muchas las inscripciones que se realizan para modificar el contenido original de los ficheros creados, suponiendo una elevada carga de trabajo para el Registro, aún cuando el número de ficheros inscritos sólo varía ligeramente.

Asimismo, durante el año 2011 ha continuado el au-mento iniciado en el año 2009 de inscripciones de supresión de ficheros que viene justificado, en este


La Ley 8/2001, de 13 de julio, de Protección de datos de carácter Personal de la comunidad de Madrid, establece en su artículo 18 que la Agencia de Pro-tección de datos de la comunidad de Madrid llevará un Registro de ficheros de datos de carácter Perso-nal. este Registro tiene una doble finalidad: facilitar al ciudadano el ejercicio de sus derechos respecto a los tratamientos de datos realizados por las insti-tuciones públicas del ámbito territorial de la comuni-dad de Madrid, y servir de medio instrumental para el cumplimiento de sus funciones al resto de unidades y órganos de la Agencia.

serán objeto de inscripción en el Registro de fiche-ros de datos Personales, los ficheros de datos de carácter personal de que sean titulares instituciones de la comunidad de Madrid y por los Órganos, or-ganismos, entidades de derecho público y demás entes públicos integrantes de su Administración Pú-blica, exceptuándose las sociedades mercantiles. también deberán inscribir los ficheros de datos de carácter personal que sean creados o gestionados por los entes que integran la Administración Local del ámbito territorial de la comunidad de Madrid, de conformidad con lo previsto en el artículo 41 de la Ley orgánica 15/1999, de 13 de diciembre, así como sobre los ficheros creados o gestionados por las Universidades públicas y por las corporaciones de derecho público representativas de intereses econó-micos y profesionales de la comunidad de Madrid, en este último caso siempre y cuando dichos fiche-ros sean creados o gestionados para el ejercicio de potestades de derecho público.

14

inscripciones de modificación por cada cambio de estructura realizado.

en este sentido, estas modificaciones se realizan de oficio por la APdcM de conformidad con lo dispues-to en la disposición Adicional Primera del decreto 99/2002, de 13 de junio, que regula el procedimiento de elaboración de disposiciones de carácter gene-ral de creación, modificación y supresión de ficheros que contienen datos de carácter personal así como su inscripción en el Registro de ficheros de datos Personal, siendo el propio decreto de estructura aprobado la disposición de carácter general que ha-bilita para realizar las oportunas modificaciones en el citado Registro.

La adecuación de las inscripciones de ficheros a la nueva estructura de consejerías permite a los ciudadanos una forma efectiva de identificación de la titularidad de los tratamientos de datos que se realizan en el ámbito de la Administración de la comunidad de Madrid y, sobre todo, les permite el ejercicio de los derechos que la normativa de Protección de datos establece, ante el órgano en quien realmente reside la competencia para el tra-tamiento de sus datos.

año, por la continuación de la implantación del siste-ma centralizado de historia clínica en el ámbito de la atención primaria.

como se ha comentado anteriormente, debe desta-carse que no se contabilizan en los diferentes cua-dros las modificaciones de las inscripciones que se han realizado como consecuencia de los cambios en la estructura orgánica de las diferentes conseje-rías que forman la Administración de la comunidad de Madrid. esta tarea de adecuación de las inscrip-ciones, que sólo se realiza de forma periódica en la comunidad de Madrid, alcanza una media de 8.000

Evolución cronológica de TOTAL Ficheros Registrados

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

20000

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

Fich

eros

Evolución cronológica de TOTAL Ficheros Registrados

Total Inscripciones (incluidas supresiones) Total Inscripciones "Activas"


Tipo AdminisTrAciónFicheros regisTrAdos (solo AcTivos)

2005 2006 2007 2008 2009 2010 2011 variación

Administración comunidad de Madrid 11.311 11.390 11.727 11.959 9.905 9.768 9.764 -4 -0,04%

otras Personas Jurídico - Públicas 237 278 310 323 342 362 385 23 5,97%

entidades Locales 1.621 2.530 2.884 3.244 3.489 3.835 3.968 133 3,35%

TOTAL 13.169 14.198 14.921 15.526 13.736 13.965 14.117 152 1,08%

Tipo AdminisTrAciónFicheros regisTrAdos (incluidAs supresiones y provisionAles)

2005 2006 2007 2008 2009 2010 2011 variación

Administración comunidad de Madrid 11.311 11.982 12.508 12.792 12.988 13.049 13.827 778 5,63%

otras Personas Jurídico - Públicas 237 288 326 350 379 431 439 8 1,82%

entidades Locales 1.621 2.691 3.088 3.498 3.881 4.347 4.573 226 4,94%

TOTAL 13.169 14.961 15.922 16.640 17.248 17.827 18.839 1.012 5,37%

memoria2011

15

en cuanto a la clasificación del Registro de ficheros en función del tipo de datos, aparte de los datos de carácter identificativo que deben contener todos los ficheros, se observa que la mayor parte corresponde a los ficheros con datos académicos y profesionales, así como de características personales.

Ficheros Inscritos por Tipo Administración (31/12/2011)

entidades Locales28,11%

otras Personas Jurídico -Públicas

2,73% Administración

comunidad de Madrid69,16%

Ficheros regisTrAdos segÚn Tipo de dATos

comunidAd mAdrid

enTidAdes locAles

oTrAs personAs JurÍdico-pÚBlicAs ToTAl

Ficheros % Ficheros % Ficheros % Ficheros %

especialmente protegidos 116 0,84% 231 5,05% 18 4,10% 365 1,94%

otros datos especialmente protegidos 3.511 25,39% 854 18,67% 56 12,76% 4.421 23,47%

infracciones 1.704 12,32% 543 11,87% 46 10,48% 2.293 12,17%

identificativos 9.728 100,00% 3.908 100,00% 383 100,00% 14.019 100,00%

características personales 7.872 56,93% 1.918 41,94% 184 41,91% 9.974 52,94%

circunstancias sociales 3.249 23,50% 1.026 22,44% 64 14,58% 4.339 23,03%

Académicos y profesionales 6.728 48,66% 1.443 31,55% 224 51,03% 8.395 44,56%

detalles de empleo 5.136 37,14% 814 17,80% 153 34,85% 6.103 32,40%

información comercial 269 1,95% 772 16,88% 28 6,38% 1.069 5,67%

económicos, financieros y de seguros 2.239 16,19% 1.444 31,58% 140 31,89% 3.823 20,29%

transacciones de bienes y servicios 208 1,50% 445 9,73% 18 4,10% 671 3,56%

Ficheros Registrados por la Administración de la Comunidad de Madrid

consejeria de educación y empleo

63,38%

consejeria de Medio Ambiente y ordenacion

del territorio2,00%

consejeria de sanidad 22,03%

consejeria de Asuntos sociales

5,53%

otras instituciones de la comunidad de Madrid

0,74%

Vicepresidencia, consejeria cultura Y deporte Y

Portavocia gobierno 1,75% consejeria de Presidencia y Justicia

2,10%

consejeria de economia y hacienda

1,97%

consejeria de transportes e infraestructuras

0,51%

Promedio de Ficheros Registrados según tipo de Datos

otras Personas Jurídico PúblicasAdministración Localcomunidad de Madrid

transacciones de Bienes y servicios

económicos, financieros y de seguros

información comercial

detalles de empleo

Académicos y Profesionales

circunstancias sociales

características Personales

identificativos

infracciones

otros datos especialmente protegidos

especialmente protegidos

0% 20% 40% 60% 80% 100%

Por lo que respecta a la finalidad, al ser las Adminis-traciones públicas prestadoras de servicios públicos, casi el 50% de los ficheros inscritos tienen como finali-dad la tramitación de procedimientos administrativos.

16


Ficheros regisTrAdos segÚn FinAlidAd

comunidAd mAdrid

enTidAdes locAles

oTrAs personAs JurÍdico- pÚBlicAs

ToTAl


Recursos humanos 3.621 26,19% 401 8,77% 42 9,57% 4.064 21,57%

gestión de Nómina 148 1,07% 216 4,72% 12 2,73% 376 2,00%

Prevención de Riesgos Laborales 55 0,40% 161 3,52% 6 1,37% 222 1,18%

hacienda Pública y gestión Administraciones tributarias 115 0,83% 494 10,80% 8 1,82% 617 3,28%

gestión económico-financiera Pública 73 0,53% 248 5,42% 12 2,73% 333 1,77%

gestión contable, fiscal y Administrativa 262 1,89% 652 14,26% 28 6,38% 942 5,00%

Justicia 109 0,79% 51 1,12% 30 6,83% 190 1,01%

seguridad Pública y defensa 32 0,23% 163 3,56% 1 0,23% 196 1,04%

Actuaciones fuerzas y cuerpos de seguridad con fines Policiales 13 0,09% 125 2,73% 0 0,00% 138 0,73%

Videovigilancia 142 1,03% 32 0,70% 6 1,37% 180 0,96%

trabajo y gestión de empleo 468 3,38% 399 8,73% 18 4,10% 885 4,70%

servicios sociales 624 4,51% 434 9,49% 12 2,73% 1.070 5,68%

gestión y control sanitario 1.397 10,10% 153 3,35% 10 2,28% 1.560 8,28%

historial clínico 1.417 10,25% 71 1,55% 6 1,37% 1.494 7,93%

investigación epidemiológica y Actividades Análogas 870 6,29% 66 1,44% 12 2,73% 948 5,03%

educación y cultura 2.879 20,82% 593 12,97% 119 27,11% 3.591 19,06%

función estadística Pública 4.729 34,20% 484 10,58% 15 3,42% 5.228 27,75%

Padrón de habitantes 13 0,09% 451 9,86% 0 0,00% 464 2,46%

gestión de censo Promocional 0 0,00% 6 0,13% 0 0,00% 6 0,03%

fines históricos, estadísticos o científicos 5.608 40,56% 1.099 24,03% 70 15,95% 6.777 35,97%

seguridad y control de Acceso a edificios 156 1,13% 53 1,16% 10 2,28% 219 1,16%

Procedimiento Administrativo 6.108 44,17% 1.159 25,34% 128 29,16% 7.395 39,25%

Publicaciones 112 0,81% 46 1,01% 15 3,42% 173 0,92%

gestión sancionadora 97 0,70% 135 2,95% 23 5,24% 255 1,35%

Prestación servicios de certificación electrónica 100 0,72% 66 1,44% 23 5,24% 189 1,00%

memoria2011

17

Por último, en cuanto a la procedencia de los datos, teniendo en cuenta la misma justificación que en la estadística anterior, con independencia de los datos suministrados por el propio interesado, casi el 50% proceden de las citadas Administraciones públicas.

Promedio de Ficheros Registrados según Finalidad

otras personas jurídico-públicasentidades Localescomunidad de Madrid

Prestación servicios de certificación electrónica

gestión sancionadora

Publicaciones

Procedimiento Administrativo

seguridad y control de Acceso a edificios

fines históricos, estadísticos o científicos

gestión de censo Promocional

Padrón de habitantes

función estadística Pública

educación y cultura

investigación epidemiológica y Actividades Análogas

historial clínico

gestión y control sanitario

servicios sociales

trabajo y gestión de empleo

Videovigilancia

Actuaciones fuerzas y cuerpos de seguridad con fines policialesseguridad Pública y defensa

Justicia

gestión contable, fiscal y Administrativa

gestión económico-financiera Pública

hacienda Pública y gestión Administraciones tributarias

Prevención de Riesgos Laborales

gestión de Nómina

Recursos humanos

0% 20%10% 30% 50% 70% 90%40% 60% 80% 100%

Promedio de Ficheros Registrados según Procedencia de los Datos

otras Personas Jurídico Públicasentidades Localescomunidad de Madrid

Administraciones Públicas

fuentes accesibles al público

entidades privadas

otras personas físicas

Registros Públicos

el propio interesado o su representante legal

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Ficheros regisTrAdos segÚn procedenciA de los dATos

comunidAd mAdrid

enTidAdes locAles

oTrAs personAs JurÍdico-pÚBlicAs ToTAl


el propio interesado o su representante legal 9.470 68,49% 3.869 84,61% 374 85,19% 13.713 72,79%

Registros Públicos 246 1,78% 1.403 30,68% 24 5,47% 1.673 8,88%

otras personas físicas 3.523 25,48% 1.881 41,13% 52 11,85% 5.456 28,96%

entidades Privadas 1.863 13,47% 729 15,94% 21 4,78% 2.613 13,87%

fuentes Accesibles al Público 123 0,89% 302 6,60% 12 2,73% 437 2,32%

Administraciones Públicas 6.838 49,45% 1.946 42,55% 95 21,64% 8.879 47,13%

memoria2011

19

control de ficheros. tutela de derechos e inspección

3.

20

3. coNtRoL de ficheRos. tUteLA de deRechos e iNsPecciÓN

control de ficheros. tutela de derechos e inspección

3.

memoria2011

21

3. contRol de ficheRos. tutela de deRechos e insPección

3.1. PROCEDIMIEnTOs ADMInIsTRATIvOs

3.1.1. Introducción

La subdirección de inspección y tutela de derechos es la unidad administrativa de la APdcM a la que compete el ejercicio de las funciones derivadas de la potestad de inspección, reguladas en el artículo 19 de la Ley 8/2001, de 13 de julio.

en este sentido, es competencia de esta unidad administrativa el impulso y la instrucción de los pro-cedimientos a que den lugar las reclamaciones y denuncias de los ciudadanos para la protección de sus derechos de acceso, rectificación, cancelación y oposición, así como de los procedimientos de in-fracción de las Administraciones Públicas que se tra-miten como consecuencia del ejercicio de la función de control para determinar la existencia o no de una infracción prevista en la LoPd.

3.1.2. Tutela de derechos

el procedimiento administrativo de tutela de dere-chos se inicia siempre mediante reclamación inter-puesta por el ciudadano cuando éste considera que el responsable del fichero no ha atendido correcta-mente sus derechos de acceso, rectificación, cance-lación y oposición.

este procedimiento se encuentra regulado en el de-creto 67/2003, de 22 de mayo. dicho procedimiento

se caracteriza por su carácter contradictorio, de ma-nera que tanto el ciudadano como el responsable del fichero pueden presentar alegaciones para su defen-sa. La resolución de la APdcM será estimatoria si considera que el derecho de acceso, rectificación, oposición o cancelación no ha sido debidamente atendido, o desestimatoria en caso contrario.

durante el año 2011 se han tramitado 135 expedien-tes de tutela de derechos, 63 de los cuales se refi-rieron al previo ejercicio de los derechos de acceso, rectificación, oposición y/o cancelación ante diferen-tes Órganos de la Administración Local.

Por su parte, de las 51 solicitudes de tutela de de-rechos ejercitadas ante entidades, Órganos y otras instituciones de la comunidad de Madrid, 29 se pre-sentaron a consecuencia del previo ejercicio –ante el responsable del tratamiento- de los derechos de acceso, rectificación, oposición y/o cancelación en relación con historias clínicas.

finalmente, también destacan las peticiones de tu-tela de derechos en relación con la cancelación de datos personales obrantes en los Boletines oficiales y en páginas web institucionales. A su vez, 11 de los expedientes incoados resultaron ser de la competen-cia de la Agencia española de Protección de datos, 16

presentar alegaciones para su defensa. La resolución de la APDCM será estimatoria si considera que el derecho de acceso, rectificación, oposición o cancelación no ha sido debidamente atendido, o desestimatoria en caso contrario.

Durante el año 2011 se han tramitado 135 expedientes de tutela de derechos, 63 de los cuales se refirieron al previo ejercicio de los derechos de acceso, rectificación, oposición y/o cancelación ante diferentes Órganos de la Administración Local. Por su parte, de las 51 solicitudes de Tutela de Derechos ejercitadas ante Entidades, Órganos y otras Instituciones de la Comunidad de Madrid, 29 se presentaron a consecuencia del previo ejercicio –ante el responsable del tratamiento- de los derechos de acceso, rectificación, oposición y/o cancelación en relación con historias clínicas. Finalmente, también destacan las peticiones de Tutela de Derechos en relación con la cancelación de datos personales obrantes en los Boletines Oficiales y en páginas web institucionales. A su vez, 11 de los expedientes incoados resultaron ser de la competencia de la Agencia Española de Protección de Datos, por lo que se ofició el correspondiente traslado de actuaciones a dicha Agencia.

0

10

20

30

40

50

60

70

C. Madrid Ayuntamientos Universidades AEPD

3.1.3.- Procedimientos de inspección.

El procedimiento de inspección se inicia siempre de oficio, si bien en la mayoría de las ocasiones el citado inicio viene motivado por la presentación de una denuncia por parte del ciudadano. Asimismo, la APDCM también abre este tipo de procedimientos de oficio por otras vías: bien cuando inicia un plan de inspección, bien cuando aparece alguna noticia en prensa de la que puede

22


por lo que se ofició el correspondiente traslado de actuaciones a dicha Agencia.

frente a los 176 expedientes tramitados en 2010, en el ejercicio 2011 se han incoado un total de 279. este incremento, que conduce a cifras similares a las de 2009, se justifica –de una parte- en el mayor grado de concienciación de su derecho a la protección de datos de carácter personal por parte de los ciuda-danos de la comunidad de Madrid, y, de otra parte, en la apertura de 42 expedientes a diferentes insti-tutos de educación secundaria de la comunidad de Madrid. estas últimas actuaciones inspectoras, específicamente dirigidas a centros educativos de la comunidad de Madrid, son consecuencia de la ejecución de la primera fase del Plan de inspección 2011-2012, sobre Política de Privacidad en páginas Web de centros educativos Públicos de la comuni-dad de Madrid.

Asimismo, desde la creación de la APdcM hasta el final de 2011, se habrían tramitado 1748 expedientes de inspección.

de los 279 expedientes tramitados, se debe distin-guir entre los que se corresponden con la función inspectora y los que se refieren a la función de tutela de derechos, a los que nos referimos en el apartado anterior.

Respecto de los primeros, se han tramitado 144 procedimientos, correspondiendo sesenta y nueve (69) a la Administración de la comunidad de Ma-drid, cuarenta y cuatro (44) a la Administración Lo-cal, ocho (8) a las corporaciones de derecho públi-co y siete (7) a las Universidades de la comunidad de Madrid. A su vez, dieciséis (16) resultaron ser de la competencia de la Agencia española de Protec-ción de datos.

70

60

50

40

30

20

10

0

coMUNidAd de MAdRid

AYUNtAMieNtos UNiVeRsidAdes AePd

3.1.3. Procedimientos de inspección

el procedimiento de inspección se inicia siempre de oficio, si bien en la mayoría de las ocasiones el citado inicio viene motivado por la presentación de una de-nuncia por parte del ciudadano. Asimismo, la APdcM también abre este tipo de procedimientos de oficio por otras vías: bien cuando inicia un plan de inspec-ción, bien cuando aparece alguna noticia en prensa de la que puede derivar una infracción en materia de protección de datos, bien cuando se tiene constancia por otros medios de que puede producirse un incum-plimiento de la normativa de protección de datos.

Al igual que el procedimiento de tutela de derechos, el procedimiento de inspección se encuentra regu-lado en el decreto 67/2003, de 22 de mayo. este decreto se refiere, además de a la inspección pro-piamente dicha, al procedimiento de infracción en el supuesto de que en las actuaciones realizadas exis-tan indicios de que se ha vulnerado, por parte del responsable del fichero, la protección de datos.

17

derivar una infracción en materia de protección de datos, bien cuando se tiene constancia por otros medios de que puede producirse un incumplimiento de la normativa de protección de datos. Al igual que el procedimiento de tutela de derechos, el procedimiento de inspección se encuentra regulado en el Decreto 67/2003, de 22 de mayo. Este Decreto se refiere, además de a la inspección propiamente dicha, al procedimiento de infracción en el supuesto de que en las actuaciones realizadas existan indicios de que se ha vulnerado, por parte del responsable del fichero, la protección de datos.

Frente a los 176 expedientes tramitados en 2010, en el ejercicio 2011 se han incoado un total de 279. Este incremento, que conduce a cifras similares a las de 2009, se justifica –de una parte- en el mayor grado de concienciación de su derecho a la protección de datos de carácter personal por parte de los ciudadanos de la Comunidad de Madrid, y, de otra parte, en la apertura de 42 expedientes a diferentes Institutos de Educación Secundaria de la Comunidad de Madrid. Estas últimas actuaciones inspectoras, específicamente dirigidas a Centros Educativos de la Comunidad de Madrid, son consecuencia de la ejecución de la primera fase del Plan de Inspección 2011-2012, sobre Política de Privacidad en páginas Web de Centros Educativos Públicos de la Comunidad de Madrid. Asimismo, desde la creación de la APDCM hasta el final de 2011, se habrían tramitado 1748 expedientes de inspección. De los 279 expedientes tramitados, se debe distinguir entre los que se corresponden con la función inspectora y los que se refieren a la función de tutela de derechos, a los que nos referimos en el apartado anterior. Respecto de los primeros, se han tramitado 144 procedimientos, correspondiendo sesenta y nueve (69) a la Administración de la Comunidad de Madrid, cuarenta y cuatro (44) a la Administración Local, ocho (8) a las Corporaciones de Derecho público y siete (7) a las Universidades de la Comunidad de Madrid. A su vez, dieciséis (16) resultaron ser de la competencia de la Agencia Española de Protección de Datos.

memoria2011

23

70

60

50

40

30

20

10

0

coMUNidAd de MAdRid

AYUNtAMieNtos UNiVeRsidAdes coRPoRAcioNes AePd

en relación con los expedientes de inspección que se han tramitado contra los Órganos de la comuni-dad de Madrid, cuarenta y cuatro correspondieron a la consejería de educación, si bien debe reseñarse que cuarenta y dos de ellos se incoaron a conse-cuencia del Plan sectorial de oficio 2011-2012 al que anteriormente se ha hecho referencia.

Por su parte, la consejería de sanidad recibió veinte denuncias por presuntos incumplimientos de la nor-mativa sobre protección de datos, las corporaciones de derecho público un total de ocho denuncias, y las dirigidas contra a Universidades públicas de la comunidad de Madrid ascendieron a siete.

50

40

30

20

10

0

sANidAd ecoNoMÍA edUcAciÓN fAMiLiA MedioAMBieNte

PResideNciA

A la fecha de confección de esta Memoria 2011, se han dictado cinco nuevas resoluciones de infracción debidas al incumplimiento por parte del responsable del fichero de alguno de los principios de la LoPd, correspondientes a dicho ejercicio de 2011.

A su vez, en relación con los expedientes sanciona-dores incoados en 2010, la Agencia ha dictado un

total de trece declaraciones de infracción. en todas ellas se ha dictaminado la existencia de la corres-pondiente responsabilidad –por incumplimiento de la LoPd- de otros tantos Responsables de ficheros públicos del ámbito competencial de la APdcM.

Algunas de las resoluciones declarativas de infrac-ción correspondientes a 2011 y/o dimanantes de ex-pedientes de 2010 ya concluidos a la fecha de esta Memoria 2011 son las siguientes:

•Resolución de infracción por la comisión de una infracción grave y otra leve, contra un Órgano de la comunidad de Madrid, por no solicitar la ins-cripción del fichero de datos de carácter personal en el Registro general de Protección de datos, ni informar a los afectados por el tratamiento de da-tos realizado, en relación con la implantación de un sistema de Videovigilancia.

•Resolución de infracción a un Ayuntamiento por la comisión de una infracción grave, al comunicar datos del afectado (adeudo de impuesto respecto de una finca registrada como privativa) a un ter-cero (su ex esposa) sin que existiera justificación jurídica para ello.

•Resolución de infracción a un Ayuntamiento por la comisión de una infracción muy grave, al ceder a un tercero copia de un expediente administrati-vo en el que obraban, entre otros, datos de salud (especialmente protegidos) recogidos en informes médicos de asistencias sanitarias.

•Resolución de infracción grave a una Universidad por la utilización de los datos personales obrantes en un fichero con desvío de la finalidad declarada, para fines incompatibles con aquellos para los que fueron recabados los datos.

•Resolución de infracción a un Ayuntamiento por la comisión de una infracción grave, al remitir a la

24


dirección de correo electrónico del denunciante un mensaje con los datos de la dirección de correo electrónico de otros solicitantes del servicio ofreci-do por una entidad Municipal.

•Resolución de infracción a un Ayuntamiento por la comisión de una infracción grave, al mantener desactualizados los datos de los titulares de los vehículos, a los efectos de la tramitación de de-nuncias e imposición de sanciones en materia de tráfico y seguridad vial.

Por último, la APdcM publica las resoluciones de sus procedimientos tanto de inspección como de tutela de derechos, debidamente anonimizadas, en su sitio web institucional (www.apdcm.es), dando cumplimiento de esta forma al principio de transparencia administrativa.

3.2. PLAnEs DE InsPECCIón

3.2.1. Introducción

el artículo 18 del decreto 67/2003, de 22 de mayo, por el que se aprueba el reglamento de desarrollo de las funciones de la APdcM de tutela de derechos y con-trol de ficheros de datos de carácter personal, regula los Planes sectoriales de inspección, como una de las manifestaciones de la función de control de la APdcM.

estos Planes, de carácter preventivo, consisten en ana-lizar por cada uno de los sectores de la actividad admi-nistrativa pública, cuyos ficheros se encuentran bajo el ámbito de aplicación de la Ley 8/2001, de 13 de julio, cuál es el grado de adecuación y cumplimiento que di-chos ficheros tienen a los principios de la protección de datos, intentando garantizar que los responsables de los ficheros públicos hagan efectivo el cumplimiento de los derechos de acceso, rectificación, cancelación y oposición que ejercen los ciudadanos.

Una vez analizada por los inspectores toda la informa-ción y concluidas las actuaciones y comprobaciones necesarias, el director de la APdcM dicta, de conformi-dad con el artículo 15.d) de la Ley 8/2001, de 13 de ju-lio, las instrucciones precisas, en las que se determina si los ficheros públicos objeto del plan sectorial están adecuados o no a la normativa de protección de datos.

3.2.2. Plan de Inspección 2011-2012 sobre Política de Privacidad en páginas Web de Centros Educativos Públicos de la Comunidad de Madrid

en 2011 la APdcM ha puesto en marcha su Plan de inspección 2011-2012, sobre el cumplimiento de la normativa de protección de datos en la recogida de los mismos a través de páginas Web de los centros educativos Públicos de educación secundaria de la comunidad de Madrid.

en el ámbito educativo público la garantía del dere-cho fundamental a la protección de datos exige la creación de condiciones de confianza en el uso de estas tecnologías, procurando establecer las medi-das necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los re-lacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, de los datos y de las co-municaciones, así como la de los servicios presta-dos en soporte electrónico.

en este sentido, a través de los sitios Web que los cen-tros educativos de educación secundaria ponen a dis-posición de la comunidad escolar, resulta habitual que se soliciten datos personales y, dadas las característi-cas del medio, los alumnos y el resto de las personas afectadas pueden albergar dudas sobre el correcto tra-tamiento y la seguridad de sus datos personales.

memoria2011

25

La garantía del derecho fundamental a la protección de datos exige la creación de condiciones de con-fianza en el uso de estas tecnologías, procurando establecer las medidas necesarias para la preserva-ción de la integridad de los derechos fundamentales, y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, de los datos y de las comunicaciones, así como la de los servicios prestados en soporte electrónico.

Para conocer el grado de cumplimiento de la normativa de protección de datos, y, en concreto, para impulsar el cumplimiento del deber de información en la recogi-da de datos, previsto en el artículo 5 de la LoPd, este Plan de inspección tiene como objetivo la inspección de la Política de privacidad de una parte significativa los sitios Web de los centros educativos públicos de edu-cación secundaria de la comunidad de Madrid, que procedan a la recogida de datos a través de internet.

A su vez, el Plan de inspección tiene también como objetivo conocer el grado de cumplimiento de los de-rechos que asisten tanto a los alumnos como a sus padres, madres o tutores legales, en relación con el acceso, rectificación, oposición y/o cancelación a los diferentes tipos de datos de carácter personal reco-gidos y tratados a través de las páginas Web de los centros educativos públicos.

Realizada la inspección, con la información recaba-da, se ha procedido al dictado -para cada centro educativo público inspeccionado- de una instrucción singular para que adecue la recogida de datos per-sonales a través de la página Web correspondiente a la normativa de protección de datos, y, especialmen-te, a lo dispuesto en el artículo 5 de la LoPd.

en esta primera fase del Plan, correspondiente a 2011, se han inspeccionado “on-line” los sitios Web

de cuarenta y dos institutos de enseñanza secunda-ria de la comunidad de Madrid.

La continuidad de este Plan se ha concretado en 2012, previéndose su finalización durante dicho ejercicio.

en el curso de las actuaciones realizadas, se pone de manifiesto que en el ámbito de la Administración educativa se viene reconociendo y consolidando la potestad de relacionarse con los alumnos y con el resto de la comunidad educativa, teniendo en cuen-ta los principios y derechos dimanantes de la norma-tiva sobre protección de datos.

en este sentido, las “instrucciones de adecuación” emitidas se dirigen a garantizar el derecho fundamental a la protección de datos, exigiendo en el uso de las nuevas tecnologías el impulso de las condiciones de confianza que preserven la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal.

Plan de inspección sobre páginas Web ies

de este modo, en las instrucciones dictadas se ha hecho especial hincapié, entre otras cuestiones, en el cumplimiento del deber de información en la recogida de datos, previsto en el artículo 5 de la LoPd, la crea-ción de los correspondientes ficheros con datos de carácter personal y su inscripción en el Registro de la APdcM (artículo 20 LoPd), la “Política de Privacidad” de las webs inspeccionadas, las fórmulas adoptadas para la publicación de revistas, blogs y foros de los institutos de enseñanza secundaria, la publicación de imágenes y de otros datos de carácter personal de alumnos y/o profesores, y la publicación de datos re-lativos a procesos selectivos y no selectivos.

26


3.3. Resoluciones de la jurisdicción contencioso-administrativa

durante 2011 se han recibido en la Agencia de Pro-tección de datos de la comunidad de Madrid seis resoluciones judiciales dictadas por la jurisdicción contencioso-administrativa en relación con asuntos tramitados previamente ante la propia APdcM. La primera de ellas corresponde a un auto de inadmi-sión, nº 47/2010, de fecha 1 de marzo de 2011, dic-tado por el tribunal superior de Justicia de Madrid, en el que declara que el recurrente –una central sin-dical- carecía de legitimación activa para recurrir la Resolución impugnada, al carecer de la condición de interesada en el procedimiento sancionador.

Asimismo, se han dictado dos sentencias desesti-matorias, en primera y segunda instancia –respec-tivamente-, la primera del Juzgado de lo contencio-so Administrativo número 6 de Madrid, nº sentencia 100/2011, de 30 de marzo de 2011, y la segunda –en apelación- del tribunal superior de Justicia de la co-munidad de Madrid, de fecha 20 de septiembre de 2011 (sentencia Nº 545/2011), en relación con la im-pugnación de la Resolución de la APdcM, de fecha 14 de junio de 2010, por la que se desestimó el recur-so de reposición impuesto por la dirección general de Recursos humanos del Ayuntamiento de Madrid y por el organismo Autónomo Agencia tributaria de Madrid,

al haber declarado la APdcM que dichos organismos habían vulnerado el principio de calidad previsto en el artículo 4 de la LoPd, incurriendo en una infracción grave prevista en el artículo 44.3.d de la LoPd.

Por su parte, el Juzgado de lo contencioso Admi-nistrativo número 27 de Madrid, con fecha 30 de no-viembre de 2011, ha desestimado el recurso conten-cioso administrativo interpuesto por el Ayuntamiento de Madrid, contra la Resolución dictada por el direc-tor de la APdcM, de 29 de julio de 2009, en virtud de la cual se declaró que dicho Ayuntamiento había incurrido en una infracción del artículo 44.3.d) de la LoPd, por tratar los datos de carácter personal –cer-tificados de firma digital de los agentes de movilidad- con incumplimiento de los principios establecidos en la Ley, y ello por haber tenido almacenados en un ordenador durante un largo periodo de tiempo, indis-cutiblemente superior al que operativamente hubiera sido necesario, los certificados de firma y claves de desbloqueo de los agentes de movilidad.

A su vez, en 2011 se han recibido dos sentencias, en primera y segunda instancia, estimatorias de las pre-tensiones deducidas por el Ayuntamiento de Madrid, dictadas por el Juzgado de lo contencioso número 14 de Madrid y por el tribunal superior de Justicia de Madrid (de 14 de julio de 2010 y 22 de junio de 2011, respectivamente), en relación con la Resolución de la APdcM, de 12 de marzo de 2008, por la que se declaró que la Agencia tributaria del Ayuntamiento de Madrid había cometido una infracción grave, por mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedían. el Juzgado y el tribunal superior de Justicia han revocado dicha re-solución, al entender que el Ayuntamiento no había vulnerado ningún principio de protección de datos, actuando con la diligencia necesaria en la gestión del correspondiente impuesto.

Publicación datos de procesos selectivos y no selectivos

Publicación de imágenes y de otros datos personales de alumnos y profesores

cumplimiento art.5 LoPd

creación del fichero art. 20 LoPd

Política de privacidad Protección de datos en blogs, foros y revistas

memoria2011

27

Asesoramiento4.

28

4. AsesorAmiento

Asesoramiento4.

memoria2011

29

4. AsesorAmiento

La actividad de asesoramiento se lleva a cabo me-diante la realización de informes, de los cuales po-demos distinguir cuatro tipos:

• informes preceptivos sobre la creación, modifica-ción y supresión de ficheros.

• informes sobre la adaptación de contratos y con-venios al artículo 12 de la LoPD (encargados del tratamiento).

• informes preceptivos a la aprobación de normas.

• informes que dan respuesta a las consultas plan-teadas por los responsables de ficheros.

respecto a los primeros, se trata de una obligación que establece la Ley 8/2001, de 13 de julio, de Pro-tección de Datos Personales en la Comunidad de madrid, ya que con carácter previo a la aprobación de la disposición de carácter general de creación, modificación o supresión de un fichero, el proyec-to junto con las alegaciones, se debe enviar a la APDCm para su informe preceptivo. A través del cita-do informe, y analizando previamente toda la docu-mentación enviada, la APDCm ejerce una actividad de “Prior Checking”, es decir, un control previo de legalidad sobre el tratamiento de datos personales que se pretenda realizar. Así, en el año 2011 se han elaborado 138informes preceptivos de este tipo.

respecto a los informes sobre la adaptación de con-tratos y convenios al artículo 12 de la LoPD (encarga-dos del tratamiento), según este artículo cuando se realice un tratamiento por cuenta de terceros debe existir un contrato o convenio en el cual se estipulen las obligaciones que debe cumplir el encargado del tratamiento respecto a los datos personales.

en este sentido, y con carácter previo a su firma o perfeccionamiento, en el año 2011 la APDCm ha in-formado 206convenios y contratos en relación a su adecuación al artículo 12 de la LoPD.

INDICADOR 2008 2009 2010 2011

Disposiciones generales de ficheros publicadas 160 136 174 106

Ficheros regulados por disposiciones publicadas 828 6906 1.823 2.069

INFORMES SOBRE CONTRATOS Y CONVENIOS DEL ARTÍCULO 12 LOPD

Vicepresidencia, Consejería de Cultura y Deportes y Portavocía del Gobierno 28

Consejería Presidencia y Justicia 35

Consejería de economía y Hacienda 4

Consejería de transportes e infraestructuras 0

Consejería de medio Ambiente y ordenación del territorio 3

Consejería de sanidad 30

Consejería de Asuntos sociales 9

Consejería de educación y empleo 68

entes Locales 22

Universidades 6

Colegios Profesionales 1

total 206

30

4. AsesorAmiento

en cuanto a los informes preceptivos a la aprobación de normas, la APDCm ha informado preceptivamen-te, en fase de proyecto, durante el año 2011 un total de 135 normas. entre ellas, destacan las siguientes:

•Ley integral para la igualdad de trato y no discrimi-nación.

•Decreto del Consejo de Gobierno por el que se re-gula el acceso electrónico de los ciudadanos a los servicios públicos y la utilización de tecnologías de la información en la Administración de la Comuni-dad de madrid.

•Decreto del Consejo de Gobierno por el que se re-gulan los Albergues Juveniles y se crea la red de Albergues Juveniles de la Comunidad de madrid.

•ordenanza del excmo. Ayuntamiento de madrid por la que se adaptan al ámbito de la Ciudad de madrid las previsiones contenidas en la normativa estatal y autonómica de transposición de la Direc-tiva 2006/123/Ce, del Parlamento europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior.

• orden de la Consejería de Presidencia y Justicia por la que se determina el tipo de armamento que debe-rán utilizar los Cuerpos de Policía Local de la Comu-nidad de madrid, así como sus normas generales de uso y las medidas de seguridad necesarias.

•orden de esa Vicepresidencia por la que se re-gula el régimen de elección de los órganos de gobierno y representación de las federaciones deportivas y agrupaciones de clubes de la Co-munidad de madrid.

•orden de la Consejería de sanidad por la que se desarrolla el sistema de sugerencias, quejas y re-clamaciones en el sistema sanitario Púbico de la Comunidad de madrid.

•orden de la Consejería transportes e infraestruc-turas por la que se crea el registro de titulares

y solicitantes de transmisiones de licencia de au-totaxi y se desarrolla parcialmente el reglamento de los servicios de transportes público urbano en automóviles de turismo.

Asimismo, tal y como se viene desarrollando desde hace años, la APDCm también ha informado nume-rosas convocatorias de subvenciones, entre las que podemos destacar las siguientes:

•Acuerdo de Consejo de Gobierno para aprobar las normas reguladoras y regular el procedimien-to de concesión directa de determinadas ayudas a prestar apoyo financiero a las PYmes madrile-ñas para mejora de su competitividad y desarro-llo tecnológico.

•orden de la Consejería de economía y Hacienda por la que se convocan las ayudas para la realiza-ción de prácticas en las oficinas de turismo y servi-cios centrales de la Dirección General de turismo para el ejercicio 2011.

•orden de la Consejería de economía y Hacienda por la que se regula la concesión del símbolo de calidad empresarial “buenas prácticas” en materia de protección al consumidor.

•orden de la Consejería de economía y Hacienda, por el que se aprueban las bases reguladoras del Programa “innoempresa” de apoyo a la innova-ción de las pequeñas.

•orden de la Consejería de educación y empleo por la que se aprueban las bases y se convocan becas para la adquisición de libros de texto y para come-dor para el curso escolar 2011/2012. y medianas empresas de la Comunidad de madrid 2011-2013.

•orden de la Consejería de educación y empleo por la que se regula el procedimiento para la con-cesión para 2011 del complemento autonómico

memoria2011

31

del personal docente e investigador de las Univer-sidades públicas de la Comunidad de madrid.

•orden de la Consejería de Asuntos sociales por la que se aprueba el Plan estratégico 2012-2014 relativo a subvenciones a mujeres procedentes de centros residenciales dependientes de la Conseje-ría de Asuntos sociales para favorecer su autono-mía e independencia.

•orden de la Consejería de Asuntos sociales de convocatoria de subvenciones para apoyar el mantenimiento de centros de día y servicios de prevención dirigido a prevenir situaciones de difi-cultad social de menores en su medio natural de convivencia para el año 2011.

•orden de la Consejería de medio Ambiente y or-denación del territorio por la que se aprueban las bases reguladoras de becas de tecnólogos y para la formación de personal investigador para la rea-lización de tesis doctorales en los ámbitos agrario, alimentario y medioambiental en el imiDrA.

•orden de la Consejería de sanidad por la que se aprueban las bases reguladoras y la convocatoria para el año 2011, de las subvenciones a entidades sin ánimo de lucro para el apoyo al mantenimiento de Centros y/o servicios especializados en mate-ria de drogodependencias.

•orden de la Vicepresidencia, Consejería de Cultu-ra y Deporte y Portavocía del Gobierno por la que se establecen las bases reguladoras y la convoca-toria para el año 2012 de becas de investigación y formación postgrado de médicos, especialistas en medicina de la educación física y el deporte de la Comunidad de madrid.

Por último, respecto a los informes que dan respues-ta a las consultas planteadas por los responsables de ficheros, consultas que versan sobre cuestiones

relativas a cesiones de datos personales y a la ade-cuación de tratamientos de datos personales, en el 2011 se respondieron un total de 56 consultas.

Las consultas más destacadas en 2011 a las que la APDCm ha dado respuesta son las siguientes:

• Uso de los datos del iBi para comunicar la ejecución de una sentencia firme a los propietarios de una serie de viviendas para darles conocimiento de la misma al no haber sido parte en el procedimiento judicial.

• Cesión de los datos personales de los titulares del derecho de uso de plazas de aparcamientos a las comunidades de usuarios sin el consentimiento de dichos titulares a los efectos de proceder al pago de la cuota mensual establecida por esas comunidades.

•Posible cambio de la nota informativa que consta en el reverso de los avisos de recibo de las notifi-caciones practicadas por correo relativas a los pro-cedimientos sancionadores relacionados con las multas de tráfico impuestas por un Ayuntamiento.

•si se puede facilitar por una Junta electoral a los candidatos una copia, en soporte papel, del censo electoral correspondiente a una jornada electoral del en el que aparte de los datos personales que obren en todo censo electoral quede reflejado si las personas que aparecen en el mismo han ejer-cido o no su derecho al voto.

•Comunicación de datos de los ficheros “Datos trá-fico” e “intervenciones Policía Local”, cuyo respon-sable es la Dirección de Coordinación Local de ese Ayuntamiento, a las policías locales de otros muni-cipios, siendo el motivo y la finalidad de la cesión exclusivamente la actuación policial e investigación.

•Cesión de datos personales por parte de la Con-sejería de Asuntos sociales de la Comunidad de madrid de las personas que siendo residentes en

32

4. AsesorAmiento

ese municipio han obtenido el reconocimiento de grado de discapacidad con la finalidad de ofrecer servicios a estas personas.

•Cesión al tribunal de Defensa de la Competencia de la Comunidad de madrid de los datos de los colegiados de un Colegio, incluyendo el domicilio particular de los colegiados que no tengan domi-cilio profesional, para poder dirigirse a ellos en el marco de una investigación motivada por la de-nuncia interpuesta por un colegiado.

• si el informe psicopedagógico actualizado debe sus-tituir al anterior en el expediente escolar del alumno, ya que el mismo sólo debe reflejar la situación actual de un alumno para adecuar la respuesta educativa.

•Acceso a la información contenida en el registro de Órganos de representación del Personal al servicio de la Comunidad de madrid.

•ejercicio del derecho de oposición en relación con la publicación de los datos de carácter personal derivados del hecho de que la interesada haya presentado instancia de participación al proceso extraordinario de consolidación de empleo para el acceso a plazas de carácter laboral de la categoría profesional de Auxiliar de enfermería.

•ejercicio del derecho de oposición respecto a la publicación en el Boletín oficial de la Comunidad de madrid de la resolución de 26 de enero de 2010 por la que se aprueban las relaciones provi-sionales de aspirantes admitidos y excluidos y se publica la de excluidos en el proceso.

•Cesiones de datos personales a la Guardia Civil, en relación a si debe existir previa petición judicial o sería suficiente con la solicitud por parte de la Autoridad competente.

•si las entidades aseguradoras a la vista de la re-gulación del artículo 14.d) del Decreto Legislativo

1/2006, de 28 de septiembre, por el que se aprueba el texto refundido de la Ley por la que se regulan los servicios de Prevención, extinción de incendios y salvamentos de la Comunidad de madrid, tienen la condición de “Autoridades competentes”.

•servicio de Prevención de riesgos Laborales del Hospital Clínico san Carlos, instando se emita in-forme acerca de la adecuación a la normativa de Protección de Datos de la cesión del nombre de trabajadores del centro sanitario afectados por problemas de salud.

•si es conforme a la normativa vigente en materia de Protección de Datos, el tratamiento por parte de personal administrativo de los datos de salud de pacientes extranjeros atendidos en un Centro de salud.

•Posibilidad de que la inspección de una Univer-sidad puede utilizar las fotos de los alumnos que figuran en los ficheros de datos de carácter per-sonal “expedientes de alumnos”, “matrícula es-tudios de Grado” y “matrícula máster Posgrado” para cotejarlas con las publicadas en los diferen-tes medios de comunicación con la finalidad de identificar a los alumnos que participaron en los incidentes acaecidos en la Capilla del Campus de somosaguas el 10 de marzo de 2011.

ADMINISTRACION PÚBLICA NORMAS CESIONES ADECUACIÓN LOPD TOTAL

Vicepresidencia Primera 9 1 4 15

Presidencia y Justicia 5 1 4 10

economía y Hacienda 20 0 1 21

transportes e infraestructuras 1 0 0 1

educación y empleo 52 0 2 54

medio Ambiente y ordenación del territorio 34 1 0 35

sanidad 3 4 9 16

Asuntos sociales 11 1 1 13

Ayuntamientos 0 15 6 21

Colegios Profesionales 0 1 2 3

Universidades 0 3 0 3

Total 135 27 29 191

memoria2011

33

Consultoría5.

34

5. ConsULtoríA

Consultoría5.

memoria2011

35

5. ConsultoríA

La actividad de consultoría se puede identificar con todas aquellas acciones destinadas a concienciar, formar, asesorar y ayudar a los responsables de tra-tamientos y ficheros de datos personales para que sean conscientes de las obligaciones que les impo-ne la legislación estatal y autonómica en el ámbito de la privacidad y promover el cumplimiento de las mismas en aquellos tratamientos de datos que lle-ven a cabo.

estas actividades se despliegan alrededor de tres ejes fundamentales: formación, asesoría jurídica y consultoría en sentido estricto sobre temas y proyec-tos concretos. Las actividades de los consultores de la Agencia de Protección de Datos de la Comunidad de madrid encuadrados en la subdirección General de registro de Ficheros y Consultoría en los ámbitos de formación y la asesoría jurídica aparecen recogi-das, por mor de la claridad expositiva y temática, en otros epígrafes de esta memoria, no por ello hay que dejar de resaltar que forman parte integral del núcleo de las actividades de consultoría y que a las mismas les dedican mucho tiempo y esfuerzo los consultores de la Agencia.

Centrándonos ya en la labor que se ha identificado como “consultoría en sentido estricto”, la misma está encomendada en el estatuto de la Agencia de Pro-tección de Datos de la Comunidad de madrid a la subdirección General de registro de Ficheros y Con-sultoría y, con carácter general, se puede decir que esta unidad es la interlocutora de la APDCm ante los responsables de ficheros en todo lo relativo a la co-

rrecta implantación de la normativa de protección de datos personales y para el impulso de todos aque-llos planes horizontales y sectoriales encaminados a mejorar aspectos específicos de los tratamientos de datos personales por parte de las Administraciones públicas madrileñas.

esta interlocución se manifiesta en una serie de fun-ciones entre las que se pueden mencionar el apoyo en las tareas de notificación y declaración de fiche-ros de datos de carácter personal; la atención de las consultas planteadas por los responsables de fiche-ros en materia de protección de datos; el análisis de los proyectos de disposiciones generales que inci-dan en temas de protección de datos; las labores de formación y educación de los responsables de ficheros y la elaboración de materiales como libros, folletos, dípticos, etc. para apoyarlas.

Cada año, en la planificación anual de la Agencia correspondiente a la Unidad de Consultoría, se plas-man, por cada uno de los responsables de fichero, las actuaciones a desarrollar en el año en curso en los diferentes ámbitos de asesoría, entre las que destacan las siguientes:

•Creación, modificación y supresión de ficheros;

•regularización de los ficheros existentes;

•Formación de los empleados públicos;

•Cumplimiento del artículo 5 de la LoPD (derecho de información);

36

ración de ficheros, los derechos de los ciudadanos, los encargados de tratamiento y la formalización de los contenidos de los contratos en lo relativo al ar- tículo 12 de la LoPD.

otro aspecto general importante en el ejercicio 2011 se refiere a los trabajos derivados de la celebración de comicios electorales municipales y autonómicos en la Comunidad de madrid, lo que implica una se-rie de cambios en dos pilares básicos de la gestión de la APDCm: modificación de la estructura de la or-ganización y cambio en el interlocutor o persona de contacto con la Agencia de Protección de Datos de la Comunidad de madrid.

respecto a la modificación de la estructura de la or-ganización, por la experiencia obtenida de comicios anteriores, la APDCm es consciente de que, de forma comprensible, se produce la ralentización de determi-nados proyectos iniciados para la declaración, mo-dificación o supresión de ficheros o tratamientos, así como en otros relativos a formación y asesoramiento.

La APDCm tiene entre sus funciones velar por la ca-lidad de la información al ciudadano, es decir, que cualquier ciudadano conozca quién es el responsa-ble del fichero y dónde puede ejercer sus derechos correctamente. Para esto se inició una campaña en los municipios, cuya finalidad era la regularización de órganos responsables y asignación de los ficheros o tratamientos a los órganos que podían verse afec-tados por el cambio de estructura. La iniciativa ha servido para regularizar prácticamente la totalidad de los ficheros o tratamientos en ayuntamientos con más de cincuenta mil habitantes, siendo la inciden-cia menor en ayuntamientos más pequeños, debido a que los cambios de estructura han sido mínimos.

otro de los aspectos a destacar en el periodo pos-terior a los comicios, es el cambio de interlocutor o

•Cumplimiento del artículo 12 de la LoPD (encarga-do del tratamiento);

•Adopción de las medidas de seguridad y docu-mento de seguridad;

•Difusión de las instrucciones y recomendaciones aprobadas por la APDCm.

Asimismo, en la actividad del año 2011 son dignas de mencionarse las tres jornadas de formación que se han llevado a cabo: sanidad, servicios sociales y vi-deovigilancia. La celebración de esta última vino moti-vada por el interés que suscitó la celebrada en 2010, a la que muchas personas que hubieran querido asistir no pudieron hacerlo por cuestiones de aforo.

Aparte de estas acciones generales, la Unidad de Con-sultoría también ha llevado a cabo iniciativas sectoria-les que por su interés e impacto en la protección de datos de los ciudadanos se detallan a continuación.

5.1. AspectosgenerAlesdeproteccióndedAtosenAyuntAmientosdelAcomunidAddemAdrid

en relación con otro tipo de actividad más general en el ámbito de la Administración Local hay que poner de manifiesto la activa gestión de consultoría en lo relativo a las consultas e información solicitada por los responsables de ficheros, coordinadores o em-pleados de ayuntamientos a través de llamadas o del correo electrónico.

en este aspecto, se ha producido un notable incre-mento respecto a años anteriores superándose las setecientas llamadas en las que los principales te-mas planteados se referían a cesiones de datos, en sus diferentes facetas; los procedimientos de decla-

5. ConsULtoríA

memoria2011

37

coordinador. Para la canalización de la gestión en el tratamiento de datos personales en los ayuntamien-tos, la APDCm solicita a los mismos que designe a una persona como coordinador. esta persona será el cauce de comunicación por el que el Ayuntamiento coordina la gestión de los ficheros a declarar y de-más actuaciones relativas a la protección de datos.

Como anteriormente se ha expuesto, uno de los puntos de mayor preocupación de la APDCm es la calidad de los tratamientos y la información. Una vez conseguido el objetivo de que todos los ayuntamien-tos de la Comunidad de madrid tengan inscritos sus ficheros considerados elementales en la gestión mu-nicipal, hemos considerado hacer un mayor esfuerzo en la calidad de los ficheros o tratamientos, mediante el asesoramiento telefónico, vía e-mail o asistencia personal.

5.2. cámArAsdevideovigilAnciA,sitioswebyredeswiFienlAAdministrAciónlocAl

La utilización de los sistemas de videocámaras para la vigilancia, la supervisión y el control de espacios públicos y privados ha experimentado un crecimien-to exponencial en los últimos años. Además, al ser tratamientos que no encajan en el concepto más ha-bitual de “fichero de datos personales” se hizo nece-sario que por parte de la APDCm se procediera a una clarificación de las obligaciones de los responsables y de los derechos de los ciudadanos en este ámbi-to. ello se llevó a cabo a través de la aprobación y publicación por parte de la APDCm de una instruc-ción que clarificara la situación y precisara las obli-gaciones de las organizaciones que recurran a estos sistemas de vigilancia: la instrucción 1/2007, de 16 de mayo, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el

ámbito de los Órganos y Administraciones Públicas de la Comunidad de madrid.

en el ámbito de la Administración Local se ha profun-dizado, a lo largo de 2011, en la revisión de aquellos ficheros o tratamientos que podían afectar a la ima-gen de las personas, como los relativos a la video-vigilancia, tanto los que afectan a la seguridad de edificios públicos como los de control del tráfico.

Para la inscripción de los ficheros de videovigilancia de edificios públicos se requiere un informe que jus-tifique la idoneidad, necesidad y proporcionalidad de la medida. este informe debe ir acompañado de un plano con la ubicación de las cámaras y su enfoque. Con esta medida se pretende que la utilización de este medio sea exclusivamente para la seguridad de edificios, evitando un uso adicional para la captación de imágenes en espacios públicos.

otro de los sistemas de cámaras sometidos a este tipo de garantías son las instaladas para el control y vigilancia del tráfico. Al igual que en el caso anterior, dependiendo de la situación de la cámara y del mo-delo, también puede enfocar espacios públicos e in-cluso privados, como el interior de viviendas, lo que supondría una afectación insoportable de los dere-chos de las personas. en estos casos, la APDCm in-dica a los responsables de los ficheros la obligación de poner medios para impedir la captación de esas imágenes.

Además, en todos los casos se insta a las corpo-raciones locales a colocar en lugar visible para los ciudadanos el correspondiente y preceptivo cartel informativo de la existencia de cámaras de videovi-gilancia.

Por otra parte, se ha constatado que actualmente las administraciones locales están implantando sis-

38

una cultura de la protección de datos de carácter personal entre los empleados públicos.

en el ámbito de los servicios sociales, la formación del personal implicado en los mismos es más impor-tante, si cabe, ya que, por la propia naturaleza de su trabajo, tratan diariamente información delicada de las personas a las que atienden.

Así, en los servicios sociales y, específicamente, en las historias sociales, se contienen en muchas oca-siones informaciones y datos personales mucho más delicados que los que pueda contener una historia clínica, pues se recopila, trata, almacena y guarda información no sólo de salud sino de otras muchas circunstancias personales y familiares de las perso-nas atendidas por los servicios sociales que son, cuando menos, iguales si no más delicadas que las que pueda almacenar una historia clínica.

en este sentido, una historia social puede contener información sobre tendencia sexual, religión o creen-cias, etnia, enfermedades –mentales, alcoholismo, drogadicción, etc.- malos tratos, desintegración y desestructuración familiar, etc., información toda ella sumamente sensible y delicada.

Por ello, durante el período al que se refiere esta memo-ria se ha hecho hincapié por parte de la Agencia en lle-var el conocimiento de la materia a este ámbito, habien-do realizado acciones formativas específicas en servi-cios sociales en varias mancomunidades de servicios sociales de la Comunidad de madrid, en los servicios sociales de Ayuntamientos, en la propia Consejería de Asuntos sociales de la Comunidad de madrid e incluso en un centro formativo específico de servicios sociales perteneciente a esta última consejería.

Así, se llevaron a cabo dos acciones formativas en el Ayuntamiento de torrejón de la Calzada que, si bien

temas de comunicación con los ciudadanos y servi-cios de administración electrónica a través de los si-tios web de los ayuntamientos para facilitar la gestión y relación con los mismos.

en este intercambio entre el ayuntamiento y los ciu-dadanos se captan datos relativos a las personas (identificativos, correos electrónicos, direcciones iP y aquellos específicos del servicio o transacción de que se trate). Por ello, se ha trabajado y requerido a los ayuntamientos a que declaren los ficheros co-rrespondientes a estos tratamientos, realizándose a lo largo del año 2011 la notificación e inscripción de la práctica totalidad de los mismos y estando en es-tos momentos en trámite un número considerable de estos ficheros.

5.3. AccionesenelámbitodelosserviciossociAleslocAlesyregionAles

en la línea mantenida por la Agencia desde su crea-ción se ha dado una importancia capital a las ac-ciones formativas del personal de las diversas Admi-nistraciones en materia de protección de datos, ya que se considera un elemento imprescindible para fomentar el cumplimiento de la legislación pues, no en vano, en la mayoría de las infracciones e incum-plimientos, no hay un elemento de mala fe o intencio-nalidad sino que suelen ser fruto del desconocimien-to de la obligaciones que establece la normativa de protección de datos.

Con acciones formativas dirigidas a todo el perso-nal público que realiza sus funciones en el ámbito territorial de la Comunidad de madrid se consigue que las infracciones derivadas del desconocimiento desaparezcan o, cuando menos, se reduzcan signi-ficativamente, además de ir creando y estableciendo

5. ConsULtoríA

memoria2011

39

en el ámbito de la Consejería de Asuntos sociales de la Comunidad de madrid se llevaron a cabo dos acciones formativas para el personal de la subdirec-ción General de Control de Calidad, inspección, re-gistro y Autorizaciones (C.i.r.A.) a las que asistieron 35 profesionales.

Por último, señalar que se llevó a cabo una acción formativa entre técnicos, cuadros de mando y res-ponsables de centros de servicios sociales públicos en el Centro de Formación en servicios sociales “Beatriz Galindo”, dependiente de la Consejería de Asuntos sociales de la Comunidad de madrid, con la asistencia de 32 profesionales del sector.

es de destacar que en el colectivo descrito, al que se han orientado las acciones formativas con un contenido específico de su sector y problemática, se ha detectado no sólo una buena acogida respecto a las mismas sino que, con frecuencia, manifiestan su preocupación por la materia y la necesidad de in-crementar la formación y concienciación, tanto en el número de acciones como en la profundidad en el tratamiento de los distintos temas, pues entienden que es un elemento muy importante que afecta a su trabajo diario y sobre el que existe un gran descono-cimiento.

5.4. prácticAsdeAlumnosuniversitAriosencentrossAnitArios

Durante el año 2011 se han recibido en la Agencia múltiples borradores de Convenios de Colaboración entre Facultades de Ciencias de la salud de Univer-sidades, tanto públicas como privadas, y centros sanitarios asistenciales integrados en el servicio madrileño de salud, para la formación práctica de sus alumnos, al objeto de que se emitiera el corres-

no eran específicas para servicios sociales, asistie-ron profesionales y trabajadores de este área con-creta de actividad municipal, asistiendo un total de 60 empleados públicos.

más específicas y concretas, encaminadas direc-tamente a la problemática de protección de datos en servicios sociales y a sus profesionales, fueron las dos acciones formativas llevadas a cabo en la mancomunidad de servicios sociales Las Vegas, concretamente en la localidad de Cienpozuelos y a las que asistieron 25 personas, y las de la manco-munidad de servicios sociales sureste, en Griñón, con la asistencia de 50 profesionales todos ellos im-plicados en los diversos ámbitos en que operan los servicios sociales.

otra de la mancomunidades que solicitó formación específica fue la de servicios sociales tHAm, formada por los municipios de torrelodones, Hoyo de manza-nares, Alpedrete y moralzarzal. esta formación iba di-rigida al equipo directivo y de profesionales de la man-comunidad. en ella se expusieron y plantearon una gran cantidad de temas que se les presentan a diario a los profesionales en el tratamiento de la información, como son las cesiones de datos en el entorno familiar en situaciones de separación, información sobre los menores y todo aquello que conlleva un tratamiento de datos incluido en una historia social.

La mancomunidad de servicios sociales Pantuenas, formada por los municipios de Anchuelo, Corpa, Pe-zuela de las torres, santorcaz, torres de la Alameda y Valverde de Alcalá, también solicitó asesoramiento, aunque éste fue más específico: la regularización de los ficheros correspondientes a las historias sociales y gestión de la mancomunidad, cuestiones sobre el tratamiento de la información y cumplimiento de las medidas de seguridad que debían aplicar.

40

“El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Or-gánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acce-so a la historia clínica con estos fines obliga a preser-var los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos”.

Cuando se pretenda acceder a la información con-tenida en la historia clínica de un paciente, para una finalidad no asistencial, debemos remitirnos al anali-zado artículo 7 de la LOPD, por tratarse de datos es-pecialmente protegidos, no siendo de aplicación, por no tratarse de actividades asistenciales, ninguna de las excepciones a la necesidad de obtener el con-sentimiento expreso del interesado, salvo que previa-mente se elimine cualquier información que permita identificar al titular de la historia clínica o que exista una expresa previsión legal.

La formación en materia de ciencias de la salud debe tener un importante contenido de carácter práctico y este debe desarrollarse, preferentemente, en centros e instituciones sanitarias concertadas con las institu-ciones docentes.

no obstante, al objeto de realizar una interpretación coordinada de toda la normativa, deben conside-rarse diferentes situaciones posibles en cuanto a la posibilidad de acceso a los datos, por parte de los estudiantes, que figuran en las historias clínicas de los pacientes.

Con carácter general, para ser respetuosos con el derecho fundamental a la Protección de Datos que

pondiente informe respecto a los posibles accesos y tratamientos de datos personales de pacientes que pudieran realizar los alumnos durante sus prácticas.

Los primeros borradores de Convenios recibidos en esta Agencia sólo contenían una cláusula de remi-sión, genérica, a la normativa vigente en materia de Protección de Datos, por lo que se elaboró un ex-haustivo informe analizando toda la legislación apli-cable (tanto la que regula las acciones formativas en el ámbito de las ciencias de la salud como la relativa a la protección de datos) en el que se indicaban los principios básicos así como las cláusulas específi-cas que deberían incluirse en los citados Convenios.

Fruto de este informe, los proyectos de Convenios recibidos con posterioridad ya venían adaptados a las especificaciones incluidas en el mismo y, por lo tanto, cumpliendo escrupulosamente los términos de la vigente legislación de protección de datos y preservando exquisitamente los derechos de los ciu-dadanos cuyos datos iban a ser tratados en el marco de los mencionados convenios y, por ello, su trami-tación fue muy ágil, procediéndose a emitir el corres-pondiente informe favorable.

Las condiciones marcadas para el adecuado ejerci-cio de las prácticas por los alumnos universitarios, diferenciaban claramente los supuestos de forma-ción de grado y los de posgrado (en este último caso los alumnos ya son profesionales sanitarios e inter-vienen de forma directa en la asistencia al paciente).

Un extracto del informe emitido sería el siguiente:

El apartado 3 del artículo 16 de la Ley 41/2002 regula el acceso a la historia clínica con fines no asistencia-les, enumerando posibles diferentes usos, entre los que se cita, expresamente, la actividad docente:

5. ConsULtoríA

memoria2011

41

tiene el paciente, respecto a la información conteni-da en su historia clínica, en el ámbito de desarrollo de actividades de docencia será necesario obtener su consentimiento previo para el acceso a sus datos, o proceder a su anonimización.

en el supuesto de la formación de grado, debemos tener en cuenta que el estudiante aún no es un pro-fesional sanitario, por lo que, salvo que participe en la actividad asistencial directa al paciente y haya fir-mado un documento específico de compromiso de confidencialidad sobre los datos a los que acceda, para el acceso a los datos de la historia clínica de los pacientes debe aplicarse el criterio general anterior-mente expuesto.

Únicamente en el supuesto de la formación especia-lizada, al concurrir en los estudiantes la circunstancia de ser profesionales sanitarios (al haber concluido la formación de grado), que las prácticas que realizan corresponden al desempeño de funciones asisten-ciales y que además tienen una relación laboral de carácter especial con el centro sanitario, es legítimo el acceso a los datos contenidos en las historias clí-nicas de los pacientes en cuya asistencia participan, sin necesidad de obtener el consentimiento expreso del mismo y sin necesidad de proceder a su anoni-mización.

5.5. contenidodelderechodeAcceso

también durante el año 2011 se han recibido reitera-das consultas en la Agencia sobre cuál debe ser el contenido de la información que debe facilitarse al interesado cuando éste solicita el acceso a su histo-ria clínica, especialmente cuando el tratamiento de datos se realiza mediante una historia clínica electró-nica y el interesado demanda, expresamente, se le

facilite el registro de accesos que se han producido a sus datos.

Dada la reiteración de la consulta planteada, la Agencia emitió un informe en el que se detallaba cuál debe ser la información que se les facilite, mani-festándose expresamente sobre si es conforme o no con la normativa de protección de datos el facilitar el registro de accesos producidos a una historia clínica. A continuación se incluye un extracto del contenido de los informes:

El artículo 27 del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, reitera el contenido del derecho de acceso que se reconoce al interesado: “derecho a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones reali-zadas o previstas de los mismos”.

Por su parte, el artículo 11 de la LOPD, al regular las cesiones de datos, establece que los datos de carác-ter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relaciona-dos con las funciones legítimas del cedente y del ce-sionario con el previo consentimiento del interesado.

Entrando en el fondo de la cuestión planteada, debe-mos atender a la consideración de si los accesos rea-lizados por los usuarios de un sistema de información constituyen un supuesto de cesión o comunicación de datos y, por tanto, esos accesos forman parte del contenido de la información que se debe facilitar al interesado cuando ejercita su derecho de acceso.

Una de las características que permiten identificar en qué supuestos nos encontramos ante una cesión o

42

Considerando este aspecto, la subdirección de Con-sultoría de la APDCm, conjuntamente con el servicio de registro de la secretaría General técnica de la Consejería de educación y empleo, concluyó que el tratamiento de datos de este carácter constituía un fichero diferente al denominado expediente de alumnos, e inició un procedimiento de regularización y adaptación de estos tratamientos a la normativa en protección de datos.

A través de las diferentes áreas territoriales y forman-do un equipo de trabajo compuesto por un represen-tante del servicio de Unidades de Programas educa-tivos de cada Área territorial (sUPe), un representan-te de la secretaría General técnica de la Consejería de educación y empleo y el Consultor de la APDCm, se planificó y estudió el contenido del tratamiento a declarar, el procedimiento para regularizar a todos los ficheros de los centros en una misma disposición y las normas a seguir para elaborar el documento de seguridad que deben tener los responsables.

Para llevar a cabo esta campaña, que abarcaba a todos los institutos de educación secundaria (ies) de la Comunidad de madrid, fue fundamental la cola-boración e implicación de los integrantes del equipo de trabajo, así como de los (sUPe), que facilitaron y colaboraron con todos los medios a su alcance. Consultoría de la APDCm, se desplazó a cada Área territorial para informar a los orientadores sobre el objetivo del proyecto, la finalidad y contenido del mismo, cómo debían proceder para elaborar el do-cumento de seguridad del que se facilitaba un mo-delo y facilitarles todo el apoyo necesario en esta cuestión.

es evidente que fueron múltiples las consultas recibi-das referentes a la elaboración del documento de se-guridad y otros conceptos relativos al tratamiento de la información, destacando entre ellas las relaciona-

comunicación de datos es que el destinatario de la información sea un tercero y además, se pretendan utilizar los datos para una finalidad legítima, pero dis-tinta de aquella para los que lo recogió el responsable del fichero.

Los usuarios de los sistemas de información de que pueda disponer el responsable del fichero para mate-rializar el tratamiento de los datos no constituyen, en ningún caso, un tercero respecto al mismo y tampoco constituye ese acceso un uso distinto del previsto por el responsable cuando se creó el fichero, por lo que no nos encontramos ante un supuesto de cesión o comunicación de datos.

Visto todo lo anterior, debe interpretarse que los regis-tros de accesos que puedan existir en los sistemas de tratamientos de datos de carácter personal, al no constituir supuestos de cesiones o comunicaciones de datos, no se encuentran incluidos en el contenido que la normativa establece que debe facilitarse al in-teresado al ejercitar su derecho de acceso.

5.6. expedientespsicopedAgógicosyeducAtivosdelosorientAdoresdeloscentroseducAtivos

Los orientadores de los centros educativos de en-señanza secundaria tratan una serie de datos de carácter personal que se encuadran entre los consi-derados sensibles, con una tipología que en muchos casos excede del propio ámbito educativo, ya que se recaban informaciones incardinadas en la esfera personal y familiar del alumno. esta información le llega al orientador como consecuencia de la confian-za que el alumno deposita en el mismo, comentán-dole sus problemas y solicitando al mismo tiempo consejos sobre ciertas situaciones y actuaciones.

5. ConsULtoríA

memoria2011

43

se creó una cláusula tipo para que fuese incluida en las páginas de los centros, así como un modelo de política de privacidad donde se informaba de las ga-rantías de confidencialidad de la información.

el proyecto finalizó con la inscripción de los ficheros tras la publicación en el BoCm de la orden 5755 de 18 de noviembre de 2011.

Finalmente, hay que poner de manifiesto que el co-lectivo docente es uno de los más concienciados con respecto al tratamiento de datos personales de sus alumnos, hecho que se puede constatar por el incremento de consultas, telefónicas o por medio del correo electrónico, habiéndose superado en 2011 las 600 llamadas y los 300 mensajes de correo electrónico planteando consultas sobre cesiones, publicaciones de datos e imágenes de alumnos en internet, procedimiento de creación de ficheros (es-pecialmente los relativos a videovigilancia) y sobre la elaboración del documento de seguridad.

5.8. e-AdministrAciónenlAuniversidAdyFicherosdeinvestigAción

en cumplimiento de la ley 11/2007, de acceso elec-trónico de los ciudadanos a los servicios Públicos, las universidades públicas han puesto en marcha sedes, registros y tablones electrónicos, adaptando sus servicios y procedimientos para facilitar la rela-ción de los miembros de la comunidad universitaria y de la sociedad, permitiendo así una mayor eficiencia en la gestión de los procedimientos, evitando des-plazamientos innecesarios y la reducción del manejo de los documentos en papel.

esta adaptación ha supuesto el desarrollo de nuevas aplicaciones y la implantación de plataformas tecnoló-

das con las cesiones y medidas que debían adoptar en el tratamiento, especialmente en soporte papel.

Finalizada la fase de concienciación y elaboración de los trámites requeridos para la inscripción de fiche-ros, la secretaría General técnica de la Consejería de educación y empleo, publicó la orden 3021/2011 de 29 de julio, en la que se creaban 445 ficheros de los que eran responsables los diferentes equipos de orientación.

5.7. páginAswebdelAsinstitutosdeenseñAnzAsecundAriA

Debido al aumento de consultas realizadas por pa-dres y profesores de los centros sobre los contenidos de las páginas web y el procedimiento para ejercer el derecho de cancelación de imágenes o de los cita-dos contenidos, la APDCm, con la colaboración del servicio de registro de la Consejería de educación y empleo, inició un plan para promover la declaración de los ficheros de las páginas web de los centros.

el procedimiento seguido fue similar al utilizado para los ficheros de los orientadores, si bien no se formó un equipo de trabajo específico, puesto que se tenía muy definida la información que los ficheros debían contener. Aunque existían casos de centros que no recababan ningún tipo de dato personal limitándose a proporcionar información de tipo general relaciona-da con las actividades y eventos desarrollados en el mismo, la mayor parte de los centros utiliza este me-dio para relacionarse con los alumnos o sus padres con finalidades educativas o de gestión.

Un de los aspectos en los que se hizo más hincapié fue la publicidad y visibilidad de la información que la ley establece que se ha de proporcionar a todas aquellas personas cuyos datos se tratan y, para ello,

44

cas madrileñas un plan de acción para la detección de los posibles tratamientos de datos de carácter personal realizados en este ámbito.

este plan pretendía verificar los posibles tratamien-tos de datos de carácter personal en los proyectos de investigación en curso, así como establecer los mecanismos necesarios para detectar los corres-pondientes a los nuevos proyectos. Las principales acciones planificadas comprendían:

•realización de una encuesta al personal investiga-dor de los proyectos en curso solicitando a través del correo electrónico la cumplimentación de un formulario para la detección de la utilización de da-tos personales, modo de procesamiento de estos datos y ubicación de estos tratamientos, con el fin de incluir su proyecto en un fichero que deberá ser declarado ante la Agencia de Protección de Datos de la Comunidad de madrid.

•Declaración de los ficheros de investigación en función del número y tipo de proyectos que traten datos de carácter personal, estructurándolos por área, departamento o instituto de investigación, a fin de facilitar su control.

•realización de una Jornada de formación especí-fica para el personal investigador. esta jornada de difusión de la protección de datos, deberá enfo-carse al colectivo investigador y al personal de ad-ministración y servicios que gestiona los proyectos de investigación, a fin de mejorar el conocimiento de la normativa de protección datos.

en el año 2011 se ha realizado la encuesta y en la ac-tualidad se está llevando a cabo la explotación de los resultados de la misma, para su análisis y posterior declaración de los ficheros correspondientes.

A continuación se muestra el cuestionario utilizado en la encuesta:

gicas para dar soporte a los servicios y procedimien-tos administrativos elegidos para la tramitación on line que, en la mayoría de los casos, se ha realizado por empresas especializadas ajenas a las universidades a través de contratos de prestaciones de servicios.

Para garantizar el cumplimiento de la normativa de pro-tección de datos, durante el año 2011 la Agencia ha instado a las universidades públicas de la Comunidad de madrid la remisión de estos contratos de servicios de desarrollo de administración electrónica para su re-visión e informe analizando los siguientes aspectos:

•La inclusión de la leyenda informativa de los dere-chos del ciudadano sobre sus datos personales que establece el artículo 5 de la LoPD en todos los formularios electrónicos que recogen datos de carácter personal;

•La declaración de los ficheros de datos de carácter personal asociados a los servicios y procedimien-tos electrónicos a desarrollar en estos contratos;

•La adopción de las medidas de seguridad y docu-mento de seguridad de acuerdo con el nivel de se-guridad requerido por el reglamento de Desarrollo de la LoPD;

•La inclusión de las cláusulas que regulan el cum-plimiento del artículo 12 de la LoPD (encargado del tratamiento).

Por otro lado, la investigación es una función esen-cial de las universidades, que se lleva a cabo en los grupos de investigación, departamentos e institutos universitarios de investigación.

Con objeto de realizar una valoración de los proyec-tos de investigación que recojan datos de carácter personal para adecuarlos a la normativa de protec-ción de datos se acordó con las Universidades públi-

5. ConsULtoríA

memoria2011

45

42

servicios que gestiona los proyectos de investigación, a fin de mejorar el conocimiento de la normativa de protección datos.

En el año 2011 se ha realizado la encuesta y en la actualidad se está llevando a cabo la explotación de los resultados de la misma, para su análisis y posterior declaración de los ficheros correspondientes. A continuación se muestra el cuestionario utilizado en la encuesta:

FORMULARIO ENCUESTA PROYECTOS DE INVESTIGACIÓN

0. Datos del Proyecto DATOS DEL PROYECTO Titulo Departamento Responsable/Director

1.- Tipo de datos personales con los trabaja en el proyecto Ninguno

DATOS DE CARÁCTER IDENTIFICATIVO DNI/NIF Nombre y Apellidos Dirección Teléfono Firma/Huella/Voz/Imagen

DATOS ESPECIALMENTE PROTEGIDOS Ideología Religión Creencias Afiliación Sindical

OTROS DATOS ESPECIALMENTE PROTEGIDOS Origen Racial Salud Vida Sexual

OTROS TIPOS DE DATOS Características Personales circunstancias sociales Académicos y

profesionales Datos de detalle del empleo Económico Financieros Otros Datos No Contemplados:

______________________________________________________________ 2.- ¿Se ceden los datos personales a otra entidad (Universidad, Empresa …)?

No Sí Cual: ______________________________________________________________

3.- Lugar de almacenamiento de los datos personales Servidor de la Universidad Ordenador personal de la Universidad Otro: _______________________________________________________

4.- Formato en el que se almacenan los datos personales Excel Access Base de datos gestionada por el Servicio de

Informática

43

Papel Otro: _______________________________________________________

5.9.- Adecuación de nuevos tratamientos y guía de seguridad del Ayuntamiento de Madrid. La Dirección General de Calidad y Atención al Ciudadano del Ayuntamiento a través de su Servicio de Protección de Datos tiene entre sus competencias la elaboración, coordinación y difusión del plan de protección de datos del Ayuntamiento, la tramitación de las propuestas de creación, modificación y supresión de ficheros de datos personales, el establecimiento de criterios para el cumplimiento de la normativa en materia de protección de datos y la realización de las auditorías de las medidas de seguridad de sus ficheros y tratamientos. Entre las actividades realizadas por dicho Servicio a lo largo de 2011 se puede destacar que, mediante la revisión de los tratamientos y ficheros utilizados en la gestión administrativa de sus diferentes Áreas de Gobierno, se ha continuado con la labor de adecuación y actualización de la declaración de sus ficheros, elaborando y publicando en el ejercicio catorce disposiciones de creación modificación y supresión de ficheros, relativos a las Áreas de Gobierno de la Vicealcaldia, las Artes, Urbanismo y Vivienda, Seguridad y Movilidad, Organismo Autónomo Madrid Salud, Distritos, Medio Ambiente, Familia y Asuntos Sociales, Hacienda y Administración Pública. Entre estas declaraciones de ficheros realizadas en el año se encuentran las relativas a los tratamientos de la red de Centros orientados a la violencia de género, la red de Centros de atención a las víctimas de explotación sexual, Centros de acogida a mujeres reclusas y la red de Centros de espacio para la igualdad de la mujer, adscritos a la Dirección de Igualdad de Oportunidades del Área de Gobierno Familia y Asuntos Sociales, llevadas a cabo mediante la elaboración y publicación de un Acuerdo de creación de diecisiete ficheros de la Junta de Gobierno de la Ciudad de Madrid. Se han declarado también los ficheros de la Dirección General de Inmigración y Cooperación, del Área de Gobierno de Familia y Asuntos Sociales. Asimismo, a petición del Ayuntamiento, y en aplicación de la disposición Adicional Primera del Decreto 99/2002, se realizaron cambios de oficio en los ficheros inscritos en el Registro de Ficheros de Datos Personales afectados por los cambios de estructura ocasionados por la renovación del Gobierno del Ayuntamiento, a raíz de las elecciones municipales que tuvieron lugar en el ejercicio. En relación con la seguridad y con objeto de facilitar el cumplimiento de las medidas de seguridad de los ficheros manuales, el Servicio de Protección de datos ha elaborado una Guía de protección de datos para este tipo de ficheros

46

5.9. AdecuAcióndenuevostrAtAmientosyguíAdeseguridAddelAyuntAmientodemAdrid

La Dirección General de Calidad y Atención al Ciu-dadano del Ayuntamiento a través de su servicio de Protección de Datos tiene entre sus competencias la elaboración, coordinación y difusión del plan de pro-tección de datos del Ayuntamiento, la tramitación de las propuestas de creación, modificación y supresión de ficheros de datos personales, el establecimiento de criterios para el cumplimiento de la normativa en materia de protección de datos y la realización de las auditorías de las medidas de seguridad de sus ficheros y tratamientos.

entre las actividades realizadas por dicho servicio a lo largo de 2011 se puede destacar que, mediante la revisión de los tratamientos y ficheros utilizados en la gestión administrativa de sus diferentes Áreas de Gobierno, se ha continuado con la labor de adecua-ción y actualización de la declaración de sus fiche-ros, elaborando y publicando en el ejercicio catorce disposiciones de creación modificación y supresión de ficheros, relativos a las Áreas de Gobierno de la Vicealcaldia, las Artes, Urbanismo y Vivienda, se-guridad y movilidad, organismo Autónomo madrid salud, Distritos, medio Ambiente, Familia y Asuntos sociales, Hacienda y Administración Pública.

entre estas declaraciones de ficheros realizadas en el año se encuentran las relativas a los tratamientos de la red de Centros orientados a la violencia de género, la red de Centros de atención a las víctimas de explo-tación sexual, Centros de acogida a mujeres reclusas y la red de Centros de espacio para la igualdad de la mujer, adscritos a la Dirección de igualdad de opor-tunidades del Área de Gobierno Familia y Asuntos sociales, llevadas a cabo mediante la elaboración y

5. ConsULtoríA

publicación de un Acuerdo de creación de diecisie-te ficheros de la Junta de Gobierno de la Ciudad de madrid. se han declarado también los ficheros de la Dirección General de inmigración y Cooperación, del Área de Gobierno de Familia y Asuntos sociales.

Asimismo, a petición del Ayuntamiento, y en aplica-ción de la disposición Adicional Primera del Decreto 99/2002, se realizaron cambios de oficio en los fi-cheros inscritos en el registro de Ficheros de Datos Personales afectados por los cambios de estructu-ra ocasionados por la renovación del Gobierno del Ayuntamiento, a raíz de las elecciones municipales que tuvieron lugar en el ejercicio.

en relación con la seguridad y con objeto de facilitar el cumplimiento de las medidas de seguridad de los ficheros manuales, el servicio de Protección de datos ha elaborado una Guía de protección de datos para este tipo de ficheros orientada a las unidades admi-nistrativas municipales responsables de los ficheros.

Asimismo en el año 2011, se ha elaborado un docu-mento de seguridad para ficheros manuales, estruc-turado en anexos para ser personalizados en cada caso.

en ambos documentos se referencian las dos ins-trucciones aprobadas por el Director General de Ca-lidad y Atención al Ciudadano y que afectan interna-mente a todo el Ayuntamiento de madrid. La primera, elaborada en el año 2009, recoge las principales funciones y obligaciones del personal con acceso a datos personales y ha sido enviada a todos los empleados municipales en el año 2009 junto con un recordatorio en el año 2011. La segunda, redactada en el año 2010 recoge la obligación de destrucción de los soportes que se desechen y su contenido está orientado básicamente a la concienciación de los responsables.

memoria2011

47

Día europeo de Protección de Datos

6.

48

6. DíA eUroPeo De ProteCCiÓn De DAtos

Día europeo de Protección de Datos

6.

memoria2011

49

6. DíA euroPeo De ProteCCión De DAtos

Como novedad respecto a años anteriores, la APDCm lanzó el juego on-line “olvidados”. el juego permite, a través de diferentes acciones, conocer cómo pro-teger de forma eficaz los datos personales y es una perfecta herramienta para que los jóvenes puedan concienciarse en el buen uso de las tecnologías de la información.

en virtud de un acuerdo entre la APDCm y tuenti, el juego estuvo disponible a través de esta red social, con lo que se le pudo dar una mayor difusión, parti-cipando en él más de 3.000 jóvenes..

Los ganadores del juego “olvidados” recibieron de manos del Director de la Agencia los premios, consis-tentes en tres packs Xbox con sensor Kinect y cuatro juegos, así como entradas para el Parque de Atrac-ciones de madrid (ver apartado 8.2 de esta memoria).

Por otra parte, y al igual que en años anteriores, tam-bién se impartió una sesión informativa en los 404 ins-titutos de educación secundaria de la Comunidad de madrid, recibiendo la misma un total de 80.000 alum-nos de edades comprendidas entre 15 y 16 años.

en total, desde el año 2009 en el que la Agencia em-pezó con esta iniciativa de formación de los menores en internet y las tecnologías, 240.000 alumnos de la Comunidad de madrid han asistido a la misma.

Para dar esta sesión informativa, la APDCm contó con la inestimable colaboración de las cinco Áreas territoriales de la Consejería de educación y em-pleo, así como el apoyo como ponentes de direc-tores, jefes de estudios y orientadores de los institu-tos de educación secundaria. también participaron expertos en protección de datos y el personal de la APDCm.

45

Los ganadores del juego “Olvidados” recibieron de manos del Director de la Agencia los premios, consistentes en tres packs Xbox con sensor Kinect y cuatro juegos, así como entradas para el Parque de Atracciones de Madrid (ver apartado 8.2 de esta Memoria).

46

Por otra parte, y al igual que en años anteriores, también se impartió una sesión informativa en los 404 Institutos de Educación Secundaria de la Comunidad de Madrid, recibiendo la misma un total de 80.000 alumnos de edades comprendidas entre 15 y 16 años. En total, desde el año 2009 en el que la Agencia empezó con esta iniciativa de formación de los menores en internet y las tecnologías, 240.000 alumnos de la Comunidad de Madrid han asistido a la misma. Para dar esta sesión informativa, la APDCM contó con la inestimable colaboración de las cinco Áreas Territoriales de la Consejería de Educación y Empleo, así como el apoyo como ponentes de directores, jefes de estudios y orientadores de los Institutos de Educación Secundaria. También participaron expertos en protección de datos y el personal de la APDCM.

50

6. DíA eUroPeo De ProteCCiÓn De DAtos

Como en años anteriores, el objetivo de realizar la sesión informativa el 28 de enero de 2011 (Día euro-peo de la Protección de Datos Personales) en los 404 institutos de educación secundaria era suscitar un debate acerca de los tratamientos de datos persona-les que los jóvenes realizan cotidianamente a través del uso de redes sociales, mensajerías instantáneas, chats, telefonía móvil, etc., y de sus consecuencias presentes y futuras, teniendo en cuenta que ninguna información desaparece.

Para ello la sesión estuvo estructurada de la siguien-te forma:

•Proyección de 6 vídeos ilustrativos a través de los cuales se trataba los problemas de privacidad en las redes sociales, el cyber-bulling, el pensar an-tes de publicar (“think before you post”), lo fácil

46

Por otra parte, y al igual que en años anteriores, también se impartió una sesión informativa en los 404 Institutos de Educación Secundaria de la Comunidad de Madrid, recibiendo la misma un total de 80.000 alumnos de edades comprendidas entre 15 y 16 años. En total, desde el año 2009 en el que la Agencia empezó con esta iniciativa de formación de los menores en internet y las tecnologías, 240.000 alumnos de la Comunidad de Madrid han asistido a la misma. Para dar esta sesión informativa, la APDCM contó con la inestimable colaboración de las cinco Áreas Territoriales de la Consejería de Educación y Empleo, así como el apoyo como ponentes de directores, jefes de estudios y orientadores de los Institutos de Educación Secundaria. También participaron expertos en protección de datos y el personal de la APDCM.

47

Como en años anteriores, el objetivo de realizar la sesión informativa el 28 de enero de 2011 (Día Europeo de la Protección de Datos Personales) en los 404 Institutos de Educación Secundaria era suscitar un debate acerca de los tratamientos de datos personales que los jóvenes realizan cotidianamente a través del uso de redes sociales, mensajerías instantáneas, chats, telefonía móvil, etc., y de sus consecuencias presentes y futuras, teniendo en cuenta que ninguna información desaparece.

47

Como en años anteriores, el objetivo de realizar la sesión informativa el 28 de enero de 2011 (Día Europeo de la Protección de Datos Personales) en los 404 Institutos de Educación Secundaria era suscitar un debate acerca de los tratamientos de datos personales que los jóvenes realizan cotidianamente a través del uso de redes sociales, mensajerías instantáneas, chats, telefonía móvil, etc., y de sus consecuencias presentes y futuras, teniendo en cuenta que ninguna información desaparece.

que es publicar en internet y lo difícil que es borrar opiniones o fotos de las páginas web (“efecto Ho-tel California, es muy fácil entrar, muy difícil salir”), la masiva publicación de fotografías, o que nunca sabes con quien estás “chateando”.

•exposición de una presentación en powerpoint con ejemplos ilustrativos de seguridad, spam, el uso de la mensajería (messenger) o manipulación de fotos.

Además de las actividades descritas, la APDCm par-ticipó en Aula 2011, en la jornada “encuentro Fami-lia y escuela: La cooperación entre familia y escuela ante los riesgos de las redes sociales”.

en esta jornada, celebrada el 5 de marzo de 2011, se debatió sobre el papel de la familia y los educadores en relación con los jóvenes y el uso de las redes so-ciales.

en este sentido, la APDCm expuso sus principales líneas de actuación, que se han realizado desde el 2009, concretamente el 28 de enero con ocasión del Día europeo de Protección de Datos, y que ya he-mos comentado.

Asimismo, la APDCm también recalcó que internet es bueno y que proporciona grandes beneficios en muchos ámbitos y, especialmente, en el de la educa-ción y la formación y que para evitar sus riesgos es necesaria la colaboración de todos, es decir, de pa-dres, profesores y alumnos, y que la labor principal debe ser concienciar sobre el buen uso de las redes sociales, y, en ningún caso, prohibir su utilización.

en la jornada también participó el Defensor del me-nor de la Comunidad de madrid, la Asociación Proté-geles y la Universidad de navarra, que ha realizado un estudio reciente sobre esta cuestión.

memoria2011

51

Formación, difusión y gestión del conocimiento

7.

52

7. FormACiÓn, DiFUsiÓn Y GestiÓn DeL ConoCimiento

Formación, difusión y gestión del conocimiento

7.

memoria2011

53

7. FormACión, DiFusión y gestión Del ConoCimiento

7.1. JornAdAsyFormAción

Desde la creación de la APDCm, uno de sus princi-pales objetivos ha sido facilitar el cumplimiento de la normativa de Protección de Datos a los responsables de la administración de la Comunidad de madrid, a través del asesoramiento y formación del personal de los centros y servicios públicos.

Para alcanzar este objetivo han sido varias las vías utilizadas por la Agencia: la designación de con-sultores responsables para el ámbito de formación y de forma específica y diferenciada para cada uno de los responsables de ficheros que resuelvan las dudas que puedan plantearse a los gestores pú-blicos; la elaboración de un exhaustivo programa formativo en diversos niveles; la edición de publi-caciones específicas para el ámbito de la educa-ción en todos sus niveles, que se han distribuido de forma gratuita a todos los responsables y en cursos de formación; la puesta en marcha de un programa de formación virtual; y, por último, la celebración de Jornadas de difusión de determi-nados contenidos específicos de la normativa de Protección de Datos, en la que se ha dado partici-pación a diferentes responsables de instituciones dependientes de la Administración de la Comuni-dad de madrid, Ayuntamientos, Colegios Profesio-nales y Universidades.

en este sentido, durante el año 2011 se celebraron tres jornadas: dos de ellas enfocadas a sectores donde existe un mayor volumen de tratamiento de

datos, en muchas ocasiones, de carácter sensible, como son la sanidad y los servicios sociales; y la otra, para dar respuesta a una de las materias que más controversia ha suscitado en los últimos años, como es la videovigilancia.

en resumen, tuvieron lugar la Vii Jornada de Datos sa-nitarios, la Vii Jornada de Protección de Datos en los servicios sociales, y la ii Jornada de Videovigilancia.

49

Para alcanzar este objetivo han sido varias las vías utilizadas por la Agencia: la designación de consultores responsables para el ámbito de formación y de forma específica y diferenciada para cada uno de los responsables de ficheros que resuelvan las dudas que puedan plantearse a los gestores públicos; la elaboración de un exhaustivo programa formativo en diversos niveles; la edición de publicaciones específicas para el ámbito de la educación en todos sus niveles, que se han distribuido de forma gratuita a todos los responsables y en cursos de formación; la puesta en marcha de un programa de formación virtual; y, por último, la celebración de Jornadas de difusión de determinados contenidos específicos de la Normativa de Protección de Datos, en la que se ha dado participación a diferentes responsables de instituciones dependientes de la Administración de la Comunidad de Madrid, Ayuntamientos, Colegios Profesionales y Universidades. En este sentido, durante el año 2011 se celebraron tres jornadas: dos de ellas enfocadas a sectores donde existe un mayor volumen de tratamiento de datos, en muchas ocasiones, de carácter sensible, como son la Sanidad y los Servicios Sociales; y la otra, para dar respuesta a una de las materias que más controversia ha suscitado en los últimos años, como es la videovigilancia. En resumen, tuvieron lugar la VII Jornada de Datos Sanitarios, la VII Jornada de Protección de Datos en los Servicios Sociales, y la II Jornada de Videovigilancia.

Tuvo como objetivo principal presentar los elementos fundamentales de la protección de datos en los tratamientos de datos de salud partiendo de su consideración como datos especialmente protegidos. El acto contó con la presencia de la Viceconsejera de Sanidad, Dª Belén Prado Sanjurjo, y del Director Gerente del Hospital Clínico San Carlos, D. José Soto Bonel. El Director de la Agencia de Protección de Datos de la Comunidad de Madrid, D. Santiago Abascal Conde, manifestó que el tratamiento de datos de salud es uno de los campos que más impacto tienen para la vida y el bienestar de las personas y, por supuesto, para su privacidad. “Por este motivo, hemos de ser capaces, entre todos, de conseguir no ya un equilibrio, que siempre presupone inestabilidad, sino una auténtica integración entre estos dos objetivos que se suelen plantear como antagónicos y que yo estoy convencido de que son complementarios”.

tuvo como objetivo principal presentar los elementos fundamentales de la protección de datos en los trata-mientos de datos de salud partiendo de su conside-ración como datos especialmente protegidos.

el acto contó con la presencia de la Viceconsejera de sanidad, Dª Belén Prado sanjurjo, y del Director Gerente del Hospital Clínico san Carlos, D. José soto Bonel.

el Director de la Agencia de Protección de Datos de la Comunidad de madrid, D. santiago Abascal Conde, manifestó que el tratamiento de datos de salud es uno de los campos que más impacto tie-nen para la vida y el bienestar de las personas y, por supuesto, para su privacidad. “Por este motivo, he-mos de ser capaces, entre todos, de conseguir no ya un equilibrio, que siempre presupone inestabili-

54


dad, sino una auténtica integración entre estos dos objetivos que se suelen plantear como antagónicos y que yo estoy convencido de que son complemen-tarios”.

Posteriormente, los representantes de la APDCm realizaron diversas ponencias en las cuales se ana-lizó la aplicación de la LoPD al ámbito sanitario así como las medidas de seguridad de los ficheros no automatizados, los trabajos que se están realizando en la actualidad en ese sector, entre los cuales des-taca la implantación de la instrucción 2/2009 sobre el tratamiento de datos personales en la emisión de justificantes médicos y la adecuación de los trata-mientos a la llamada “Área Única”.

en la sesión dedicada a “Consultas más frecuen-tes realizadas a la APDCm” se expusieron el re-sultado de los informes evacuados por la APDCm en los últimos años que versan sobre los datos de salud, como la cesión de datos a las mutuas y compañías de seguros, o el uso de videovigilancia en los hospitales.

La Jornada finalizó con una mesa redonda en la que diversos responsables de ficheros dieron a conocer los trabajos realizados en este ámbito y con un colo-

quio con los representantes de la APDCm en el cual los asistentes a este evento realizaron numerosas preguntas.

Así se presentaron el “Código de Buenas Prácticas en Protección de Datos de Carácter Personal” del Hospital Guadarrama, el proyecto “objetivo 2010 Comisión Historia Clínica: confidencialidad Historia Clínica electrónica”, del Hospital infanta Cristina; “Cuadro de mando de gestión de derechos ArCo y LoPD”,de la Dirección General de sistemas de in-formación sanitaria de la Comunidad de madrid; el proyecto “eliminación de archivos incontrolados con datos de nivel alto”, del Hospital Carlos iii; el pro-yecto “La implantación de unas normas de manejo de los sistemas de información”, del Hospital Univer-sitario Fundación de Alcorcón y “Gestión eficiente y segura de acceso a datos clínicos para profesiona-les del Área y otros Centros sanitarios”, del Hospital Doce de octubre.

51

unas normas de manejo de los sistemas de información”, del Hospital Universitario Fundación de Alcorcón y “Gestión eficiente y segura de acceso a datos clínicos para profesionales del Área y otros Centros Sanitarios”, del Hospital Doce de Octubre.

El acto tuvo como principal objetivo identificar las preocupaciones y las dificultades más habituales que se presentan en los centros de servicios sociales y plantear soluciones a los problemas del trabajo diario, poniendo de manifiesto la posibilidad de conciliar una gestión eficaz con un escrupuloso respeto a los derechos de los ciudadanos. Como cuestión más importante, resaltar que en esta jornada se instó a la creación de un marco normativo para el ámbito de los servicios sociales similar al existente en el sector sanitario. Así, el Director de la APDCM, D. Santiago Abascal, manifestó en la inauguración de la jornada la necesidad de que se apruebe una ley que regule la historia social, a imagen y semejanza de la regulación actual de la historia clínica.

51

unas normas de manejo de los sistemas de información”, del Hospital Universitario Fundación de Alcorcón y “Gestión eficiente y segura de acceso a datos clínicos para profesionales del Área y otros Centros Sanitarios”, del Hospital Doce de Octubre.

El acto tuvo como principal objetivo identificar las preocupaciones y las dificultades más habituales que se presentan en los centros de servicios sociales y plantear soluciones a los problemas del trabajo diario, poniendo de manifiesto la posibilidad de conciliar una gestión eficaz con un escrupuloso respeto a los derechos de los ciudadanos. Como cuestión más importante, resaltar que en esta jornada se instó a la creación de un marco normativo para el ámbito de los servicios sociales similar al existente en el sector sanitario. Así, el Director de la APDCM, D. Santiago Abascal, manifestó en la inauguración de la jornada la necesidad de que se apruebe una ley que regule la historia social, a imagen y semejanza de la regulación actual de la historia clínica.

el acto tuvo como principal objetivo identificar las preocupaciones y las dificultades más habituales que se presentan en los centros de servicios socia-les y plantear soluciones a los problemas del trabajo diario, poniendo de manifiesto la posibilidad de con-ciliar una gestión eficaz con un escrupuloso respeto a los derechos de los ciudadanos.

memoria2011

55

Como cuestión más importante, resaltar que en esta jornada se instó a la creación de un marco nor-mativo para el ámbito de los servicios sociales simi-lar al existente en el sector sanitario. Así, el Director de la APDCm, D. santiago Abascal, manifestó en la inauguración de la jornada la necesidad de que se apruebe una ley que regule la historia social, a imagen y semejanza de la regulación actual de la historia clínica.

Asimismo, Carmen Pérez Anchuela, Directora Ge-neral de servicios sociales, Consejería de Familia y Asuntos sociales de la Comunidad de madrid, re-calcó que los servicios sociales están trabajando en un eficaz tratamiento de los datos que manejan, ya que son altamente sensibles, un trabajo continuo que ayuda a implantar medidas que garanticen la máxima calidad y confidencialidad de los datos que se tratan.

Durante la jornada se expusieron las experiencias de distintas administraciones públicas de la región con respecto a la implantación de sistemas infor-máticos que faciliten la protección de los datos per-sonales.

De esta forma se presentaron el tratamiento de da-tos en relación con la exclusión social y las rentas mínimas (Consejería de Asuntos sociales de la Co-munidad de madrid); el tratamiento no informatizado de datos sociales y el uso de la tecnología rFDi (mi-guel Ángel Davara); y el sistema de codificación de expedientes implantado en los servicios sociales del excmo. Ayuntamiento de torrejón.

53

de expedientes implantado en los servicios sociales del Excmo. Ayuntamiento de Torrejón.

En la segunda edición de esta jornada se analizó la conciliación entre la implantación de la videovigilancia y el derecho fundamental a la protección de datos, así como el contenido jurídico de la Instrucción 1/2007, de 16 de mayo, de la APDCM sobre la instalación de cámaras de vigilancia. La inauguración de la II Jornada de Videovigilancia corrió a cargo del Viceconsejero de Presidencia y Justicia, D. Luis Armada y el Director de la Agencia, D. Santiago Abascal Conde, quien explicó que la colocación de videocámaras prolifera cada vez más en sectores como la educación, la sanidad, los transportes y la vigilancia de infraestructuras “Es indiscutible que la utilización de estas cámaras cumplen su objetivo de seguridad y han

53

de expedientes implantado en los servicios sociales del Excmo. Ayuntamiento de Torrejón.

En la segunda edición de esta jornada se analizó la conciliación entre la implantación de la videovigilancia y el derecho fundamental a la protección de datos, así como el contenido jurídico de la Instrucción 1/2007, de 16 de mayo, de la APDCM sobre la instalación de cámaras de vigilancia. La inauguración de la II Jornada de Videovigilancia corrió a cargo del Viceconsejero de Presidencia y Justicia, D. Luis Armada y el Director de la Agencia, D. Santiago Abascal Conde, quien explicó que la colocación de videocámaras prolifera cada vez más en sectores como la educación, la sanidad, los transportes y la vigilancia de infraestructuras “Es indiscutible que la utilización de estas cámaras cumplen su objetivo de seguridad y han

en la segunda edición de esta jornada se analizó la conciliación entre la implantación de la videovigilan-cia y el derecho fundamental a la protección de da-tos, así como el contenido jurídico de la instrucción 1/2007, de 16 de mayo, de la APDCm sobre la insta-lación de cámaras de vigilancia.

La inauguración de la ii Jornada de Videovigilancia corrió a cargo del Viceconsejero de Presidencia y Justicia, D. Luis Armada y el Director de la Agencia, D. santiago Abascal Conde, quien explicó que la co-locación de videocámaras prolifera cada vez más en sectores como la educación, la sanidad, los trans-portes y la vigilancia de infraestructuras “es indiscu-

56


tible que la utilización de estas cámaras cumplen su objetivo de seguridad y han demostrado su efectivi-dad en la disuasión de delitos y también en la resolu-ción posterior de conflictos”.

54

demostrado su efectividad en la disuasión de delitos y también en la resolución posterior de conflictos”.

Desde la publicación de la Instrucción 1/2007 se ha incrementado en más de un 60% la declaración ante la APDCM de ficheros de datos obtenidos por cámaras de videovigilancia. Actualmente suman ya un total de 206 ficheros en este campo, de los cuales 119 fueron inscritos en 2010. Asimismo, la APDCM presentó la “Guía de Videovigilancia” y “Manual de Videovigilancia”, documentación de ayuda al responsable de fichero para cumplir con la normativa cuando se procede a la instalación de cámaras (ver apartado 9.1 de esta Memoria). A lo largo de la jornada, se expusieron los motivos que podrían legitimar el uso de las cámaras de videovigilancia, con respeto a los principios de proporcionalidad e idoneidad, para que de esta forma las cámaras sean menos intrusivas. Al igual que en el resto de jornadas, hubo una mesa redonda en la que diferentes responsables de ficheros contaron las experiencias de distintas administraciones públicas de la Región con respecto a la implantación de videocámaras y el cumplimiento con la legislación de protección de datos personales. Concretamente, la jornada contó con las experiencias del Excmo. Ayuntamiento de Madrid, el IES Ciudad de Jaen, el Servicio Regional de Bienestar Social y el Hospital Universitario Ramón y Cajal.

Desde la publicación de la instrucción 1/2007 se ha incrementado en más de un 60% la declaración ante la APDCm de ficheros de datos obtenidos por cá-maras de videovigilancia. Actualmente suman ya un total de 206 ficheros en este campo, de los cuales 119 fueron inscritos en 2010.

Asimismo, la APDCm presentó la “Guía de Videovi-gilancia” y “manual de Videovigilancia”, documenta-ción de ayuda al responsable de fichero para cumplir con la normativa cuando se procede a la instalación de cámaras (ver apartado 9.1 de esta memoria).

A lo largo de la jornada, se expusieron los motivos que podrían legitimar el uso de las cámaras de vi-deovigilancia, con respeto a los principios de propor-cionalidad e idoneidad, para que de esta forma las cámaras sean menos intrusivas.

Al igual que en el resto de jornadas, hubo una mesa redonda en la que diferentes responsables de fiche-

ros contaron las experiencias de distintas adminis-traciones públicas de la región con respecto a la im-plantación de videocámaras y el cumplimiento con la legislación de protección de datos personales.

Concretamente, la jornada contó con las experien-cias del excmo. Ayuntamiento de madrid, el ies Ciu-dad de Jaen, el servicio regional de Bienestar social y el Hospital Universitario ramón y Cajal.

Asimismo, esta labor formativa no sólo se desarrolla a través de las Jornadas citadas anteriormente, sino también mediante la celebración de sesiones infor-mativas a los empleados públicos. estas sesiones informativas puede tener un contenido general y un contenido específico (por ejemplo, sesiones dirigi-das a colegiados, personal sanitario).

ASISTENTES

Vii Jornada Protección de Datos sanitarios 259

Vii Jornada Protección de Datos en los servicios sociales 151

ii Jornada de Videovigilancia y Protección de Datos 117

INDICADOR 2008 2009 2010 2011

sesiones informativas 305 199 151 139

Asistentes a sesiones informativas 3.880 3.145 4.474 2.738

memoria2011

57

50.995

1997 - 2011

0 10000 20000 30000 40000 50000 60000

3.927

Asistentes sesiones

sesionesinformativasyAsistentes

Desde su creación la APDCm ha celebrado un total de 3.927 sesiones informativas a las que han acudi-do 50.995 empleados públicos.

7.2. pArticipAcióndelAApdcmenForos

7.2.1. Forodelasociedadespañoladeinformáticadelasalud(seis)

La APDCm participó de manera muy activa tanto en el seminario de salud Laboral y Protección de Datos que tuvo lugar en conjunción con la celebración del Foro como en el propio Foro, aportando en ambos casos sus conocimientos y experiencia en la protec-ción de datos sanitarios. Además, la coordinación del Foro también corrió a cargo de un miembro de la APDCm.

respecto al seminario sobre Protección de Datos en salud Laboral, que contó con la participación del resto de Agencias, la APDCm presentó un caso prác-tico: “La comunicación de datos de salud laboral de un trabajador a las autoridades competentes ante la posibilidad de que pudiesen producirse perjuicios a terceros, ya que estaría en juego la seguridad”.

en cuanto al Foro –Viii edición-, la APDCm, en la se-sión “Una radiografía sobre la protección de datos en la sanidad”, presentó los resultados del estudio sobre la privacidad y la seguridad de los datos per-

sonales en el sector sanitario que ha realizado en co-laboración con inteCo.

Asimismo, en la tercera sesión del Foro, “Casos prácticos: la experiencia de las Agencias de Protec-ción de Datos”, la APDCm se refirió al acceso a los datos de salud por parte de los alumnos que realizan prácticas en hospitales y el acceso al historial clínico del paciente, sobre la necesidad o no de dar al pa-ciente el nombre y apellidos de los profesionales que han accedido al citado historial.

en cuanto al resto de sesiones de este Foro, versa-ron sobre “el impacto del esquema nacional de se-guridad y el esquema nacional de interoperabilidad” y “Los retos de la protección de datos en los distintos niveles asistenciales”, que fue moderada por el Di-rector de la APDCm.

7.2.2. Forodeldataprivacyinstitute(dpi)

Bajo el título “estado actual de la protección de datos y próximos retos”, se celebró el 18 de octubre de 2011 en madrid el iV Foro de la Privacidad organizado por el Data Privacy institute (DPi) de isms Forum spain.

Los temas que se trataron en esta jornada fueron los relativos al derecho al olvido, la protección de datos en relación con los medios de comunicación, la re-forma de la Directiva de protección de datos, la reali-zación de auditorías, el comportamiento en línea y la figura del apercibimiento incluida en la LoPD con la reforma de la Ley de economía sostenible.

Por su parte, la APDCm intervino en la mesa dedica-da al “Cloud computing” analizando los problemas jurídicos existentes en relación a la aplicación de la normativa de protección de datos cuando el presta-dor de servicios del “cloud” no se encuentra ubicado en alguno de los países de la Unión europea.

58


7.2.3. ForodelaAsociaciónprofesionalespañoladeprivacidad(Apep)

el i Congreso nacional de Privacidad, organizado por la Asociación Profesional española de Privaci-dad (APeP), tuvo lugar en madrid el 19 de mayo de 2011. La APDCm participó en la mesa dedicada a transparencia y protección de datos junto al resto de autoridades autonómicas.

en esta mesa, la APDCm expuso el balance de intereses entre privacidad y transparencia, así como el régimen jurídico actual de la publicación de datos en Boletines y páginas web en internet y sus posibles consecuencias.

Durante el resto de ponencias del Congreso, se abordaron, entre otros, temas relativos a los trabajos de modificación de la Directiva de Protección de Da-tos, el esquema nacional de seguridad, privacidad y libertad de prensa y comunicación, las funciones de los profesionales de la privacidad, la modificación del régimen sancionador de la LoPD y las tarjetas de radiofrecuencia rFiD.

el evento contó con la asistencia de casi 200 pro-fesionales de la privacidad y la apertura del mismo corrió a cargo del Director de la Agencia española de Protección de Datos.

7.3. FormAciónespecíFicA7.3.1. sanidad

Junto con los servicios sociales, la formación en el tratamiento de datos por parte de los responsables de ficheros de la sanidad constituye una de las líneas principales de actuación de la Agencia. La razón, en ambos casos, viene motivada por el tratamiento de datos especialmente protegidos.

en el ámbito de la sanidad, podemos destacar du-rante el año 2011 los siguientes eventos dirigidos a la formación en los que ha participado la Agencia:

•Jornada “seguridad y Protección de Datos en el ámbito sanitario”, en la que se analizó los ele-mentos positivos y negativos de la aplicación de la protección de datos en el ámbito sanitario. La APDCm, a través de un representante de la mis-ma, impartió la ponencia “regulación y aplicación del tratamiento de datos en el sector sanitario. Asi-mismo, también participaron otros organismos en la mesa dedicada a las experiencias prácticas, en la cual analizaron el uso de la historia clínica en el hospital, la seguridad de los datos del paciente en el ingreso, cómo adecuar las aplicaciones infor-máticas a la protección de datos, y las garantías ante la solicitud de documentación clínica por par-te de los ciudadanos o profesionales sanitarios.

• ii Jornada de responsabilidad Profesional sanita-ria, celebrado en sevilla, con la ponencia “Gestión de los datos en el sector sanitario: protección de datos y herramientas informáticas para el desarro-llo profesional en instituciones médicas”. en este sentido, en la citada ponencia se presentaron las últimas actuaciones realizadas por la APDCm en el ámbito sanitario, entre las que destaca la im-plantación de la instrucción 2/2009, de 21 de di-ciembre de 2009, sobre el tratamiento de datos personales en la emisión de justificantes médicos o la adecuación a la LoPD de los convenios entre hospitales y universidades para alumnos en prác-ticas, así como la herramienta on-line de apoyo al responsable del fichero CUmPLe.

•Curso de investigación Clínica, organizado por el Hospital Fundación Alcorcón, con la ponencia “Confidencialidad y la Protección de Datos”. Du-rante la misma se expuso el régimen jurídico del tratamiento de los datos de salud, las obligacio-

memoria2011

59

nes del responsable del fichero respecto a los mis-mos, el acceso a la historia clínica y los requisitos que deben cumplirse para realizar investigaciones clínicas con datos de salud de los pacientes. en el curso también se analizaron otras cuestiones como el consentimiento informado, los biobancos, las buenas prácticas clínicas, y la seguridad en el seguimiento de los ensayos clínicos.

7.3.2. serviciossociales

Como indicábamos en el párrafo anterior, la Agencia también presta especial dedicación a la formación dirigida a los responsables de ficheros de los ser-vicios sociales. entre las realizadas durante el año 2011, podemos destacar las siguientes:

•sesión formativa al personal de la mancomunidad de servicios sociales Las Vegas. Durante la sesión de formación se explicaron cuáles son los princi-pios fundamentales de la LoPD así como el des-glose de las medidas de seguridad que contempla el reglamento de desarrollo de esa Ley. también se pusieron de manifiesto casos específicos de aplicación de la normativa de protección de datos personales a los servicios sociales.

•sesión informativa “Protección de datos en servi-cios sociales” impartida en el Centro de Formación e investigación en servicios sociales “Beatriz Ga-lindo” y dirigida al personal directivo de los centros de servicios sociales de la Comunidad, Ayunta-mientos y mancomunidades de esta Comunidad. en la misma se analizaron no sólo los principios de la normativa de protección de datos personales, sino también su incidencia en la prestación de los servicios sociales.

•sesión informativa a inspectores de la subdirec-ción General de Control de Calidad de la Conseje-

ría de Asuntos sociales, en el que se analizó, entre otras cuestiones, el acceso a datos personales por parte de los inspectores de servicios sociales cuando realizan una inspección a un centro, ya sea de carácter público o privado.

7.3.3. cursocumple

CUmPLe es un sistema on line de ayuda al respon-sable de ficheros de titularidad pública para el cumpli-miento de sus obligaciones en materia de Protección de Datos. La Agencia puso en marcha este programa en el año 2008.

Al mismo se puede acceder se accede desde la pá-gina web de la Agencia (www.apdcm.es), a través de un “banner” que permite el acceso directo al citado programa.

en el año 2011 la APDCm lanzó un curso para formar a los responsables de ficheros de las posibilidades y el funcionamiento de esta herramienta.

el curso estuvo dirigido a empleados de las institu-ciones de la Comunidad de madrid y por los Órga-nos, organismos, entidades de Derecho público y demás entes públicos integrantes de su Adminis-tración Pública, empleados de las Administraciones Locales de la Comunidad de madrid, y empleados de las Universidades públicas y Corporaciones de derecho público de la Comunidad de madrid.

el curso es fruto de la colaboración entre la APDCm y la Agencia de informática y Comunicaciones de la Co-munidad de madrid (iCm) y tuvo lugar los días 7, 12 y 14 de abril de 2011 en el Centro de Formación de iCm.

entre las utilidades que la herramienta CUmPLe per-mite están las relativas a generar el documento de

60


60

CUMPLE es un sistema on line de ayuda al Responsable de ficheros de titularidad pública para el cumplimiento de sus obligaciones en materia de Protección de Datos. La Agencia puso en marcha este programa en el año 2008. Al mismo se puede acceder se accede desde la página web de la Agencia (www.apdcm.es), a través de un “banner” que permite el acceso directo al citado programa. En el año 2011 la APDCM lanzó un curso para formar a los responsables de ficheros de las posibilidades y el funcionamiento de esta herramienta.

El curso estuvo dirigido a empleados de las Instituciones de la Comunidad de Madrid y por los Órganos, Organismos, Entidades de Derecho público y demás Entes públicos integrantes de su Administración Pública, empleados de las Administraciones Locales de la Comunidad de Madrid, y empleados de las Universidades públicas y Corporaciones de derecho público de la Comunidad de Madrid.

El curso es fruto de la colaboración entre la APDCM y la Agencia de Informática y Comunicaciones de la Comunidad de Madrid (ICM) y tuvo lugar los días 7, 12 y 14 de abril de 2011 en el Centro de Formación de ICM.

Entre las utilidades que la herramienta CUMPLE permite están las relativas a generar el documento de seguridad, obtener las cláusulas para cumplir con el artículo 12 de la LOPD, elaborar el informe de auditoría, gestión y seguimiento de las solicitudes de ejercicio de los derechos ARCO así como la ayuda y soporte en la creación e inscripción de ficheros.

7.3.4.- Prevención de Riesgos

seguridad, obtener las cláusulas para cumplir con el artículo 12 de la LoPD, elaborar el informe de au-ditoría, gestión y seguimiento de las solicitudes de ejercicio de los derechos ArCo así como la ayuda y soporte en la creación e inscripción de ficheros.

7.3.4. prevenciónderiesgos

organizado dentro de la segunda edición del ciclo “Full Audit”, la APDCm participó en el taller sobre “Protección de datos en la gestión de la prevención de riesgos laborales”.

el objetivo de esta jornada fue analizar la estrecha relación entre la protección de datos y la prevención de riesgos.

La intervención de la APDCm tuvo como finalidad realizar una exposición, en primer lugar, en términos generales de la protección de datos, analizando los instrumentos jurídicos y su regulación existentes, para posteriormente exponer casos concretos en los que se ve afectada la prevención de riesgos en rela-ción con el citado derecho fundamental.

Asimismo, se presentaron supuestos prácticos como la cesión de datos personales a los delegados de prevención.

Por otra parte, la mayoría de asistentes fueron téc-nicos y responsables de prevención de riesgos y de recursos humanos.

7.3.5. iiedicióndelcursovirtual

este curso virtual en Protección de Datos, cuya i edi-ción se celebró en el año 2010, equivale a un curso presencial de 15 horas lectivas, y está estructura-do en dos grandes bloques: principios y derechos de protección de datos personales y orientaciones prácticas para el cumplimiento de las obligaciones de los responsables y empleados públicos.

el Programa utiliza animaciones para introducir cada uno de sus capítulos, está completamente locutado y propone diversas prácticas y tests para ayudar a la comprensión de la materia y comprobar los conoci-mientos adquiridos. Los alumnos disponen a lo largo del curso del apoyo de tutores que les animarán y ayudarán a resolver las cuestiones y dudas que pu-dieran surgir.

62

Al finalizar el curso se realiza una prueba de conocimiento, y a todos aquellos que la superen se les entrega el correspondiente certificado de aprovechamiento de manera similar y con el mismo valor que los correspondientes a los cursos presenciales.

Esta II Edición del curso virtual fue realizada por un total de 1.388 alumnos. Asimismo, el curso ha sido valorado de forma muy positiva por los alumnos, alcanzando una valoración global de 8,25 puntos sobre 10.

7.4.- Formación de alumnos universitarios.

Siguiendo la línea marcada por año anteriores, y en virtud de los Convenios de Colaboración que tiene firmada la APDCM con las distintas Universidades Públicas de la Comunidad de Madrid, se ha continuado con la formación de alumnos universitarios. Estas prácticas versan sobre el conocimiento de la normativa de protección de datos, funcionamiento del Registro de Ficheros de la APDCM, funcionamiento y organización de Atención al Ciudadano de la APDCM, análisis jurídico del procedimiento de inspección, tutela de derechos y procedimiento sancionador, y análisis de las funciones del responsable del fichero. Asimismo, los alumnos realizan casos prácticos e informes jurídicos. Durante el año 2011, la APDCM impartió prácticas a 13 alumnos de diferentes Universidades de esta Comunidad.

Al finalizar el curso se realiza una prueba de cono-cimiento, y a todos aquellos que la superen se les

memoria2011

61

entrega el correspondiente certificado de aprovecha-miento de manera similar y con el mismo valor que los correspondientes a los cursos presenciales.

esta ii edición del curso virtual fue realizada por un total de 1.388 alumnos. Asimismo, el curso ha sido va-lorado de forma muy positiva por los alumnos, alcan-zando una valoración global de 8,25 puntos sobre 10.

7.4. FormAcióndeAlumnosuniversitArios

siguiendo la línea marcada por año anteriores, y en virtud de los Convenios de Colaboración que tiene firmada la APDCm con las distintas Universidades

Públicas de la Comunidad de madrid, se ha conti-nuado con la formación de alumnos universitarios.

estas prácticas versan sobre el conocimiento de la normativa de protección de datos, funcionamiento del registro de Ficheros de la APDCm, funciona-miento y organización de Atención al Ciudadano de la APDCm, análisis jurídico del procedimiento de ins-pección, tutela de derechos y procedimiento sancio-nador, y análisis de las funciones del responsable del fichero. Asimismo, los alumnos realizan casos prácti-cos e informes jurídicos.

Durante el año 2011, la APDCm impartió prácticas a 13 alumnos de diferentes Universidades de esta Comunidad.

UNIVERSIDAD CARLOS III

Formación AcadémicaLICENCIATURA EN ESTUDIOS CONJUNTOS (Derecho)

PeríoDo nº ALUmnos

mArzo/mAYo 2011 4

JULio 2011 4

UNIVERSIDAD CARLOS III

Formación AcadémicaMASTER DE DERECHO DE LAS TELECOMUNICACIONES

YTECNOLOGÍAS DE LA INFORMACIÓN


mArzo/JUnio 2011 1

UNIVERSIDAD AUTÓNOMA

Formación AcadémicaLICENCIATURA DE DERECHO


ABriL/mAYo 2011 4

memoria2011

63

eventos8.

64

8. eVentos

eventos8.

memoria2011

65

8. eventos

8.1. número50dedAtospersonAles.org

Como se detalla más adelante en el apartado refe-rente a publicaciones, con ocasión del número 50 de la revista www.datospersonales.org, la APDCm pre-paró un especial de dicha revista con la participación de autores de reconocido prestigio, tanto nacional como internacional.

en este sentido, este número 50, como no podría ser de otra forma, fue presentado al público en la sede de la APDCm.

el acto, que fue presentado por el Director de la APDCm, contó también con la participación de los Directores anteriores de esta Agencia, D. Antonio troncoso reigada (2001-2010) y Dª rosa García on-toso (1997-2001).

Asimismo, el Director de la APDCm hizo entrega de una placa conmemorativa por su labor en este orga-nismo y por el fomento de la protección de datos a D. Antonio troncoso reigada.

8.2. entregApremiosolvidAdos

el 28 de marzo de 2011 se procedió en la sede de la APDCm a la entrega de los premios a los ganadores del juego “olvidados” dirigido a jóvenes de 12 a 16 años.

este juego on-line se puso en marcha el pasado 28 de enero de 2011 coincidiendo con el Día europeo de la Protección de Datos de Carácter Personal (ver apartado 6 de esta memoria).

66

8. eVentos

Los ganadores recibieron de manos del Director de la APDCm, D. santiago Abascal Conde, los premios consistentes en tres packs Xbox con sensor Kinect y cuatro juegos, así como entradas para el Parque de Atracciones de madrid.

8.3. entregAdelvipremiomeJoresprácticAs

el 15 de febrero de 2011, en la real Casa de Correos de madrid, sede de la Presidencia de esta Comuni-dad Autónoma, tuvo lugar la entrega del Vi Premio a las mejores Prácticas de las Administraciones Públi-cas en Protección de Datos.

el premio fue concedido al excmo. Ayuntamiento de zaragoza por su Protocolo de Actuación en materia de protección de datos de carácter personal implan-tado en la página web municipal y que garantiza y refuerza el derecho a la protección de datos de los ciudadanos que utilizan sus servicios con enfoque integral y sistemático.

Además del Ayuntamiento de zaragoza, también se otorgaron menciones especiales a:

• inteCo (el instituto nacional de tecnologías de la Comunicación) por las importantes y numerosas

actividades de promoción y defensa del derecho a la protección de datos personales reflejadas en su “memoria de actividades de difusión, sensibili-zación y formación 2006-2010 en materia de pro-tección de datos”;

•Dirección General de sistemas de información sanitaria del servicio madrileño de salud , por su proyecto de integración en el cuadro de mando de gestión de los derechos ArCo y la puesta en marcha de las herramientas técnicas y los planes de formación de los empleados públicos para una mejor atención de estos derechos);

•Dirección General de Calidad de los servicios y Atención al Ciudadano de la Comunidad de ma-drid, por la integración y verificación del cumpli-miento de las garantías de protección de datos en todo el proyecto de rediseño de los procedi-mientos administrativos de la Comunidad de ma-drid para su incorporación a la e-Administración.

Finalmente, como reconocimiento al meritorio es-fuerzo realizado por el excmo. Ayuntamiento de ta-vernes de la Valldigna para adaptar sus actividades a los principios de protección de datos se le concedió un diploma de reconocimiento.

memoria2011

67

Asimismo, y por primera vez, la memoria de la APDCm se publicó únicamente en formato electróni-co, lo que supuso un ahorro considerable de costes económicos respecto a años anteriores.

8.5. iiseminAriointernAcionAllosretosdelAproteccióndedAtos,seguridAdyprivAcidAd

La APDCm participó y cooperó en este seminario que forma parte del Proyecto de investigación “Pro-tección de datos, transparencia y seguridad” que está llevando a cabo la Universidad san Pablo CeU.

se trata de un Proyecto i+D del ministerio de Ciencia e innovación, que gira en torno al derecho a la pro-tección de datos y su tensión con las exigencias de seguridad ciudadana, transparencia, y la actividad de los mercados. es un proyecto de carácter inter-disciplinar que alcanza al derecho español, comuni-tario y comparado, para de esta forma poder abordar los temas tratados desde una perspectiva global.

en este sentido, la finalidad del mismo es definir las reglas que han de presidir el equilibrio necesario en-tre protección de datos, transparencia, seguridad y mercado, desde un enfoque jurídico e internacional.

Durante la celebración del seminario, que tuvo lu-gar en la sede de la APDCm y al cual acudieron los Directores del resto de Agencias de Protección de Datos, el Director de la APDCm, D. santiago Abas-cal, agradeció la oportunidad de cooperar en este proyecto que a su entender aúna los dos ejes de los derechos de los ciudadanos en el ámbito de la infor-mación (protección de datos y transparencia) y los dos escenarios en los que ambos deben desplegar su manto protector de una manera eficaz (mercado y seguridad pública).

el Viceconsejero de Justicia de la Consejería de Pre-sidencia y Justicia de la Comunidad de madrid, D. Alfonso Cuenca miranda, fue el encargado de hacer entrega de los mismos.

Además de la entrega de los citados premios, D. José Luís Piñar mañas, Catedrático de Derecho Ad-ministrativo y Director de la Agencia española de Protección de Datos durante los años 2002 a 2007, impartió una ponencia sobre “regulación y autorre-gulación en el ámbito de la protección de datos: la importancia de las buenas prácticas”.

8.4. presentAciónmemoriA2010

en la sede de la APDCm, el 21 de junio de 2011, se presentó la memoria del año 2010, en la que se re-cogen las principales actuaciones e indicadores de esta Agencia durante ese año.

en este sentido, la campaña realizada para concien-ciar a los menores sobre el correcto uso de internet y las tecnologías, las denuncias solicitando la cancela-ción de datos de los Boletines oficiales de internet y la formación de 6.000 empleados públicos tanto de forma on-line como presencial, fueron las activida-des más destacadas.

68

8. eVentos

de Acceso a la información Pública y Protección de Datos Personales del Distrito Federal (inFoem).

Durante las reuniones de trabajo mantenidas por ambas instituciones, la APDCm explicó su estructu-ra, funcionamiento, competencias, actividades, ejer-cicio de la actividad inspectora, consultoría y registro de ficheros, y proyectos realizados.

Por su parte, los dos Comisionados impartieron un seminario taller, que versó sobre transparencia, al personal de la APDCm.

Los Comisionados explicaron cuáles son los princi-pios básicos en los que se fundamenta la transpa-rencia administrativa así como los principios que han recogido las leyes de transparencia de méjico.

otra de las cuestiones analizadas fue el balance de intereses entre la transparencia administrativa y la protección de datos personales cuando se ejercita el derecho de acceso a la información que tienen en su poder las diferentes Administraciones públicas.

Asimismo, los citados Comisionados dieron a cono-cer cuáles son los objetivos y funcionamientos de sus respectivos organismos de Acceso Público a la información.

8.6. seminAriosobretrAnspArenciAAdministrAtivA

Los días 14 y 15 de noviembre de 2011, la APDCm recibió visita de Dª Blanca Lilia ibarra Cadena, Comi-sionada Presidenta de la Comisión para el Acceso a la información Pública de Puebla (CAiP) y D. Agustín millán Gómez, Comisionado Ciudadano del instituto

69

Durante la celebración del Seminario, que tuvo lugar en la sede de la APDCM y al cual acudieron los Directores del resto de Agencias de Protección de Datos, el Director de la APDCM, D. Santiago Abascal, agradeció la oportunidad de cooperar en este proyecto que a su entender aúna los dos ejes de los derechos de los ciudadanos en el ámbito de la información (protección de datos y transparencia) y los dos escenarios en los que ambos deben desplegar su manto protector de una manera eficaz (mercado y seguridad pública).

memoria2011

69

Publicaciones9.

70

9. PUBLiCACiones

Publicaciones9.

memoria2011

71

9. PubliCACiones

72

También se analizan supuestos específicos de uso de las cámaras como son grabaciones en lugares y espacios públicos, control y disciplina de tráfico, centros educativos, polideportivo, centros neurálgicos, aparcamientos públicos, prestación de asistencia sanitaria y social, fines turísticos y accesos a edificios.

9.1. guíAymAnuAldevideovigilAnciA

La Guía y el manual de Videovigilancia son una he-rramienta práctica para que los responsables de fi-cheros respeten el derecho a la protección de datos personales en la instalación de videocámaras, y a la hora de realizar dicha instalación adopten las medi-das necesarias para respetar ese derecho.

en ambos documentos se analizan las obligaciones que debe cumplir el responsable de ficheros que decida instalar cámaras, como son la creación del correspondiente fichero, el derecho de información, las posibles cesiones de datos, las medidas de se-guridad, el deber de secreto, la posible existencia de un encargado de tratamiento, así como la necesidad de elaborar un informe de Proporcionalidad que jus-tifique el uso e instalación.

también se analizan supuestos específicos de uso de las cámaras como son grabaciones en lugares y es-pacios públicos, control y disciplina de tráfico, centros educativos, polideportivo, centros neurálgicos, apar-camientos públicos, prestación de asistencia sanitaria y social, fines turísticos y accesos a edificios.

se incluyen igualmente documentos prácticos como son un “check-list” para poder verificar el cumpli-miento de la LoPD con carácter previo a poner las cámaras en funcionamiento, otro documento para dejar constancia de la cesión de datos de imágenes y el documento de “Política de privacidad en el uso de cámaras”.

Asimismo, en el caso de la Guía se incluyen extrac-tos de informes jurídicos de la APDCm, jurispruden-cia y bibliografía recomendada.

se trata, además, de la primera publicación de este tipo de la Agencia que se ha elaborado íntegramente en formato electrónico, no habiendo supuesto coste alguno, y se pueden descargar de forma gratuita en la web (www.apdcm.es).

72

9. PUBLiCACiones

73

Se incluyen igualmente documentos prácticos como son un “check-list” para poder verificar el cumplimiento de la LOPD con carácter previo a poner las cámaras en funcionamiento, otro documento para dejar constancia de la cesión de datos de imágenes y el documento de “Política de privacidad en el uso de cámaras”. Asimismo, en el caso de la Guía se incluyen extractos de informes jurídicos de la APDCM, jurisprudencia y bibliografía recomendada. Se trata, además, de la primera publicación de este tipo de la Agencia que se ha elaborado íntegramente en formato electrónico, no habiendo supuesto coste alguno, y se pueden descargar de forma gratuita en la web (www.apdcm.es).

9.2.- Revista www.datospersonales.org

A principios del año 2003 la APDCM puso en marcha un proyecto ilusionante con la creación de la revista digital datospersonales.org y con el objetivo de que a través de la misma no sólo se diese conocimiento a la actualidad de protección de datos mediante documentos y artículos publicados en sus diversas secciones, sino también como un lugar de intercambio de opiniones e

9.2. revistAwww.dAtospersonAles.org

A principios del año 2003 la APDCm puso en mar-cha un proyecto ilusionante con la creación de la revista digital datospersonales.org y con el objetivo de que a través de la misma no sólo se diese co-nocimiento a la actualidad de protección de datos mediante documentos y artículos publicados en sus diversas secciones, sino también como un lu-gar de intercambio de opiniones e ideas expuestas por parte de los expertos que en estos más de 50 números han colaborado.

en el año 2011, concretamente en abril, se publicó el número 50 de www.datospersonales.org. Para celebrar la ocasión se elaboró un número especial que contó con artículos del supervisor europeo de Protección de Datos, así como de Directores de di-ferentes Autoridades de Control tanto nacionales

como internacionales. estos son los artículos que se publicaron en el citado número:

•“Hacia una mayor eficacia de la protección de da-tos en la sociedad de la información”. Peter Hus-tinx, supervisor europeo de Protección de Datos.

•“in vino veritas-Atque personalia data”. Luis Lignau da silveira, Presidente de la Comisión nacional de Protección de Datos de Portugal.

•“La protección de datos personales en el Princi-pado de Andorra”, Joan Crespo Piedra, Cap de l’Agencia Andorrana de Protecció de Dades.

•“Configuración del derecho a la protección de datos en méxico”, Jacqueline Peschard mariscal, Comisionada Presidenta del instituto Federal de Acceso a la información y Protección de Datos de méxico (iFAi).

•“La protección de los datos personales en inter-net”, Juan Antonio travieso, Director nacional de Protección de Datos en Argentina.

• “información y Administración. Flujo y limitaciones”, Felipe rotondo, Presidente de la Unidad regulado-ra y de Control de Datos Personales de Uruguay.

•“La función de la coordinación en la protección de datos personales”, esther mitjans Perelló, Di-rectora de la Autoridad Catalana de Protección de Datos.

•“Administración electrónica y protección de datos, ¿Hacia una necesaria confluencia?”, iñaki Vicuña nicolás, Director de la Agencia Vasca de Protec-ción de Datos.

•“La protección de datos en el ámbito judicial”, Joa-quín Bayo Delgado, supervisor europeo Adjunto de Protección de Datos (2004-2009).

memoria2011

73

•“Consentimiento y amparo legal: claves para el tratamiento de datos personales”, Juan manuel Fernández López, Director de la Agencia española de Protección de Datos (1995-1999).

•“La importante reforma del régimen sancionador en materia de protección de datos. reflexiones urgentes”. José Luís Piñar mañas, Director de la Agencia española de Protección de Datos (2002-2007).

•“La importancia de la información, educación y di-vulgación”. rosa maría García ontoso, Directora de la Agencia de Protección de Datos de la Comu-nidad de madrid (1997-2001).

•“el tiempo de los derechos. 50 aniversario de la revista datospersonales.org”. Antonio troncoso reigada, Director de la Agencia de Protección de Datos de la Comunidad de madrid (2001-2010).

75

“La importante reforma del régimen sancionador en materia de protección de datos. Reflexiones urgentes”. José Luís Piñar Mañas, Director de la Agencia Española de Protección de Datos (2002-2007).

“La importancia de la información, educación y divulgación”. Rosa María García Ontoso, Directora de la Agencia de Protección de Datos de la Comunidad de Madrid (1997-2001).

“El tiempo de los derechos. 50 aniversario de la Revista

datospersonales.org”. Antonio Troncoso Reigada, Director de la Agencia de Protección de Datos de la Comunidad de Madrid (2001-2010).

También se contó con la colaboración de los siguientes expertos de reconocido prestigio en esta materia:

“Cuatro años de vigencia del Reglamento de la LOPD”. Lucrecio Rebollo Delgado, Profesor de Derecho Constitucional de la UNED.

“La reforma del régimen sancionador de la LOPD”. Samuel Parra Sáez.

Abogado.

“¿Vulnera el derecho a la protección de datos personales la publicación de información administrativa en Internet?”. Julián Valero Torrijos. Profesor de Derecho Administrativo de la Universidad de Murcia.

también se contó con la colaboración de los siguien-tes expertos de reconocido prestigio en esta materia:

•“Cuatro años de vigencia del reglamento de la LoPD”. Lucrecio rebollo Delgado, Profesor de Derecho Constitucional de la UneD.

•“La reforma del régimen sancionador de la LoPD”. samuel Parra sáez. Abogado.

•“¿Vulnera el derecho a la protección de datos per-sonales la publicación de información administra-

tiva en internet?”. Julián Valero torrijos. Profesor de Derecho Administrativo de la Universidad de murcia.

•“Los cambios previstos en la Directiva 95/46/Ce de Protección de Datos Personales”. mónica Are-nas ramiro, Profesora Ayudante Doctor del Área de Derecho Constitucional de la Universidad de Alcalá de Henares.

•“La propuesta de Directiva Pnr 2011: ¿hacia el tratamiento global de los datos Pnr?. Diana san-cho Villa. Profesora titular de Derecho internacio-nal Privado de la Universidad rey Juan Carlos.

Asimismo, en este número especial, colaboraron las personas de la APDCm que desde el inicio de datos-personales.org han estado a cargo de esta revista digital:

•“Protección de datos personales y servicios de atención al ciudadano”. Francisco José López Carmona. subdirector General de Atención al Ciu-dadano del excmo. Ayuntamiento de madrid. sub-director de datospesonales.org 2003-2007.

•“Dos importantes reformas legislativas del marco europeo y nacional de protección de datos perso-nales”. emilio Aced Félez. subdirector de Consul-toría y registro de Ficheros de la APDCm. subdi-rector de datospersonales.org 2007-2010.

•“Comentarios al proyecto de ley de regulación del juego”. Fco. Javier sempere samaniego. Asesor de Apoyo técnico Jurídico de la APDCm. subdirector de datospersonales.org 2010-hasta la fecha.

Por otra parte, respecto al resto de números publica-dos en el año 2011, los artículos que se publicaron en la sección “expertos” fueron los siguientes:

74

9. PUBLiCACiones

•“Análisis comparativo de la situación registral del sector educativo público obligatorio en madrid, País Vasco y Cataluña”. Jenny mezlani Gastón. Abogada y Consultora del Departamento de Com-pliance de tB security.

•“Protección de los datos de carácter personal en la nueva regulación de la Prevención del Blanqueo de Capitales”. mar del Peso. Consultora senior –iee informáticos europeos expertos.

•“seguridad LoPD a través de un sGsi”. Pedro se-rrera Cobos. Director del Centro de sistemas de información de “Fraternidad mutrespa”.

•“el cumplimiento del deber de información por los Ayuntamientos”. Alfonso Pacheco Cifuentes. Abo-gado y consultor jurídico en protección de datos personales.

•“La cesión de datos vs el encargado de trata-miento en las relaciones bancarias”. Luis salvador montero. Consultor independiente en Protección de Datos y Privacidad de negocio.

•“tratamiento de datos personales en el marco de la investigación y prevención de accidentes e inci-dentes en la aviación civil”. maría martín Pardo de Vera. Helas Consultores.

•“Protección de datos de carácter personal en sis-temas basados en Cloud Computing”. Francisco Girón Guijarro. Abogado/Consultor seguridad Ur-betec, Abogados y Consultores.

•“modificación del régimen sancionador de la LoPD”. Javier González espadas. socio de irwin mitchell Abogados.

•“Derecho al recuerdo”. eneko Delgado Valle. Abo-gado-socio de Audens.

•“el profesional de la privacidad”. ricard martínez martínez. Presidente de la APeP y Profesor de Derecho Constitucional de la Universidad de Va-lencia.

•“Consideraciones en torno al uso de videocá-maras en el ámbito judicial: una mirada desde la perspectiva comparada”. Aristeo García González. Colaborador Académico en el instituto de la Judi-catura del Consejo del Poder Judicial del estado de michoacán.

•“La publicación en las redes sociales de fotogra-fías realizas en ámbitos personales o domésticos”. sandra Domínguez martínez. Abogada.

•“La protección de datos en la cadena de valor em-presarial”. Juan Luís martínez-Carande. socio de sigmadata security Consulting s.L.

•“La privacidad en CoBit5”. Antonio ramos. Presi-dente de isACA.

•“el otorgamiento del beneficio de justicia gratuita no puede ser la finalidad de un fichero de un Co-legio de Abogados”. Alfonso Pacheco Cifuentes y Luís salvador.

•“Comentarios sobre la protección de datos de ca-rácter personal en el Proyecto de Ley 121/000124 por el que se modifica la Ley 32/2003, de 3 de no-viembre, General de telecomunicaciones”. Jordi Bacaria martrus. Presidente de la sección de Dere-chos de Propiedad intelectual y Derechos de ima-gen. ilustre Colegio de Abogados de Barcelona.

•“responsabilidad de las empresas por el envío por sus empleados de e-mails sin copia oculta y mo-dificación del régimen sancionador de la LoPD”. Cristina sánchez-tembleque. Asociada senior de Governance, risk and Compliance de Écija.

memoria2011

75

Asimismo, también se ha mejorado el resto de sec-ciones publicando un mayor número de contenidos, y tratando de estar al día en una materia que destaca sobre todo por la incidencia que provocan en la inti-midad los avances tecnológicos.

en este sentido, recientemente la calidad de datos-personales.org ha sido evaluada por el Centro de Ciencias Humanas y sociales (CCHs) del Consejo superior de investigaciones Científicas (CsiC).

el resultado de la evaluación ha sido positivo y Datospersonales.org ha sido incluida las bases de datos DiCe, de Difusión y Calidad de las re-vistas españolas de Humanidades y Ciencias so-ciales y Jurídicas y en la base de datos Latindex, un sistema de información sobre las revistas de investigación científica, técnico-profesionales y de divulgación científica y cultural que se editan en los países de América Latina, el Caribe, españa y Portugal.

9.3. memoriAdelpremio2010

La memoria correspondiente al Vi Premio a las mejo-res Prácticas en materia de Protección de Datos se

79

A la sexta edición se presentaron un total de 14 candidaturas, resultando ganador el Excmo. Ayuntamiento de Zaragoza por su Protocolo de Actuación en materia de protección de datos de carácter personal implantado en la página web municipal y que garantiza y refuerza el derecho a la protección de datos de los ciudadanos que utilizan sus servicios con enfoque integral y sistemático (ver apartado 8.3 de esta Memoria).

10.- Atención al ciudadano. El Área de Atención al Ciudadano de la Agencia de Protección de Datos de la Comunidad de Madrid está encuadrada dentro de las Oficinas de Información Especializada que conforman el Sistema de Información horizontal de la Comunidad. El objetivo prioritario de este servicio es proporcionar a las personas información y orientación acerca de los derechos reconocidos en la normativa vigente en materia de protección de datos de carácter personal, contribuyendo en la difusión de este derecho fundamental Depende jerárquicamente de la Secretaría General en virtud de lo establecido en el artículo 20 del Decreto 40/2004, de 18 de marzo, por el que se aprueba el Estatuto de la Agencia.

publicó en formato libro-DVD incluyendo en el mismo la documentación de todas las candidaturas que se presentaron a dicho Premio.

A la sexta edición se presentaron un total de 14 can-didaturas, resultando ganador el excmo. Ayuntamiento de zaragoza por su Protocolo de Actuación en materia de protección de datos de carácter personal implan-tado en la página web municipal y que garantiza y re-fuerza el derecho a la protección de datos de los ciuda-danos que utilizan sus servicios con enfoque integral y sistemático (ver apartado 8.3 de esta memoria).

memoria2011

77

Atención al ciudadano

10.

78

10. AtenCiÓn AL CiUDADAno

Atención al ciudadano

10.

memoria2011

79

10. AtenCión Al CiuDADAno

el Área de Atención al Ciudadano de la Agencia de Protección de Datos de la Comunidad de madrid está encuadrada dentro de las oficinas de informa-ción especializada que conforman el sistema de información horizontal de la Comunidad. el objetivo prioritario de este servicio es proporcionar a las per-sonas información y orientación acerca de los dere-chos reconocidos en la normativa vigente en materia de protección de datos de carácter personal, contri-buyendo en la difusión de este derecho fundamental.

Depende jerárquicamente de la secretaría General en virtud de lo establecido en el artículo 20 del Decre-to 40/2004, de 18 de marzo, por el que se aprueba el estatuto de la Agencia.

el Área de Atención al Ciudadano, como ya se ha manifestado en anteriores memorias, supone la primera fuente de aproximación de que dispone el ciudadano para obtener información sobre los prin-cipios y derechos relativos a las personas recogidos en la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de madrid, y so-bre el resto del ordenamiento jurídico de aplicación en esta materia.

Al objeto de cumplir con las funciones descritas an-teriormente, el Área de Atención al Ciudadano de la Agencia de Protección de Datos de la Comunidad de madrid pone a disposición del ciudadano distintos cauces:

•A través del correo electrónico [email protected]

•A través de la revista digital www.datospersonales.org

•A través del teléfono: 91 720 97 38

•A través del fax: 91 720 97 45

•Atención presencial y mediante correo ordinario en la sede de la Agencia de Protección de Datos de la Comunidad de madrid, ubicada en la calle Gran Vía 43 planta 3 (28013-madrid).

el número total de consultas atendidas en el Área de Atención al Ciudadano en el período compren-dido entre enero y diciembre de 2011 es de 1925 consultas.

Ámbito aplicaciónde la ley

14%

informaciónGeneral

39%

Derechos16%

Procedimientonotificación de

ficheros7%

Documento deseguridad

2%

Ficheros desolvencia patrimonial

2%

Principios10%

Cesiones7%

Publicidad no deseada2%

tratamiento enpáginas Web

1%

gráfico1. Análisisportema

Uno de los bloques de consultas más frecuentes en el Área de Atención al Ciudadano de la Agencia es el

80

10. AtenCiÓn AL CiUDADAno

•Ámbito de competencias de la APDCm.

•Diferencias entre ficheros públicos y privados.

Consultas destacadas en el ejercicio 2011

•¿tienen obligación de informarme de la existencia de cámaras en mi puesto de trabajo?

•¿es legítimo mantener mis datos en un BoCm cuando ya se ha cumplido con la obligación por la cual fui incluido en el diario oficial?

•¿es correcta la valoración de leve en la emisión de justificantes médicos?

•¿son públicas las Actas de los Plenos de los Ayun-tamientos?

•¿Pueden los delegados de prevención de riesgos laborales acceder a la información de datos de sa-lud de los empleados?

•¿se puede oponer un chico de 14 años a que el centro educativo informe a sus padres respecto a sus calificaciones?

•¿Pueden cederse los datos personales a terce-ras personas sin que medie el consentimiento del afectado?

•¿es legítimo el consentimiento tácito?

• ¿Puede utilizarse la información recogida en las guías telefónicas para hacer prospección comercial?

•¿Qué medidas de seguridad son aplicables a los ficheros en soporte papel?

•¿Qué régimen establece la Ley para el encargado del tratamiento?

•¿es lícita la publicación de un listado de morosos en el tablón de anuncios de una comunidad de ve-cinos?

•¿Puede un Ayuntamiento difundir a través de su página Web datos relativos a las deudas tributa-rias de los vecinos del municipio?

internet36%

Presencial4%

escrito1%

teléfono59%

gráfico2. Análisispormedio

Diciembre

noviembre

octubre

septiembre

Agosto

Julio

Junio

mayo

Abril

marzo

Febrero

enero

0 50 100 150 250200

86

131

127

190

106

142

197

154

152

183

203

129

relacionado con el ejercicio de los derechos. Pode-mos destacar en este ámbito:

•¿Cómo puedo saber quién tiene mis datos perso-nales y de dónde los han obtenido?

•¿Cómo puedo pedir la cancelación de mis datos?

•¿Cómo puedo oponerme a que mis datos sigan siendo tratados?

otra cuestión relevante, aunque cuantitativamente más reducida, es respecto a las historias clínicas:

•el centro de salud no me proporciona mi historia clínica completa ¿qué puedo hacer?

•el hospital me deniega el historial clínico de un fa-miliar fallecido ¿está amparado por la LoPD?

también en este período se han seguido recibiendo consultas en relación al ámbito de aplicación objeti-vo y territorial de la normativa relativa a protección de datos de carácter personal:

memoria2011

81

Colaboración entre la APDCm y otras Autoridades e instituciones de control

11.

82

11. CoLABorACiÓn entre LA APDCm Y otrAs AUtoriDADes e institUCiones De ControL

Colaboración entre la APDCm y otras Autoridades e instituciones de control

11.

memoria2011

83

11. ColAborACión entre lA APDCm y otrAs AutoriDADes e instituCiones De Control

11.1. gruposdetrAbAJoentreAgenciAs

en el marco del principio de lealtad institucional que preside las relaciones entre las distintas Agencias de Protección de Datos existentes en el territorio nacio-nal (Agencia española de Protección de Datos, Auto-ridad Catalana de Protección de Datos, Agencia Vas-ca de Protección de Datos y Agencia de Protección de Datos de la Comunidad de madrid), se han crea-do diversos grupos de trabajo con el objetivo de au-nar posturas interpretativas y debatir sobre aquellas cuestiones que estén de actualidad. en este sentido, los Grupos de trabajo existentes son los siguientes:

•Directores.

•registro, coordinado por la Agencia española de Protección de Datos.

• inspección, coordinado por la Agencia de Protec-ción de Datos de la Comunidad de madrid.

•Análisis jurídico y normativo, coordinado por la Agencia Catalana de Protección de Datos.

•organización, modernización, Comunicación y Formación, coordinado por la Agencia Vasca de Protección de Datos.

11.1.1. grupodetrabajodedirectores

Los directores de las Agencias de Protección de Da-tos se reúnen para marcar las líneas estratégicas de

colaboración entre las autoridades de control, hacer el seguimiento de las mismas y culminar el proceso de toma de decisiones sobre los asuntos que se han debatido en los distintos grupos y que requieran la aprobación de la dirección para su implantación y puesta en marcha.

en 2011 los directores de las Agencias se reunieron en la sede de la Agencia española de Protección de Datos, el 14 de diciembre de 2011, informándose por cada responsable de las reuniones mantenidas por los otros grupos durante el citado año.

Asimismo, se trataron, entre otros, los aspectos rela-cionados con la coordinación de criterios en relación con la figura del “apercibimiento”, introducida –en materia sancionadora- tras la última modificación de la LoPD, el “derecho al olvido” en relación con la in-formación publicada en Boletines y Diarios oficiales, la próxima reforma de la Directiva 95/46/Ce, la nece-sidad de elaborar un informe coordinado sobre el tra-tamiento de datos en Universidades en colaboración con la CrUe, los recursos formativos y divulgativos para menores en materia de protección de datos, y el análisis de la reciente sentencia del tribunal de Jus-ticia de la Unión europea en relación con el artículo 7.f) de la Directiva 95/46/Ce.

11.1.2. grupodetrabajoderegistrodeFicheros

Durante el año 2011 se celebraron dos reuniones del Grupo de registro de Ficheros de las Agencias. La

84

•Posibilidad de aplicar el apercibimiento en aque-llos casos en los que, reuniéndose los requisitos del art. 45.6 LoPD, se imputa simultáneamente a una entidad la comisión de más de una infracción.

•Conservación y bloqueo de los datos personales publicados en Boletines o Diarios oficiales a través de internet, así como posible ejercicio del derecho de oposición en relación con determinados datos personales obrantes en la publicación electrónica de los Boletines oficiales.

•Análisis de la competencia sobre régimen sancio-nador en relación con los grupos políticos munici-pales. Posible aplicación del artículo 46 de la Lr-BrL.

•sobre la participación de los denunciantes, inte-resados o no, en el procedimiento de infracción o sancionador y también en vía de recurso adminis-trativo y contencioso.

•Casos de reclamaciones de tutela de derecho ejercidas por uno de los progenitores en caso de padres separados que tienen atribuida de forma conjunta la patria potestad. Problemas que se plantean en los casos en que uno de los progeni-tores se opone al derecho de acceso ejercido por el otro progenitor.

•Posible aplicación de la excepción del artículo 2.2 del real Decreto 1720/2007, de desarrollo de la LoPD (datos de “personas de contacto”), en re-lación con los datos contenidos en determinados directorios cuyo contenido se publica “en abierto” a través de internet, y respecto del dato personal relativo al número de teléfono oficial asignado a un Concejal en relación con las funciones propias de su cargo.

•existencia de instrumentos de colaboración con las policías locales con el fin de establecer pautas de actuación en determinados supuestos.

primera reunión se realizó de forma presencial en la sede de la Agencia española de Protección de Datos y la segunda mediante videoconferencia.

respecto a los temas tratados, podemos destacar la presentación por la AePD del nuevo sistema de no-tificación de inscripciones e intercambio de informa-ción registral entre Agencias (reno), que se encon-traba en sus últimas fases de desarrollo y comen-zando su implantación, y que ha supuesto tener que realizar adaptaciones en los sistemas específicos de registro de Ficheros de las Agencias Autonómicas; estudio y análisis del Código tipo de Farmaindustria; y cuestiones derivadas de ficheros con transferen-cias internacionales.

11.1.3. grupodetrabajodeinspección

Durante 2011 este Grupo de trabajo se ha reunido en dos ocasiones. La primera de las reuniones tuvo lugar el 23 de mayo de 2011 y la segunda el 23 de noviembre de 2011, celebrándose ambas por medio de videoconferencia.

La APDCm, como coordinadora de este Grupo de trabajo, se encarga tanto de la confección del orden del Día como de la redacción de las Actas de las reuniones.

en el seno del Grupo se han tratado, entre otras, las siguientes cuestiones:

•Debate general sobre las modificaciones –en ma-teria sancionadora- introducidas en el título Vii de la LoPD por la Ley de economía sostenible. Prin-cipales resoluciones de las Agencias tras la entra-da en vigor de la Les. en especial, discriminación entre apercibimiento y procedimiento sancionador en primeros infractores.

11. CoLABorACiÓn entre LA APDCm Y otrAs AUtoriDADes e institUCiones De ControL

memoria2011

85

1. Adaptación del Programa educativo de la Agen-cia irlandesa “sign up, Log in, opt out: Protecting Your Privacy & Controlling Your Data”.

• Analizar, proponer últimos cambios y aprobar ver-siones definitivas de las 4 secciones del programa educativo y de la Guía del marco normativo.

• Análisis de los asuntos facilitados por la Agen-cia española.

• Gestionar los trámites de derechos de propiedad intelectual (periódico y Fundación Ana Frank).

• Gestionar la Publicación: Composición y edi-ción gráfica, impresión papel y digital, traduc-ciones a otras lenguas oficiales, etc.

• Difusión medios de comunicación: borrador de plan de comunicación.

• Difusión Administraciones educativas: acuerdos, grupos de trabajo y experiencias piloto para su in-clusión en la programación educativa de la eso.

2. Compartir experiencias de las Agencias de Pro-tección de Datos: Día europeo de la Protección de Datos, seminario internacional sobre los retos de la Protección de Datos y otros.

3. Generar relaciones y redes institucionales, acadé-micas y con agentes expertos sobre menores, in-ternet y educación para la privacidad. Foros, gru-pos de expertos, contacto con equipo de eUKids online, escuelas de magisterio.

11.2. conveniosyActividAddecolAborAción.conveniosFirmAdos

siguiendo con la tradicional línea de colaboración institucional de la APDCm, cuyo objetivo consiste en

•tratamiento que hay que dar a las denuncias que no hacen referencia a una vulneración concreta de la LoPD, sino a la existencia de protocolos de ac-tuación que se consideran contrarios a la LoPD.

•Debate y opinión de las Agencias en relación con las sentencias del ts 1056/2011 y 1057/2011, de 7 de marzo y 28 de febrero (respectivamen-te), en relación con la naturaleza de los ficheros de obligaciones colegiales relativas al “pago de cuotas”.

11.1.4. grupodetrabajodeAnálisisJurídicoynormativo

el grupo de asesoramiento jurídico se reunió duran-te el 2011 en una ocasión utilizando el sistema de videoconferencia. esta reunión versó principalmen-te sobre los cambios del régimen sancionador de la LoPD tras la aprobación de la Ley de economía sostenible.

en este sentido, una de las principales cuestiones tratadas en la citada reunión fue el análisis de la nue-va figura del apercibimiento, sobre todo lo referente a su carácter sancionador o no, la forma de aplicación así como las consecuencias en el supuesto de que un responsable haya sido apercibido e incumpla el contenido del citado apercibimiento.

11.1.5. grupodetrabajodesecretaríasgenerales

en el año 2011 se celebraron dos reuniones, una presencial el 28 de febrero en la sede de la Agen-cia Catalana de Protección de Datos y otra por vi-deoconferencia el 29 de junio. en estas reuniones se abordaron los siguientes temas:

86

establecer las adecuadas fórmulas de cooperación con otras instituciones para promover el desarrollo de programas conjuntos para lograr una mayor di-fusión del derecho fundamental a la protección de datos de carácter personal, la APDCM firmo un Con-venio de Cooperación con la Comisión de Transpa-rencia e Información del Estado de Nuevo León.

11.3. Formación a personal de otras autoridades de control

11. CoLAborACIóN ENTrE LA APDCM y oTrAs AuTorIDADEs E INsTITuCIoNEs DE CoNTroL

87

datos de carácter personal, la APDCM firmo un Convenio de Cooperación con la Comisión de Transparencia e Información del Estado de Nuevo León.

11.3.- Formación a personal de otras autoridades de control.

La APDCM recibió en su sede la visita de representantes de la Autoridad de Protección de Datos de Albania. Esta visita se enmarca dentro del proyecto organizado por la FIIAPP que tiene como objetivo mejorar la organización y funcionamiento de esa Autoridad de Control. Para poder efectuar esa mejora, la APDCM impartió el día 16 de noviembre de 2011 una sesión formativa al personal de la Autoridad de Protección de Datos de Albania, cuya delegación ha estado encabezada por su Directora. Así, el personal de la citada Autoridad ha podido conocer, durante esta reunión de trabajo, el funcionamiento, organización, competencias, proyectos, ejercicio de la actividad inspectora, registro de ficheros y la consultoría que realiza la APDCM. También se han explicado el régimen jurídico aplicable a los datos de salud y la videovigilancia y se ha hecho entrega de diversa documentación elaborada pro la Agencia.

Organizado por la Comisión Europea, la APDCM participó en un Seminiario de formación dirigido al personal de la Autoridad de Protección de Datos de Bosnia-Herzegovina. El seminario contó también con la participación de expertos de Alemania, Países Bajos, Polonia y Reino Unido. La intervención de la APDCM se refirió a la normativa europea que regula las transferencias internacionales de datos personales y a los diferentes mecanismos que permiten suplir la falta de adecuación de terceros países y, en

La APDCM recibió en su sede la visita de represen-tantes de la Autoridad de Protección de Datos de Albania. Esta visita se enmarca dentro del proyec-to organizado por la FIIAPP que tiene como objetivo mejorar la organización y funcionamiento de esa Au-toridad de Control.

Para poder efectuar esa mejora, la APDCM impartió el día 16 de noviembre de 2011 una sesión formativa al personal de la Autoridad de Protección de Datos de Albania, cuya delegación ha estado encabezada por su Directora.

Así, el personal de la citada Autoridad ha podido conocer, durante esta reunión de trabajo, el funcio-namiento, organización, competencias, proyectos, ejercicio de la actividad inspectora, registro de fiche-ros y la consultoría que realiza la APDCM. También se han explicado el régimen jurídico aplicable a los datos de salud y la videovigilancia y se ha hecho entrega de diversa documentación elaborada pro la Agencia.

87

datos de carácter personal, la APDCM firmo un Convenio de Cooperación con la Comisión de Transparencia e Información del Estado de Nuevo León.

11.3.- Formación a personal de otras autoridades de control.

La APDCM recibió en su sede la visita de representantes de la Autoridad de Protección de Datos de Albania. Esta visita se enmarca dentro del proyecto organizado por la FIIAPP que tiene como objetivo mejorar la organización y funcionamiento de esa Autoridad de Control. Para poder efectuar esa mejora, la APDCM impartió el día 16 de noviembre de 2011 una sesión formativa al personal de la Autoridad de Protección de Datos de Albania, cuya delegación ha estado encabezada por su Directora. Así, el personal de la citada Autoridad ha podido conocer, durante esta reunión de trabajo, el funcionamiento, organización, competencias, proyectos, ejercicio de la actividad inspectora, registro de ficheros y la consultoría que realiza la APDCM. También se han explicado el régimen jurídico aplicable a los datos de salud y la videovigilancia y se ha hecho entrega de diversa documentación elaborada pro la Agencia.

Organizado por la Comisión Europea, la APDCM participó en un Seminiario de formación dirigido al personal de la Autoridad de Protección de Datos de Bosnia-Herzegovina. El seminario contó también con la participación de expertos de Alemania, Países Bajos, Polonia y Reino Unido. La intervención de la APDCM se refirió a la normativa europea que regula las transferencias internacionales de datos personales y a los diferentes mecanismos que permiten suplir la falta de adecuación de terceros países y, en

organizado por la Comisión Europea, la APDCM participó en un seminiario de formación dirigido al personal de la Autoridad de Protección de Datos de bosnia-Herzegovina.

El seminario contó también con la participación de expertos de Alemania, Países bajos, Polonia y reino unido.

La intervención de la APDCM se refirió a la normativa europea que regula las transferencias internaciona-les de datos personales y a los diferentes mecanis-mos que permiten suplir la falta de adecuación de terceros países y, en su segunda intervención, a las especialidades de la regulación de protección de da-tos en el ámbito de la cooperación policial y judicial.

88

su segunda intervención, a las especialidades de la regulación de protección de datos en el ámbito de la cooperación policial y judicial.

Este Seminario, al igual que el anterior, fue organizado por la Comisión Europea en Skopje, capital de ese país. En el mismo se abordaron distintos aspectos de la Implantación del Plan de Acción Schengen en el área de control de fronteras y protección de datos personales con vistas a la futura incorporación de Macedonia a este espacio común europeo de libre circulación de personas. La APDCM impartió dos ponencias. La primera, de carácter más general, sobre el marco normativo europeo sobre protección de datos en el ámbito de la cooperación policial y judicial, en el que se pasó revista a los aspectos más significativos y, en particular, a los principios de la Recomendación (87) 15 sobre protección de datos en el sector policial del Consejo de Europa. La segunda presentación se centró ya en los tratamientos de datos llevados a cabo en el Sistema de Información Schengen y las garantías en materia de protección de datos que establece para el mismo el Acervo Comunitario en este entorno. En el seminario participaron también expertos locales así como otros procedentes de Bélgica, Eslovenia, Estonia y Polonia que abordaron otros aspectos de la cooperación policial y judicial, inmigración y aduanas. 12.- Actividad Internacional.

12.1.- 33 Conferencia Internacional de Protección de Datos.

La 33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad se celebró en el mes de noviembre 2011 en la Cuidad de México bajo el lema “Privacidad: la era global” y fue organizada por el Instituto Federal de Acceso a la Información (IFAI) que es la autoridad federal mexicana con competencias en transparencia administrativa y protección de datos personales. Aparte de las interesantes sesiones y debates que se produjeron durante la misma, el resultado más destacado de la conferencia fue la aprobación de la Declaración de la Ciudad de México que transmite la visión de las autoridades de protección de datos sobre las líneas maestras de la protección de la

Este seminario, al igual que el anterior, fue organi-zado por la Comisión Europea en skopje, capital de ese país.

En el mismo se abordaron distintos aspectos de la Implantación del Plan de Acción schengen en el área de control de fronteras y protección de datos personales con vistas a la futura incorporación de Macedonia a este espacio común europeo de libre circulación de personas.

La APDCM impartió dos ponencias. La primera, de carácter más general, sobre el marco normativo

memoria2011

87

Información schengen y las garantías en materia de protección de datos que establece para el mismo el Acervo Comunitario en este entorno.

En el seminario participaron también expertos loca-les así como otros procedentes de bélgica, Eslove-nia, Estonia y Polonia que abordaron otros aspectos de la cooperación policial y judicial, inmigración y aduanas.

europeo sobre protección de datos en el ámbito de la cooperación policial y judicial, en el que se pasó revista a los aspectos más significativos y, en parti-cular, a los principios de la recomendación (87) 15 sobre protección de datos en el sector policial del Consejo de Europa.

La segunda presentación se centró ya en los trata-mientos de datos llevados a cabo en el sistema de

memoria2011

89

Actividad internacional

12.

90

12. ACtiViDAD internACionAL

Actividad internacional

12.

memoria2011

91

12. ACtiviDAD internACionAl

12.1. 33aconFerenciAinternAcionAldeproteccióndedAtos

La 33ª Conferencia internacional de Autoridades de Protección de Datos y Privacidad se celebró en el mes de noviembre 2011 en la Cuidad de méxico bajo el lema “Privacidad: la era global” y fue organizada por el instituto Federal de Acceso a la información (iFAi) que es la autoridad federal mexicana con com-petencias en transparencia administrativa y protec-ción de datos personales.

Aparte de las interesantes sesiones y debates que se produjeron durante la misma, el resultado más destacado de la conferencia fue la aprobación de la Declaración de la Ciudad de méxico que trans-mite la visión de las autoridades de protección de datos sobre las líneas maestras de la protección de la privacidad en nuestra sociedad globalizada y, en particular, sobre la necesaria cooperación entre las mismas y que, por su interés, se reproduce a con-tinuación.

DECLARACIÓN DE LA CIUDAD DE MÉXICO

33ª Conferencia Internacional de Comisionados de Privacidad y Protección de Datos

Considerando que la agenda que nos ha convocado a esta 33ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en México pone de manifiesto la naturaleza global tanto

del tratamiento de los datos personales como de su protección;

Considerando que el creciente alcance global de las tecnologías de la información, tales como la internet y la telefonía móvil, constituyen un reto y una opor-tunidad para conformar una comunidad capaz de hacerles frente mediante la elaboración de normas, estándares y metodologías con alcances semejantes al de aquéllas y no obstante las diferencias cultura-les, la diversidad de actores interesados y sin reparar en los enfoques locales o regionales que se adoptan respecto a la privacidad;

Considerando que el vasto campo institucional de la protección de datos ha evolucionado de sólo un pu-ñado de autoridades a una presencia cada día más global que se expande ahora en América Latina, Asia y África, al tiempo que los marcos normativos de ma-yor tradición se encuentran actualmente inmersos en procesos de revisión tanto en Europa como en los Estados Unidos de América;

Considerando que a las autoridades de protección de datos y salvaguarda de la privacidad se les exige una protección más efectiva del derecho fundamental a la privacidad en esta nueva era de transformaciones aceleradas;

Reconociendo lo anterior, esta Conferencia ha adop-tado una resolución sobre coordinación internacio-nal para la aplicación de medidas protectoras de la privacidad (Resolution on Privacy Enforcement Co-

92


ordination at the International Level), basada en los fundamentos de la Iniciativa de Londres, así como en la Directiva Europea de Protección de Datos y los Acuerdos Asia-Pacífico de Cooperación entre Autori-dades de Protección de Datos;

Considerando que las sesiones de la 33ª Conferencia Internacional dejan ver el crecimiento expansivo de las computadoras, los medios de comunicación, el análisis de datos, y la velocidad con la que prolife-ran los datos personales, así como el desarrollo de nuevas formas de almacenamiento de información en bases de datos de gran dimensión que posibilitan el rastreo y la supervisión, así como las tecnologías ba-sadas en sensores, todo esto comúnmente conocido con el término de “big data”;

Considerando que la globalización, los “big data”, y la innovación de los servicios en la red, así como los servicios de cómputo en la nube, plantean retos aún mayores para una protección efectiva de los dere-chos fundamentales;

Considerando que la seguridad de la información personal exige que las organizaciones implementen mecanismos capaces de identificar riesgos para, con un enfoque preventivo poder mitigarlos al tiempo que reaccionar con oportunidad ante una eventualidad;

Considerando que los esquemas de autorregulación, los certificados de privacidad y el principio de res-ponsabilidad representan caminos innovadores sus-ceptibles de ser adoptados por las organizaciones y los profesionales de protección de datos y compro-meterse así activamente con la protección de datos;

Reconociendo que los profesionales y expertos de la protección de datos con independencia de que su labor la realicen desde las autoridades, las empresas o las organizaciones de la sociedad civil, dichos em-

peños serán susceptibles de ampliarse de estar ani-mados por un espíritu de cooperación y colaboración precisado para enfrentar desafíos comunes;

Considerando que los organismos no gubernamenta-les y la academia a menudo poseen de mayor cono-cimiento y sofisticación, gracias a las tecnologías de la información de las que disponen;

Los Comisionados del Instituto Federal de Acceso a la Información y Protección de Datos de la Autoridad Anfitriona instan a esta Conferencia a asumir los de-safíos que conllevan la protección de datos y la priva-cidad en una era global, mediante:

1. Comprometerse al diálogo para:

a. Compartir el conocimiento entre los países, las autoridades y las organizaciones de expertos en materia de privacidad.

b. Discutir y analizar cómo pueden establecerse prioridades por parte de las autoridades, enti-dades públicas, empresas y otras organizacio-nes, para una mejor distribución de los recur-sos disponibles para la consecución de objeti-vos comunes.

c. Explorar la manera en la cual por medio de una transparencia más efectiva, así como por otros mecanismos se puede contribuir a que los in-dividuos comprendan sus derechos y puedan proteger aquellos intereses relacionados con sus datos personales.

2. Impulsar el compartir información con las nuevas autoridades sobre la forma en la cual las organizacio-nes que emplean datos utilizan las herramientas dis-ponibles para fomentar y promover buenas prácticas en materia de privacidad; así como también la forma

memoria2011

93

en la cual la legislación protectora puede ser aplicada en forma más efectiva, cuando las herramientas para disuadir y alentar resultan ineficientes.

3. Cuidar que el diálogo al que instamos no compro-meta la independencia ni socave la efectividad de las autoridades de protección de datos.

4. Acordar que en la 34ª Conferencia Internacional de Comisionados de Privacidad y Protección de Da-tos se expongan y discutan los avances logrados me-diante el trabajo conjunto en aras de una más efectiva protección de datos en esta era de globalización y “big data”.

12.2. conFerenciAeuropeA

en el año 2011 la conferencia europea tuvo un for-mato más reducido del habitual y fue organizada en Bruselas conjuntamente por el supervisor europeo de Protección de Datos y la Presidencia del Grupo de trabajo del Artículo 29.

en la misma se aprobó una resolución sobre la nece-sidad de un marco general completo y exhaustivo en europa en el ámbito de la privacidad y la protección de datos personales. el motivo principal de la apro-bación de esta resolución fue el trabajo que en aquel momento estaban llevando a cabo la Comisión euro-pea, el Consejo de europa y la oCDe que, en parte, fructificaron con la publicación de los dos proyectos de reglamento General de Protección de Datos y de Directiva en el sector policial y judicial que llevó a cabo la Comisión en enero de 2012. en dicha resolu-ción se afirmaba que este punto volvería al orden del día de la conferencia de 2012.

La Conferencia también instruyó al Grupo de traba-jo sobre Protección de Datos en el sector Policial y

Judicial para que trabajara en la integración de sus competencias relativas a la Unión europea en el seno del Grupo de trabajo del Artículo 29. también se invitó al Gt29 a clarificar la situación y las compe-tencias de su subgrupo dedicado a estas materias y a estudiar la forma en que pudieran participar en el mismo delegaciones de estados que no fueran miembros de la Unión europea.

otra conclusión importante de la Conferencia fue la existencia de un amplio consenso entre todas las delegaciones participantes sobre los requisitos imprescindibles para que exista una supervisión efectiva. el documento preparado por el supervi-sor europeo de Protección de Datos, actualizado con los comentarios y sugerencias hechas durante la reunión, deberá servir como documento de re-ferencia a lo largo de todo el proceso de revisión del marco jurídico europeo de protección de datos personales.

Finalmente, se aprobó la admisión de las autorida-des de protección de datos de moldavia y de euro-just como miembros de pleno derecho de la Confe-rencia.

12.3. proyectoeuropeosurprise(surveillAnce,privAcyAndseucrity)

La Comisión europea aprobó este proyecto que tie-ne como objetivo analizar la videovigilancia, seguri-dad e privacidad.

este proyecto europeo, en el cual participa la APDCm, comenzará su andadura el 1 de febrero de 2012 y ten-drá una duración de tres años. La finalidad del mismo es realizar un estudio detallado de la relación existente entre la seguridad, incluyendo la videovigilancia, y la

94

• institute of technology Assessment (Líder del Proyecto).

• Agencia estatal del Consejo superior de investi-gaciones Científicas.

• the Danish Board of technology.

• european University institute.

• Verein Fur rechts-Und Kriminal soziologie.

• media opinion and market research Limited Company.

• norwegian Board of technology.

• the open University.

• Akademien Der Wissenschaften schweiz Verein.

• Unabhaengiges Landeszentrum Fuer Datens-chutz.

privacidad de los ciudadanos, ya que en ocasiones, esta relación se acepta como una merma del derecho a la privacidad a favor de la seguridad, pero en otras, los ciudadanos no están dispuestos a ver menoscaba su privacidad.

Durante la ejecución del proyecto está previsto la elaboración y difusión de diversos materiales, en-tre los cuales se encuentran la realización de un “Workshop”, un informe sobre los diferentes nive-les de seguridad, otro sobre vigilancia y seguridad, así como el respectivo informe que recoja todas las conclusiones del proyecto cuando el mismo haya finalizado.

Además de la APDCm participan los siguientes or-ganismos:


memoria2011

95

secretaría general13.

96

13. seCretAríA GenerAL

secretaría general13.

memoria2011

97

13. seCretAríA generAl

13. secretAríAgenerAl

La gestión de los medios personales, económicos y materiales se realiza por la secretaria General de la APDCm. Junto a estas funciones, podemos destacar también las siguientes:

• ejercer la secretaría del Consejo de Protección de Datos. en el año 2010 el Consejo se reunió el 22 de junio, y en la reunión se presentó la memoria de la Agencia correspondiente al año 2010 y se debatieron y estudiaron las activida-des a desarrollar por la Agencia en el año 2011.

• Llevar el inventario de bienes y derechos que inte gran el patrimonio de la Agencia. A 31 de diciem bre el inventario se compone de 848 bie-nes con un valor inicial de 699.633,39 euros.

• notificar las resoluciones del Director de la Agen cia. Durante el año 2011 se han notificado un total de 460 resoluciones, lo que supone un incremento del 59 % con respecto al ejercicio 2010.

• La difusión de datos y publicaciones, incluyen-do en particular la memoria de actividades de la Agencia, así como la puesta en funciona-miento del nuevo portal institucional Web y las publicacio nes electrónicas de la Agencia. Hay que destacar la apuesta hecha por la Agencia

por el fomento de las publicaciones electrónicas que permiten un acceso mejor y mas cómodo a la normativa sobre protección de datos.

• La gestión de los fondos documentales de la Agen cia, y en particular la formación y actuali-zación de un fondo de documentación sobre legislación, ju risprudencia y doctrina en materia de protección de datos personales y cualesquie-ra materias co nexas que forman parte del fondo documental del Centro de investigación y Docu-mentación Pablo Lucas murillo de la Cueva.

• organizar conferencias, seminarios, jornadas sobre protección de datos en la Comunidad de madrid, así como colaborar en las actividades de cooperación internacional o interregional que se le requieran a la Agencia. La secretaria General se ha encargado de la organización de todas las jornadas y eventos reflejados en esta memoria.

• Las relaciones institucionales con diversas institucio nes para firmar convenios de colabora-ción, así como el estudio y redacción del conte-nido de los mismos.

Asimismo, y en lo referente a la gestión económica del presupuesto de la APDCm, hay que destacar el alto nivel de ejecución alcanzado en el ejercicio 2011, que ha sido del 99% del presupuesto de gas-tos asig nado a este organismo.

98

capítuloi

120

100

80

60

40

20

02002 2003 2004 2005 2006 2007 2008 2009 2010 2011

85%

ejecutado no ejecutado

15%

69%

31%

91%

9%

97%

3%

90%

10%

96%

4%

100% 99%

0% 1%

100% 100%

0% 0%

capítulovi

120

100

80

60

40

20

02002 2003 2004 2005 2006 2007 2008 2009 2010 2011

82%


18%

99%

1%

100%

0%

99%

1%

100%

0%

100%

0%

94%

6%

99% 100% 100%

1% 0% 0%

totalprograma

120

100

80

60

40

20

02002 2003 2004 2005 2006 2007 2008 2009 2010 2011

88%


12%

77%

23%

94%

6%

97%

3%

94%

6%

96%

4%

100%

0%

100% 96% 99%

0%4% 1%

capítuloii

120

100

80

60

40

20

02002 2003 2004 2005 2006 2007 2008 2009 2010 2011


4%

92%

8%

99%

1%

98%

2%

100%

0%

96%

4%

99%

1%

100%

88% 97%

12%3%

96%

0%

13. seCretAríA GenerAL

Documents

2011 - WordPress.com · memoria 2011 9 en el apartado de publicaciones, además de los cinco números de la revista datospersonales.org y de la Memoria de Actividades 2010, hay que