Responsive menu mobile icon

Protección de datos. Cesiones o comunicaciones de datos personales

¿Qué requisitos deben satisfacerse para informar sobre el ingreso de un paciente? 

Como norma general, el personal de la Unidad de Atención a la Ciudadanía habrá de atenerse a la voluntad manifestada por el paciente durante su ingreso:

  • Si paciente manifiesta su deseo de informar a interesados respecto de su presencia y ubicación en el hospital, deberá proporcionársele la información respecto a dicho tratamiento de datos y demandársele la lista de personas autorizadas. Se trata pues de un consentimiento implícito.
  • Si paciente manifiesta su deseo de informar a interesados respecto de datos sensibles como la atención médica recibida, deberá solicitársele el consentimiento explícito (escrito o verbal*). El mismo habría de contener las personas autorizadas.

En ambos casos es necesario determinar la identidad del interesado empleando el procedimiento habilitado al efecto.

Determinadas circunstancias pueden aconsejar que el propio interesado contacte directamente con el paciente para que éste atienda sus necesidades de información.

(*) La conversación puede ser grabada, avalada por testigos presenciales, etc. de cara a poder demostrar la obtención del consentimiento.

¿Se pueden comunicar a los representantes de los trabajadores datos de carácter personal del personal que presta sus servicios en la Administración? 

Uno de los supuestos para habilitar el tratamiento de datos consiste en el cumplimiento de una obligación legal.

Si se trata de datos referidos a personal funcionario, la comunicación vendría habilitada de la siguiente forma:

El Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público, en su artículo 39.1 establece que “Los órganos específicos de representación de los funcionarios son los Delegados de Personal y las Juntas de Personal”, según proceda. Por otro lado, en el artículo 40 enumera las funciones atribuidas a las Juntas de Personal y a los Delegados de Personal:

  1. Recibir información, sobre la política de personal, así como sobre los datos referentes a la evolución de las retribuciones, evolución probable del empleo en el ámbito correspondiente y programas de mejora del rendimiento.
  2. Emitir informe, a solicitud de la Administración Pública correspondiente, sobre el traslado total o parcial de las instalaciones e implantación o revisión de sus sistemas de organización y métodos de trabajo.
  3. Ser informados de todas las sanciones impuestas por faltas muy graves.
  4. Tener conocimiento y ser oídos en el establecimiento de la jornada laboral y horario de trabajo, así como en el régimen de vacaciones y permisos.
  5. Vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, prevención de riesgos laborales, Seguridad Social y empleo y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes.
  6. Colaborar con la Administración correspondiente para conseguir el establecimiento de cuantas medidas procuren el mantenimiento e incremento de la productividad.

A la vista de la previsión legal que se acaba de citar, las funciones atribuidas a las Juntas de Personal por el Real Decreto Legislativo 5/2015, de 30 de octubre, pueden llevarse con un adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente, salvo que hubieran dado su consentimiento, y ello derivado de que, con carácter general, la cesión de datos no está contemplada específicamente en el Estatuto Básico del Empleado Público.

No obstante lo anterior, en el supuesto en que un empleado público haya planteado una queja ante su sección sindical, comité o junta correspondiente, relativa a sus condiciones de trabajo, será posible la cesión del dato específico de dicha persona.

Si se trata de datos referidos al personal laboral, la comunicación vendría habilitada de la siguiente forma:

El artículo 64 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, en materia de información y consulta de los trabajadores y en materia de protección de los trabajadores asalariados en caso de insolvencia del empresario, recoge las competencias del Comité de Empresa y dispone en su número 1 que: “El comité de empresa tendrá derecho a ser informado y consultado por el empresario sobre aquellas cuestiones que puedan afectar a los trabajadores, así como sobre la situación de la empresa y la evolución del empleo en la misma, en los términos previstos en este artículo.

Se entiende por información la transmisión de datos por el empresario al comité de empresa, a fin de que éste tenga conocimiento de una cuestión determinada y pueda proceder a su examen. (....)”

Y su número 7 apartado a) atribuye a dicho órgano “Ejercer una labor:

  1. De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes;
  2. De vigilancia y control de las condiciones de seguridad y salud en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley.
  3. De vigilancia del respeto y aplicación del principio de igualdad de trato y de oportunidades entre mujeres y hombres.
    1. Participar, como se determine por convenio colectivo, en la gestión de las obras sociales establecidas en la empresa en beneficio de los trabajadores o de sus familiares. (...)

Y según el apartado 9 del citado precepto:

Respetando lo establecido legal o reglamentariamente, en los convenios colectivos se podrán establecer disposiciones específicas relativas al contenido y a las modalidades del ejercicio de los derechos de información y consulta previstos en este artículo, así como al nivel de representación más adecuado para ejercerlos.”

Por otra parte, también debe tenerse presente que según el artículo 8.4 del Estatuto de los Trabajadores:

  1. El empresario entregará a la representación legal de los trabajadores una copia básica de todos los contratos que deban celebrarse por escrito, a excepción de los contratos de relación laboral especial de alta dirección sobre los que se establece el deber de notificación a la representación legal de los trabajadores.

Con el fin de comprobar la adecuación del contenido del contrato a la legalidad vigente, esta copia básica contendrá todos los datos del contrato a excepción del número del documento nacional de identidad o del número de identidad de extranjero, el domicilio, el estado civil, y cualquier otro que, de acuerdo con la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, pudiera afectar a la intimidad personal. El tratamiento de la información facilitada estará sometido a los principios y garantías previstos en la normativa aplicable en materia de protección de datos.

La copia básica se entregará por el empresario, en plazo no superior a diez días desde la formalización del contrato, a los representantes legales de los trabajadores, quienes la firmarán a efectos de acreditar que se ha producido la entrega.

De la norma expuesta podemos concluir, al igual que en el apartado anterior, que existe habilitación legal suficiente para comunicar a la representación legal de los trabajadores los datos necesarios para que puedan ejercer sus funciones, sin necesidad de proceder a una información masiva. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona.

En los demás supuestos, la función de control quedará plenamente satisfecha, mediante la comunicación de la información debidamente disociada, de forma que permita al Comité conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto.

Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.

¿Se puede facilitar a un tercero el DNI o número de teléfono existente en un expediente administrativo? 

Respecto al acceso a los expedientes administrativos, debemos distinguir lo siguiente:

  1. Si el procedimiento administrativo no ha finalizado, en virtud de lo establecido en la Ley 39/2015, de 1 de octubre, sólo podrán acceder a los datos contenidos en los expedientes quienes ostenten la condición de interesado.
  2. Si el procedimiento administrativo ha finalizado, el acceso a los datos obrantes en los expedientes se tramitaría conforme a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, cuya regla general es conceder el acceso a la información obrante en la Administración a la cual se ha dirigido la petición.

Ahora bien, dicho derecho no es ilimitado, estableciendo la propia Ley diversos límites en sus artículos 14 y 15, de los que interesa analizar aquí los establecidos en el artículo 15, relativos a la protección de datos de carácter personal.

En cuanto a los datos de DNI o número de teléfono, cabe efectuar la ponderación exigida por el artículo 15, pero también puede acudirse a lo previsto en el número 4 del artículo. De este modo, si se eliminan tales datos de las copias de los documentos que se faciliten de modo que no pueda saberse quien es la persona cuyos datos personales han sido tratados no resultaría de aplicación la normativa de protección de datos.

Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.

¿Se puede notificar la resolución de un procedimiento administrativo de forma conjunta a todos los interesados incluyendo todos sus datos de contacto? 

En este caso no resulta preciso que los datos de contacto (domicilio, dirección de correo electrónico, número de teléfono) de los interesados sean comunicados al resto aunque figuren en documentos que les deban ser trasladados, ya que podría ser contrario al principio de minimización de datos del RGPD.

Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.

En el anverso o reverso de un sobre que contiene una notificación (pe. hoja de cita) ¿puede reflejarse el nuhsa y/o el servicio/especialidad médica? 

Los datos que deben aparecer en la parte visible de la notificación deben ser los mínimos imprescindibles para que pueda practicarse la misma: nombre y apellidos y domicilio del destinatario o la referencia del expediente administrativo si fuera el caso, sin que deban incluirse otros datos que puedan revelar claramente a terceros una condición desfavorable o sensible del destinatario.

Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.

¿Podrían comunicarse los datos de los menores en situación de vulnerabilidad a los Servicios Sociales (Ayuntamiento, Mancomunidad1,...)? 

Debemos partir de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, cuyo artículo 14 establece la obligación de prestar la atención inmediata que precise cualquier menor, de actuar si corresponde a su ámbito de competencias o de dar traslado en otro caso al órgano competente y de poner los hechos en conocimiento de los representantes legales del menor, o cuando sea necesario, del Ministerio Fiscal, y en el artículo 16 se señala que son las entidades públicas competentes en materia de protección de menores las obligadas a verificar y evaluar las situaciones de desprotección que se hayan denunciado, adoptando las medidas necesarias para resolverla.

Además, también procede considerar los artículos 13, 17 y 18 de la mencionada Ley Orgánica, así como la posible existencia de normativa autonómica 2 y del ámbito territorial de los municipios agrupados en forma de mancomunidad, tanto de carácter local como la referida a servicios sociales o atención a la infancia.

Es decir, a los efectos de lo dispuesto en el RGPD, se trataría de una misión de interés público como es proteger a los menores.

En consecuencia, la comunicación de la información solicitada deberá circunscribirse a la estrictamente necesaria, en relación con la misión de interés público que realice el órgano prestador de Servicios Sociales y que estará estrechamente ligado con sus competencias y su ámbito territorial de actuación.

En definitiva, el principio de interés superior del menor no ampara una comunicación masiva de datos a los Servicios Sociales. Dicha comunicación sólo podrá tener lugar siempre que venga referida a supuestos concretos, y siempre que los datos sean necesarios para el ejercicio de competencias propias de los organismos públicos cesionarios.

En todo caso, será preciso tener especialmente en cuenta que el RGPD regula el principio de limitación de la finalidad, es decir, que los datos no podrán ser utilizados para fines incompatibles con los fines iniciales.

Por ello, la utilización de los datos para cualquier otra finalidad distinta de la relacionada con el ejercicio de las competencias en materia de atención a menores que tiene atribuidas legalmente, precisaría de otra legitimación específica a la luz de las normas de protección de datos de carácter personal.

Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.

(1) Las mancomunidades están constituidas por la agrupación voluntaria de municipios, para la gestión de servicios comunes o la coordinación de diversas actuaciones, tratándose en el presente supuesto de una mancomunidad que presta servicios sociales, y entre los mismos, se encuentran los relativos a actuaciones para proteger al menor.

(2) LEY 1/1998, de 20 de abril, de los derechos y la atención al menor (Andalucía).

¿Se pueden publicar los datos de los licitadores y actas de las mesas de contratación? ¿Y los miembros de las mesas de contratación y comités de expertos? 

El artículo 63 de la Ley 9/2017, de 8 de noviembre , de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, determina una serie de supuestos de publicación obligatoria, que en la medida que afecte a datos de carácter personal, la legitimación se fundamentaría en el artículo 6.1.c) del RGPD relativo al cumplimiento de una obligación legal.

Asimismo, debe considerarse lo siguiente:

  • Para la publicación del número e identidad de los licitadores participantes, respecto a personas físicas, además de su nombre y apellidos, será suficiente con publicar las últimas cuatro cifras del NIF.
  • Respecto al a publicación de las actas de la mesa de contratación relativas al procedimiento decontratación, no será necesario que en el contenido de las actas objeto de publicación figure las firmas del Presidente y Secretario de la mesa.
  • Respecto a la publicación de los miembros de las mesas de contratación y comités de expertos, será suficiente con publicar nombres y apellidos, y cargos de los mismos.
  • Al igual que en la pregunta-respuesta anterior, sería posible el ejercicio del derecho de oposición por los afectados.

Basado en: AEPD. Protección de datos y Administración Local.

Fecha de actualización
03/05/2019