CN09-021
DICTAMEN QUE SE EMITE EN RELACIÓN A LA CONSULTA PLANTEADA POR EL DEPARTAMENTO DE ACCION SOCIAL DE LA DIPUTACION DE XXXXX EN RELACION CON EL SERVICIO DE TELEASISTENCIA.
ANTECEDENTES
PRIMERO: Con fecha 16 de abril de 2009 tiene entrada en esta Agencia Vasca de Protección de Datos escrito de la Diputación Foral de XXXXX, solicitando informe de la Agencia Vasca de Protección de Datos. SEGUNDO: Reproducimos a continuación parte del citado escrito: “El servicio de teleasistencia es un servicio técnico, que permite a las personas usuarias entrar en contacto, a través de la línea telefónica y con un equipamiento de comunicaciones e informático específico, con un centro de atención atendido por personal específicamente preparado para dar respuesta adecuada a la situación de emergencia o de necesidad social presentada, bien por si mismo o bien movilizando otros recursos comunitarios. El servicio tiene básicamente dos funciones: proporcionar el auxilio necesario, de forma inmediata, cuando las personas usuarias se encuentran en situación de emergencia y proporcionar a las personas usuarias tranquilidad y seguridad en el desarrollo de su vida cotidiana, en aquellas otras situaciones que, si bien no constituyen emergencias, necesitan del apoyo de otras personas para su realización. De conformidad con el Decreto Foral regulador, el Decreto Foral de la Diputación Foral de XXXXX 32/2008, de 18 de marzo, de la Diputación Foral de XXXXX, por el que se regula el régimen de acceso al servicio público foral de teleasistencia y las condiciones de prestación del servicio (BOB número 82 del miércoles 30 de abril de 2008) podrán ser personas usuarias del servicio de teleasistencia las personas mayores de 60 años y las personas dependientes o discapacitadas con, al menos, un 33% de discapacidad, de cualquier edad que vivan solas o permanezcan solas la mayor parte del día y se encuentren en una situación socio-sanitaria de riesgo.
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231
[email protected] www.avpd.es
Asimismo, y de acuerdo con el artículo 11.2.h), i), j), k) y l) del citado Decreto Foral, las personas usuarias del servicio de teleasistencia estarán obligadas a : H) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para que los datos y documentos, incluidos los sanitarios, obrantes en el expediente correspondiente a la persona usuaria, puedan ser cedidos al Departamento de Interior del Gobierno Vasco (SOS-DEIAK) y a la entidad adjudicataria del desarrollo del servicio de teleasistencia de la Diputación Foral de XXXXX, a fin de prestar correcta y adecuadamente el mismo. I) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para realizar todas las consultas, así como para solicitar y facilitar datos e informes, al Servicio Vasco de Salud (Osakidetza) o a otras entidades sanitarias y administraciones de naturaleza social, que fueran necesarias con relación a la situación sanitaria y social de la persona solicitante. J) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para realizar todas las consultas que fueran necesarias en los ficheros del Departamento Foral de Hacienda y Finanzas y en los correspondientes a otras agencias tributarias al objeto de comprobar la situación económicopatrimonial de la persona solicitante. K) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para solicitar datos e importes relativos a pensiones al Instituto Nacional de la Seguridad Social y otras entidades pagadoras de pensiones y otros ingresos. L) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para que los datos de carácter personal que se integren en ficheros informatizados puedan ser utilizados con fines de producción de estadísticas e investigación científica y para las funciones propias del Departamento de Acción Social en los términos previstos por la legislación de protección de datos de carácter personal. La empresa adjudicataria, ha propuesto incorporar al sistema técnico de la central de atención, un dispositivo digital de grabación de todas las llamadas y/o alarmas de voz que se reciban en la central, advirtiendo a la persona usuaria que por su seguridad la llamada será grabada. Los archivos de sonido generados, se guardarán durante un mes. Teniendo en cuenta las autorizaciones que dispone la Diputación Foral de XXXXX con relación a los datos de las personas usuarias del servicio de teleasistencia, por parte del Servicio de Personas Mayores, se plantea si la incorporación del dispositivo digital de grabación para la mejora de la prestación del servicio, quedaría amparada por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o, sería necesario disponer de una autorización específica para ello.”
TERCERO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función:
2
“Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada.
CONSIDERACIONES I La cuestión planteada por la Diputación Foral de XXXXX consiste en determinar si “la incorporación del dispositivo digital de grabación para la mejora de la prestación del servicio, quedaría amparada por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o, sería necesario disponer de una autorización específica para ello.” Para intentar dar cabal respuesta a la consulta formulada es preciso centrarse primero en si la voz tiene la condición de dato de carácter personal, y si la grabación de la misma constituye un tratamiento. Intentaremos asimismo comprobar si esta realidad tiene una plasmación jurídica en forma de declaración del correspondiente fichero por parte de la Diputación Foral de XXXXX. Tal y como señala Rosa Abad Amorós en su trabajo “el carácter sensible de los datos biométricos”, estos datos pueden identificarse con rasgos fisiológicos o del comportamiento de una persona viva, pudiendo encuadrarse la información obtenida por los mismos en dos categorías: datos biométricos fisiológicos, que se entienden basados en datos derivados de la medida de una parte de la anatomía de una persona, (huella dactilar, rostro, diafragma, mano, retina, ADN) y los datos derivados de medidas de acciones realizadas por las personas (voz, firma). La condición de dato de carácter personal de la voz humana no ofrece duda, si nos atenemos a la definición que de estos datos se recogen en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), como en la Directiva 95/46 que esta Ley transpone al derecho interno. En su artículo 2, la Directiva define los datos de carácter personal como “Toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”
3
En cuanto a la cuestión de si nos encontramos ante un tratamiento, el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la LOPD, define los tratamientos en el artículo 5.1 t) al otorgar dicha consideración a “Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
De las anteriores consideraciones podemos concluir con que la grabación de la voz de los demandantes del servicio de teleasistencia constituye un tratamiento de datos de carácter personal. Por otro lado, el servicio de teleasistencia se encuentra regulado en el Decreto Foral 2/2008, de 18 de marzo, de la Diputación Foral de XXXXX, en cuyo artículo primero se define como “Un servicio técnico, de naturaleza social, que permite a las personas usuarias entrar en contacto, a través de la línea telefónica y con un equipamiento de comunicaciones e informático específico, con un centro de atención atendido por personal específicamente preparado para dar respuesta adecuada a la situación de emergencia o de necesidad social presentada, bien por sí mismo o bien movilizando otros recursos comunitarios.”
En el artículo 3 se regulan cuáles son las funciones de dicho servicio: “Socorro: Proporciona el auxilio necesario, de forma inmediata, cuando las personas usuarias se encuentran en situación de emergencia. Tranquilidad: Asegura a la persona usuaria que, realmente, será atendida no sólo en caso de urgente necesidad, sino también en otras situaciones que, si bien no constituyen emergencias, necesitan del apoyo de otras personas para su realización, proporcionando con ello tranquilidad y seguridad en el desarrollo de su vida cotidiana.”
Analizados los ficheros declarados por el Departamento de Acción Social de la Diputación Foral de XXXXX, se advierte que no aparece declarado como tal ningún fichero que se denomine teleasistencia, si bien dicho servicio pudiera estar englobado en algún otro fichero de contenido más amplio, en el que se incluyan diversas prestaciones sociales.
II A fin de intentar dar respuesta a la cuestión formulada, es preciso examinar tanto la normativa sectorial de telecomunicaciones, como la propia de protección de datos de carácter personal. Iniciaremos nuestro análisis con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, “relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas”.
4
Dicha Directiva, en lo que ahora interesa, prevé la necesidad de elaboración de disposiciones legales, reglamentarias y técnicas específicas con objeto de proteger los derechos y libertades fundamentales de las personas físicas y los intereses legítimos de las personas jurídicas, en particular frente a la creciente capacidad de almacenamiento y tratamiento de datos (considerando 7). En lo referente a la protección de dichos datos, establece la aplicabilidad de la Directiva 95/46/CE, en todo lo que no esté cubierto de forma específica por las disposiciones de la propia Directiva (considerando 10); y en este sentido el considerando 17 establece que “a efectos de la presente Directiva, el consentimiento de un usuario o abonado debe tener el mismo significado que el consentimiento de la persona afectada por los datos tal como se define en la Directiva 95/46/CE”. Por todo ello el artículo 5 establece que “se prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados”. Si lo anterior constituye la regla general, la propia Directiva se encarga de establecer las excepciones a la misma, y de este modo, primero el considerando 11 y posteriormente el 36 establecen que dicha Directiva “no pretende alterar el equilibrio entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros de tomar las medidas necesarias para la protección de la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho Penal” y, en consecuencia la Directiva “no afecta a la capacidad de dichos Estados para tomar las medidas necesarias para el cumplimiento de esos fines”, medidas que, entre otras, pueden abarcar la de adoptar disposiciones específicas que permitan a los proveedores de servicios de comunicaciones electrónicas ofrecer el acceso a la identificación y localización de la línea de origen sin el consentimiento previo de los usuarios o abonados de que se trate, o limitar los derechos relativos a la intimidad que la propia directiva contempla en sus artículos 5, 6, 8 y 9, cuando ello sea necesario “para atender llamadas de urgencia” (artículo 10.b) o cuando “sea proporcionado y apropiado”. Ya en el ámbito de la legislación estatal, debe necesariamente hacerse referencia a la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, la cual establece en su Título III, capítulo III el régimen jurídico de la protección de datos personales y de las obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas. Concretamente el apartado 3 del artículo 38 establece el elenco de derechos que asisten a los usuarios de los servicios de comunicaciones, del cual merece destacarse la letra d) que expresamente establece como uno de dichos derechos “A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido con
5
conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado”.
Pues bien, siguiendo un esquema parecido al de la Directiva el apartado 5 de dicho artículo 38 establece la excepción. Así dispone: “Los usuarios finales no podrán ejercer los derechos reconocidos en los
párrafos d) y f) del apartado 3 cuando se trate de llamadas efectuadas a entidades que presten servicios de llamadas de urgencia que se determinen reglamentariamente, en especial a través del número 112”
Por otro lado, también debemos abordar el análisis de la cuestión a la luz de lo dispuesto en la LOPD. Así, es importante señalar lo dispuesto en el artículo 6.2 de dicho texto legal: “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
En el artículo 7 del mismo texto legal se regulan los datos especialmente protegidos, recogiéndose en el apartado 6 la previsión siguiente: “6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.”
Como podemos observar, tanto el artículo 6.2 con carácter general, como el artículo 7.6, respecto a los datos de salud, permiten una recogida de datos obviando el requisito del consentimiento cuando se trate de proteger un interés legítimo, un interés vital del afectado cuando sea preciso para la prestación de asistencia sanitaria. Es decir, tanto la normativa sectorial en materia de telecomunicaciones, como las normas reguladoras del derecho a la protección de datos de carácter personal permitirían el tratamiento que nos ocupa, sin que fuese preciso una autorización por parte del titular del dato. A nuestro modo de ver el requisito del necesario consentimiento para la grabación de la voz estaría excepcionado por ambas normativas.
6
III Si bien hemos tratado uno de los aspectos del tratamiento de la voz, debemos de detenernos en otro de los principios básicos del derecho fundamental y que está íntimamente vinculado con el consentimiento: el principio de información. El principio de información está recogido en la LOPD en el artículo 5: “1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo. 5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
7
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.”
Del examen de la cuestión planteada en la consulta, parece que no se aporta al usuario información no sólo de que la voz será grabada, sino de que se integrará en un fichero, quién es el responsable del mismo y ante quién pueden ejercitarse los derechos de acceso, rectificación, oposición y cancelación. En caso de que así sea, deberá facilitarse la información a los usuarios del servicio. Hemos de recordar en este punto que el Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos al declarar lo siguiente: “En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios: y en su caso, requerirle para que rectifique o los cancele.” Teniendo en cuenta la naturaleza del servicio de teleasistencia, parece claro que no es preciso incluir la información a que se refiere en las letras b) y c) del apartado 1. Por otro lado, a la vista de que una de las finalidades del servicio es proporcionar auxilio a las personas que puedan encontrarse en una situación de emergencia, parece evidente que no procedería dilatar en el tiempo la recepción de las llamadas con la emisión de un mensaje previo informativo. Por ello, si bien es necesario, por imperativo del artículo 5.1 de la LOPD dar cumplimiento al deber de información al afectado, deberá utilizarse para ello algún medio alternativo que permita, sin interferir en la gestión sanitaria o en el derecho a la vida, el cumplimiento de dicho mandato; proporcionar la información en el impreso de solicitud pudiera ser una buena vía para conciliar ambos derechos.
IV Otra de las cuestiones que merecen atención es la siguiente: al existir una empresa adjudicataria (así se desprende de la solicitud de dictamen) de la gestión del servicio, en caso de que ésta tenga acceso a los datos de los usuarios, nos encontramos ante un encargado de tratamiento y por tanto, para legalizar el acceso 8
del mismo a los datos personales, deberá incluirse en el contrato celebrado con la empresa una cláusula comprensiva de los extremos a que se refiere el artículo 12 de la LOPD, que pasamos a reproducir: “1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”
V Por último, en relación con las autorizaciones a que se refiere el Decreto Foral 32/2008 de 18 de marzo, regulador del servicio de teleasistencia, señalaremos lo siguiente: dichas autorizaciones se configuran como obligaciones de los usuarios del servicio (art. 11), con la contradicción subsiguiente, pues la autorización implica una declaración de voluntad prestada de forma libre. En realidad muchos de los supuestos recogidos como autorizaciones obligatorias no son sino cesiones de datos para las que existe habilitación legal, bien en la normativa tributaria, en la de Seguridad Social, en la reguladora de las subvenciones o en la propia LOPD. Por ello, quizá resultase más adecuado desde el punto de vista de la protección de datos el separar obligaciones de autorizaciones, de tal modo que la negativa del ciudadano a otorgar las autorizaciones solicitadas no le impidiera disfrutar del servicio. Se conseguiría así una redacción más ajustada al principio de calidad al solicitar de forma obligatoria los datos adecuados, pertinentes y no excesivos. El principio de calidad opera así más que como una limitación del número y tipo de datos que pueden utilizarse, como promotor de un criterio de racionalidad en el manejo de la información.
9
A la vista de las anteriores consideraciones, por el Director de la Agencia Vasca de Protección de Datos se formula la siguiente
CONCLUSIÓN La incorporación del dispositivo digital de grabación para la prestación del servicio de teleasistencia no vulnera la normativa en materia de protección de datos de carácter personal, en los términos recogidos en el presente informe. Vitoria-Gasteiz, 24 de septiembre de 2009
10