CN09-021
DICTAMEN QUE SE EMITE EN RELACIÓN A LA CONSULTA PLANTEADA POR
EL DEPARTAMENTO DE ACCION SOCIAL DE LA DIPUTACION DE XXXXX EN
RELACION CON EL SERVICIO DE TELEASISTENCIA.
ANTECEDENTES
PRIMERO: Con fecha 16 de abril de 2009 tiene entrada en esta Agencia Vasca de
Protección de Datos escrito de la Diputación Foral de XXXXX, solicitando informe de
la Agencia Vasca de Protección de Datos.
SEGUNDO: Reproducimos a continuación parte del citado escrito:
“El servicio de teleasistencia es un servicio técnico, que permite a las personas usuarias entrar en contacto, a través de la línea telefónica y con un equipamiento de comunicaciones e informático específico, con un centro de atención atendido por personal específicamente preparado para dar respuesta adecuada a la situación de emergencia o de necesidad social presentada, bien por si mismo o bien movilizando otros recursos comunitarios.
El servicio tiene básicamente dos funciones: proporcionar el auxilio necesario, de forma inmediata, cuando las personas usuarias se encuentran en situación de emergencia y proporcionar a las personas usuarias tranquilidad y seguridad en el desarrollo de su vida cotidiana, en aquellas otras situaciones que, si bien no constituyen emergencias, necesitan del apoyo de otras personas para su realización.
De conformidad con el Decreto Foral regulador, el Decreto Foral de la Diputación Foral de XXXXX 32/2008, de 18 de marzo, de la Diputación Foral de XXXXX, por el que se regula el régimen de acceso al servicio público foral de teleasistencia y las condiciones de prestación del servicio (BOB número 82 del miércoles 30 de abril de 2008) podrán ser personas usuarias del servicio de teleasistencia las personas mayores de 60 años y las personas dependientes o discapacitadas con, al menos, un 33% de discapacidad, de cualquier edad que vivan solas o permanezcan solas la mayor parte del día y se encuentren en una situación socio-sanitaria de riesgo.
Asimismo, y de acuerdo con el artículo 11.2.h), i), j), k) y l) del citado Decreto Foral, las personas usuarias del servicio de teleasistencia estarán obligadas a : H) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para que los datos y documentos, incluidos los sanitarios, obrantes en el expediente correspondiente a la persona usuaria, puedan ser cedidos al Departamento de Interior del Gobierno Vasco (SOS-DEIAK) y a la entidad adjudicataria del desarrollo del servicio de teleasistencia de la Diputación Foral de XXXXX, a fin de prestar correcta y adecuadamente el mismo.
I) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para realizar todas las consultas, así como para solicitar y facilitar datos e informes, al Servicio Vasco de Salud (Osakidetza) o a otras entidades sanitarias y administraciones de naturaleza social, que fueran necesarias con relación a la situación sanitaria y social de la persona solicitante.
J) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para realizar todas las consultas que fueran necesarias en los ficheros del Departamento Foral de Hacienda y Finanzas y en los correspondientes a otras agencias tributarias al objeto de comprobar la situación económico-patrimonial de la persona solicitante.
K) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para solicitar datos e importes relativos a pensiones al Instituto Nacional de la Seguridad Social y otras entidades pagadoras de pensiones y otros ingresos.
L) Autorizar al Departamento de Acción Social de la Diputación Foral de XXXXX para que los datos de carácter personal que se integren en ficheros informatizados puedan ser utilizados con fines de producción de estadísticas e investigación científica y para las funciones propias del Departamento de Acción Social en los términos previstos por la legislación de protección de datos de carácter personal.
La empresa adjudicataria, ha propuesto incorporar al sistema técnico de la central de atención, un dispositivo digital de grabación de todas las llamadas y/o alarmas de voz que se reciban en la central, advirtiendo a la persona usuaria que por su seguridad la llamada será grabada. Los archivos de sonido generados, se guardarán durante un mes.
Teniendo en cuenta las autorizaciones que dispone la Diputación Foral de XXXXX con relación a los datos de las personas usuarias del servicio de teleasistencia, por parte del Servicio de Personas Mayores, se plantea si la incorporación del dispositivo digital de grabación para la mejora de la prestación del servicio, quedaría amparada por lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o, sería necesario disponer de una autorización específica para ello.”
TERCERO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de
Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia
Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de
Protección de Datos la siguiente función:
“Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la
normativa más arriba citada, la emisión del informe en respuesta a la consulta
formulada.
CONSIDERACIONES
I
La cuestión planteada por la Diputación Foral de XXXXX consiste en determinar si
“
la incorporación del dispositivo digital de grabación para la mejora de la prestación
del servicio, quedaría amparada por lo establecido en la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal o, sería necesario
disponer de una autorización específica para ello.”
Para intentar dar cabal respuesta a la consulta formulada es preciso centrarse
primero en si la voz tiene la condición de dato de carácter personal, y si la grabación
de la misma constituye un tratamiento. Intentaremos asimismo comprobar si esta
realidad tiene una plasmación jurídica en forma de declaración del correspondiente
fichero por parte de la Diputación Foral de XXXXX.
Tal y como señala Rosa Abad Amorós en su trabajo
“el carácter sensible de los
datos biométricos”
, estos datos pueden identificarse con rasgos fisiológicos o del
comportamiento de una persona viva, pudiendo encuadrarse la información obtenida
por los mismos en dos categorías: datos biométricos fisiológicos, que se entienden
basados en datos derivados de la medida de una parte de la anatomía de una
persona, (huella dactilar, rostro, diafragma, mano, retina, ADN) y los datos derivados
de medidas de acciones realizadas por las personas (voz, firma).
La condición de dato de carácter personal de la voz humana no ofrece duda, si nos
atenemos a la definición que de estos datos se recogen en la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante
LOPD), como en la Directiva 95/46 que esta Ley transpone al derecho interno. En su
artículo 2, la Directiva define los datos de carácter personal como
“Toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”
En cuanto a la cuestión de si nos encontramos ante un tratamiento, el Real Decreto
1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de
la LOPD, define los tratamientos en el artículo 5.1 t) al otorgar dicha consideración a
“Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
De las anteriores consideraciones podemos concluir con que la grabación de la voz
de los demandantes del servicio de teleasistencia constituye un tratamiento de datos
de carácter personal.
Por otro lado, el servicio de teleasistencia se encuentra regulado en el Decreto Foral
2/2008, de 18 de marzo, de la Diputación Foral de XXXXX, en cuyo artículo primero
se define como
“Un servicio técnico, de naturaleza social, que permite a las personas usuarias entrar en contacto, a través de la línea telefónica y con un equipamiento de comunicaciones e informático específico, con un centro de atención atendido por personal específicamente preparado para dar respuesta adecuada a la situación de emergencia o de necesidad social presentada, bien por sí mismo o bien movilizando otros recursos comunitarios.”
En el artículo 3 se regulan cuáles son las funciones de dicho servicio:
“Socorro: Proporciona el auxilio necesario, de forma inmediata, cuando las personas usuarias se encuentran en situación de emergencia.
Tranquilidad: Asegura a la persona usuaria que, realmente, será atendida no sólo en caso de urgente necesidad, sino también en otras situaciones que, si bien no constituyen emergencias, necesitan del apoyo de otras personas para su realización, proporcionando con ello tranquilidad y seguridad en el desarrollo de su vida cotidiana.”
Analizados los ficheros declarados por el Departamento de Acción Social de la
Diputación Foral de XXXXX, se advierte que no aparece declarado como tal ningún
fichero que se denomine teleasistencia, si bien dicho servicio pudiera estar
englobado en algún otro fichero de contenido más amplio, en el que se incluyan
diversas prestaciones sociales.
II
A fin de intentar dar respuesta a la cuestión formulada, es preciso examinar tanto la
normativa sectorial de telecomunicaciones, como la propia de protección de datos de
carácter personal.
Dicha Directiva, en lo que ahora interesa, prevé la necesidad de elaboración de
disposiciones legales, reglamentarias y técnicas específicas con objeto de proteger
los derechos y libertades fundamentales de las personas físicas y los intereses
legítimos de las personas jurídicas, en particular frente a la creciente capacidad de
almacenamiento y tratamiento de datos (considerando 7). En lo referente a la
protección de dichos datos, establece la aplicabilidad de la Directiva 95/46/CE, en
todo lo que no esté cubierto de forma específica por las disposiciones de la propia
Directiva (considerando 10); y en este sentido el considerando 17 establece que
“a
efectos de la presente Directiva, el consentimiento de un usuario o abonado debe
tener el mismo significado que el consentimiento de la persona afectada por los
datos tal como se define en la Directiva 95/46/CE”
. Por todo ello el artículo 5
establece que
“se prohibirán la escucha, la grabación, el almacenamiento u otros
tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico
asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los
usuarios interesados”.
Si lo anterior constituye la regla general, la propia Directiva se encarga de establecer
las excepciones a la misma, y de este modo, primero el considerando 11 y
posteriormente el 36 establecen que dicha Directiva
“no pretende alterar el equilibrio
entre el derecho de las personas a la intimidad y la posibilidad de que disponen los
Estados miembros de tomar las medidas necesarias para la protección de la
seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar
económico del Estado cuando las actividades tengan relación con asuntos de
seguridad del Estado) y la aplicación del Derecho Penal”
y, en consecuencia la
Directiva
“no afecta a la capacidad de dichos Estados para tomar las medidas
necesarias para el cumplimiento de esos fines”
, medidas que, entre otras, pueden
abarcar la de adoptar disposiciones específicas que permitan a los proveedores de
servicios de comunicaciones electrónicas ofrecer el acceso a la identificación y
localización de la línea de origen sin el consentimiento previo de los usuarios o
abonados de que se trate, o limitar los derechos relativos a la intimidad que la propia
directiva contempla en sus artículos 5, 6, 8 y 9, cuando ello sea
necesario “para
atender llamadas de urgencia”
(artículo 10.b) o cuando
“sea proporcionado y
apropiado”.
Ya en el ámbito de la legislación estatal, debe necesariamente hacerse referencia a
la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, la cual
establece en su Título III, capítulo III el régimen jurídico de la protección de datos
personales y de las obligaciones de carácter público vinculados con las redes y
servicios de comunicaciones electrónicas.
Concretamente el apartado 3 del artículo 38 establece el elenco de derechos que
asisten a los usuarios de los servicios de comunicaciones, del cual merece
destacarse la letra d) que expresamente establece como uno de dichos derechos
“A que sólo se proceda al tratamiento de sus datos de localización distintos a los datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento informado y únicamente en la medida y por el tiempo necesarios para la prestación, en su caso, de servicios de valor añadido con
conocimiento inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y duración del mismo y el servicio de valor añadido que vaya a ser prestado”.
Pues bien, siguiendo un esquema parecido al de la Directiva el apartado 5 de dicho
artículo 38 establece la excepción. Así dispone:
“Los usuarios finales no podrán ejercer los derechos reconocidos en los párrafos d) y f) del apartado 3 cuando se trate de llamadas efectuadas a entidades que presten servicios de llamadas de urgencia que se determinen reglamentariamente, en especial a través del número 112”
Por otro lado, también debemos abordar el análisis de la cuestión a la luz de lo
dispuesto en la LOPD. Así, es importante señalar lo dispuesto en el artículo 6.2 de
dicho texto legal:
“2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
En el artículo 7 del mismo texto legal se regulan los datos especialmente protegidos,
recogiéndose en el apartado 6 la previsión siguiente:
“6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.”
Como podemos observar, tanto el artículo 6.2 con carácter general, como el artículo
7.6, respecto a los datos de salud, permiten una recogida de datos obviando el
requisito del consentimiento cuando se trate de proteger un interés legítimo, un
interés vital del afectado cuando sea preciso para la prestación de asistencia
sanitaria. Es decir, tanto la normativa sectorial en materia de telecomunicaciones,
como las normas reguladoras del derecho a la protección de datos de carácter
personal permitirían el tratamiento que nos ocupa, sin que fuese preciso una
autorización por parte del titular del dato.
A nuestro modo de ver el requisito del necesario consentimiento para la grabación
de la voz estaría excepcionado por ambas normativas.
III
Si bien hemos tratado uno de los aspectos del tratamiento de la voz, debemos de
detenernos en otro de los principios básicos del derecho fundamental y que está
íntimamente vinculado con el consentimiento: el principio de información.
El principio de información está recogido en la LOPD en el artículo 5:
“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.”
Del examen de la cuestión planteada en la consulta, parece que no se aporta al
usuario información no sólo de que la voz será grabada, sino de que se integrará en
un fichero, quién es el responsable del mismo y ante quién pueden ejercitarse los
derechos de acceso, rectificación, oposición y cancelación.
En caso de que así sea, deberá facilitarse la información a los usuarios del servicio.
Hemos de recordar en este punto que el Tribunal Constitucional en su Sentencia
292/2000, de 30 de noviembre ha considerado el derecho de información como un
elemento indispensable del derecho fundamental a la protección de datos al declarar
lo siguiente:
“En fin, son elementos característicos de la definición constitucional del
derecho fundamental a la protección de datos personales los derechos del
afectado a consentir sobre la recogida y uso de sus datos personales y a
saber de los mismos. Y resultan indispensables para hacer efectivo ese
contenido el reconocimiento del derecho a ser informado de quién posee sus
datos personales y con qué fin, y, el derecho a poder oponerse a esa
posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y
empleo de los datos. Es decir, exigiendo del titular del fichero que le informe
de qué datos posee sobre su persona, accediendo a sus oportunos registros y
asientos, y qué destino han tenido, lo que alcanza también a posibles
cesionarios: y en su caso, requerirle para que rectifique o los cancele.”
Teniendo en cuenta la naturaleza del servicio de teleasistencia, parece claro que no
es preciso incluir la información a que se refiere en las letras b) y c) del apartado 1.
Por otro lado, a la vista de que una de las finalidades del servicio es proporcionar
auxilio a las personas que puedan encontrarse en una situación de emergencia,
parece evidente que no procedería dilatar en el tiempo la recepción de las llamadas
con la emisión de un mensaje previo informativo. Por ello, si bien es necesario, por
imperativo del artículo 5.1 de la LOPD dar cumplimiento al deber de información al
afectado, deberá utilizarse para ello algún medio alternativo que permita, sin
interferir en la gestión sanitaria o en el derecho a la vida, el cumplimiento de dicho
mandato; proporcionar la información en el impreso de solicitud pudiera ser una
buena vía para conciliar ambos derechos.
IV
Otra de las cuestiones que merecen atención es la siguiente: al existir una empresa
adjudicataria (así se desprende de la solicitud de dictamen) de la gestión del
del mismo a los datos personales, deberá incluirse en el contrato celebrado con la
empresa una cláusula comprensiva de los extremos a que se refiere el artículo 12 de
la LOPD, que pasamos a reproducir:
“1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.”