Preguntas frecuentes sobre protección de datos personales

No. De conformidad con el formulario que la Comunidad de Madrid pone a tu disposición, solo en el caso en que te opongas a su consulta, es cuando lo tendrás que aportar. No obstante, si el responsable de tratamiento tuviera alguna duda respecto a tu identificación, podría solicitarte información adicional.

No puedes hacer una solicitud “general” a la Comunidad de Madrid, ya que las solicitudes de ejercicio de derechos en protección de datos personales deben dirigirse al Responsable del tratamiento a quien diste tus datos, que es quien los tiene y los está tratando. En la Comunidad de Madrid los Responsables del tratamiento son los titulares de las Secretarías Generales Técnicas y de los distintos centros directivos en los que se estructura la misma. En el formulario en el que diste tus datos personales tienes la información sobre protección de datos personales y en esta se informa de quién es ese Responsable. También puedes encontrarlo en el Registro de Actividades de Tratamiento (RAT) de las consejerías de la Comunidad de Madrid.

No, los datos personales publicados en un Boletín Oficial no se pueden eliminar o “borrar”, pero sí puedes ejercer tu “derecho al olvido”. Significa que puedes solicitar al responsable del tratamiento que elimine de las listas de resultados que se obtengan tras una búsqueda realizada a partir de tu nombre y apellidos los enlaces a publicaciones, documentos o páginas web que contengan datos personales tuyos. De este modo, el enlace a ese sitio solo dejará de ser visible cuando la búsqueda se realice por tu nombre y apellidos, pero la página se mantiene inalterable en su fuente original, en este caso en el BOCM, y se seguirá mostrando cuando la búsqueda se realice por cualquier otra palabra o término distinto a tu nombre y apellidos.

Debes tener en cuenta que el derecho al olvido se concederá siempre y cuando esos datos personales sean inadecuados, inexactos, excesivos o estén desactualizados, y considerando los fines para los que se recogieron o trataron en su momento, el tiempo transcurrido y la naturaleza e interés público de la información.

Es importante que compruebes si la dirección de la página web (URL) sobre la que quieres ejercer ese derecho corresponde a un dominio, actual o ya extinto, de la Comunidad de Madrid, siendo los más frecuentes comunidad.madrid, madrid.org o bocm.es, aunque pueden existir otros.

En caso de que tuvieras dudas de si se trata o no de una web de la Administración autonómica, puedes contactar con los Delegados de Protección de Datos (consulta aquí el listado) o con el Servicio de Información y Atención al Ciudadano 012 de la Comunidad de Madrid, a través de sus distintos canales.

Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable del tratamiento al objeto de solicitar el acceso a los datos personales de aquel y, en su caso, su rectificación o supresión.

Como excepción, esas mismas personas no podrán acceder a los datos del fallecido, ni solicitar su rectificación o supresión, cuando éste lo hubiese prohibido expresamente o así lo establezca una ley.

Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

Únicamente las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a sus datos personales y, en su caso, su rectificación o supresión.

En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. En el caso de que el fallecido sea una persona con discapacidad, estas facultades también podrán ejercerse, además de por los ya indicados, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Si, aunque solo podrán suprimirse los listados de internet si el proceso selectivo y el plazo de reclamaciones han concluido. En su caso, se puede solicitar el derecho al olvido ante el Responsable del tratamiento para que los buscadores no muestren resultados cuando se busque por su nombre y apellidos.

Es aquel dato personal obtenido a través de un tratamiento técnico específico, que permite la identificación de una persona mediante sus características físicas, fisiológicas o conductuales, como pueden ser una huella digital, pliegues de flexión palmar, rasgos faciales, reconocimiento del iris, etc

Datos genéticos son aquellos datos personales relativos a las características genéticas heredadas o adquiridas de una persona física, que proporcionan una información única sobre su fisiología o salud, obtenidos del análisis de una muestra biológica de esta persona (por ejemplo, el ADN).

Cuando nos conectamos a internet, ya sea desde un ordenador, tableta o smartphone, tenemos asignada una dirección IP (dirección de protocolo de internet), consistente en un número que identifica de manera lógica y jerárquica la interfaz de red (elemento de comunicación/conexión) de cada dispositivo conectado a internet.

Esta dirección IP debe ser considerada como un dato personal cuando exista la posibilidad de poder identificar con medios razonables al usuario asociado a dicha IP.

Sí, en ambos supuestos se debe hacer efectivo el derecho de información por el medio que resulte más adecuado. Es frecuente que, en el caso de atención telefónica, se facilite la información básica mediante una locución, y por este mismo medio u otro adicional se proporcione una información complementaria más detallada. En el caso del correo electrónico, en la respuesta que se le proporcione se debe indicar al menos la información básica, siendo habitual remitir a un enlace web en el que se podrá obtener información adicional.

Es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. A efectos del RGPD, las casillas ya marcadas, el consentimiento tácito o la inacción no son un consentimiento válido.

Tiene derecho a revocarlo en cualquier momento. Retirarlo será tan sencillo como prestarlo. La retirada del consentimiento no tiene efectos retroactivos y, por lo tanto, el tratamiento previo a la retirada sigue siendo lícito.

El derecho de acceso concedido al interesado por la Ley únicamente abarca conocer la información sometida a tratamiento sobre sus propios datos personales, pero no comprende el poder facilitarte los datos identificativos de los profesionales que han accedido a tu historia clínica, ya que, entre otras razones, podría afectar a los derechos de terceras personas. Por lo tanto, tampoco deberás tener acceso, salvo consentimiento expreso del médico o facultativo, a las anotaciones subjetivas que figuren en tu propia historia clínica.

No, el centro de salud/ hospital está legitimado para tratar estos datos para prestarle una adecuada asistencia sanitaria; esta legitimación se fundamenta en el cumplimiento de una misión realizada en interés público o para proteger los intereses vitales de las personas. No obstante, en el ámbito sanitario se recaba el consentimiento informado a los pacientes, el cual deberá recogerse de forma expresa y por escrito, por ejemplo, en los siguientes casos:  

• Intervención quirúrgica.
• Procedimientos diagnósticos y terapéuticos invasores.
• Aplicación de procedimientos que suponen riesgos previsibles sobre la salud del paciente.

Sí, pero si tienen la consideración de datos de salud, será el médico o facultativo el que decida si procede la rectificación o supresión de dichos datos, bajo criterio médico, teniendo en cuenta que la historia clínica tiene como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que permitan el conocimiento veraz y actualizado del estado de salud del paciente.

No. Además del interesado, solo podrá acceder quien tenga una justificación para ello en el ejercicio de las funciones que tenga encomendadas, por ejemplo, en caso de asistencia sanitaria, de gestión de servicios sanitarios o sociales, de interés público o de gestión de una reclamación.

Sí, pero este derecho de acceso está limitado a las personas que ostentan la patria potestad, no a otros familiares.

Si los padres están separados o divorciados, el acceso depende, se deberá comprobar que no existe ninguna situación limitativa de la patria potestad de ninguno de los progenitores (por ejemplo, que no se pone en peligro la formación de los menores, que no se les trata con dureza excesiva o que no existe violencia familiar o abandono del menor).

Sí, puedes solicitar un justificante, pero deberás acreditar una vinculación con el paciente para justificar que tienes interés legítimo para ese tratamiento. En cuanto al contenido del justificante, deberá atenderse al principio de minimización de datos, por lo que figurarán los datos que sean estrictamente necesarios y pertinentes para el fin establecido (justificar tu ausencia laboral). Así, podrá incluir los datos identificativos del paciente al que acompañaste (nombre y apellidos) y la fecha y hora de ingreso y del alta. Sin embargo, no deberá especificar la enfermedad padecida, ni la unidad de ingreso ni el tipo de cirugía, ya que no son necesarios para justificar tu ausencia de tu centro de trabajo.

Sí, haciendo uso del sistema Mi Carpeta de Salud, que le permite consultar su información clínica, citas sanitarias, analíticas, etc. Igualmente, desde la aplicación móvil de Tarjeta Sanitaria Virtual, podrá acceder a distintos módulos que contienen información clínica, como su medicación, registro de vacunas, cribados, etc. 

Si, las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán acceder a la historia clínica, salvo que conste que el fallecido lo hubiese prohibido expresamente.

En principio, para facilitar datos personales de cualquier persona a terceros es necesario el  consentimiento del titular de los datos.

No obstante, si se dieran circunstancias de urgencia vital para el residente o cuando contar con la presencia de familiares o personas vinculadas por razones de hecho pudiera ser necesaria para la debida atención del usuario, el centro podría facilitar la información relativa a si la persona se encuentra o no ingresada en el centro y su ubicación, pero siempre sin indicar datos de categorías especiales o relativos a las atenciones que recibe el residente en el centro.

En cualquier caso, esa información solo podría facilitarse si el residente no se ha opuesto a que dicha información sea facilitada.

Te deben informar del tratamiento que se va a hacer con los datos personales en el mismo momento de la recogida de los datos, independientemente de que finalmente se llegue a producir el ingreso en el centro o no. Por tanto, la ficha de preingreso debe contener, al menos, la información básica de protección de datos en un lenguaje claro y sencillo, debiendo aparecer quien es el responsable del tratamiento, su finalidad, su base jurídica y la posibilidad de comunicaciones a terceros o transferencias internacionales, así como hacer referencia al ejercicio de derechos.

No. El derecho de acceso en materia de protección de datos es un derecho personalísimo y exige la acreditación de la propia persona que lo solicita o su representante, mientras que el derecho a la información pública puede ejercitarlo cualquier persona, sin necesidad de acreditar la condición de interesado, en los términos previstos en la Ley de Transparencia de la Comunidad de Madrid y resto del ordenamiento jurídico.

En los casos previstos en la Ley de Transparencia de la Comunidad de Madrid podrá facilitarse la información, si se cumplen las condiciones establecidas en la misma y teniendo siempre en cuenta los límites del derecho de acceso a la información pública previstos en la normativa sobre protección de datos de carácter personal.

Si la información contiene datos personales de especial protección, será necesaria una anonimización previa de los datos personales para poder facilitártelos. Y, en determinados casos, también será necesario el consentimiento expreso de los afectados.

Este consentimiento no será preciso cuando se trate de datos personales especialmente protegidos que el titular haya hecho manifiestamente públicos con anterioridad (por ejemplo, que se haya presentado a unas elecciones o que sea representante sindical, en el caso de datos vinculados a la ideología política, sindical o religiosa). Si se trata de datos personales de especial protección diferentes de los que expresan ideología, afiliación sindical, religión o creencias, sí es necesario solicitar el consentimiento expreso del afectado.

En todo caso, habrá que tener en cuenta el tipo de datos personales que contiene la información a la que se pretende acceder y su incidencia en la esfera personal del titular, así como el posible interés público de la divulgación de la información y las circunstancias de cada caso concreto. Es decir, se tiene que realizar una ponderación caso por caso entre la protección de datos y la transparencia para establecer si se deben facilitar o no esos datos personales. La Ley de transparencia estatal recoge algunos criterios para realizar esta ponderación.

Si eres interesado en el procedimiento, podrás acceder para el ejercicio de un derecho fundamental, como es el derecho de defensa, pero siempre se aplicará el "principio de minimización de datos” es decir, serán los adecuados, pertinentes y limitados en lo necesario para los fines que son tratados. No podrán utilizarse para una finalidad distinta a la que acredites en tu solicitud (para la defensa de tu derecho en el procedimiento que se trate o posteriormente en vía judicial).

Si no eres interesado, habrá que tener en cuenta los límites del derecho de acceso a la información pública previstos en la normativa sobre protección de datos. Y si la información contiene datos personales de especial protección, será necesario una anonimización previa de dichos datos, a no ser que el titular de dichos datos los hubiese hecho manifiestamente públicos con anterioridad (por ejemplo, que se haya presentado a unas elecciones o que sea representante sindical, en el caso de datos vinculados a la ideología política, sindical o religiosa). Si se trata de datos personales de especial protección diferentes de los que expresan ideología, afiliación sindical, religión o creencias, sí es necesario solicitar el consentimiento expreso del afectado. En el resto de los casos habrá que efectuar ponderación antes de decidir si se te pueden facilitar esos datos personales.

El Esquema Nacional de Seguridad (ENS) es un conjunto de normas cuya finalidad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

La Comunidad de Madrid, al igual que el resto de las Administraciones Públicas, está obligada a cumplir con lo dispuesto en el ENS, garantizando así a los ciudadanos que reúne las condiciones de seguridad necesarias para salvaguardar sus datos personales. Por eso consta la referencia al ENS en el Registro de Actividades de Tratamiento.

Se recomienda que cifres el archivo que contenga la información con los datos personales. Hoy en día muchos programas de uso común ofrecen la opción de cifrar archivos con contraseña. Asimismo, es recomendable que comuniques la contraseña al médico o facultativo solicitante por un medio distinto, como puede ser el teléfono. De este modo, se minimizan las posibilidades de que una persona ajena que intercepte el archivo pueda llegar a descifrarlo

La normativa de protección de datos define, de un modo amplio, las “violaciones de la seguridad de los datos personales” o “brechas de seguridad” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.” 

En materia de protección de datos se considera que hay una “violación de la seguridad” cuando el incidente afecta a datos de carácter personal, y en consecuencia dicho incidente puede comprometer al Responsable del tratamiento en el cumplimiento de los principios del Reglamento General de Protección de Datos. Por tanto, se debe tener en cuenta que, aunque todas las brechas de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente brechas de datos personales.

Si, cuando sea probable que la violación de seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades, por ejemplo, porque pudiera causar perjuicios a sus derechos fundamentales, daños físicos, daños reputacionales, etc.

No obstante, no será necesaria la comunicación a los afectados cuando:

• El Responsable haya tomado medidas técnicas y organizativas adecuadas que eviten los riesgos anteriores, minimicen los daños a los derechos y libertades, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos como el cifrado.
• El Responsable haya tomado medidas ulteriores de protección que garanticen que ya no existe la posibilidad de que se materialice el alto riesgo para los derechos y libertades del interesado como, por ejemplo, el bloqueo de credenciales de acceso o certificados digitales que pudieran haberse visto comprometidos.
• La comunicación suponga un esfuerzo desproporcionado, en cuyo caso se optará por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Sí. Los interesados cuentan con el derecho a indemnización por parte del Responsable o Encargado de tratamiento que les haya causado un daño o perjuicio material o no material, como consecuencia de una infracción normativa sobre protección de datos (por ejemplo, usurpación de identidad, reversión no autorizada de la seudonimización, etc.).

Ahora bien, no toda infracción da lugar, por sí sola, al derecho a una indemnización a favor del interesado, debiéndose demostrar la existencia de una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos.

Por otra parte, el Responsable o Encargado del tratamiento estará exento de responsabilidad si demuestra que no es responsable del hecho que haya causado los daños y perjuicios, como puede ser, por ejemplo, por tener implementadas las medidas de seguridad adecuadas y necesarias para la protección de los datos personales.

Cuando el responsable del daño o perjuicio es una Administración pública, la responsabilidad se exigirá de acuerdo con el régimen de responsabilidad patrimonial previsto en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, debiendo cumplirse los requisitos exigidos por la normativa vigente a tal efecto.

Puede presentar una reclamación bien ante el Delegado de Protección de Datos de la consejería a la que pertenezca el Responsable del tratamiento de sus datos personales, o bien ante la Agencia Española de Protección de Datos.

Una vez respondida la reclamación por parte de la Delegación de Protección de Datos puede, en caso de disconformidad, presentar una reclamación ante la Agencia Española de Protección de Datos.

En la página web de la Comunidad de Madrid se encuentra disponible el listado de contactos de los Delegados de Protección de Datos (DPD) adscritos a las distintas Consejerías, Organismos y Entes a los que puedes dirigirte en función del ámbito competencial al que corresponda la actividad en la que se estén tratando tus datos personales.

En caso de desconocer quién gestiona dicha actividad, puedes consultar el Registro de Actividades de Tratamiento de la Comunidad de Madrid (RAT) y en cada una de ellas se indica el correo DPD de contacto.

En el Registro de Actividades de Tratamiento de la Comunidad de Madrid (RAT) se proporciona una información detallada del tratamiento de los datos personales en las diferentes actividades de tratamiento que se llevan a cabo, especificándose en el apartado “Categoría de destinatarios” si se prevén comunicaciones de datos a terceros (personas físicas o jurídicas).

Es importante tener en cuenta que el RAT es dinámico y se encuentra en permanente proceso de actualización, de modo que continuamente se va incorporando y/o modificando la información que contiene el mismo, incluida la referida a estas comunicaciones.

Dependerá de las características y funcionamiento de cada servicio. No obstante, en aquellos servicios en los que se graben las llamadas, se procederá a advertir de dicha circunstancia y serás informado del tratamiento que recibirán tus datos personales (tu voz es un dato personal) por el agente que atienda la llamada o, en su caso, a través de una locución pregrabada que contenga dicha información.

Sí, por motivos de vigilancia y seguridad de las instalaciones y de las personas. Pero hay que tener en cuenta que la videovigilancia solo debe utilizarse si no existe otro medio que cause menos impacto a la privacidad y solo debe tratar los datos personales (tu imagen es un dato personal) imprescindibles para la finalidad que se persiga. En todo caso está totalmente prohibida en baños, vestuarios y similares. El número de cámaras y la grabación serán las estrictamente necesarias y los monitores nunca deben estar expuestos al público y solo podrán ser visualizados por aquellos que tengan la misión de controlar los equipos que realicen las grabaciones.

Cuando se realiza una actividad de videovigilancia por parte de responsables del tratamiento que pertenezcan a la Comunidad de Madrid, debe estar recogida en el Registro de Actividades de Tratamiento. 

Además, siempre se debe informar sobre dicha actividad a través de un cartel situado en la zona videovigilada y en el que debe constar la identificación del responsable del tratamiento, la posibilidad del ejercicio de tus derechos en materia de protección de datos y dónde puedes encontrar más información sobre el tratamiento de datos personales.

Hay que tener en cuenta que las imágenes serán suprimidas en el plazo máximo de un mes, excepto si deben ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

Sí, puedes solicitar la copia al responsable del tratamiento de tu imagen. Pero hay que tener en cuenta que solo podrás obtener una grabación de tu propia imagen; si aparecen terceras personas, las imágenes de los mismos estarán difuminadas para preservar su intimidad.

Las imágenes de cámaras de seguridad y vigilancia únicamente pueden comunicarse sin tu consentimiento cuando los destinatarios sean Jueces o Tribunales o bien se trate de Fuerzas o Cuerpos de Seguridad, que soliciten las grabaciones en el supuesto que sean necesarias para la garantizar la seguridad pública o para perseguir posibles infracciones penales.

Además, pueden comunicarse a otros, ya sean personas físicas, jurídicas u otros organismos de la Administración, pero solo si es necesario y si está previamente contemplado y declarado en la actividad de tratamiento correspondiente, que deberá figurar en el Registro de Actividades de Tratamiento.

También pueden existir casos en que los particulares pueden acceder a imágenes grabadas para conocer la identidad de un tercero, en orden a ejercer determinadas acciones judiciales o contractuales. En estos casos, el responsable del tratamiento deberá evaluar cada caso concreto para determinar si procede conceder o no el acceso a las imágenes.