El Informe 0033/2014 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda diversas dudas sobre la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, en relación con los tratamientos de datos personales realizados por una empresa consultante.
### Medidas de Seguridad
El informe se centra inicialmente en determinar el nivel de medidas de seguridad que deben aplicarse a los ficheros de la entidad consultante que contienen datos de sus clientes. Según el Reglamento de desarrollo, las medidas de seguridad se clasifican en tres niveles: básico, medio y alto.
– **Nivel básico**: Aplicable a todos los ficheros o tratamientos de datos personales.
– **Nivel medio**: Además del básico, se aplica a ficheros relacionados con infracciones administrativas o penales, datos gestionados por Administraciones tributarias, entidades financieras, Entidades Gestoras de la Seguridad Social, y aquellos que permitan evaluar aspectos de la personalidad o comportamiento de los ciudadanos.
– **Nivel alto**: Además de los niveles básico y medio, se aplica a ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, datos policiales sin consentimiento, y datos derivados de actos de violencia de género.
La AEPD señala que la aplicación de estas medidas depende de la tipología de la información tratada. En el caso de la empresa consultante, que maneja datos como alergias, fobias, preferencias alimenticias, y cargos públicos, se debe aplicar el nivel alto de medidas de seguridad. Sin embargo, existe una excepción para datos incidentales o accesorios, que solo requieren medidas de nivel básico.
### Principios de Proporcionalidad y Conservación
El informe subraya la importancia de los principios de proporcionalidad y conservación de datos. Los datos personales solo deben ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas. Además, deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
### Consentimiento
Para datos especialmente protegidos, como los de salud, ideología, afiliación sindical, religión y creencias, se requiere un consentimiento expreso y, en algunos casos, por escrito. La carga de la prueba de haber obtenido este consentimiento recae en el responsable del tratamiento.
### Tratamiento y Cesión de Datos
El informe también aborda el tratamiento y cesión de datos de los clientes por parte del hotel. Facilitar el número de habitación de un cliente a alguien distinto del propio cliente constituye una cesión de datos y, por tanto, requiere el consentimiento del afectado, salvo en casos excepcionales.
En el caso de grupos organizados, la AEPD indica que el tratamiento y cesión de datos para el registro documental e información a la Policía y Guardia Civil está legitimado por el Convenio de Schengen y la Ley Orgánica 1/1992 sobre Protección de la Seguridad Ciudadana. Sin embargo, la determinación del procedimiento específico para identificar a los clientes y cumplimentar el libro registro excede las competencias de la AEPD.
En resumen, el informe subraya la necesidad de aplicar medidas de seguridad adecuadas según la tipología de los datos tratados, cumplir con los principios de proporcionalidad y conservación, y obtener el consentimiento necesario para el tratamiento y cesión de datos personales, especialmente en el caso de datos sensibles.