El procedimiento de disociación en la Ley Orgánica de Protección de Datos 15/1999

Hoy, vamos a hablar del procedimiento de disociación:

¿QUÉ ES?

La finalidad del procedimiento de disociación es evitar que ciertos datos de una empresa, puedan ser relacionados con los sujetos a los que pertenecen.

En ocasiones se utiliza como un mecanismo para eludir la responsabilidad, es por ello que toca realizar un estudio exhaustivo de cada caso.

 

¿DÓNDE ESTÁ REGULADO?

El procedimiento de disociación se halla regulado en el artículo 3 de la LOPD 15/1999 “f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable”.

También, en el artículo 5.e y p del Reglamento de desarrollo de la LOPD 1720/ 2007 “p) Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.” y “e) Dato disociado: aquél que no permite la identificación de un afectado o interesado.”

 

¿QUÉ DICE LA DOCTRINA  Y LA JURISPRUDENCIA AL RESPECTO?

La disociación actúa como un elemento de estanqueidad entre la imputación o la posibilidad a una persona y el dato. Es un elemento que protege la privacidad o la intimidad del afectado, actuando como muralla para evitar la identificación de los sujetos.

La SAN, Sección 1ª, de 12 de enero de 2006, confirmó la sanción a una asociación de ortodontistas que realizó una campaña publicitaria que estaba dirigida a menores de edad. La conducta consistió en la elaboración de un fichero con información de los niños, usando como una de las fuentes el Anuario del colegio. El recurrente planteó entre otros motivos, que la información contenida en el fichero no era personal porque utilizaba la expresión “familia de (…)”, constando a continuación los apellidos.

Obviamente el tribunal rechaza estos argumentos debido a que con los apellidos se puede identificar al niño, no existiendo por lo tanto, disociación de datos.

La SAN, Sección 1ª, 8 de marzo de 2002 reafirma la sanción, a una entidad de crédito por el uso de un soporte para una finalidad incompatible. Se cedían datos provenientes de un fichero de gestión personal de sus trabajadores de diversa índole  (números de teléfono, edad, sexo…etc )  a una empresa de marketing para que realizara una investigación sobre posicionamiento y perfil de la imagen.

La sentencia consideró que no se producía una disociación de datos al contener los listados información que permitía identificar a los trabajadores.

 

¿POR QUÉ DISOCIAR?

La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, permite eximir al mismo del cumplimiento de las obligaciones que establece la LOPD. Esto nos permite, por ejemplo, la comunicación de los mismos sin la necesidad de recabar el previo consentimiento del afectado

 

¿CUÁNDO DISOCIAR?

Siempre que exista una comunicación o cesión de datos de carácter personal a un tercero. Los datos personales sólo pueden ser comunicados a una persona o entidad distinta del afectado o interesado con el consentimiento inequívoco de éste, salvo excepciones recogidas en la LOPD. En general, cuando estemos realizando una migración/copia de información con datos carácter personal desde entornos productivos a otros entornos (validación, mantenimiento, desarrollo, formación, …) .

 

¿CÓMO SE PUEDE UTILIZAR?

El uso de siglas por ejemplo, no es suficiente para que se considere que la disociación de la LOPD se cumple, porque si por ejemplo conocemos el nombre y apellidos de los empleados es fácil identificarlos por las siglas.

El proceso se realiza mediante un paquete desarrollado en PL/SQL que reside en todas las instancias de bases de datos de validación. Este procedimiento cambia valores originales de las columnas de las tablas con datos personales por valores genéricos (valores disociados).

27v30n10-13041211tab01

Ejemplo de procedimiento de disociación.

 

 

En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la LOPD, será necesario que de la aplicación de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado. En algunos supuestos, debe actuarse con especial cautela, ya que en ocasiones un dato aparentemente disociado puede asociarse a una determinada persona física.

 

Fuentes: 

-AEPD:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/reglamento_lopd/index-ides-idphp.php

 

-“LA LEY DE PROTECCIÓN DE DATOS. ANÁLISIS Y COMENTARIO DE SU JURISPRUDENCIA”, Autores: Nieves Buisán, José Arturo Fernández García, José Guerrero Zaplana, Carlos Lesmes Serrano y Lourdes Sanz Calvo. Editorial Lex Nova, Valladolid 2007.

 

– Procedimiento de disociación de datos personales  LOPD: http://www.madrid.org/arquitecturasw/images/documentacion/bbdd/actual/Seguridad/Disociacion_datos_personales.pdf

Anuncios