RECOMENDACIÓN 1/2008, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el Tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Ent

I. La Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, atribuye a la Agencia de Protección de Datos de la Comunidad de Madrid, en su artículo 15.a), la competencia de velar por el cumplimiento de la legislación de protección de datos y controlar su aplicación. En este sentido, y para cumplir con la citada competencia, el artículo 18 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de Tutela de Derechos y de Control de Ficheros de datos de carácter personal, habilita a la Agencia de Protección de Datos de la Comunidad de Madrid a llevar a cabo planes sectoriales de inspección.

Según el segundo párrafo del citado artículo 18, estos planes consistirán en analizar por cada uno de los sectores de la actividad administrativa pública, cuyos ficheros se encuentren bajo el ámbito de aplicación de la Ley 8/2001, de 13 de julio, cuál es el grado de aplicación y cumplimiento que dichos ficheros tienen respecto a los principios de protección de datos, así como garantizar que los responsables de los ficheros públicos hacen efectivo el cumplimiento de los derechos de acceso, rectificación, cancelación y oposición.

II. En cumplimiento de dicho mandato, la Agencia de Protección de Datos de la Comunidad de Madrid aprobó el 1 de marzo de 2007 el «Plan de Inspección de Servicios Sociales 2007», con el objetivo de inspeccionar a responsables de ficheros de los Servicios Sociales de la Comunidad de Madrid, incluyendo tanto a organismos públicos de la Comunidad de Madrid cuya función es la prestación de servicios sociales como a organismos de los Entes Locales de la Comunidad de Madrid que también ejercen tal función.

Así, respecto a los primeros, se han inspeccionado los ficheros: «Ingreso Madrileño de Integración» y «Reconocimiento de Minusvalías», de la Dirección General de Servicios Sociales de la Consejería de Servicios Sociales y Familia; «Seguimiento de la Unidad de Orientación a la Familia ante momentos difíciles», de la Dirección General de Familia de la Consejería de Servicios Sociales y Familia; «Historia Integral Residente», del Servicio Regional de Bienestar Social; «Adopciones» y «Comisión de Tutela», del Instituto Madrileño del Menor y la Familia; «Registro y Seguimiento de Adultos Tutelados», de la Agencia Madrileña para la Tutela de Adultos; «Historia Social» e «Historia Médica», de la Residencia de Personas Mayores Goya. En este último caso, se seleccionó una Residencia de Personas Mayores teniendo en cuenta que todas las Residencias Públicas de la Comunidad de Madrid tienen los mismos ficheros, de manera que la información obtenida en la inspección de esta Residencia permite conocer la situación de las demás.

Respecto a los segundos, se han inspeccionado los ficheros «Servicios Sociales» del Ayuntamiento de Fuenlabrada y «Sistema de Información de Usuarios de Servicios Sociales» del Área de Bienestar Social del Ayuntamiento de Coslada.

También se han inspeccionado los ficheros de datos personales gestionados por el Servicio de Atención a Mujeres Maltratadas del Ayuntamiento de Madrid y por el Centro de Acogida Temporal y Atención a Personas de Origen Subsahariano del Ayuntamiento de Madrid. Estos dos últimos organismos fueron seleccionados atendiendo a la problemática actual relativa a la violencia de género y al movimiento migratorio actual que se produce en el municipio de Madrid.

En definitiva, se ha analizado una gran diversidad de ficheros de datos personales gestionados por los servicios sociales, todos ellos con datos personales que requieren medidas de seguridad de nivel alto, que contienen datos personales heterogéneos, para conocer de primera mano cuál es el tratamiento que se les está dando y el grado de cumplimiento de la normativa de protección de datos.

III. Las inspecciones han tenido como objetivo conocer el grado de adecuación a la normativa de protección de datos, para posteriormente dictar en relación con cada organismo una Instrucción singular con medidas específicas con el objeto de que cada uno de ellos cumpla con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).

En este sentido, en las inspecciones realizadas se ha comprobado el cumplimiento del principio de calidad de datos; del principio de información; del principio del consentimiento; del tratamiento de los datos especialmente protegidos, incluyendo el tratamiento de los datos relativos a la salud; de la seguridad de los datos; del deber de secreto; del principio de comunicación o cesión de datos; del acceso a datos por cuenta de terceros; de las transferencias internacionales, y de los derechos de las personas (derecho de acceso, derecho de cancelación, derecho de oposición y derecho de rectificación).

Realizadas las comprobaciones anteriores, la Agencia de Protección de Datos de la Comunidad de Madrid ha elaborado una Instrucción individual por cada organismo inspeccionado con la finalidad de adecuar el tratamiento de los datos personales de los usuarios de los servicios sociales a la normativa de protección de datos personales.

IV. En relación con las medidas de seguridad de los ficheros no informatizados (manuales), se ha comprobado el grado de adecuación de las mismas a lo dispuesto en la Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos Sociales de la Comunidad de Madrid. En este sentido, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, regula de manera específica, por primera vez, las medidas de seguridad que deben aplicarse a los ficheros no informatizados (manuales).

V. El «Plan de Inspección de Servicios Sociales 2007» de la Agencia de Protección de Datos de la Comunidad de Madrid establece que, una vez enviadas a cada organismo inspeccionado las Instrucciones individuales, se proceda a elaborar y aprobar una Recomendación para garantizar el cumplimiento del derecho fundamental a la protección de datos personales por parte de los Servicios Sociales de la Comunidad de Madrid y de los Servicios Sociales de los Entes Locales de la Comunidad de Madrid. Esta Recomendación no sólo va dirigida a los organismos que han sido objeto de una inspección en el marco de dicho Plan, sino también al resto de organismos de Servicios Sociales de la Comunidad de Madrid, tanto a los que forman parte de la Administración Autonómica como a los que forman parte de la Administración Local.

Tanto de las inspecciones realizadas como de las Instrucciones individualizadas de adecuación a la normativa de protección de datos, se extraen una serie de criterios generales que pueden ser aplicados al resto de organismos prestadores de Servicios Sociales de la Comunidad de Madrid y de los Entes Locales de la Comunidad de Madrid, aunque los mismos no hayan sido inspeccionados.

En este sentido, se han advertido deficiencias, que se exponen en la presente Recomendación, que deben ser conocidas por el resto de los organismos para que de esta forma se ajusten a lo dispuesto en la normativa de protección de datos.

VI. Por todo ello, en el ámbito de actuación al que se refiere el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en ejercicio de la competencia que le atribuye el artículo 15.d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, esta Agencia de Protección de Datos de la Comunidad de Madrid ha estimado la necesidad de dictar una Recomendación para adecuar los tratamientos de datos personales realizados por los Servicios Sociales de la Comunidad de Madrid.

Esta Recomendación no tiene carácter normativo, sino que es un documento programático, que debe servir de referencia para los organismos públicos competentes en materia de Servicios Sociales de la Comunidad de Madrid, sin perjuicio del carácter imperativo de la normativa citada en la misma.

En su virtud, de conformidad con lo dispuesto en el artículo 15.d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, dispongo:

Artículo 1. Objeto

Esta Recomendación tiene como objeto adecuar el tratamiento de los datos personales de los usuarios de los Servicios Sociales de la Comunidad de Madrid y de los Servicios Sociales de los Entes Locales de la Comunidad de Madrid a la normativa vigente en materia de protección de datos personales.

Artículo 2. Ámbito de aplicación

Los criterios contenidos en esta Recomendación son de aplicación a los ficheros, tanto informáticos como manuales, que sean titularidad de los Servicios Sociales de la Administración de la Comunidad de Madrid y de los Entes Locales que forman parte de la Comunidad de Madrid, siempre y cuando la personalidad jurídica de los mismos sea pública y la finalidad de estos ficheros sea la prestación de servicios sociales.

Esta Recomendación no será de aplicación a los ficheros de datos personales cuyos responsables sean los Servicios Sociales que se hayan constituido en forma de sociedad anónima, de conformidad con lo previsto en la Ley 1/1984, de 19 de enero, de Administración Institucional de la Comunidad de Madrid, y en la Ley 2/1985, de 2 de abril, de Bases de Régimen Local, ni a los ficheros de datos personales cuyos responsables sean Servicios Sociales concertados o privados, sin perjuicio de que el contenido de esta Recomendación sea utilizado por los citados Servicios Sociales para cumplir con la legislación sobre protección de datos.

Artículo 3. Procedimiento de elaboración de la disposición de carácter general e inscripción de ficheros de Servicios Sociales

3.1. La creación, notificación e inscripción de ficheros relativos al tratamiento de datos por parte de los Servicios Sociales de la Administración de la Comunidad de Madrid y de los Entes Locales que forman parte de la Comunidad de Madrid se realizará mediante disposición de carácter general, que será publicada en el «Boletín Oficial de la Comunidad de Madrid» o en el «Diario Oficial» que corresponda, de acuerdo con lo dispuesto por el artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y por el artículo 4 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.

3.2. Con carácter general, el procedimiento para la creación, notificación e inscripción de ficheros de los Servicios Sociales de la Administración de la Comunidad de Madrid y de los Entes Locales que forman parte de la Comunidad de Madrid, se ajustará a lo dispuesto por el Decreto 99/2002, de 13 de junio, de Regulación del Procedimiento de Elaboración de Disposiciones de Carácter General de Creación, Modificación y Supresión de Ficheros que contienen Datos de Carácter Personal, así como su inscripción en el Registro de Ficheros de Datos Personales.

En el ámbito de la Administración General de la Comunidad de Madrid, y de conformidad con lo previsto en el artículo 4.1 de la Ley 8/2001, de 13 de julio, así como en el artículo 50.3 de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, la aprobación de la disposición se realizará por Orden de la Consejería de Familia y Asuntos Sociales o por Orden de la Consejería de Inmigración y Cooperación.

Por lo que se refiere a los Organismos Autónomos, los Órganos de Gestión y demás Entidades de Derecho Público previstos en la Ley 1/1984, de 19 de enero, Reguladora de la Administración Institucional de la Comunidad de Madrid, así como a aquellos Entes del sector público de la Comunidad de Madrid dotados de especial autonomía e independencia, y los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid, la competencia para la aprobación de la disposición se ajustará a lo previsto en el artículo 4.1 de la Ley 8/2001, de 13 de julio, así como en la Ley 1/1984, de 19 de enero, o en la normativa específica de creación o regulación de dichos Entes.

Los Entes Locales que forman parte de la Comunidad de Madrid deberán aprobar la correspondiente ordenanza municipal o cualquier otra disposición de carácter general en los términos previstos en la Ley 7/1985, de 2 de abril, Reguladora de Bases de Régimen Local, y, en su caso, en la legislación autonómica. En relación con el Ayuntamiento de Madrid, se estará, además, a la regulación específica contenida en la Ley 22/2006, de 4 de julio, de Capitalidad y de Régimen Especial de Madrid.

3.3. Salvo que el ordenamiento jurídico específicamente aplicable pueda establecer un procedimiento distinto, la iniciativa en la tramitación del procedimiento de elaboración de las disposiciones de carácter general de creación, modificación o supresión de ficheros referidos al tratamiento de datos sociales corresponderá al órgano titular de la función específica en que se concrete la competencia sobre la materia a cuyo ejercicio sirva instrumentalmente el tratamiento.

3.4. Durante el proceso de elaboración de la disposición de carácter general se recabarán, además de los informes y dictámenes previos preceptivos, cuantos estudios y consultas se estimen convenientes para garantizar la oportunidad y legalidad del texto del proyecto.

3.5. Las disposiciones de creación de ficheros de datos de carácter personal, relativas al tratamiento de datos por parte de los Servicios Sociales citados, deberán indicar en todo caso:

a) El Órgano, Ente o autoridad administrativa responsable del tratamiento de los datos.

b) El Órgano, Servicio o Unidad ante el que se deberán ejercitar los derechos de acceso, rectificación, cancelación y oposición (este apartado se cumplimentara solo en el caso de que sea diferente al Responsable del tratamiento).

c) El nombre y la descripción del fichero relativo al tratamiento de datos sociales que se crea.

d) El carácter informatizado o manual estructurado del tratamiento realizado.

e) El sistema de información al que pertenezca el tratamiento de datos sociales, en el caso de que el fichero se encuentre informatizado.

f) Las medidas de seguridad que se apliquen, con indicación del nivel básico, medio o alto exigible.

g) Los tipos de datos de carácter personal que se incluirán en el mismo.

h) La descripción detallada de la finalidad del fichero y de los usos previstos para el mismo.

i) Las personas o colectivos sobre los que se pretenda obtener datos o que resulten obligados a suministrarlos.

j) La procedencia o el procedimiento de recogida de los datos.

k) Los órganos y Entidades destinatarios de las cesiones previstas, indicando de forma expresa las que constituyan transferencias internacionales.

3.6. En el caso de que se modifique uno o varios ficheros, el proyecto de disposición de carácter general deberá contener principalmente:

a) El nombre del fichero que se modifica y el número de registro con el que figura inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid.

b) El apartado de la inscripción que se modifica, sea uno o varios de los

once que se recogen en la disposición de carácter general de los ficheros.

c) El contenido íntegro de cada uno de los apartados que se modifiquen.

3.7. Para cada uno de los ficheros que se supriman, el proyecto de disposición de carácter general deberá contener:

a) El nombre del fichero que se suprime y el número de registro con el que figura inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid.

b) El motivo por el que se suprime el fichero y el destino de los datos contenidos en el mismo.

c) Las previsiones que se adopten para su destrucción.

3.8. Elaborado el proyecto de disposición de carácter general, se abrirá una fase de alegaciones, durante un plazo no inferior a quince días hábiles, con el objeto de que las organizaciones o asociaciones legalmente constituidas y con intereses legítimos en el proyecto se pronuncien sobre el mismo. Este trámite no será necesario si las organizaciones o asociaciones referidas ya hubieran informado el proyecto en la fase previa de redacción.

3.9. Con carácter previo a su aprobación, el proyecto de disposición de carácter general, junto con las alegaciones formuladas, se remitirá a la Agencia de Protección de Datos de la Comunidad de Madrid para informe preceptivo.

3.10. La Agencia de Protección de Datos de la Comunidad de Madrid podrá recabar del Responsable del tratamiento cuanta información estime necesaria al objeto de comprobar la adecuación del proyecto de disposición de carácter general a la normativa vigente en materia de protección de datos. A tal efecto, efectuará los requerimientos necesarios en el plazo de quince días establecido por el artículo 10.3 del Decreto 99/2002, de 13 de junio, al objeto de que el responsable realice las subsanaciones o aportaciones de información solicitadas.

3.11. La falta de información, el no aportar toda la documentación indicada o la no realización de las subsanaciones requeridas en plazo será motivo de emisión de informe no favorable al proyecto de disposición de carácter general relativa al tratamiento de datos personales de carácter social que se esté tramitando.

3.12. Una vez que disponga de toda la documentación indicada, la Agencia de Protección de Datos de la Comunidad de Madrid emitirá el informe preceptivo que se le asigna como función en el artículo 15.g) de la Ley 8/2001, de 13 de julio, en el plazo máximo de quince días, notificándoselo al órgano encargado de la tramitación del proyecto de disposición de carácter general y procediendo a devolverle toda la documentación.

3.13. Posteriormente, se remitirá toda la documentación a la Secretaría General Técnica de la Consejería correspondiente, o al Órgano que resulte competente en virtud de lo dispuesto en el artículo 11 del Decreto 99/2002, de 13 de junio, para que emita informe preceptivo de conformidad con el artículo 5.7 de la Ley 8/2001, de 13 de julio, fijándose a tal efecto un plazo máximo de quince días.

3.14. En las inspecciones efectuadas en el marco de actuación del «Plan de Inspección de Servicios Sociales 2007» se ha advertido que dos organismos no tenían aprobada la correspondiente disposición general de creación del fichero inspeccionado, por lo que se les ha instado a la aprobación de la misma.

Asimismo, en otro de los organismos inspeccionados se comprobó que se recababan datos personales que no estaban previstos en la disposición general de creación del fichero, por lo que se instó a dicho organismo para que se aprobara una disposición general de modificación del citado fichero.

3.15. Por otra parte, se recomienda a la Consejería de Familia y Asuntos Sociales que la autorización administrativa de creación de los Centros de Servicios Sociales y Servicios de Acción Social regulada en los artículos 8 y siguientes de la Ley 11/2002, de 18 de diciembre, de Ordenación de la Actividad de los Centros y Servicios de Acción Social y de Mejora de la Calidad en la Prestación de los Servicios Sociales de la Comunidad de Madrid, no sea concedida hasta que el respectivo Centro o Servicio de Acción Social que haya solicitado dicha autorización no haya creado e inscrito sus ficheros de datos de carácter personal.

Artículo 4. Calidad de los datos sociales

4.1. Los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid deben determinar cuáles son los datos que se pueden recoger y cuáles no, recabando sólo aquellos datos sociales que sean pertinentes y apropiados a la finalidad que se persigue y, además, realmente necesarios, es decir, no excesivos, debiendo establecer la finalidad de forma explícita y determinada.

4.1.1. Con carácter general, la Ley 11/2003, de 27 de marzo, de Servicios Sociales de la Comunidad de Madrid, regula las diferentes prestaciones que pueden realizar los Servicios Sociales de esta Comunidad, distinguiendo tres tipos de prestaciones: De carácter técnico, de carácter económico y de carácter material, de acuerdo con las siguientes definiciones:

a) De carácter técnico: Información de los recursos sociales disponibles, y del derecho de acceso a los mismos, para facilitar la igualdad de oportunidades; valoración individualizada de la situación y de las capacidades de cada persona; orientación hacia los medios más adecuados para responder a las necesidades y demandas planteadas; asesoramiento, apoyo y acompañamiento social a personas o grupos para la superación de situaciones problemáticas; intervención social, psicológica o sociológica de orientación social para favorecer la adquisición o recuperación de funciones y habilidades personales y sociales que faciliten la integración y la convivencia social y familiar; protección jurídico-social de las personas con capacidad de obrar limitada que se encuentren en situación de desamparo; cualquier otro acto profesional que se considere necesario para garantizar una adecuada atención social.

b) De carácter económico: La renta mínima de inserción; ayudas económicas de emergencia social, de carácter extraordinario y no periódico, destinadas a facilitar la superación de situaciones en las que concurra una necesidad económica coyuntural; ayudas económicas temporales para apoyar procesos de integración social y desarrollo personal; ayudas económicas a particulares para el fomento del acogimiento familiar de menores de edad, personas mayores y personas con discapacidad; cheque-servicio, modalidad de prestación económica otorgada a personas o a familias para que con ella atiendan al pago de centros o servicios que hayan sido indicados para responder con idoneidad a su situación; ayudas económicas de análoga o similar naturaleza y finalidad que las anteriores; pensiones no contributivas de invalidez y de jubilación de la Seguridad Social, pensiones asistenciales para ancianos y enfermos incapacitados para el trabajo del extinguido Fondo Nacional de Asistencia Social, así como el subsidio de garantía de ingresos mínimos, el subsidio por ayuda de tercera persona, ambos con vigencia transitoria, y el subsidio de movilidad y compensación para gastos de transporte, previstos en la Ley 13/1982, de 7 de abril, de Integración Social de los Minusválidos.

c) De carácter material: la atención residencial, que comporta alojamiento, continuado o temporal, sustitutivo del hogar; la atención diurna, que ofrece cuidados personales, actividades de promoción y prevención o aplicación de tratamientos de forma ambulatoria; atención domiciliaria, consistente en ofrecer un conjunto de atenciones a personas o familias en su propio domicilio, para facilitar su desenvolvimiento y permanencia en su entorno habitual; teleasistencia, soporte instrumental que facilita una atención y apoyo personal y social continuos, permitiendo la detección de situaciones de crisis y la intervención inmediata en las mismas; manutención, que consiste en proporcionar alimentos preparados para su consumo, ya sea en locales de atención colectiva o en el propio domicilio del usuario; ayudas instrumentales que permitan mantener la autonomía de la persona para desenvolverse en su medio; y cualesquiera otras de naturaleza similar que se establezcan como respuesta a la evolución de las necesidades de la población y de los avances en las formas de atención.

4.1.2. En consecuencia, y en aplicación del principio de calidad, los Servicios Sociales deben recabar única y exclusivamente aquellos datos que sean estrictamente necesarios para la gestión del servicio social solicitado. Asimismo, y en el caso de que se haya recabado algún dato o datos que no sean adecuados para dicha gestión, se debe proceder por el Servicio Social que lo haya recabado a la cancelación o borrado de los mismos, sin perjuicio de la obligación de bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido este plazo deberá procederse a la supresión.

En aquellos supuestos en que la solicitud para una prestación social se haya realizado por medios electrónicos en los que el usuario declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.

Así, y a modo de ejemplo, podemos citar que, durante la ejecución del «Plan de Inspección de Servicios Sociales 2007», en una de las inspecciones se constató que se había recabado el dato personal de la homosexualidad de un usuario, por lo que, atendiendo a que dicho dato no era necesario, esta Agencia de Protección de Datos de la Comunidad de Madrid ha instado el borrado o cancelación del dato personal de la homosexualidad.

4.2. Por otra parte, los datos personales recabados en los ficheros de los Servicios Sociales para la gestión de la correspondiente prestación no pueden utilizarse para una finalidad incompatible con la que motivó su recogida. No obstante, se considera compatible el uso posterior de estos datos con fines históricos, estadísticos y científicos siempre y cuando este uso posterior se realice de forma disociada, es decir, de manera que no pueda identificarse al titular del dato personal.

Especial consideración merece el tratamiento de los datos estadísticos, ya que a través del uso estadístico de los datos sociales se van a poder analizar las necesidades y las demandas sociales tanto del Plan Estratégico de Servicios Sociales como de los Planes Sectoriales y de los Planes o Programas integrales para municipios, comarcas, barrios u otros ámbitos territoriales que lleva a cabo la Comunidad de Madrid con participación de los municipios, así como cualquier otro Plan o Instrumento de Planificación análogo que los citados municipios que presten servicios sociales elaboren para la detección de necesidades y demandas sociales.

En todos estos casos, cuando se utilicen datos de carácter personal deberá hacerse de manera disociada, no pudiendo asociarse los datos utilizados a persona física identificada o identificable.

4.3. El principio de calidad supone también que el acceso a la información no pueda realizarse de manera indiscriminada a toda la que figure en los respectivos ficheros por todos los empleados de las respectivas unidades de los Servicios Sociales correspondientes, de manera que el acceso debe estar directamente relacionado con las funciones que desarrollen cada uno de los trabajadores, debiendo definirse perfiles de acceso a cada uno de ellos según las funciones que tengan encomendadas.

En este sentido, en las inspecciones realizadas en el marco del «Plan de Inspección de Servicios Sociales 2007» se ha comprobado que mientras en algunas Unidades se especifican claramente los perfiles de acceso a los distintos bloques de datos (social y sanitario, fundamentalmente), en otras el acceso a los datos personales de los usuarios de los Servicios Sociales por parte del personal al servicio de éstos se realiza de manera indiscriminada, por lo que se ha recomendado que se configuren perfiles de acceso para que cada trabajador acceda a los datos personales de los usuarios de los Servicios Sociales que sean necesarios para realizar sus respectivas funciones laborales. Asimismo, en el supuesto de que los Servicios Sociales de la Administración de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales tengan alumnos en prácticas o en cualquier otro régimen de formación, éstos no podrán acceder a ningún tipo de datos de carácter personal de los usuarios, facilitándoles, en todo caso, la documentación de manera disociada.

4.4. Otra manifestación del principio de calidad de datos se encuentra en la cancelación de los datos de carácter personal cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. La cancelación supone el bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

En los supuestos en que no exista una regulación específica sobre los períodos de mantenimiento de los datos personales de los usuarios de los Servicios Sociales, y teniendo en cuenta, además, que el responsable del fichero es el órgano administrativo designado en la disposición de creación del fichero al que corresponde decidir sobre la finalidad, contenido y uso del tratamiento, debe ser el citado responsable del fichero el que decida cuándo los datos han dejado de ser necesarios para la finalidad para la cual fueron recabados y proceder a la cancelación y borrado de los mismos. No obstante, esta cancelación y posterior borrado de los datos personales está condicionada a que haya transcurrido el tiempo legalmente establecido para ejercer las acciones civiles, penales o administrativas que puedan derivarse del tratamiento de los datos personales.

De esta forma, en las Instrucciones individualizadas enviadas a los organismos inspeccionados se ha instado a los mismos a que procedan a la cancelación de los datos personales de los usuarios de los Servicios Sociales cuando hayan dejado de ser necesarios para la finalidad que motivó su recogida, no debiendo ser conservados de forma que permitan la identificación de los usuarios de los Servicios Sociales durante un período de tiempo superior al necesario para los fines en virtud de los cuales han sido recabados.

4.5. En las inspecciones realizadas en el marco de ejecución del citado «Plan de Inspección», se ha comprobado el grado de cumplimiento en relación con las historias sociales en formato papel de lo dispuesto en la Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada. En este sentido, en las historias sociales en formato papel, en cuya documentación puede encontrarse la ficha social, el proyecto de intervención social y el informe social, a los efectos de la cancelación de datos personales, deberán diferenciarse dos momentos de la historia social:

4.5.1. Cuando la historia social está «activa» por tener utilidad para la prestación social del usuario. En este supuesto, deberá conservarse, durante el tiempo en que se esté prestando la asistencia social y, con posterioridad, un mínimo de tiempo desde que dicha asistencia social finalice y se considere que puede ser útil para posibles nuevas actuaciones. En relación con este plazo, es susceptible de aplicación analógica el plazo que la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, establece para la historia clínica, esto es, cinco años, como mínimo, contados desde que haya finalizado la prestación social correspondiente.

4.5.2. Cuando, transcurrido el plazo anterior, la historia social pierde su utilidad convirtiéndose en «pasiva», debiendo conservarse únicamente a efectos judiciales. En este caso, se deberá trasladar la documentación de la historia social al archivo central correspondiente.

4.6. No se considerará finalidad incompatible el uso de los datos personales contenidos en los ficheros de los Servicios Sociales de la Comunidad de Madrid y de los Entes Locales del ámbito territorial de la Comunidad de Madrid para el envío de comunicaciones personalizadas para realizar campañas informativas de interés público-social para los sectores de población afectados.

Especialmente, la Administración Pública u Órgano administrativo competente podrá enviar comunicaciones personalizadas siempre que éstas vayan referidas a la apertura de nuevas instalaciones de servicios sociales, así como a nuevas prestaciones sociales, siempre y cuando, y como ya se ha dicho en el párrafo anterior, vayan dirigidas a dichos sectores de población, o, en otras palabras, a usuarios potenciales.

No obstante lo anterior, se reputará especialmente incompatible con la finalidad del fichero el tratamiento de los datos personales para el envío de comunicaciones personalizadas cuando, a través de la información o de la presentación de la campaña promovida, se pretenda la difusión de mensajes de contenido político.

En alguna de las inspecciones realizadas durante la ejecución del «Plan de Inspección de Servicios Sociales 2007» se ha comprobado que los Servicios Sociales realizan campañas de información de nuevas prestaciones, si bien se ha instado, a través de las Instrucciones individuales dirigidas a los organismos inspeccionados, a que estas campañas tengan como destinatarios, únicamente, a los colectivos afectados por dichas prestaciones.

Artículo 5. Derecho de información en la recogida de datos sociales

5.1. Los organismos de Servicios Sociales que recaben datos personales para la gestión de las prestaciones sociales deben informar a los usuarios, cuando se proceda a la recogida de sus datos personales, en los siguientes términos:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las distintas preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del fichero.

Este deber de información en la recogida de datos personales deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del usuario. Los organismos prestadores de servicios sociales, y que sean responsables de ficheros, deberán conservar el soporte en el que conste el cumplimiento del deber de informar. En el caso de almacenamiento de los soportes, los centros podrán utilizar medios informáticos o telemáticos, concretamente, podrán proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Según se ha constatado durante la ejecución del «Plan de Inspección de Servicios Sociales 2007», en la mayoría de los casos, la recogida de datos personales se realiza mediante formularios o impresos, o a través de entrevista personal, si bien también cabe la posibilidad de que los datos personales se recaben mediante otros instrumentos, tales como el teléfono, Internet o mensajes SMS. En estos casos, también se deberá dar cumplimiento a lo dispuesto en el artículo 5 de la LOPD.

5.2. Asimismo, también se comprobó que varios de los organismos inspeccionados no cumplían plenamente con el derecho de información en la recogida de datos personales, verificándose que los formularios que a continuación se enumeran no cumplen con el artículo 5 de la LOPD, ya que si bien existe una cláusula informativa, la misma no se ajusta con exactitud al citado artículo: «Pensiones no contributivas de la Seguridad Social», «Solicitud de autorización de centros y servicios sociales», «Solicitud de estancia temporal en residencia para personas mayores», «Protección a las familias numerosas», «Solicitud de inscripción en el Registro de Entidades de acción social y servicios sociales de la Comunidad de Madrid», «Solicitud de pensión de invalidez no contributiva», «Solicitud de pensión de jubilación no contributiva», «Solicitud de plaza con carácter temporal en centros para personas con minusvalías afectadas de deficiencia mental», «Solicitud de plaza con carácter temporal en centros de atención a personas con minusvalía afectadas de discapacidad física y/o sensorial», «Solicitud de plaza en centros de atención a personas con minusvalía afectadas de discapacidad física y/o sensorial», «Solicitud de plaza para comedor para personas mayores», «Solicitud de reconocimiento del grado de minusvalía», «Solicitud de renta mínima de inserción», «Solicitud de documentación necesaria para la apertura de expediente de adopción internacional», «Solicitud de ayudas al estudio para alumnos con discapacidad matriculados en las Universidades Públicas de la Comunidad de Madrid, centros adscritos a las mismas y centros asociados a la UNED en Madrid», «Solicitud y adjudicación de plaza en residencia de personas mayores financiadas parcialmente», «Solicitud y adjudicación de plazas en centros de día para atención diurna de personas mayores» y «Solicitud y adjudicación de plaza en residencia para personas mayores».

Todos los formularios citados en el párrafo anterior deberán adecuarse al cumplimiento del artículo 5 de la LOPD, sustituyendo la cláusula que figura en la actualidad en dichos documentos por una cláusula cuyo texto dé cumplimiento a lo previsto en el citado artículo 5.

Se ha comprobado, igualmente, la existencia de formularios de recogida de datos sin ninguna cláusula informativa, como es el caso del formulario de «Solicitud de acogimiento familiar de menores», por lo que se insta a los Servicios Sociales de la Administración de la Comunidad de Madrid y a los Servicios Sociales de los Entes Locales del ámbito territorial de la Comunidad de Madrid a que den efectivo cumplimiento al derecho de información en la recogida de datos personales, procediendo a incluir en todos los formularios de recogida de datos una cláusula que se ajuste a lo dispuesto en el artículo 5 de la LOPD.

En los mismos términos deberá informarse a los usuarios de los Servicios Sociales cuando los datos personales se recaben por teléfono, mensajes SMS o Internet, debiendo articular el Centro de Servicios Sociales algún procedimiento para cumplir con el citado deber con carácter previo a la recogida de los datos.

Asimismo, también deben adecuarse al cumplimiento del artículo 5 de la LOPD todos los formularios citados anteriormente, sustituyendo la cláusula que figura en la actualidad en dichos documentos por una cláusula cuyo texto dé cumplimiento a lo previsto en el citado artículo 5 de la LOPD.

5.3. También se ha comprobado en las inspecciones realizadas en la ejecución del «Plan de Inspección de Servicios Sociales 2007» que algunos Servicios Sociales informan del artículo 5 de la LOPD mediante carteles informativos. Esta práctica se considera como correcta siempre y cuando los datos personales de los usuarios no se recaben a través de formularios o impresos.

5.4. Para cumplir con este deber de información en la recogida de datos personales, debe tenerse en cuenta el actual movimiento migratorio, de manera que los Centros de Servicios Sociales, como mejor práctica, podrían informar a los inmigrantes en su respectiva lengua de origen, en los términos descritos en el artículo 5 de la LOPD. Así, durante la ejecución del «Plan de Inspección de Servicios Sociales 2007» se ha comprobado que algunos organismos disponen de una cláusula para dar cumplimiento al artículo 5 de la LOPD en inglés, francés, chino, árabe y rumano.

5.5. No obstante, cabe la posibilidad de no proceder al cumplimiento de este deber cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia de Protección de Datos de la Comunidad de Madrid.

En el primero de los supuestos, no existe en la actualidad ninguna norma con rango legal, ya sea en materia de Servicios Sociales o en cualquier otra materia que afecte al ejercicio de las funciones de las Administraciones Públicas, que exima del cumplimiento de este deber.

El segundo de los supuestos tiene lugar cuando los datos personales se utilizan de forma disociada, de manera que si los datos personales no pueden identificar a una persona, se hace innecesario cumplir con el deber de información.

En el tercero de los supuestos, el responsable del fichero deberá solicitar de la Agencia de Protección de Datos de la Comunidad de Madrid la exención de cumplimiento del derecho de información, motivando en su petición las causas por las cuales el cumplimiento de este derecho conlleva esfuerzos desproporcionados.

Artículo 6. Consentimiento del usuario para el tratamiento de sus datos sociales

6.1. Con carácter general, y de conformidad con el artículo 6.1 de la LOPD, el usuario debe autorizar al Centro de Servicios Sociales correspondiente el tratamiento de sus datos personales, pudiendo dicho usuario ejercer el control sobre el uso de dichos datos personales.

Este consentimiento debe ser previo e inequívoco al tratamiento, salvo en los casos previstos en el artículo 6.2 de la LOPD: «Cuando así lo establezca una norma con rango de Ley, cuando los datos sean recogidos para el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus competencias, cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y los datos personales son necesarios para el mantenimiento y cumplimiento de ésta, cuando el tratamiento tenga por finalidad proteger un interés vital del interesado y éste se encuentre física o jurídicamente incapacitado para dar su consentimiento y cuando los datos figuren en fuentes accesibles al público».

Según se ha constatado durante la ejecución del «Plan de Servicios Sociales 2007», en la mayoría de los casos el consentimiento de los usuarios de los Servicios Sociales es prestado de conformidad con el artículo 6.1 de la LOPD, es decir, el usuario de los Servicios Sociales presta su consentimiento para el tratamiento de sus datos personales.

En este sentido, como buena práctica, tal y como hacen algunos Servicios Sociales de los inspeccionados en el marco del «Plan de Inspección de Servicios Sociales 2007», se podría solicitar por los Servicios Sociales el consentimiento de forma escrita.

No obstante lo anterior, también se ha comprobado en las inspecciones realizadas que en otros supuestos no se presta el consentimiento de los usuarios, puesto que es de aplicación la excepción del artículo 6.2 de la LOPD, como, por ejemplo, cuando la Policía, Juzgados y Tribunales tratan los datos personales de violencia de género para depurar responsabilidades.

Por último, en el supuesto concreto de la Agencia Madrileña para la Tutela de Adultos, al constituirse ésta en tutor legal de las personas tuteladas, corresponde a dicha Agencia prestar el consentimiento de los adultos tutelados que tiene a su cargo.

6.2. Debe diferenciarse la prestación del consentimiento del usuario, previsto en el artículo 6 de la LOPD, del deber de información al que se refiere el artículo 5 de la LOPD. En el primer caso, es el usuario el que presta el consentimiento para el tratamiento de sus datos personales. En el segundo caso, es el Centro de Servicios Sociales el que debe informar al usuario, antes de la recogida de datos, en los términos descritos en el artículo 5 de la presente Recomendación.

Además, debe tenerse presente en todo momento que el consentimiento del usuario está referido sólo y exclusivamente al concreto uso de sus datos personales, es decir, a la concreta finalidad para la que sus datos personales están siendo tratados, y que si se pretende utilizar dichos datos para una finalidad distinta, deberá contarse previamente con el consentimiento del usuario.

6.3. En relación con el tratamiento de los datos personales de menores, también se ha comprobado que, con carácter general, en los organismos inspeccionados se requiere el consentimiento de los padres o tutores cuando los menores tienen menos de catorce años.

Asimismo, también con carácter general, cuando el Instituto Madrileño del Menor y la Familia ejerce funciones de tutela de menores en situación de desamparo, corresponde al mismo prestar el consentimiento de los menores cuando la edad de éstos es inferior a catorce años. Si fuesen mayores de dicha edad, les corresponderá a éstos prestar el consentimiento.

No obstante lo anterior, en relación con los mayores de catorce y menores de dieciséis años, tanto en el supuesto de los menores sometidos a la patria potestad de sus padres, como de los menores sobre los que ejerce funciones de tutela el Instituto Madrileño del Menor y la Familia, cuando la prestación del consentimiento para el tratamiento de sus datos personales se encuentre vinculado a situaciones de riesgo social que puedan afectar a su integridad física o al libre desarrollo de su personalidad, podrá recabarse el consentimiento de los padres o tutores legales.

Artículo 7. Datos sociales especialmente protegidos

7.1 El artículo 16.2 de la Constitución Española establece que nadie puede ser obligado a declarar sobre su ideología, religión o creencias.

En este sentido, la LOPD considera como datos especialmente protegidos los datos personales relativos a la ideología, afiliación sindical, religión y creencias, así como los datos personales que hagan referencia al origen racial, a la salud y a la vida sexual. Si bien respecto a los primeros sólo se puede llevar a cabo el tratamiento de los mismos con el consentimiento expreso y por escrito del usuario, respecto a los segundos, sólo podrán ser recabados cuando por razones de interés general así lo disponga una Ley o cuando el usuario consienta expresamente.

Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá al usuario acerca de su derecho a no prestarlo.

7.2. No obstante lo anterior, y atendiendo al principio de universalidad (los Servicios Sociales deben estar disponibles y ser accesibles para todos, con independencia de quién esté obligado a su provisión o su pago) y al principio de igualdad (derecho a acceder y utilizar los Servicios Sociales sin discriminación por motivos de raza, sexo, discapacidad, orientación sexual, estado civil, edad, ideología, creencia o cualquier otra condición o circunstancia personal o social), los supuestos en los que se recaben datos relativos a la ideología, religión, creencias, afiliación sindical, origen racial y vida sexual tendrán carácter excepcional, y deberán venir justificados por el carácter de la propia prestación social. Así, por ejemplo, el dato referente a la raza podría ser recabado para el otorgamiento de una subvención a una determinada etnia.

Por lo tanto, los Servicios Sociales de la Administración de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid sólo podrán recabar datos especialmente protegidos en aquellos supuestos en que dichos datos sean estrictamente necesarios para la gestión de los Servicios Sociales.

Se ha constatado durante la ejecución del «Plan de Inspección de Servicios Sociales 2007» que en algún supuesto se exige el dato personal de la raza, como puede ser el caso de la atención a las personas víctimas de la violencia de género o en el caso de adopciones internacionales, así como el dato de la religión.

Si bien en el primer supuesto se recaba el dato personal de la raza de acuerdo a lo descrito en el párrafo 7.1, cumpliendo con la LOPD, en el segundo de los supuestos, al no solicitarse el consentimiento expreso y por escrito para recabar el dato personal de la religión, se ha instado al organismo inspeccionado a solicitarlo de tal forma. Asimismo, también se constató en algunos casos la recogida de datos personales relativos a la salud. Esta recogida se realiza de acuerdo a lo establecido en el artículo 7 de la LOPD, es decir, en los casos en que por razones de interés general así lo disponga una Ley o cuando el usuario consienta expresamente. En ambos supuestos, se ha instado a los organismos que recaban este tipo de datos especialmente protegidos a que adviertan a los usuarios acerca de su derecho a no facilitarlos.

Artículo 8. Seguridad de los datos sociales

8.1. Los Servicios Sociales de la Administración de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Administración de la Comunidad de Madrid deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que éstos puedan perderse, alterarse, utilizarse o ser accesibles por personas no autorizadas.

Las medidas de seguridad tanto para los ficheros informatizados como para los ficheros manuales se encuentran reguladas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: En los artículos 89 a 104, las relativas a los ficheros informatizados, y en los artículos 105 a 114, las relativas a los ficheros no informatizados (manuales). El citado Real Decreto 1720/2007, de 21 de diciembre, ha introducido por primera vez las medidas de seguridad para los ficheros no informatizados. En este sentido, la Agencia de Protección de Datos de la Comunidad de Madrid, en su Recomendación 1/2005, de 5 de agosto, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid, ya recomendaba una serie de medidas de seguridad a adoptar en la historia social no informatizada, coincidentes en su mayoría con las previstas en el citado Reglamento.

Asimismo, se distinguen tres niveles de seguridad: Básico, medio y alto. En el ámbito que nos ocupa, con carácter general, los ficheros de datos de carácter personal deberán tener las medidas de seguridad de nivel medio o alto. A los ficheros que contengan datos derivados de actos de violencia de género les corresponden también las medidas de seguridad de nivel alto.

En este sentido, uno de los criterios que se utilizó a la hora de seleccionar los ficheros inspeccionados en el marco del «Plan de Inspección de Servicios Sociales 2007» es que los mismos tuviesen las medidas de seguridad de nivel alto.

8.2. Se ha constatado en las inspecciones efectuadas que las deficiencias en materia de seguridad respecto a los ficheros informatizados son de diversa índole. Así, en algún caso, no existía registro de incidencias, registro de accesos, no estaba designado un responsable de seguridad o no se hacían copias de seguridad, por lo que en la presente Recomendación se insta a los «Servicios Sociales» que no cumplan con las medidas de seguridad a adecuar las mismas a la normativa aplicable.

8.3. En relación con los ficheros no informatizados (manuales), se ha comprobado si las medidas de seguridad cumplían con lo dispuesto en la Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos Sociales de la Comunidad de Madrid. En este sentido, si bien la mayoría de las medidas de seguridad de este tipo de ficheros ya aparecían en la citada Recomendación 1/2005, debe señalarse que los Servicios Sociales de la Comunidad de Madrid y Servicios Sociales de los Entes Locales de la Comunidad de Madrid deberán cumplir las medidas reguladas en el Real Decreto 1720/2007, de 21 de diciembre.

Artículo 9. Del documento de seguridad de los ficheros con datos sociales

9.1. Una de las medidas de seguridad más importante y exigible en los tres niveles de seguridad (básico, medio y alto) es el documento de seguridad. Si bien esta medida era ya aplicable a los ficheros de datos personales informatizados, con la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, esta medida de seguridad se aplica también a los ficheros no informatizados (manuales).

El documento de seguridad podrá ser único y comprensivo de todos los ficheros o bien individualizado para cada fichero. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización, cuyo contenido mínimo deberá ajustarse a lo dispuesto en el artículo 88.3 del Real Decreto 1720/2007, de 21 de diciembre.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados, debiendo adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

9.2. En este sentido, en las inspecciones realizadas se ha comprobado que cuatro de los ficheros inspeccionados no contaban con documento de seguridad, por lo que a través de las correspondientes Instrucciones individuales se ha instado a estos organismos a que adopten el citado documento de seguridad.

El resto de ficheros inspeccionados cuenta con el citado documento y, en líneas generales, se puede decir que su contenido se ajusta a lo dispuesto en el artículo 88.3 del Real Decreto 1720/2007, de 21 de diciembre. Sólo en un caso, un fichero inspeccionado, pese a contar con el documento de seguridad, su contenido no cumplía plenamente con el citado artículo 88.3.

Artículo 10. De las auditorías de seguridad de los ficheros con datos sociales

10.1. Otra de las medidas de seguridad especialmente importantes es el sometimiento cada dos años, y a partir del nivel medio de seguridad, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad del fichero auditado.

Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas, y quedarán a disposición de la Agencia de Protección de Datos de la Comunidad de Madrid.

10.2. En este sentido, la Agencia inició en el año 2004 un «Plan Anual de Auditorías», requiriendo a los responsables de ficheros de nivel medio y alto el informe de auditoría de los mismos con los citados niveles de seguridad. Una vez realizada la auditoría, los responsables de ficheros envían el resultado de la misma a la Agencia para su estudio y valoración.

10.3. En consecuencia, se ha recordado a los organismos inspeccionados en el marco de ejecución del «Plan de Inspección de Servicios Sociales 2007» que sigan cumpliendo con la obligación de realizar una auditoría bienal de sus respectivos ficheros y que el informe de auditoría sea enviado a la Agencia.

Artículo 11. El deber de secreto en los datos sociales

11.1. El deber de secreto, respecto a los datos personales tratados, es una obligación que corresponde al responsable del fichero, al encargado de tratamiento, si lo hubiera, y a todos aquellos que intervengan en cualquier fase del tratamiento de datos de carácter personal, incluso finalizada la relación laboral que permitió el acceso al fichero.

Este deber de secreto tiene que ser cumplido por el personal al servicio de los Servicios Sociales de la Administración de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid, tanto si se trata de personal funcionarial como de personal laboral, y con independencia de que su relación laboral sea indefinida o temporal.

La Agencia de Protección de Datos de la Comunidad de Madrid recomienda la inclusión de cláusulas específicas en esta materia, que deben suscribir las Administraciones Públicas con sus empleados públicos.

La firma de este tipo de cláusulas supone una garantía formal de cumplimiento de este deber. Durante la ejecución del «Plan de Inspección de los Servicios Sociales 2007» se comprobó que no en todos los organismos inspeccionados los trabajadores habían firmado un documento en el que se comprometieran a cumplir con este deber de secreto.

11.2. Además de la regulación general del deber de secreto contenido en el artículo 10 de la LOPD, el ordenamiento jurídico ha regulado este deber de secreto para determinados colectivos. Así, el artículo 95.1 de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia, establece que todas las personas que presten servicios en las Instituciones Colaboradoras de Integración Familiar están obligadas a guardar secreto de cuanta información obtengan en relación a los menores, tanto de los guardados como de los que se promueva su acogimiento o adopción; o el artículo 40 del Decreto 147/2002, de 1 de agosto, por el que se aprueba el Reglamento de la Renta Mínima de Inserción, en virtud del cual las Administraciones Públicas actuantes tomarán las medidas oportunas para que, en el curso del procedimiento administrativo, quede garantizada la confidencialidad de los datos suministrados por los solicitantes.

11.3. Por lo tanto, y para cumplir con el deber de secreto, se recomienda que todo el personal que trabaje en los Servicios Sociales de la Administración de la Comunidad de Madrid o en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid firme un documento en el que se dé efectivo cumplimiento al deber de secreto.

Artículo 12. Cesión de datos personales en materia de Servicios Sociales

12.1. La comunicación o cesión de datos personales tiene lugar cuando los datos del usuario se comunican a un tercero. Para que se produzca la cesión de datos personales en el ámbito de los Servicios Sociales deben concurrir dos requisitos: El primero, que la cesión se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario; el segundo, el consentimiento previo del interesado.

Sin embargo, existen una serie de supuestos regulados en la LOPD en relación con los cuales no es necesario el segundo de los requisitos. En estos casos, la cesión de datos personales tiene lugar sin el consentimiento previo del afectado o interesado. Dichos supuestos se encuentran en el artículo 11.2 de la LOPD.

En las inspecciones realizadas en el marco del «Plan de Inspección de Servicios Sociales 2007» se comprobó que los organismos inspeccionados ceden datos personales de conformidad con las excepciones reguladas en el artículo 11.2 de la LOPD.

El citado artículo establece como primera excepción a la regla general del consentimiento para la cesión de datos personales del usuario, que la cesión esté autorizada por una Ley.

Debe tratarse de una norma con rango de Ley, no siendo posible que la cesión de datos personales se ampare en una norma de carácter reglamentario.

En el caso de los Centros de Servicios Sociales de la Administración de la Comunidad de Madrid y los Centros de Servicios Sociales de los Entes Locales de la Comunidad de Madrid, se ha comprobado en las inspecciones realizadas en el marco de ejecución del «Plan de Inspección de Servicios Sociales 2007» las siguientes cesiones de datos personales amparadas en una norma con rango de Ley:

1. Artículo 6.2 de la Ley 1/2007, de 21 de febrero, de Mediación Familiar de la Comunidad de Madrid: Podrán inscribirse en el Registro de Mediadores Familiares de la Comunidad de Madrid quienes cumplan con los requisitos previstos en dicha Ley. Los colegios profesionales podrán colaborar en la gestión del Registro de Mediadores Familiares dependiente de la Dirección General competente en materia de familia mediante la creación de registros auxiliares. En este caso, los profesionales colegiados podrán acceder al Registro a través de su colegio profesional de procedencia, quien comunicará, a la Dirección competente en materia de familia, las altas, bajas y modificaciones registrales en la forma que se establezca reglamentariamente.

2. Artículo 22.3 de la Ley 11/2002, de 18 de diciembre, de Ordenación de la Actividad de los Centros y Servicios de Acción Social y de Mejora de la Calidad en la Prestación de los Servicios Sociales de la Comunidad de Madrid: Las Entidades titulares, sus representantes legales y el personal que se encuentre como responsable de los Centros y Servicios estarán obligados a facilitar a la inspección el acceso a las instalaciones y el examen de los documentos, libros y datos estadísticos que sean preceptivos, así como a suministrar toda la información necesaria para conocer el cumplimiento de las exigencias determinadas en la normativa vigente en materia de Servicios Sociales.

3. Artículo 16.3 de la Ley 18/1999, de 29 de abril, Reguladora de los Consejos de Atención a la Infancia y a la Adolescencia: En aquellos casos de menores en los que se valore la conveniencia de adoptar medidas urgentes como consecuencia de que se puedan encontrar en una situación de riesgo grave, los servicios que puedan tener conocimiento de dicha situación lo notificarán a la Entidad Pública con competencia en protección de menores y, en su caso, además, al Juzgado que corresponda.

4. Disposición adicional octava de la Ley 40/2003, de 18 de noviembre, de Protección a las Familias Numerosas: Se entenderá que la solicitud de condición de familia numerosa conlleva el consentimiento para la cesión de datos de carácter personal necesarios para la comprobación de ingresos económicos de la unidad familiar por parte del órgano gestor.

5. Artículo 20.2 de la Ley 5/1996, de 8 de julio, de Defensor del Menor de la Comunidad de Madrid: En la fase de comprobación e investigación de una queja, o de un expediente iniciado de oficio, el Defensor del Menor, o la persona en quien él delegue, podrán personarse en cualquier dependencia pública o privada, concernida por la comprobación o investigación, para verificar cuantos datos fueran menester, hasta hacer las entrevistas personales pertinentes, o proceder al estudio de los expedientes y documentación necesaria. A estos efectos, no podrá negársele el acceso a ningún expediente o documentación que esté relacionado con la actividad o servicio objeto de la investigación.

6. Artículo 52 de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia: Cuando un Centro prestador de Servicios Sociales tenga conocimiento de que un menor se encuentra en situación de desamparo, se iniciará por el órgano competente de la Administración Autonómica el oportuno expediente, habilitándose expresamente la competencia para poder solicitar informes de cuantas personas u organismos puedan facilitar datos relevantes para el conocimiento y la valoración de la situación socio-familiar del menor, sin necesidad de obtener el consentimiento previo del interesado.

12.2. Otra de las manifestaciones de las cesiones de datos amparadas en una Ley es el supuesto de que la cesión tenga como destinatario a los responsables de carácter político, ya sea a los concejales de los municipios, ya sea a los parlamentarios de la Asamblea de la Comunidad de Madrid.

Respecto a la cesión a los concejales, podrán acceder a los datos solicitados, sin previo consentimiento de los usuarios, cuando dicho acceso sea necesario para el desarrollo de sus competencias municipales o el ejercicio de sus funciones de control de la Corporación, en los términos previstos en la Ley 7/1985, de 2 de abril, de Bases de Régimen Local. Es imprescindible que en la petición de información efectuada por el concejal, cuando se refiera a datos de carácter personal, se determine la finalidad a la que se van a destinar los datos solicitados. Asimismo, se deberá informar al concejal solicitante que no podrá usar los datos personales para una finalidad distinta que la que ha motivado su petición y que debe guardar secreto respecto a los datos personales objeto de la recepción.

Respecto a la cesión de datos personales a los diputados de la Asamblea de Madrid, la misma se encuentra amparada por el artículo 18 del Reglamento, de 30 de enero de 1997, de la Asamblea Legislativa de la Comunidad de Madrid.

Esta cesión de datos personales a un diputado de la Asamblea de Madrid está amparada por la Ley y, siempre que su finalidad sea el control de la acción del Gobierno de la Comunidad de Madrid, tendría amparo legal.

Si bien, como se ha citado anteriormente, son cesiones amparadas en la Ley, en las inspecciones llevadas a cabo se ha verificado que ninguno de los organismos inspeccionados había cedido datos personales en estos dos supuestos.

12.3. Otro supuesto específico de cesión de datos personales es aquel en que la comunicación tiene como destinataria a la Intervención de la Comunidad de Madrid o a la Intervención del Ente Local correspondiente.

En el primero de los casos, la cesión está amparada por los artículos 82 y 83.3.c) de la Ley 9/1990, de 8 de noviembre, de Hacienda de la Comunidad de Madrid.

En el segundo de los supuestos, la habilitación legal viene dada por el artículo 133.h) de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, y por los artículos 194 a 203 de la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales.

Se ha comprobado en las inspecciones realizadas que ambas cesiones de datos personales tienen lugar, con carácter general, para comprobar la legalidad financiera en aquellos casos en que los usuarios de los Servicios Sociales reciben algún tipo de prestación económica por parte de los diferentes Centros de Servicios Sociales.

12.4. El resto de supuestos contemplados en el artículo 11.2 de la LOPD que habilitan la cesión de datos personales de los usuarios de los Servicios Sociales de la Comunidad de Madrid y de los Servicios Sociales de los Entes Locales de la Comunidad de Madrid sin consentimiento de su titular son los siguientes:

a) Cuando se traten datos recogidos de fuentes accesibles al público.

b) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que se limite a la finalidad que la justifique.

Del mismo modo que no es necesario el consentimiento para recabar los datos de una persona si los datos se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa, tampoco lo es para comunicar (ceder) los datos a un tercero, siempre que sea preciso y necesario para el cumplimiento y control de la relación jurídica establecida. Esta relación jurídica puede ser de carácter laboral, administrativa, asociativa, corporativa, negocial o contractual. En el ámbito que nos ocupa, esta relación jurídica se establece entre los usuarios y los Centros de Servicios Sociales de la Comunidad de Madrid y los Centros de Servicios Sociales de los Entes Locales de la Comunidad de Madrid, de manera que en ocasiones será necesario comunicar datos a un tercero, comunicación que se puede realizar sin el consentimiento del usuario, siempre y cuando la finalidad de la cesión venga derivada de las competencias en materia de servicios sociales de las Administraciones Públicas citadas.

c) Cuando la comunicación tenga por destinatarios al Defensor del Pueblo, al Ministerio Fiscal o a los Jueces o Tribunales o al Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas o, en su caso, a Instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

En estos casos, la petición judicial deberá ser motivada, concretando los datos personales o documentos a los cuales se quiere acceder y que sea preciso conocer para la actuación o investigación en curso. En ningún caso podrán cederse datos personales de forma indiscriminada.

Así, y fruto de las inspecciones realizadas en el «Plan de Inspección de Servicios Sociales 2007», se puede citar el artículo 112 de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia, que contempla de forma expresa el libre acceso del Ministerio Fiscal al Registro de Tutelas y al Registro de Guardas, en los cuales deben encontrarse inscritos todos los menores cuya tutela o guarda sea constituida.

d) Cuando la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

El primero de los supuestos se fundamenta en caso de colisión de los derechos a la vida o integridad física y el derecho a la protección de datos, dado que prevalece el citado derecho a la vida y a la integridad física. Respecto al segundo de los supuestos, en ocasiones, para la prestación de Servicios Sociales se recaban datos de salud, por lo que podría tener lugar esta cesión de datos personales sin consentimiento del usuario, siempre que el estudio epidemiológico se realice en los términos que establezca la legislación específica sobre sanidad.

En este sentido, la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, dispone que los datos relativos a la salud serán cedidos a la Administración Sanitaria de la Comunidad de Madrid por parte de los responsables de los ficheros, cualquiera que sea su titularidad, cuando resulten necesarios para la prevención de la enfermedad o la realización de estudios epidemiológicos. Asimismo, como se ha señalado, la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, exige que los datos de identificación personal del paciente se separen de los de carácter clínico-asistencial, de forma que quede asegurado el anonimato del paciente, salvo que haya dado su consentimiento para no separarlos.

Al igual que en los casos anteriores, en las inspecciones realizadas se ha comprobado que esta cesión de datos personales tienen lugar de acuerdo con la Ley Orgánica de Protección de Datos.

e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

12.5. La regulación de las cesiones de datos personales entre Administraciones Públicas se completa con el régimen jurídico previsto en el artículo 21 de la LOPD. En virtud de dicho artículo, se pueden distinguir otros dos tipos de cesiones de datos personales entre Administraciones Públicas en las que no es necesario el consentimiento del afectado o interesado:

-Cuando la cesión de datos personales entre las Administraciones Públicas tenga lugar para el ejercicio de las mismas competencias o materias.

Con carácter general, y salvo que esté expresamente contemplado en una Ley, este tipo de cesión requiere una interpretación jurídica de la normativa aplicable. En consecuencia, se recomienda a los Servicios Sociales de la Comunidad de Madrid y a los Servicios Sociales de los Entes Locales de la Comunidad de Madrid que, con carácter previo a realizar la cesión de datos personales, soliciten informe a la Agencia de Protección de Datos de la Comunidad de Madrid, que valorará si la cesión se ajusta o no al ordenamiento jurídico vigente.

-En el supuesto en que se trate de datos personales que una Administración obtenga o elabore con destino a otra.

En relación con este caso, se puede citar, a título de ejemplo, que en la inspección realizada en el fichero «Ingreso Madrileño de Integración» de la Dirección General de Servicios Sociales, se comprobó que, de conformidad con el artículo 18 de la Ley 15/2001, de 27 de diciembre, de Renta Mínima de Inserción en la Comunidad de Madrid, las solicitudes para esta ayuda económica se presentan en los Centros Municipales de Servicios Sociales, los cuales remiten la documentación recibida a la Consejería de Familia y Asuntos Sociales para su posterior tramitación.

12.6. La LOPD también regula en su artículo 22.2 las cesiones a las fuerzas y cuerpos de seguridad y establece que la recogida y tratamiento de datos de carácter personal por las fuerzas y cuerpos de seguridad para fines policiales se realizará sin consentimiento de las personas afectadas siempre que obedezca a dos finalidades: la prevención de un peligro real para la seguridad pública o la represión de infracciones penales.

Tratándose de datos especialmente protegidos, el propio artículo 22, en su apartado 3, establece que en estos supuestos la recogida y tratamiento podrá realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que correspondan a los órganos jurisdiccionales.

Esta posibilidad de recogida y tratamiento deriva de la actividad de investigación policial reconocida a las fuerzas y cuerpos de seguridad en la Ley Orgánica 2/1986, de 16 de marzo, sobre Fuerzas y Cuerpos de Seguridad del Estado (artículo 11).

Dado que la LOPD, al tratarse de un acceso a datos personales que tienen la consideración de especialmente protegidos, establece que la actuación policial debe tener un control de legalidad, se entiende que, en estos supuestos, la petición policial debería venir autorizada preferentemente por el órgano judicial correspondiente y debería motivarse, concretando los documentos de la historia social que sean precisos conocer para la investigación, procediéndose por el Centro al envío de una copia de los mismos o a facilitar el acceso dentro del propio Centro.

En este caso, podemos citar como ejemplo las cesiones de datos personales relacionados con la violencia de género del fichero «Servicios Sociales» del Ayuntamiento de Fuenlabrada a las Fuerzas y Cuerpos de Seguridad del Estado, realizadas al amparo de lo dispuesto en la Ley Orgánica 1/2004, de 28 de diciembre, de Medidas de Protección Integral contra la Violencia de Género.

12.7. En el caso de la Agencia para la Tutela de Adultos, corresponderá a esta la prestación del consentimiento para la cesión de datos personales de los adultos sobre los cuales ejerce la tutela.

En el supuesto del Instituto Madrileño del Menor y Familia, con carácter general, el consentimiento para la cesión de datos personales de los menores tutelados en situación de desamparo corresponderá a este Instituto cuando la edad de dichos menores sea inferior a catorce años. Si fuesen mayores de dicha edad, les corresponderá a estos prestar el consentimiento para la cesión.

No obstante lo anterior, en relación con los mayores de catorce y menores de dieciséis años, cuando la prestación del consentimiento para la cesión de sus datos personales se encuentre vinculado a situaciones de riesgo social que puedan afectar a su integridad física o al libre desarrollo de su personalidad podrá recabarse el consentimiento del propio Instituto Madrileño del Menor y la Familia.

Artículo 13. Acceso a datos por cuenta de terceros en materia de Servicios Sociales

13.1. En ocasiones, los Centros o Instituciones Públicas prestadores de Servicios Sociales contratan o acuerdan mediante convenio con terceros la prestación de determinados servicios que requieren el tratamiento, por parte de aquéllos, de datos personales de empleados, usuarios del servicio, residentes, familiares u otros ciudadanos. Es obligación del responsable del fichero garantizar que los contratos firmados a estos efectos recogen las garantías precisas sobre el tratamiento de datos de carácter personal recogido en sus ficheros y, en particular, las referencias indicadas en el artículo 12 de la LOPD: Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará a otras personas.

En el contrato se establecerán, asimismo, las medidas de seguridad a las que se refiere el artículo 9 de la LOPD, estando el encargado del tratamiento obligado a implementarlas. Terminada la relación contractual, los datos sociales manejados se devolverán al responsable o se destruirán, según se haya acordado.

Por otra parte, el Real Decreto 1720/2007, de 21 de diciembre, regula la posibilidad de que el encargado del tratamiento subcontrate a su vez el servicio que ha contratado con el responsable del fichero.

Para que esta subcontratación tenga lugar será necesario que el encargado del tratamiento haya obtenido la autorización del responsable del fichero. Esta subcontratación se efectuará siempre en nombre y por cuenta del responsable del fichero.

13.2. Durante la realización del «Plan de Inspección de Servicios Sociales 2007» se comprobó la existencia de encargados del tratamiento cuyo contrato con el Servicio Social correspondiente no se adecuaba a lo dispuesto en el artículo 12 de la LOPD.

También se comprobó que, en algunos casos, los Servicios Sociales tienen contratados a trabajadores autónomos, que a su vez, están colegiados en el Colegio de Psicólogos o en el Colegio de Trabajadores Sociales. En este supuesto, estos trabajadores autónomos también deben firmar un documento con el contenido citado anteriormente, ya que se les considera encargados del tratamiento. En el «Plan de Inspección de Servicios Sociales 2007» se verificó que el documento firmado a tal efecto no se ajustaba con exactitud a lo dispuesto en el artículo 12 de la LOPD.

No obstante lo anterior, también se ha comprobado que, como buena práctica, algún organismo tiene incluidas cláusulas referentes al artículo 12 de la LOPD en los contratos de limpieza y seguridad de instalaciones.

En consecuencia, la Agencia de Protección de Datos de la Comunidad de Madrid insta a los Servicios Sociales de la Comunidad de Madrid y a los Servicios Sociales de los Entes Locales de la Comunidad de Madrid a la utilización de cláusulas-tipo en los contratos sobre tratamiento de datos personales para dar efectivo cumplimiento al artículo 12 de la LOPD.

13.3. Por otra parte, y de conformidad con lo dispuesto en el artículo 9.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, el responsable de la contratación del Servicio Social correspondiente deberá comunicar a la Agencia de Protección de Datos de la Comunidad de Madrid cualquier contrato que celebre y que suponga el tratamiento de datos de carácter personal por parte de un tercero, con anterioridad a su perfeccionamiento.

Artículo 14. Derechos de acceso, rectificación, cancelación y oposición

14.1. Estos derechos asisten al ciudadano en el tratamiento de sus datos personales, debiendo ser facilitado su ejercicio por los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid, cumpliendo con las formas y plazos establecidos por la LOPD y no obstaculizando en forma alguna su ejercicio, debiéndose motivar jurídicamente, en su caso, la denegación del ejercicio de alguno de estos derechos.

En este sentido, la mayoría de los organismos inspeccionados durante la realización del «Plan de Inspección de Servicios Sociales 2007» no tienen a disposición de los usuarios ningún modelo para el ejercicio de estos derechos por parte de los usuarios de los Servicios Sociales.

En consecuencia, y para facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, los Servicios Sociales deberán poner a disposición de los usuarios algún modelo que permita el ejercicio de estos derechos. En este sentido, y respecto a los organismos inspeccionados, la Agencia de Protección de Datos de la Comunidad de Madrid ha facilitado modelos para ejercitar los citados derechos.

14.2. Contra la denegación o no satisfacción en el ejercicio de estos derechos, los usuarios podrán presentar ante la Agencia de Protección de Datos de la Comunidad de Madrid la reclamación correspondiente, tramitando la Agencia para la resolución de la misma un expediente contradictorio denominado expediente de tutela de derechos.

La tramitación de este expediente de tutela de derechos se ajustará a lo dispuesto en los artículos 3 a 6 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal.

Artículo 15. Transferencias internacionales

15.1. Con carácter general, y de conformidad con la LOPD, en aquellos casos en que los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid vayan a transferir datos personales en el ámbito de actuación de los citados Servicios Sociales a otros países que no sean de la Unión Europea, será necesaria la autorización del Director de la Agencia Española de Protección de Datos, siempre que al país al que se vayan a transferir los datos personales no proporcione un nivel de protección equiparable al de la LOPD, y sin perjuicio de que la legislación específica exija más requisitos para proceder a la transferencia internacional. No obstante, el artículo 34 de la LOPD recoge una serie de excepciones a esta regla general.

En este sentido, podemos citar el artículo 13.3 de la Ley 54/2007, de 28 de diciembre, de Adopción Internacional, que establece que la transferencia internacional de los datos a autoridades extranjeras de adopción únicamente se efectuará en los supuestos expresamente previstos en la citada Ley y en el Convenio de La Haya de 29 de mayo de 1993, relativo a la protección del niño y a la cooperación en materia de adopción internacional.

De conformidad con las inspecciones realizadas durante la ejecución del «Plan de Inspección de Servicios Sociales 2007», en el ámbito de los Servicios Sociales estas transferencias internacionales tienen lugar, sobre todo, en materia de adopciones internacionales, en las que existen convenios con terceros países, y en materia de tutelados extranjeros, respecto de los que es posible intercambiar información con terceros países.

Aplicación de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos

Cuando los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid comiencen a prestar sus servicios de manera electrónica, de acuerdo a lo regulado en la Ley 11/2007, de 22 de junio, se deberán cumplir las referencias contenidas a la LOPD en el articulado de la misma.

Aplicación de la Ley 37/2007, de 16 de noviembre, sobre Reutilización de la Información del Sector Público

La reutilización de documentos por parte de los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid que se realice en los términos establecidos en la Ley 37/2007, de 16 de noviembre, deberá llevarse a cabo sin que los mismos contengan datos de carácter personal, salvo que medie consentimiento previo de los usuarios.

Aplicación de la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las Personas en Situación de Dependencia

La recogida y tratamiento de datos personales de las personas en situación de dependencia deberá ajustarse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y demás normativa de aplicable, todo ello sin perjuicio, de las garantías que en materia de protección de datos regula la Ley 39/2006, de 13 de diciembre.

De los ficheros de violencia de género. El Real Decreto 1720/2007, de 21 de diciembre, ha considerado que sobre los datos personales referentes a violencia de género deben implantarse las medidas de seguridad de nivel alto.

Asimismo, el artículo 28 de la Ley 5/2005, de 20 de diciembre, Integral contra la Violencia de Género de la Comunidad de Madrid, insta a los Servicios Sociales, incluyendo los específicos que regula esa Ley, tales como los Centros de Emergencia y los Centros de Acogida, a garantizar el derecho a la intimidad de las mujeres y de sus familiares o personas que convivan con ellas que puedan beneficiarse de las medidas contenidas en la citada Ley.

En consecuencia, se velará por preservar el carácter confidencial de las causas que dan lugar a que las interesadas se beneficien de las medidas recogidas en esa Ley, con estricto respecto en todo caso a las disposiciones contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en la Ley 8/2001, de 13 de julio, de Protección de Datos Personales en la Comunidad de Madrid.

De la publicación de sanciones por la comisión de infracciones graves y muy graves en materia de Servicios Sociales

La Ley 49/2007, de 26 de diciembre, por la que se establece el régimen de infracciones y sanciones en materia de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad, permite la publicación de las resoluciones sancionadoras en materia de Servicios Sociales, de manera que la resolución firme en vía administrativa de los expedientes sancionadores por faltas graves y muy graves será hecha pública, cuando así lo acuerde la autoridad administrativa que la haya adoptado, para lo que se recabará, con carácter previo, el oportuno informe de la Agencia Española de Protección de Datos o la autoridad autonómica que corresponda.

Por ello, los Servicios Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la Comunidad de Madrid deberán solicitar, con carácter previo a dicha publicación, informe de la Agencia de Protección de Datos de la Comunidad de Madrid.

DISPOSICIÓN FINAL.

Esta Recomendación entrará en vigor al día siguiente de su publicación en el «Boletín Oficial de la Comunidad de Madrid».