Curso Lopd Turismo 09 (Sin Anexos)

LLLLA A A A PPPPROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE ROTECCIÓN DE

DDDDATOS ATOS ATOS ATOS PPPPERSONALESERSONALESERSONALESERSONALES

legalización de ficheros

medidas de seguridad

infracciones y sanciones

recogida de datos

Copyright Nexo Abogados 2009200920092009

Temario jornadas LOPD

- 1 -

Índice de Contenidos

1. Introducción a la protección de datos personales. ............................................ - 2 -

2. Legislación aplicable. ......................................................................................... - 4 -

3. Conceptos básicos............................................................................................. - 5 -

4. Derechos de los Afectados. ............................................................................. - 11 -

5. Obligaciones del responsable del fichero y del encargado del tratamiento. ... - 14 -

6. Las medidas de seguridad. .............................................................................. - 15 -

7. Infracciones y Sanciones. ................................................................................. - 16 -


- 2 -

1. Introducción a la protección de datos personales.

En los últimos tiempos estamos siendo testigos de un auge de las Tecnologías que ya hoy se han impuesto en nuestra vida cotidiana como uno de los más importantes y fundamentales recursos de que disponemos para facilitar nuestra actividad diaria tanto en lo que se refiere, por ejemplo, a la búsqueda de información, como al desarrollo de negocios desde esta nueva perspectiva.

Además, la naturaleza de estas Tecnologías hace que su crecimiento y expansión sea mucho más rápido, según estamos comprobando, que cualquiera que hayan experimentado los medios y fórmulas tradicionales.

Junto con estas Tecnologías, la propagación del fenómeno de Internet y el progreso tecnológico en general, cobra especial importancia la recogida, almacenamiento y posterior utilización de los datos sobre clientes (también potenciales clientes), proveedores o cualquier persona que pueda intervenir en el proceso productivo de la empresa, ya que las nuevas herramientas de que se dispone están permitiendo rentabilizar al máximo el tratamiento de esos datos. Todo ello permite a las empresas dotar a los datos personales que recogen de nuevas y valiosas utilidades: campañas personalizadas de marketing, automatización de los procesos en que interviene cualquier fichero de datos, acceso rápido y ordenado a los datos personales, etc. Se trata en definitiva de gestionar eficazmente la información, uno de los principales recursos de las empresas para la necesaria innovación y el correcto desarrollo de su actividad.

Tratándose esta información de un valioso recurso para las empresas, su utilización debe pues verse sometida a determinados límites que la regulen de manera que no se vean vulnerados ciertos derechos fundamentales de los que cualquier persona física es titular, tales como los derechos al honor, a la intimidad personal y familiar y a la propia imagen, todos ellos reconocidos constitucionalmente1.

Sin embargo, esta necesidad de protección no es algo nuevo. Ya la derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), trataba de proteger el ejercicio de los derechos fundamentales de los ciudadanos en lo que pudieran verse afectados por la utilización de sus datos personales. Ahora bien, determinados factores, tales como falta de medios y recursos por parte de la

1 Además de los derechos fundamentales mencionados, los cuales guardan estrecha relación con la Protección de Datos Personales, no debemos obviar la consideración del Derecho a la Protección de los Datos Personales como un derecho autónomo e independiente.


- 3 -

Administración, su enfoque exclusivo al tratamiento automatizado de los datos y, sobre todo una verdadera falta de concienciación social, han influido para que la norma citada no tuviera, hasta hoy, aplicación práctica2.

Debido tanto a la inaplicación de la anterior regulación como a los imperativos comunitarios, ha sido necesaria la elaboración de una normativa actualizada más acorde con la nueva situación social y tecnológica que hemos mencionado. En tal sentido, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) fue motivada por la obligada transposición de la Directiva Comunitaria 46/1995, de 24 de octubre, relativa a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación.

Dicha Ley Orgánica trata, en términos generales, de garantizar el correcto uso de aquellos datos personales que sean objeto de tratamiento con fines no personales, y para ello se establecen una serie de medidas preventivas y sancionadoras con el fin de que el organismo público encargado de ello, la Agencia Española de Protección de Datos (AEPD), mantenga un control de aquellos ficheros que contengan datos personales.

A grandes rasgos, la nueva legislación establece tres clases de obligaciones para todos aquellos sujetos que dispongan de ficheros de datos personales:

- Legalización de los ficheros: hay una obligación de comunicar a la APD la llevanza del fichero para que además se proceda a su inscripción.

- Legitimación de los ficheros: debe contarse con el consentimiento inequívoco por parte del afectado para la recopilación, tratamiento y cesión de sus datos.

- Implantación de medidas de seguridad: debe dotarse al fichero de las suficientes medidas de seguridad con el fin de evitar el uso fraudulento del mismo así como para impedir el acceso a personas no autorizadas.

Se trata de obligaciones que deben cumplir todas aquellas personas físicas o jurídicas (salvo determinadas excepciones que recoge la propia Ley) que mantengan algún fichero que recoja datos de carácter personal.

Podemos adelantar aquí que la LOPD es de aplicación a ficheros tales como los de nóminas, clientes, proveedores, ficheros relacionados con mailings de publicidad, reservas, etc., siempre que tales ficheros contengan datos personales.

Además de estas obligaciones, se establecen determinados derechos básicos que podrán ser ejercidos por los afectados y cuyo cumplimiento deben

2Debemos apuntar que la Agencia de Protección de Datos no sólo tiene encomendadas funciones meramente de inspección, sino que actuará de oficio ante la interposición de denuncias por parte de los afectados.


- 4 -

garantizar las empresas. Se trata básicamente, de un derecho de información y de la necesidad del consentimiento del afectado para la utilización y tratamiento de los datos como más adelante veremos, así como derechos de consulta, modificación, oposición y cancelación.

Las sanciones previstas para el incumplimiento de cualquiera de estas obligaciones van desde los 601,01 euros las leves (Vg. no informar de la recogida de datos), hasta los 601.012,10 euros las muy graves (Vg. comunicar o ceder datos sin autorización). Como se puede observar, se trata de sanciones muy elevadas cuya imposición puede acarrear daños económicos importantes para las empresas infractoras, si bien, una interpretación “generosa” del articulado de la LOPD, permite rebajar las sanciones en determinados supuestos que puede hacerlas más razonables de lo que a priori parecen.

En los siguientes apartados trataremos de profundizar brevemente en las ideas que han quedado apuntadas más arriba.

2. Legislación aplicable. Como se ha referido en el apartado anterior, la actual Ley Orgánica 15/1999, de Protección de Datos Personales, ha venido a sustituir a la anterior legislación, la Ley Orgánica 5/1992 (LORTAD). Junto con esta norma, es de aplicación el reciente R.D. 1720/2007, de 21 de diciembre que ha venido a desarrollar la misma y que entrará en vigor (sin perjuicio de las disposiciones transitorias) el 19 de abril de 2008, momento hasta el cual seguirá siendo de aplicación el R.D. 994/1999, de 11 de junio que aprueba el Reglamento de Medidas de Seguridad para ficheros automatizados. No obstante, este último es derogado por el nuevo R.D. 1720/2007 tal y como apuntábamos. Así pues, la legislación básica en materia de Protección de Datos Personales se contiene en:

- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

- Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.

- Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los datos de carácter personal (LORTAD). Derogada por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.


- 5 -

- Real Decreto 1332/1994, de 20 de junio, que desarrolla aspectos fundamentales de la derogada LORTAD.

- Directiva comunitaria 46/1995, relativa a la Protección de Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a su libre circulación.

- Directiva Comunitaria 66/1997, relativa al Tratamiento de los Datos Personales y a la Protección de la Intimidad en el Sector de las Telecomunicaciones.

Al margen de las anteriores normas, la Agencia de Protección de Datos ha elaborado numerosas instrucciones encaminadas a facilitar un mejor y más claro cumplimiento de la legislación vigente, tratando de explicar y arrojar luz sobre determinados aspectos de la Ley que necesitan de un cierto desarrollo, tales como prestación de servicios sobre solvencia patrimonial y de crédito, acceso a los edificios, etc.

3. Conceptos básicos. En materia de protección de datos, y en particular a raíz de la Ley Orgánica 15/1999, de Protección de Datos, se utilizan numerosos conceptos cuyo significado es necesario conocer ya que son fundamentales a la hora de entender y aplicar la normativa. Un buen número de estos conceptos viene definido en el propio texto legal, de manera que nos limitaremos a transcribir aquí parte de los preceptos concretos –Arts. 3. y 5 de la LOPD y del Reglamento de Desarrollo, respectivamente- tratando de ampliar brevemente la explicación en aquellos casos en los que por su especial relevancia, sean de un mayor interés.

Al margen de los conceptos definidos en la propia Ley y el Reglamento, explicaremos también de forma breve otros conceptos que son especialmente interesantes por la relevancia práctica que adquieren.

Así pues, los conceptos que vienen definidos en los referidos artículos 3 y 5 de la LOPD y el Reglamento, a efectos de la propia Ley, son3:

Datos de Carácter Personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

3 Aparecen en cursiva las definiciones que da la propia Ley 15/1999, de Protección de Datos de Carácter Personal, en su artículo 3.


- 6 -

Nótese que la definición hace referencia asimismo a personas físicas identificables. Así pues, los datos objeto de protección no son sólo aquellos que facilitan información acerca de una o varias personas en particular, sino que también son objeto de protección aquellos datos a partir de los cuales sea posible identificar a una persona física (por ejemplo la firma).

Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.

De la literalidad de la Ley se desprende inequívocamente que no tendrán la consideración de afectados o interesados en este contexto las personas jurídicas, sino únicamente las personas físicas.

Fichero: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Como vemos, se trata en definitiva de cualquier tipo de fichero que contenga datos de carácter personal, no distinguiéndose entre soportes informáticos, de papel o de cualquier otro tipo. No obstante, quedan excluidos del ámbito de aplicación determinados ficheros, entre los cuales se encuentran los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.4

Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento aunque no lo realizase materialmente.

Como hemos visto, el artículo 3 distingue en sus definiciones entre “fichero” y “tratamiento de datos”. De esta distinción parece desprenderse por tanto que, al citar al “responsable del fichero o tratamiento”, podemos estar ante dos figuras distintas, de manera que una de ellas sea responsable del fichero en sí (su finalidad, soporte, uso, etc.) y la otra se encargue específicamente del tratamiento de los datos de carácter personal que contenga el fichero (aspectos tales como la modificación, cancelación de datos, grabación, etc., serían competencia

4 A sensu contrario, observamos que sí entran dentro del ámbito de aplicación de la Ley aquellos ficheros mantenidos por personas físicas en el ejercicio de su actividad profesional.


- 7 -

del responsable del tratamiento y del responsable del fichero). Esta distinción puede tener su importancia a la hora de determinar las responsabilidades en que pudiera incurrir cada uno de ellos, aunque en la práctica, ambas figuras estarán representadas generalmente por la misma persona, que como bien dice la definición dada por la Ley, podrá ser una persona física o jurídica.

Además de estos responsables –del fichero y del tratamiento- existe otra figura definida asimismo por la propia Ley, la cual, como veremos, asume un régimen de responsabilidad y unas funciones diferentes. Se trata del “encargado del tratamiento”.

Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Como ya ha quedado dicho anteriormente, se trata de una figura distinta al responsable del fichero o tratamiento, y por lo tanto con diferentes responsabilidades. La relación contractual entre el responsable del tratamiento y el encargado de éste deberá reflejarse en un documento escrito debiendo el encargado del tratamiento seguir las instrucciones del responsable, adoptar las oportunas medidas de seguridad, no pudiéndose aplicar los datos conocidos en el ejercicio de sus funciones a fines distintos de los que figuren en el contrato, así como tampoco podrá comunicar estos datos a terceros en ningún supuesto.

Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Por norma general (Art. 6 de la Ley), deberá recabarse el consentimiento inequívoco del interesado para poder llevar a cabo el tratamiento de sus datos personales, si bien, también se recogen algunas excepciones a esta regla general. Tales excepciones son:

o Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.

o Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.


- 8 -

o Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado (prevención y diagnóstico médicos, asistencia sanitaria, etc.…)

o Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quién se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

El hecho de no ser preciso el consentimiento del interesado en determinados supuestos, no exime del cumplimiento del resto de las obligaciones que regula la normativa de protección de datos personales para el responsable que trate los datos en cuestión.

Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

El principio general recogido en la Ley de Protección de Datos (Art. 11) es el de los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

En cualquier caso, la persona a quien se faciliten los datos se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la Ley.

Habitualmente, para salvar esta obligación por parte de los responsables del fichero y del tratamiento de los datos, se incluye en el momento de la recogida de datos una cláusula por la que el interesado que facilita los datos manifiesta, entre otros aspectos, su consentimiento a la posterior cesión o comunicación de sus datos personales a terceros, ahora bien, es de especial importancia para la plena validez de esta cláusula, que la misma permita al interesado conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, así como, en la práctica, el tipo de actividad de aquel a quien se pretenden comunicar y la identidad del cesionario.

Un último apunte en relación a la cesión de datos y el necesario consentimiento del afectado: no será exigible dicho consentimiento si la cesión se efectúa previo procedimiento de disociación, esto es, si la información cedida no puede asociarse a una persona identificada o identificable, los datos podrán ser libremente cedidos sin necesidad del consentimiento previo del interesado.

Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una forma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.


- 9 -

Tienen la consideración de fuentes accesibles al público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Una explicación más detallada del régimen aplicable a los datos personales contenidos en fuentes de acceso público se recoge en el artículo 28 de la Ley. En particular, hemos mencionado anteriormente que una de las excepciones a la obligación de contar con el consentimiento de los afectados para la comunicación de datos (Art. 11 LOPD) es, precisamente, el que dichos datos hayan sido recogidos de fuentes accesibles al público. Ahora bien, el artículo 28 de la Ley establece un marco que regula los datos incluidos en las fuentes de acceso público de manera que se establecen ciertos límites a su utilización (obligaciones de los responsables, derechos de los interesados, aspectos relativos a la vigencia de los datos incluidos, etc.).

Como es lógico y hemos apuntado, existen otros numerosos conceptos que no se recogen expresamente en la Ley y el Reglamento. Entre estos otros conceptos podemos destacar, por su importancia así como por su uso generalizado, los siguientes:

Calidad de los datos: Se trata de un concepto de gran importancia puesto que va a determinar la posible utilización de ciertos datos que se contienen en los ficheros.

El artículo 4 LOPD establece que “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. En definitiva se trata de que los datos sólo podrán utilizarse con aquella finalidad para las que hubiesen sido recogidos sin que quepa la posibilidad de destinarlos a cualquier otro fin.

Este concepto de calidad de los datos entra en juego y adquiere valor al establecerse, como uno de los contenidos del derecho de información de los interesados en la recogida de datos, precisamente el derecho a ser informado de la finalidad de la recogida de los datos.

Agencia Española de Protección de Datos: Nos remitimos a la definición que de este organismo da la propia LOPD, de Protección de Datos en su artículo 35.1: “La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Se regirá por


- 10 -

lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno”.

Sus funciones, recogidas en el artículo 37 LOPD, son, entre otras:

o velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos;

o atender las peticiones y reclamaciones formuladas por las personas afectadas;

o proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal;

o requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones;

o ejercer la potestad sancionadora en los términos previstos por la Ley;

o Como vemos, en definitiva se trata del organismo público encargado principalmente de velar por el cumplimiento de la Ley, a cuyos efectos podrá inspeccionar y sancionar a los responsables de los ficheros y los encargados de los tratamientos de conformidad con el régimen de infracciones y sanciones que se recoge en la propia Ley 15/99 (Título VII), el cual veremos más adelante con más detalle.

Legalización de ficheros: a tenor de lo dispuesto en el artículo 26 LOPD, toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos, remitiendo en el número 2 del mismo artículo a una regulación por vía reglamentaria de estos aspectos. Llamemos “legalización de ficheros” a la notificación a la Agencia Española de Protección de Datos y la posterior inscripción de los ficheros de datos personales en el Registro General de Protección de Datos.

La legalización de los ficheros de datos personales es de carácter obligatorio para los responsables de los ficheros, estando prevista la inobservancia de esta obligación como una infracción leve cuya sanción es calificada con carácter general como infracción leve, pudiendo ser sancionada por tanto con multa de 601,01 euros a 60.101,21 euros.

Auditoría de Protección de Datos: los sistemas de información e instalaciones de tratamiento de datos deben someterse con una


- 11 -

periodicidad bianual a una auditoría interna o externa que verifique el cumplimiento y adecuación de estos sistemas al Reglamento de Medidas de Seguridad, siempre y cuando las medidas que con arreglo al citado Reglamento deban adoptarse, sean al menos de las calificadas como de nivel medio.

A las llamadas “auditorías de protección de datos” se hace mención en el Reglamento de desarrollo de la LOPD, aprobado por el R.D. 1720/2007, en su artículo 26. Constituyen un aspecto de la Protección de Datos cuanto menos confuso, ya que no se establecen requisitos que podemos considerar básicos para la elaboración de la auditoría, tales como personas facultadas para realizarlas (titulación, relación de dependencia, incompatibilidades, etc.). Creemos en definitiva que el término “auditoría” no es el más adecuado para definir estos informes que más bien podrían haber sido llamados “controles” o “revisiones” periódicas.

Asimismo, en nuestra opinión no tiene mucho sentido el que las citadas auditorías puedan ser internas, ya que el control sobre la adecuación de los sistemas de información e instalaciones de tratamiento a la normativa, puede no ser tal cuando la auditoría sea realizada por la misma persona encargada del funcionamiento de los sistemas e instalaciones.

4. Derechos de los Afectados.

Los diferentes derechos de los que son titulares los afectados en materia de protección de datos vienen recogidos a lo largo de todo el articulado de la Ley Orgánica de Protección de Datos, si bien, en ésta cabe destacar los artículos 5 y 6, así como el Título III, el cual trata de los derechos de las personas.

Los derechos concretos de los afectados por el tratamiento de los datos de carácter personal son, básicamente:

1)1)1)1) Derecho de Información (Art. 5).Derecho de Información (Art. 5).Derecho de Información (Art. 5).Derecho de Información (Art. 5).

El responsable deberá informar de modo expreso, preciso e inequívoco de los siguientes extremos:

� de la existencia del fichero o tratamiento de los datos, la finalidad de la recogida y los destinatarios de la información;

� del carácter obligatorio o facultativo de las respuestas a las preguntas que sean planteadas;

� de las consecuencias de la obtención de datos o de la negativa a suministrarlos;


- 12 -

� de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y

� de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

En el caso de que los datos personales no hubiesen sido recabados del propio interesado, el responsable tendrá un plazo de tres meses para informarle del contenido del tratamiento, la procedencia de los datos, y de lo previsto en las letras a), d) y e) anteriores.

Por último, en cuanto al derecho de información, no debemos olvidar que, en caso de datos obtenidos de fuentes accesibles al público (ver el apartado de conceptos de estas notas), la única obligación en cuanto al derecho de información se refiere, es la de informar en cada comunicación que se dirija al interesado del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

2) 2) 2) 2) Derecho de oposiciónDerecho de oposiciónDerecho de oposiciónDerecho de oposición (Arts. 6.4 y 30.4).(Arts. 6.4 y 30.4).(Arts. 6.4 y 30.4).(Arts. 6.4 y 30.4).

Este derecho ha sido instaurado por la LOPD, si bien se manifiesta en dos artículos diferentes aunque no totalmente independientes entre sí.

De este modo, el derecho de oposición se recoge en términos generales en el artículo 6.4 del texto legal al establecer que, en los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos, y siempre que una ley no disponga lo contrario, el afectado tendrá derecho a que sus datos no sean objeto de tratamiento cuando existan motivos fundados y legítimos para tal oposición.

Por su parte, el artículo 30.4 LOPD recoge un supuesto especial del derecho de oposición. Se trata de los datos recogidos con fines de publicidad y prospección comercial.

3) 3) 3) 3) Derecho de consulta y acceso a los datos personalesDerecho de consulta y acceso a los datos personalesDerecho de consulta y acceso a los datos personalesDerecho de consulta y acceso a los datos personales (Arts. 14 y 15).(Arts. 14 y 15).(Arts. 14 y 15).(Arts. 14 y 15).

Se trata de uno de los derechos mas importantes reconocidos a los afectados por el tratamiento de los datos personales, no solo porque se garantiza al afectado el conocimiento del tratamiento de sus datos, sino porque, además, facilita el ejercicio de otros derechos como el de información, oposición, cancelación y rectificación, los cuales, sin el derecho de consulta y acceso a los datos se verían desprovistos de significado práctico.

El derecho de consulta queda establecido en el artículo 14. En virtud del mismo, cualquier persona podrá recabar de la Agencia Española de Protección de Datos, de forma pública y gratuita, información acerca de la existencia de ficheros que traten datos de carácter personal, así como el responsable de los


- 13 -

mismos y sus finalidades.5 Actualmente el ejercicio del derecho de consulta puede hacerse por cualquier persona a través de la página web de la Agencia Española de Protección de Datos (www.agpd.es).

Por su parte, el derecho de acceso a los datos personales queda recogido en el artículo 15 de la propia Ley de Protección de Datos, según el cual, el interesado tiene derecho a acceder de manera gratuita a información como el origen de los datos recogidos, las comunicaciones realizadas o que se prevé realizar con los mismos.

4) 4) 4) 4) Derechos de rectificación yDerechos de rectificación yDerechos de rectificación yDerechos de rectificación y cancelacióncancelacióncancelacióncancelación. . . . (Art.16).(Art.16).(Art.16).(Art.16).

Estos derechos encuentran su finalidad cuando (i) el tratamiento de los datos no se ajuste a la Ley; (ii) cuando los datos sean inexactos y (iii) cuando los datos sean incompletos.

El ejercicio del derecho de rectificación implica, obviamente, el que se corrijan o completen los datos sobre los que se ejercita el derecho por parte del interesado, sin embargo, mediante el derecho de cancelación no se procede de forma inmediata a la eliminación “física” de los datos erróneos o incompletos, sino que simplemente se anulan pudiendo ser conservados a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éste, debiendo procederse a su supresión una vez cumplido dicho plazo.

Por último, en caso de que los datos rectificados o cancelados hubieran sido cedidos a terceros, el responsable deberá comunicar la rectificación o cancelación a dicho tercero, el cual deberá también proceder a la rectificación o cancelación de los datos.

En este capítulo dedicado a los derechos de los afectados, queda por último tratar el tema relativo a los procedimientos para el ejercicio de dichos derechos. Tal procedimiento está regulado en el Real Decreto 1332/1994 y en la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos. El responsable deberá comunicar los datos en el plazo de un mes, debiendo resolver aún cuando no hubiere datos del interesado en el fichero.

Terminamos apuntando que el propio Reglamento de Desarrollo de la LOPD dedica un Título completo de su articulado (Título II) a los Derechos de acceso, rectificación, cancelación y oposición.

5 Recordemos que el incumplimiento de legalizar los ficheros ante la Agencia de Protección de Datos puede conllevar, según los casos, hasta una sanción de 60.101,21 euros por ser calificado como infracción grave.


- 14 -

5. Obligaciones del responsable del fichero y del encargado del tratamiento.

Las obligaciones que en materia de Protección de Datos surgen tanto para el responsable del fichero como para el encargado del tratamiento (véase el apartado III. Conceptos básicos), son variadas y algunas de ellas de un marcado carácter técnico. [recordar diferencia entre responsable y encargado]

En este sentido, nuestro consejo es que, caso de no ser especialista en la materia en cuestión, lo mejor es dejar en manos de los adecuados profesionales el cumplimiento de cada una de las medidas y obligaciones con que el responsable de un fichero o encargado del tratamiento de los datos debe cumplir, evitando así la imposición de eventuales sanciones.

Veamos, a modo de ejemplo, algunas de las obligaciones:

En lo que se refiere al Responsable del Fichero:

- Notificación e inscripción de la creación, modificación o extinción de los ficheros.

- Posibilitar el ejercicio por parte de los afectados.

- Obtener el consentimiento inequívoco de los afectados para el tratamiento de sus datos y para la comunicación de sus datos, salvo que la Ley disponga otra cosa.

- Cumplir con la normativa en lo que se refiere al movimiento internacional de datos.

- Colaborar con los organismos competentes.

- Guardar el secreto profesional en lo que se refiere a los datos, aún cuando hubiesen finalizado las relaciones con el titular.

- Adoptar las oportunas medidas de seguridad en los términos del Real Decreto 994/1999.

En cuanto al Encargado del Tratamiento:

- Tratamiento de los datos únicamente conforme a las instrucciones del responsable del fichero.


- 15 -

- No utilizar los datos objeto de tratamiento con fines distintos a los que figuren en el contrato existente, en su caso, entre él y el responsable del fichero.

- Prohibición de comunicación de los datos a otras personas.

- Adoptar las medidas de seguridad convenidas con el responsable del fichero.

- Una vez cumplida su prestación, los datos tratados deberán ser destruidos o devueltos al propietario.

6. Las medidas de seguridad. Los datos personales que pueden ser objeto de tratamiento pueden ser de distinta naturaleza. Así, una entidad bancaria recogerá, además de los datos de identificación del afectado, otros como aquellos relativos a su solvencia patrimonial, del mismo modo que una clínica recogerá datos relativos a la salud, especialmente protegidos.

De este modo, la Directiva europea, y por extensión nuestra propia legislación impone unas medidas de seguridad diferentes para cada tipo de datos. La norma que hasta la entrada en vigor del nuevo Reglamento de Desarrollo (próximo 19 de abril) resulta de aplicación para la adopción de medidas de seguridad es el R.D. 994/1999, de 11 de junio, si bien, nos centraremos en cualquier caso en lo previsto respecto a las medidas de seguridad en el nuevo Reglamento citado (1720/2007) dado la cercanía de su entrada en vigor.

Los niveles de protección para los datos de carácter personal se dividen en nivel básico, nivel medio y nivel alto.

La determinación del nivel de seguridad aplicable resulta de capital importancia a la hora de elaborar el preceptivo documento de seguridad que deberá cumplir unos u otros requisitos en función del nivel exigible según los datos objeto de tratamiento.

Serán considerados de nivel básico todos los ficheros que incluyan datos de carácter personal. Por tanto todos los ficheros deberán cumplir, al menos, con las medidas de seguridad que para el nivel básico establece el R.D. 1720/2007. Entre los datos cuya protección será considerada como de nivel básico se encuentran, por ejemplo, el nombre, los apellidos, dirección, etc.

Son de nivel medio, entre otros aquellos ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, ficheros que contengan datos sobre solvencia patrimonial o de crédito, y cualquier fichero que contengan un conjunto de


- 16 -

datos personales suficientes para obtener una evaluación de la personalidad del individuo.

Por último, serán niveles de nivel alto, entre otros, los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual o que contengan datos recabados para fines policiales sin consentimiento del afectado.

En lo que se refiere a las medidas concretas a adoptar debemos decir que, aún cuando están recogidas en el R.D. 1720/2007 citado, la implantación de éstas debería ser supervisada por los profesionales apropiados, por cuanto cada organización o empresa tiene características especiales que hacen de cada implantación de las medidas un caso concreto.

Por ello, en nuestra opinión, para la correcta implantación de las medidas y elaboración del documento de seguridad deberán coordinarse los servicios tanto del responsable de los equipos informáticos (hardware y software) de la compañía, como expertos jurídicos en materia de Protección de Datos, materia ciertamente especial precisamente por las medidas que deben adoptarse para la necesaria seguridad de los datos tratados, tanto por el bien del afectado como de la propia empresa.

Sea adjunta como Anexo un cuadro con el contenido concreto que deberá incluir el documento de seguridad en cada caso, teniendo en cuenta que las medidas y contenido del documento son acumulativas.

7. Infracciones y Sanciones. Cómo ha quedado apuntado más arriba, las sanciones previstas en caso de incumplimiento de la Ley Orgánica de Protección de Datos pueden llegar a ser muy elevadas, por lo que resulta primordial, sobre todo en determinados sectores críticos, anticiparse a una posible inspección de la Agencia Española de Protección de Datos o a una eventual denuncia de un particular y evitar así eventuales sanciones por incumplimiento de cualquiera de los requisitos previstos por la Ley. Veamos ahora con más detalle el régimen de infracciones y sanciones recogido en el Título VII de la Ley.

Como es habitual, las infracciones pueden ser calificadas como leves, graves o muy graves. Nos remitimos al artículo 44 del texto legal para el examen de cada una de las infracciones, no obstante citamos alguna de las más representativas y usuales.

Así, entre las infracciones levesinfracciones levesinfracciones levesinfracciones leves encontramos:


- 17 -

- No solicitar la inscripción del fichero en el Registro General de Protección de Datos.

Se trata ésta de una las infracciones más habituales, existiendo por el momento un alto grado de incumplimiento entre los titulares y responsables de ficheros de datos personales. No en vano, un gran número de empresas no ha procedido hasta la fecha a la obligatoria legalización e inscripción de sus ficheros ante la Agencia de Protección de Datos.

- Proceder a la recogida de datos personales sin informar debidamente (tal y como detalla el artículo 5 de la Ley) a los afectados.

De nuevo nos encontramos ante una infracción de incumplimiento generalizado. Recordemos que para la recogida de datos de carácter personal debe informarse a los interesados de la existencia de un fichero, la finalidad de la recogida de los datos, los destinatarios de la información, carácter obligatorio o no de las preguntas que, en su caso, sean planteadas, consecuencias de la negativa a suministrar los datos, derechos que le asisten, así como de la identidad y dirección del responsable del tratamiento o, en su caso, de su responsable.

Ejemplo de infracciones gravesinfracciones gravesinfracciones gravesinfracciones graves son:

- La creación de ficheros o recogida de datos personales con finalidades distintas a las que constituyen el objeto legítimo de la empresa.

- La recogida de datos sin recabar el consentimiento expreso de los afectados cuando tal consentimiento sea exigible.

Así, no será exigible el consentimiento expreso, por ejemplo, cuando los datos ser refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (sin perjuicio de que deban cumplirse en cualquier caso con el resto de obligaciones y garantías por parte del responsable del fichero).

Aún cuando esta infracción se refiere a la recogida de datos, también se califica en otro apartado como infracción grave el tratamiento o el uso de los mismos sin el debido consentimiento.

- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad determinadas reglamentariamente.

Se trata de una de las obligaciones más importantes, ya que no bastará con legalizar los ficheros, recabar el consentimiento del afectado e informarle debidamente, sino que deben cumplirse las medidas de seguridad previstas en función de la naturaleza de los datos recogidos.


- 18 -

De ahí la importancia tanto del cumplimiento de dichas medidas como de las llamadas auditorías de protección de datos que ya hemos citado.

Por último, son infracciones muy infracciones muy infracciones muy infracciones muy gravesgravesgravesgraves, entre otras:

- La recogida de datos en forma engañosa y fraudulenta.

- La comunicación o cesión de datos de carácter personal fuera de los casos permitidos.

- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

En lo que se refiere a las sanciones, de ellas se ocupa el artículo 45 de la Ley de Protección de Datos. Lo reflejamos a continuación:

- Las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros.6

- Las infracciones graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.

- Las infracciones muy graves serán sancionadas con multa de 300.506,05 euros a 601.012,10 euros.

Recordemos que la Agencia Española de Protección de Datos puede actuar tanto mediante inspecciones de oficio a los titulares de los ficheros, como por medio de una denuncia.

Sin perjuicio de lo elevado de las sanciones previstas, cabe hacer mención a los apartados 4 y 5 del mismo artículo 45. Dichos apartados, si bien no están expresamente previstos para atenuar el impacto de las sanciones se vienen aplicando para reducir el importe de la sanción cuando estas son claramente desmesuradas y desproporcionadas. Así, en particular, el apartado 5 establece que el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad si, en razón de las circunstancias concurrentes se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho.

* * *

6 Nótese que una infracción calificada como leve, lo cual puede ser muy habitual, puede llegar a ser sancionada con la cantidad de hasta 60.101,21 euros (10.000.000 de pesetas).

Curso Lopd Turismo 09 (Sin Anexos)

Business

Transcript of Curso Lopd Turismo 09 (Sin Anexos)