PROTECCIÓN DE DATOS DE CARÁCTER … · Española de Protección de Datos (Ley 63/2003) resulte...

GRUPO C1

TEMA 8

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: DISPOSICIONES GENERALES.

DATOS ESPECIALMENTE PROTEGIDOS.

AÑO 2015

Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 2/40

ÍNDICE: I. DISPOSICIONES GENERALES. ......................................................................................... 4

I.1. Introducción .................................................................................................................. 4 I.2. Marco Normativo .......................................................................................................... 6 I.3. Delimitación Conceptual- ............................................................................................. 7 I.4. Ámbito de Aplicación de la Ley.................................................................................... 8

a) Ámbito objetivo............................................................................................................. 8 b) Ámbito Territorial ......................................................................................................... 9 c) Materias Excluidas del ámbito de aplicación de la Ley. ............................................... 9

I.5. Disposiciones Sectoriales.- creación, modificación o supresión de ficheros públicos y su inscripción. .......................................................................................................................... 10

II. PROTECCIÓN DE DATOS.- ......................................................................................... 13 II.1. Principios ..................................................................................................................... 13

a) Principio de calidad ..................................................................................................... 13 b) Principio de Información en la recogida de datos ....................................................... 14 c) Principio de Consentimiento del Interesado ................................................................ 15 d) Principio de Seguridad de los Datos ............................................................................ 18 e) Deber de Secreto ......................................................................................................... 18 f) Comunicación de Datos .............................................................................................. 18 g) Acceso a los Datos por Cuenta de Terceros: ............................................................... 20

II.2. Los Derechos de las Personas: .................................................................................... 21 a) Impugnación de Valores .............................................................................................. 22 b) El Derecho de Consulta al Registro General de Protección de Datos ......................... 22 c) El Derecho de acceso .................................................................................................. 23 d) El Derecho de Rectificación y Cancelación ................................................................ 24 e) El Derecho de Oposición ............................................................................................. 25 f) Derecho a Indemnización ............................................................................................ 26 g) Tutela de los Derechos ................................................................................................ 26

II.3. Las Medidas de Seguridad. ......................................................................................... 27 II.4. Régimen Sancionador ................................................................................................. 28 II.5. Agencia Española de Protección de Datos .................................................................. 31

III. DATOS ESPECIALMENTE PROTEGIDOS. ............................................................... 32 1. Derecho a no declarar sobre la ideología, religión o creencias: .................................. 33 2. Principio de Consentimiento en los datos especialmente protegidos: ......................... 33 3. Tratamiento de datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual. ....................................................................................................... 33 4. Prohibición de creación y tratamientos de datos especialmente protegidos. ............... 33 5. Tratamiento de los datos de carácter personal relativos a la comisión de infracciones penales o administrativas. .................................................................................................... 34 6. Medidas de Seguridad. ................................................................................................ 34 7. Infracciones ................................................................................................................. 35

IV. ANEXO LEY DE TRANSPARENCIA VS. PROTECCIÓN DE DATOS .................... 36 IV.1. La Publicidad Activa ................................................................................................... 37 IV.2. El Derecho de Acceso a la Información Pública ......................................................... 37

1. LÍMITES AL EJERCICIO DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA. ........................................................................................................................... 37

IV.3. El Principio del Perjuicio o Test del Daño .................................................................. 40


NOTA: Se ha cambiado el orden de los apartados del programa para seguir la coherencia en

la exposición. Además, de la Disposiciones Generales, se ha incluido por su relevancia

el estudio de las disposiciones sectoriales contempladas en el Título IV y en especial,

la creación, modificación o supresión de ficheros públicos y su inscripción en la

Agencia Española de Protección de Datos. Por último, se ha incluido un Anexo sobre

transparencia y protección de datos por cuanto son materias íntimamente relacionadas

y porque se contempla en la Ley de Transparencia aspectos que inciden en la

protección de datos de carácter personal.


I. DISPOSICIONES GENERALES.

I.1. INTRODUCCIÓN

Para estudiar el tema de la protección de dato hemos de acudir en primer lugar,

a la Constitución española (CE), que en su artículo 18, garantiza "el derecho al honor,

a la intimidad personal y a la propia imagen", así como, "el secreto de las

comunicaciones y en especial de las postales, telegráficas y telefónicas, salvo

resolución judicial"; y establece en su apartado cuatro que la ley limitará "el uso de la

informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos

y el pleno ejercicio de sus derechos".

La protección de las personas con respecto al tratamiento automatizado de

datos de carácter personal se desarrolló inicialmente por la Ley Orgánica 5/1992, de

29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter

Personal (en adelante, LOTARD).

Con anterioridad a la aprobación de este texto legal España había firmado el 28

de enero de 1982 el Convenio comunitario sobre esta materia, aprobado y ratificado,

para su entrada en vigor en el ámbito de nuestro país, el 1 de octubre de 1985.

Este convenio establecía que los datos de carácter personal que sean objeto

de un tratamiento automatizado se obtendrán y tratarán leal y legítimamente; se

registrarán para finalidades determinadas y legítimas y no se utilizarán de una forma

incompatible con dichas finalidades; serán adecuados, pertinentes y no excesivos en

relación con las finalidades para las cuales se hayan registrado; serán exactos y si

fuera necesario puestos al día; y se conservarán bajo una forma que no permitan la

identificación de las personas concernidas durante un período de tiempo que no

exceda del necesario para las finalidades para las cuales se hayan registrado.

Los datos de carácter personal que revelen el origen racial las opiniones

políticas, las convicciones religiosas u otras convicciones, así como los datos de

carácter personal relativos a la salud o la vida sexual, no podrán tratarse

automatizadamente a menos que el derecho interno prevea garantías apropiadas. La

misma norma regirá en el caso de datos de carácter personal referentes a condenas

penales.

Además de ese convenio, hay que destacar que en el ámbito comunitario, esta

materia se encuentra regulada en la Directiva 1995/46/CE de 24 de octubre, del


Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en

el tratamiento de datos personales y a la libre circulación de estos datos.

La LOTARD fue derogada y sustituida por la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), cuya

última reforma fue realizada por la Ley 62/2003, de 30 de diciembre de medidas

fiscales, administrativas y del orden social. La LOPD pretendía la adaptación de

nuestro derecho interno a las orientaciones normativas de la Unión Europea y, en

concreto, a la citada Directiva Comunitaria 1995/46, de 24 de octubre, pero a la vez ha

pretendido introducir un significativo cambio en su objeto y en su ámbito de aplicación.

En efecto, su objeto es mucho más amplio, más ambicioso y menos concreto.

Ya no pretende regular el tratamiento automatizado de los datos, sino su protección en

general, independientemente de que su tratamiento se haga por métodos

automatizados o manuales, de que se contengan en soportes informáticos, en papel,

etc.

Los principios de la protección de los datos son esencialmente los mismos que

en la LORTAD y responden a los contenidos en el convenio y Directiva antes citados.

Entre las novedades cabe destacar la nueva obligación del responsable del fichero de

informar al interesado, de forma expresa, precisa e inequívoca, en el plazo de tres

meses, cuando los datos no hayan sido recabados directamente de él, y siempre que

no se le haya informado con anterioridad, de el contenido del tratamiento, la

procedencia de los datos, la existencia de un fichero o tratamiento de datos de

carácter personal, de la finalidad de la recogida de éstos, y los destinatarios de la

información, su derecho de acceso, rectificación, cancelación y oposición y la

identidad y dirección del responsable del tratamiento, o en su caso, de su

representante.

Solo se excepciona de esta obligación cuando, a criterio de la Agencia

Española de Protección de Datos (Ley 63/2003) resulte imposible o exija esfuerzos

desproporcionados.

Se introduce el derecho de oposición del interesado a que sus datos sean

tratados cuando existan motivos fundados y legítimos y se regula el procedimiento

para ejercer este derecho.


Además hay que destacar la Ley 19/2013, de 9 de diciembre, de

Transparencia, acceso a la información pública y buen Gobierno (artículo 15) y Ley

12/2014, de 16 de diciembre, de Transparencia y Participación Ciudadana de la

Comunidad Autónoma de la Región de Murcia (artículo 25), cuya regulación incide en

la materia que nos ocupa.

I.2. MARCO NORMATIVO

Así pues, el MARCO NORMATIVO de esta materia está constituido por:

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

carácter personal (LOPD).

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre

de protección de datos de carácter personal.

El Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el

Estatuto de la Agencia de Protección de Datos.

Otras normas que completan el marco normativo de esta materia son las

siguientes:

La Ley 19/2013, de 9 de diciembre, de Transparencia, acceso a la

información pública y buen Gobierno (artículo 15) y Ley 12/2014, de 16 de

diciembre, de Transparencia y Participación Ciudadana de la Comunidad

Autónoma de la Región de Murcia (artículo 25).

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Además en el ámbito de la Comunidad Autónoma de la Región de Murcia

cabe citar la Resolución de 17 de noviembre de 2009, de la Dirección

General de Calidad e Innovación de los Servicios Públicos por la que se

dicta Circular 1/2009 para la creación, modificación, supresión y notificación

de ficheros públicos con datos personales de la Administración Pública de

Murcia.


I.3. DELIMITACIÓN CONCEPTUAL-

El artículo 1 de la LOPD establece que su objeto es garantizar y proteger, en lo

concerniente al tratamiento de los datos personales, las libertades públicas y los

derechos fundamentales de las personas físicas, y especialmente de su honor e

intimidad personal y familiar.

Partiendo de ese precepto, la primera cuestión a tratar será determinar qué

hemos de entender por protección de datos.

El artículo 3 da un concepto de datos de carácter personal, definiéndolos como

“cualquier información concerniente a personas físicas identificadas o identificables”.

Ahora bien, es preciso en segundo lugar, determinar frente a qué tiene lugar

dicha protección.

Para ello, acudiremos al concepto de tratamiento de datos que contiene el

citado artículo 3, que lo define como “operaciones y procedimientos técnicos de

carácter automatizado o no, que permitan la recogida, grabación, conservación,

elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que

resulten de comunicaciones, consultas, interconexiones y transferencias”.

Más aún, para completar la definición, incluimos el concepto de cesión o

comunicación de datos, que da dicho precepto como “toda revelación de datos

realizada a una persona distinta del interesado”.

Así las cosas, haciendo una interpretación conjunta de todos los preceptos,

podemos entender por protección de datos, la protección de cualquier información

concerniente a personas físicas identificadas o identificables frente a cualquier

operación y procedimiento técnico de carácter automatizado o no, que permitan la

recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación,

así como las cesiones de datos (esto es, su revelación) que resulten de

comunicaciones, consultas, interconexiones y transferencias”.

Y por último, siguiendo la jurisprudencia existente y en concreto, la Sentencia 292/2000, de 30 de noviembre, podemos decir que este derecho 'persigue garantizar

a esa persona el poder de control sobre sus datos personales, sobre su uso y destino,

con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del

afectado', estableciendo, en cuanto a su ámbito, que 'el objeto de protección del


derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de

la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento

o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque

su objeto no es sólo la intimidad individual, que para ello está la protección que el

artículo 18. 1 CE otorga, sino los datos de carácter personal'.

I.4. ÁMBITO DE APLICACIÓN DE LA LEY.

Para determinar el ámbito de aplicación de la LOPD debemos tratar las

siguientes cuestiones: su ámbito objetivo y territorial, las materias a las que no son de

aplicación y las materias a las que se le aplicará una regulación específica.

a) Ámbito objetivo

De acuerdo con la LOPD, los datos de carácter personal que la ley protege se

refieren a "cualquier información concerniente a personas físicas identificadas o

identificables", y el tratamiento de los mismos del cual se protegen se define como las

"operaciones y procedimientos técnicos de carácter automatizado o no que permitan la

recogida, grabación conservación elaboración, modificación, bloqueo y cancelación,

así como de las cesiones de datos que resulten de comunicaciones, consultas,

interconexiones y transferencias" (artículos 3.a y 3.c).

En el ámbito de aplicación de la ley se incluyen todos los datos de carácter

personal registrados en soporte físico, que los haga susceptibles de tratamiento y a

toda modalidad de uso posterior por los sectores público o privado.

Así las cosas, quedan excluidos de su ámbito de aplicación los siguientes datos

personales:

Los datos referidos a personas jurídicas, o a los ficheros que se limiten a

incorporar los datos de las personas físicas que presten sus servicios en

aquéllas, consistentes únicamente en su nombre y apellidos, las funciones

o puestos desempeñados, así como la dirección postal o electrónica,

teléfono y número de fax profesionales.

Los datos relativos a empresarios individuales, cuando hagan referencia

a ellos en su calidad de comerciantes, industriales o navieros.

Los datos referidos a personas fallecidas.


No obstante, las personas vinculadas al fallecido, por razones familiares o

análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que

contengan datos de éste con la finalidad de notificar el fallecimiento y en su caso,

solicitar, la cancelación de los datos.

b) Ámbito Territorial

En cuanto a su ámbito territorial, la LOPD se aplicará en los siguientes casos:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de

las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español,

le sea de aplicación la legislación española en aplicación de normas de

Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de

la Unión Europea y utilice en el tratamiento de datos medios situados en

territorio español, salvo que tales medios se utilicen únicamente con fines

de tránsito

c) Materias Excluidas del ámbito de aplicación de la Ley.

Por el contrario, no será de aplicación la LOPD:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades

exclusivamente personales o domésticas.

Sólo se considerarán relacionados con actividades personales o

domésticas los tratamientos relativos a las actividades que se inscriben en

el marco de la vida privada o familiar de los particulares.

b) A los ficheros sometidos a la normativa sobre protección de materias

clasificadas.

c) A los ficheros establecidos para la investigación del terrorismo y de formas

graves de delincuencia organizada.

En relación con estos ficheros, el responsable del fichero comunicará

previamente la existencia del mismo, sus características generales y su

finalidad a la Agencia de Protección de Datos.


Por último, en el apartado 3 del artículo 2 remite a sus legislaciones específicas

y por lo especialmente previsto, en su caso, por la LOPD (ésta tiene por tanto, carácter

supletorio) el tratamiento de determinados datos personales y en concreto:

Los ficheros regulados por la Legislación electoral.

Los datos que sirvan a fines exclusivamente estadísticos y estén

amparados por la Legislación estatal o autonómica sobre la función

estadística pública.

Los datos contenidos en los informes personales de calificación a que se

refiere la legislación del régimen de personal de las Fuerzas Armadas, los

derivados del Registro Civil y del Registro Central de Penados y Rebeldes,

y los procedentes de imágenes y sonidos obtenidos mediante la utilización

de videocámaras por las Fuerzas y Cuerpos de Seguridad.

I.5. DISPOSICIONES SECTORIALES.- CREACIÓN, MODIFICACIÓN O SUPRESIÓN DE FICHEROS PÚBLICOS Y SU INSCRIPCIÓN.

Además, de las Disposiciones Generales, la LOPD establece en su Título IV las

llamadas Disposiciones Sectoriales, de cuya regulación estudiaremos por su

importancia, la creación, modificación o supresión de ficheros públicos, así como su

inscripción en el Registro de la Agencia Española de Protección de Datos.

En primer lugar, hemos de dar un concepto de fichero, para lo que acudiremos

de nuevo, al artículo 3 de la LOPD, que lo define como “todo conjunto organizado de

datos de carácter personal, cualquiera que fuere la norma o modalidad de su creación,

almacenamiento, organización y acceso”.

Se ha de distinguir entre ficheros de titularidad PÚBLICA y PRIVADOS.

Por Ficheros de titularidad privada, entendemos aquellos creados y utilizados

por particulares, ya sean personas físicas o empresas, para los que existe, en

principio, un régimen de libertad en lo que se refiere a la creación, siempre que se

cumplan los requisitos que establece la LOPD.

Por ficheros públicos, entendemos aquellos cuya titularidad corresponde a los

entes que integran la Administración Pública, esto es:


La Administración General del Estado

Las entidades y organismos de la Seguridad Social.

Los organismos autónomos del Estado.

Las Sociedades Estatales y entes del Sector público.

Las Administraciones de las CCAA.

Las entidades que integren la Administración Local y sus entidades

dependientes.

En cuanto al procedimiento para la creación, modificación o supresión de los

ficheros públicos se regula en los artículos 20 y siguientes de la LOPD y en los

artículos 57 y siguientes de su Reglamento.

Más en concreto, cabe decir que la creación, modificación o supresión de los

ficheros de las Administraciones Públicas solo podrá hacerse por medio de disposición

general publicada en el Boletín Oficial del Estado (BOE) o Diario Oficial

correspondiente.

El artículo 53 del Reglamento específica el tipo de disposición general,

estableciendo que en la Administración General del Estado o en las entidades u

organismos vinculados o dependientes de la misma deberá revestir la forma de orden

ministerial o resolución del titular de la entidad u organismo correspondiente.

En cuanto a su contenido, cabe decir que de acuerdo con el apartado 2 del

citado artículo, las disposiciones de creación o de modificación de ficheros deberán

indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de

carácter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero y la descripción de los tipos de datos de

carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal y, en su caso, las

transferencias de datos que se prevean a países terceros.

f) Los órganos de las Administraciones responsables del fichero.


g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de

acceso, rectificación, cancelación y oposición.

h) Las medidas de seguridad con indicación del nivel básico, medio o alto

exigible.

Todo fichero de datos de carácter personal de titularidad pública será notificado

a la Agencia Española de Protección de Datos, por el órgano competente de la

Administración responsable del fichero para su inscripción en el Registro General de

Protección de datos, en el plazo de treinta días desde la publicación de la norma o

acuerdo de creación en el diario oficial correspondiente.

En relación con los ficheros de los que sean responsables las CCAA, entidades

Locales y las entidades u organismos vinculados o dependientes de las mismas, las

universidades públicas, así como los órganos de las comunidades autónomas con

funciones análogas a los órganos constitucionales del Estado se estará a su

legislación específica.

En el caso de la Comunidad Autónoma de la Región de Murcia, su regulación

se contiene en la Circular 1/2009, de 17 de noviembre de la Dirección General de

Calidad e Innovación de los servicios públicos sobre procedimiento para la creación,

modificación, supresión y notificación de ficheros públicos con datos personales de la

Administración Pública de la Región de Murcia.

De esa circular, destacaremos que en cuanto a la disposición de creación,

modificación o supresión, cuando se trate de ficheros públicos dependientes de las

Consejerías, adoptarán la forma de Orden del titular de la Consejería correspondiente,

y cuando se trate de ficheros públicos gestionados por sus Organismos Públicos o

Entidades vinculados o dependientes de las mismas, será mediante Resolución del

titular del Organismo Público o Ente.

Y en cuanto al procedimiento de inscripción de la creación, modificación o

supresión de ficheros, éste se regula en el artículo 130 y siguientes del Reglamento,

del que podemos destacar que se iniciará como consecuencia de la notificación por

parte de las CCAA conforme a los modelos o formularios electrónicos publicados al

efecto por la Agencia Española de Protección de Datos.

Asimismo, la resolución corresponde al Director de la Agencia Española de

Protección de Datos, a propuesta del Registro General de Protección de datos.


En cuanto al plazo máximo para dictar y notificar resolución acerca de la

inscripción, modificación o cancelación será de un mes. Si en dicho plazo no se

hubiese dictado y notificado resolución expresa, se entenderá inscrito, modificado o

cancelado el fichero a todos los efectos (silencio positivo).

II. PROTECCIÓN DE DATOS.-

Para garantizar la protección de datos, la LOPD establece una serie de

principios, y una serie de derechos para hacer efectivos el cumplimiento de este

derecho fundamental. Además, establece las medidas de seguridad que se han de

adoptar, según el tipo de datos y un régimen sancionador para los supuestos de

incumplimiento de la Ley. Por último, la Ley atribuye a una autoridad independiente la

función de velar por el cumplimiento de la Ley.

Así pues, estos son los apartados a desarrollar en orden a determinar cómo se

articula por Ley, la protección de datos de carácter personal.

II.1. PRINCIPIOS

La LOPD regula en su título II (artículos 4 a 12) una serie de principios que han

de cumplirse para respetar el derecho fundamental a la protección de datos de

carácter personal. Son los siguientes:

a) Principio de calidad

El primero de esos principios es el PRINCIPIO DE CALIDAD, que implica que

los datos han de reunir una serie de características para su tratamiento.

En concreto, los datos han de ser adecuados, pertinentes y no excesivos en

relación con el ámbito y la finalidad, finalidad que ha de ser determinada, explícita y

legítima para las que se hayan obtenido.

Se exige además que no pueda ser utilizada para finalidades incompatibles con

aquellas para las que los datos hubieran sido recogidos.


Por último, se exige que los datos sean exactos y puestos al día, de forma que

respondan con veracidad a la situación actual de la persona.

b) Principio de Información en la recogida de datos

El deber de información al afectado, previo al tratamiento de sus datos de

carácter personal, es uno de los principios fundamentales sobre los que se asienta la

LOPD y así, se regula en su artículo 5 el principio de información en la recogida de

datos, distinguiendo según la información haya sido aportada por el interesado o no.

• DATOS RECABADOS DEL PROPIO INTERESADO.

El apartado 1 del citado precepto establece que los interesados a los que se

soliciten datos personales deberán ser previamente informados de modo expreso,

preciso e inequívoco de los siguientes extremos:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.

a) Del carácter obligatorio o facultativo de su respuesta a las preguntas que

les sean planteadas.

b) De las consecuencias de la obtención de los datos o de la negativa a

suministrarlos.

c) De la posibilidad de ejercitar los derechos de acceso, rectificación,

cancelación y oposición.

d) De la identidad y dirección del responsable del tratamiento o, en su

caso, de su representante.

Este deber de información deberá llevarse a cabo a través de un medio que

permita acreditar su cumplimiento, debiendo conservarse el soporte en el que conste

el mismo.


• DATOS NO RECABADOS DIRECTAMENTE DEL PROPIO INTERESADO.

De conformidad con el apartado 4, si la recogida de los datos se ha realizado

sin el conocimiento del interesado se le deberá informar en el plazo de los tres meses siguientes al tratamiento, del contenido de cada uno de los puntos del artículo 5.1.

Por otro lado, no será exigible este deber en los siguientes casos:

a) Cuando una ley lo prevea expresamente

b) Cuando el tratamiento tenga fines históricos, estadísticos o científicos.

c) Cuando la información al interesado resulte imposible.

d) Cuando exija esfuerzos desproporcionados a criterio de la Agencia de

Protección de Datos o del organismo autonómico equivalente, en

consideración al número de interesados, la antigüedad de los datos y a las

posibles medidas compensatorias.

e) Cuando los datos procedan de fuentes accesibles al público y se destinen a

la actividad de publicidad o prospección comercial, en cuyo caso, en cada

comunicación que se dirija al interesado se le informará del origen de los

datos y de la identidad del responsable del tratamiento así como de los

derechos que le asisten.

Además es necesario destacar que el responsable del fichero o tratamiento

deberá conservar los documentos o cualquier otro soporte utilizado que acredite el

cumplimiento del deber de información.

Por último, cabe señalar que el incumplimiento del deber de información aquí

visto, se encuentra tipificado como falta leve en el artículo 44.2.d) de la Ley: “Proceder

a la recogida de datos de carácter personal de los propios afectados sin

proporcionarles la información que señala el artículo 5 de la presente Ley'.

c) Principio de Consentimiento del Interesado

Como regla general, la inclusión de datos de carácter personal en un fichero

supondrá que estamos ante un tratamiento de datos de carácter personal, que

requerirá, en principio, el consentimiento del afectado.

Dicho principio aparece recogido en el artículo 6 de la LOPD, al establecer que

“el tratamiento de los datos de carácter personal requerirá el consentimiento


inequívoco del afectado, salvo que la ley disponga otra cosa”, correspondiendo al

responsable del tratamiento la obtención del consentimiento y la prueba de su

existencia por cualquier medio de prueba admisible en derecho.

La manifestación de la voluntad del interesado ha de reunir las siguientes

características:

A. Libre, lo que supone que el mismo deberá haber sido obtenido sin la

intervención de vicio alguno del consentimiento en los términos regulados

por el Código Civil.

B. Inequívoco, lo que implica que no resulta admisible deducir el

consentimiento de los meros actos realizados por el afectado

(consentimiento presunto), siendo preciso que exista expresamente una

acción u omisión que implique la existencia del consentimiento.

C. Específico, es decir, referido a una determinada operación de tratamiento y

para una finalidad determinada, explícita y legítima del responsable del

tratamiento, tal y como impone el artículo 4.2 de la Ley.

D. Informado, es decir que el afectado conozca con anterioridad al

tratamiento la existencia del mismo y las finalidades para las que el mismo

se produce.

El consentimiento podrá ser revocado cuando exista causa justificada para ello

y no se le atribuyan efectos retroactivos, a través de un medio sencillo, gratuito y que

no implique ingreso alguno para el responsable del fichero o tratamiento, admitiéndose

entre otros medio, incluso la llamada a un número de teléfono gratuito o a los servicios

de atención al público.

Una vez comunicado la revocación del consentimiento, el responsable cesará

en el tratamiento de los datos en el plazo máximo de diez días a contar desde su

recepción. Además si se han cedido los datos, deberá comunicar a los cesionarios la

revocación.

No obstante el principio de consentimiento, el apartado 2 del artículo 6 recoge

además los supuestos en los que no será necesario recabar el consentimiento del

titular de los datos, que son los siguientes:


a) Cuando una norma así lo disponga, teniendo en cuenta que dicha norma

deberá tener siempre el rango de ley.

b) Cuando los datos se recojan para el ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias. Estas

funciones deberán estar incluidas en el ámbito de competencias del órgano

de la Administración responsable del fichero.

c) Cuando los datos se refieran a las partes de un contrato o precontrato de una relación de negocios, laboral o administrativa y sean necesarios

para su mantenimiento o cumplimiento. Es decir, se considera que el

consentimiento está implícito en la constitución y mantenimiento de esa

relación.

d) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado. Debe entenderse con relación al contenido del artículo

7.6, es decir, para la prevención o el diagnóstico médicos, la prestación de

asistencia sanitaria o tratamientos médicos, y la gestión de servicios

sanitarios.

El tratamiento de estos datos debe realizarse por un profesional sanitario

sujeto al secreto profesional o por otra persona sujeta asimismo a una

obligación equivalente de secreto.

e) Cuando los datos figuren en fuentes accesibles al público siempre que

el tratamiento que se realice con los datos sea necesario para la

satisfacción del interés legítimo perseguido por el responsable del fichero o

por el tercero a quien se comuniquen los datos, en tanto no se vulneren los

derechos y libertades fundamentales del interesado.

A los efectos de la LOPD, se consideran fuentes accesibles al público las

siguientes: Censo promocional, Repertorios telefónicos (normativa

específica), Listas de personas pertenecientes a grupos profesionales

(limitado a: nombre, título, profesión, actividad, grado académico, dirección

e indicación de su pertenencia al grupo), Diarios oficiales, Boletines

oficiales, Medios de comunicación…


d) Principio de Seguridad de los Datos

Este principio se contiene en el artículo 9 de la LOPD e implica que el

responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar

las medidas de índole técnica y organizativa necesarias que garanticen la seguridad

de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso

no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos

almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana

o del medio físico o natural.

Además de lo anterior, el responsable del fichero o del tratamiento tiene un

deber de formación del personal que se encuentre a su cargo, quienes habrán de

cumplir asimismo, las medidas de seguridad que se establezcan.

e) Deber de Secreto

De acuerdo con el artículo 10 de la Ley, el responsable del fichero y quienes

intervengan en cualquier fase del tratamiento de los datos de carácter personal están

obligados al secreto profesional respecto de los mismos y al deber de guardarlos,

obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo.

En la práctica, este principio implica que las personas que deban operar sobre

los ficheros, o tengan acceso a datos personales, aunque sólo sea a modo de

consulta, deberán estar sometidos por medidas o normas estrictas de conducta

relativas al mantenimiento de la confidencialidad (compromiso de confidencialidad) en

el desempeño de su labor diaria.

Según el tipo de dato que se trate, el incumplimiento del deber de secreto

puede ser constitutivo de una infracción leve, grave o muy grave (en el caso de datos

especialmente protegidos) de acuerdo con el artículo 44 de la LOPD.

f) Comunicación de Datos

Resulta de especial interés el estudio de la comunicación de datos, por cuanto

puede existir un conflicto entre la protección de datos y la cesión que implica en la


mayoría de los casos, la utilización de los datos para finalidades distintas para las que

se recabó inicialmente.

El artículo 11 establece que los datos de carácter personal sólo podrán ser

comunicados a un tercero para el cumplimiento de fines directamente relacionados

con las funciones legítimas del cedente y del cesionario con el previo consentimiento

del interesado.

La Ley exige también que el consentimiento del interesado deba obtenerse con

carácter previo a la cesión, estableciendo que será nulo el consentimiento para la

comunicación de datos, cuando la información que se facilite al interesado no le

permita conocer la finalidad a que se destinarán los datos cuya comunicación se

autoriza o el tipo de actividad de aquel a quien se pretende comunicar.

También cabe señalar que el consentimiento para la comunicación de datos

tiene un carácter de revocable.

Por otro lado, no será preciso el consentimiento en los supuestos previstos en

el apartado 2 del citado artículo 11, que pasamos a ver:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una

relación jurídica cuyo desarrollo, cumplimiento y control implique

necesariamente la conexión de dicho tratamiento con ficheros de terceros.

En este caso, la comunicación sólo será legítima en cuanto se limite a la

finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al

Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el

Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación tenga

como destinatario a instituciones autonómicas con funciones análogas al

Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por

objeto el tratamiento posterior de los datos con fines históricos,

estadísticos o científicos.


f) Cuando la cesión de datos de carácter personal relativos a la salud sea

necesaria para solucionar una urgencia que requiera acceder a un fichero

o para realizar los estudios epidemiológicos en los términos establecidos

en la legislación sobre sanidad estatal o autonómica.

g) Acceso a los Datos por Cuenta de Terceros:

El acceso a los datos por cuenta de terceros se encuentra regulado en el

artículo 12 de la LOPD que establece que no se considerará comunicación de datos el

acceso de un tercero a los datos cuando dicho acceso sea necesario para la

prestación de un servicio al responsable del tratamiento.

De su tenor literal se pude concluir que hace referencia a los llamados

contratos de arrendamiento de servicios, es decir, un contrato por el que una persona

se compromete a prestar algún servicio a otra a cambio de un precio. En este tipo de

contratos, quien los presta actúa por cuenta de quien lo encarga, de modo que el

riesgo o beneficio de los resultados del servicio siempre recaerá sobre el arrendatario

(quien encarga el servicio). Es decir, en el caso de la materia que nos ocupa, el

responsable del fichero (arrendatario de los servicios), continúa teniendo la dirección y

la responsabilidad del tratamiento, de modo que el encargado del tratamiento (o

arrendador de los servicios) sólo está legitimado para realizar aquello que se le

encomienda por medio del contrato.

Es necesario aclarar que dicho precepto se refiere al denominado encargado del tratamiento, que define el artículo 3 de la Ley como toda persona física o jurídica,

autoridad pública, servicio o cualquier otro, organismo que, sólo o conjuntamente con

otros, trate datos personales por cuenta del responsable del tratamiento.

No se considerará comunicación siempre que el acceso sea necesario para la

prestación de un servicio al responsable del tratamiento. No obstante lo dicho, La ley

establece una serie de requisitos para la prestación de dichos servicios debiendo

encontrarse regulados en un contrato por escrito o en alguna forma que permita

estipular su celebración y contenido, atendiendo además a las siguientes obligaciones:

Tratar los datos personales únicamente conforme a las instrucciones del

responsable.


Cumplir con las normas de seguridad que, de acuerdo a la normativa

vigente, el responsable del fichero y el encargado del tratamiento están

obligados a implantar.

Prohibición de utilizar los datos con un fin distinto al que figure en el

contrato.

Prohibición de comunicar los datos a terceros, ni siquiera para su

conservación.

Destruir los datos personales una vez cumplido el objeto del contrato o

devolverlos al responsable, al igual que cualquier soporte o documento en

que conste algún dato de carácter personal objeto del tratamiento.

No procederá la destrucción de los datos cuando exista una previsión legal que

exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos

garantizando el responsable del fichero dicha conservación.

Por su parte, el encargado del tratamiento conservará, debidamente

bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación

con el responsable del tratamiento.

En caso de incumplimiento de las estipulaciones del contrato, el encargado del

tratamiento será responsable de las infracciones en que hubiera incurrido

personalmente.

Así, como el acceso del prestador de servicios no supone una cesión o

comunicación de datos del artículo 11 LOPD, no le será aplicable el artículo 11.5.

LOPD, en el sentido que el tercero no se encuentra sometido a la Ley, salvo en las

especificaciones marcadas por el artículo 12 del mismo texto legal.

II.2. LOS DERECHOS DE LAS PERSONAS:

Los derechos de las personas que se configuran en la LOPD, en orden a hacer

efectiva la protección de datos de carácter personal son: impugnación de valoraciones,

derecho de consulta, acceso, rectificación y cancelación, oposición, tutela e

indemnización. Aparece, frente a la LORTAD, un nuevo derecho: el de oposición.


a) Impugnación de Valores

La impugnación de valores implica que los ciudadanos tienen derecho a no

verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de

manera significativa, que se base únicamente en un tratamiento de datos destinados a

evaluar determinados aspectos de su personalidad”.

Por el contrario, la valoración sobre el comportamiento de los ciudadanos,

basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición

del afectado.

Por todo ello, el afectado podrá impugnar los actos administrativos o decisiones

privadas que impliquen una valoración de su comportamiento, cuyo único fundamento

sea un tratamiento de datos de carácter personal que ofrezca una definición de sus

características o personalidad.

En este caso, el afectado tendrá derecho a obtener información del

responsable del fichero, ya sea éste persona jurídica pública o privada, sobre los

criterios de valoración y el programa utilizados en el tratamiento que sirvió para

adoptar la decisión en que consistió tal acto.

b) El Derecho de Consulta al Registro General de Protección de Datos

El derecho de consulta al Registro General de Protección de Datos, regulado

en el artículo 14 LOPD, permite al interesado cuyos datos hayan sido objeto de

tratamiento, proceder a recabar información del Registro General de Protección de

Datos (de la Agencia Española de Protección de Datos) a fin de conocer la existencia

de tratamientos de datos de carácter personal, la finalidad del mismo y la identidad del

responsable del fichero.

Dicho Registro se configura legalmente como de consulta pública y gratuita, no

existiendo limitación alguna para las consultas efectuadas por parte del interesado.

La información existente en el Registro se limita a determinadas características

de los ficheros: su identificación, quien es el responsable del mismo, donde se ubican

y el tipo de datos que tratan, entre otras.


c) El Derecho de acceso

El interesado tendrá derecho a solicitar y obtener gratuitamente información de

sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así

como las comunicaciones realizadas o que se prevén hacer de los mismos.

En virtud de este derecho, el afectado podrá obtener del responsable del

tratamiento información relativa a datos concretos, a datos incluidos en un

determinado fichero o a la totalidad de sus datos sometidos a tratamiento.

El afectado podrá obtener la información a través de uno o varios de los

siguientes sistemas de consulta del fichero:

Visualización en pantalla.

Escrito, copia o fotocopia remitida por correo, certificado o no. Telecopia

Correo electrónico u otros sistemas de comunicación electrónicas.

Cualquier otro sistema que sea adecuado a la configuración o implantación

material del fichero o a la naturaleza del tratamiento, ofrecido por el

responsable.

En cuanto al procedimiento para el ejercicio de este derecho, cabe decir lo

siguiente:

El titular de los datos deberá dirigir una solicitud de acceso al responsable

del fichero, con indicación de sus datos identificativos y de los ficheros a

consultar.

El responsable del fichero deberá resolver sobre dicha petición en el plazo

máximo de un mes a contar desde la recepción de la misma

Transcurrido dicho plazo sin que de forma expresa se responda a la

petición de acceso, el interesado podrá interponer la correspondiente

reclamación (artículo 18 de la LOPD).

El responsable del fichero o tratamiento podrá denegar el acceso a los

datos de carácter personal en los siguientes casos:

Cuando el derecho ya se haya ejercitado en los doces meses anteriores a

la solicitud, salvo que acredite un interés legítimo al efecto.

Cuando así lo prevea una Ley o una norma de derecho comunitario de

aplicación directa o cuando éstas impidan al responsable del tratamiento


revelar a los afectados el tratamiento de los datos a los que se refiera el

acceso.

En cualquier caso, el responsable del fichero informará al afectado de su

derecho de recabar la tutela de la Agencia de Protección de Datos, en los

términos del artículo18 de la LOPD.

d) El Derecho de Rectificación y Cancelación

El derecho de rectificación es el derecho del afectado a que se modifiquen los

datos que resulten ser inexactos o incompletos y que el ejercicio del derecho de

cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o

excesivos, sin perjuicio del deber de bloqueo que recoge la legislación existente.

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho

de rectificación o cancelación del interesado en el plazo de diez días.

En cuanto al procedimiento para el ejercicio de estos derechos, cabe señalar lo

siguiente:

El titular de los datos deberá presentar una solicitud de rectificación, con

indicación de los datos se refiere y la corrección que haya de realizarse y

deberá ir acompañada de la documentación justificativa de lo solicitado.

Por su parte, en la solicitud de cancelación, el interesado deberá indicar a

qué datos se refiere, aportando al efecto la documentación que lo justifique,

en su caso.

El responsable del fichero resolverá sobre la solicitud de rectificación o

cancelación en el plazo máximo de diez días a contar desde la recepción de

la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la

petición, el interesado podrá interponer la reclamación prevista en el

artículo 18 de la LOPD.

En el caso de que no disponga de datos de carácter personal del afectado

deberá igualmente comunicárselo en el mismo plazo.


La cancelación no procederá en los siguientes supuestos: Cuando los datos de carácter personal deban ser conservados durante los

plazos previstos en las disposiciones aplicables o, en su caso, en las

relaciones contractuales entre la persona o entidad responsable del

tratamiento y el interesado que justificaron el tratamiento de los datos.

-Cuando así lo prevea una ley o una norma de derecho comunitario de

aplicación directa o cuando éstas impidan al responsable del tratamiento

revelar a los afectados el tratamiento de los datos a los que se refiera el

acceso.

En todo caso, el responsable del fichero informará al afectado de su derecho a

recabar la tutela de la Agencia Española de Protección de datos, en los términos

previstos en el artículo 18 de la LOPD.

e) El Derecho de Oposición

De conformidad con el artículo 6, apartado 4 de la LOPD los titulares de los

datos, podrá instar la oposición a su tratamiento en los siguientes supuestos:

a) Cuando no sea necesario su consentimiento para el tratamiento, como

consecuencia de la concurrencia de un motivo legítimo y fundado, referido a

su concreta situación personal, que lo justifique, siempre que una Ley no

disponga lo contrario.

b) Cuando se trate de ficheros que tengan por finalidad la realización de

actividades de publicidad y prospección comercial, en los términos previstos

en el artículo 51 del reglamento, cualquiera que sea la empresa

responsable de su creación.

c) Cuando el tratamiento tenga por finalidad la adopción de una decisión

referida al afectado y basada únicamente en un tratamiento automatizado

de sus datos de carácter personal, en los términos previstos en el artículo

36 del reglamento.

En cuanto al procedimiento para el ejercicio de este derecho de oposición,

podemos señalar lo siguiente:

Este derecho se ejercitará mediante solicitud dirigida al responsable del

tratamiento, con indicación de los motivos fundados y legítimos, relativos a


una concreta situación personal del afectado, que justifican el ejercicio de

este derecho, en el primer de los supuestos previstos.

El responsable del fichero resolverá sobre la solicitud de oposición en el

plazo máximo de diez días a contar desde la recepción de la solicitud.

Transcurrido el plazo sin que de forma expresa se responda a la petición, el

interesado podrá interponer la reclamación prevista en el artículo 18 de la

LOPD.

En el caso de que no disponga de datos de carácter personal de los

afectados deberá igualmente comunicárselo en el mismo plazo.

f) Derecho a Indemnización

Los interesados que, como consecuencia del incumplimiento de lo dispuesto en

la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en

sus bienes o derechos tendrán derecho a ser indemnizados.

Para la determinación del tipo de indemnización y cuantía, la Ley distingue

entre ficheros de titularidad pública y privada, estableciendo que en el primer caso, se

estará a lo dispuesto en la legislación reguladora del régimen de responsabilidad de

las Administraciones Públicas, esto es, la Ley 30/1992, de 26 de noviembre, de

Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo

Común.

En el caso de ficheros de titularidad privada, la acción se ejercitará ante los

órganos de la jurisdicción ordinaria.

g) Tutela de los Derechos

Las actuaciones contrarias a lo dispuesto en la LOPD y demás normativa

(denegación al interesado total o parcialmente el ejercicio de los derechos de acceso,

rectificación, cancelación u oposición) pueden ser objeto de reclamación ante la

Agencia Española de Protección de Datos.

La Agencia tiene un plazo máximo de 6 meses para dictar resolución expresa

sobre la procedencia o no de la denegación.


Contra las resoluciones de la Agencia de Protección de Datos procederá

recurso contencioso-administrativo.

II.3. LAS MEDIDAS DE SEGURIDAD.

Los responsables de los tratamientos y los ficheros y los encargados del

tratamiento deberán implantar las medidas de Seguridad con arreglo a lo dispuesto en

el Título VIII del Reglamento de desarrollo de la LOPD, con independencia de cuál sea

su sistema de tratamiento.

Se distinguen 3 tipos de niveles de seguridad, a saber:

a) Nivel básico: Es de aplicación a todos los tratamientos de datos, con

independencia de su contenido.

b) Nivel medio: Ficheros que contengan datos relativos a la comisión de

infracciones administrativas o penales, Administraciones tributarias,

servicios financieros, servicios de información sobre solvencia patrimonial y

crédito, Entidades Gestoras y Servicios Comunes de la Seguridad Social,

mutuas de accidentes de trabajo y enfermedades profesionales de la

Seguridad Social, los que contengan un conjunto de datos de carácter

personal que ofrezcan una definición de las características o de la

personalidad de los ciudadanos y que permitan evaluar determinados

aspectos de la personalidad o del comportamiento de los mismos.

c) Nivel alto: Ficheros que contengan datos de ideología, religión, creencias,

origen racial, salud o vida sexual así como los que contengan datos

recabados para fines policiales sin consentimiento de las personas

afectadas. Igualmente se incluyen datos derivados de actos de violencia de

género.

Las medidas de seguridad son progresivas y acumulativas, por lo que para los

ficheros de nivel medio serán aplicables, además de las medidas de nivel medio, las

medidas de nivel básico. Asimismo, para los ficheros de nivel alto serán aplicables las

medidas del nivel básico, medio y alto.

La Ley recoge como medida de seguridad común a todos los niveles, el

documento de seguridad, cuyo contenido se regula en el artículo 88 del Reglamento

de desarrollo de la LOPD:


Ámbito de aplicación del Documento de seguridad.

Medidas, normas, procedimientos, reglas y estándares.

Régimen de funciones y obligaciones del personal.

Estructura de los ficheros con datos de carácter personal y descripción de

los sistemas de información que los tratan.

Procedimiento de notificación, gestión y respuesta ante incidencias.

Procedimientos de realización de copias de respaldo y recuperación de los

datos en los ficheros o tratamientos automatizados.

Las medidas a adoptar para el transporte de soportes y documentos, así

como para la destrucción de los documentos y soportes, o en su caso, la

reutilización de estos medios.

En el caso de ficheros a los que le sea de aplicación medidas de seguridad de

nivel medio o alto, el documento deberá contener además:

La identificación del responsable o responsables de seguridad.

Los controles periódicos de verificación del cumplimiento del propio

documento de seguridad.

La redacción del Documento de seguridad se exige exclusivamente al

responsable del fichero y es de obligado cumplimiento para el personal con acceso a

los sistemas de información.

II.4. RÉGIMEN SANCIONADOR

La LOPD establece el régimen sancionador para el caso de incumplimiento de

la Ley, en su Título VII, determinando las infracciones, sancionadores, órganos

competentes y procedimiento.

De dicha regulación se puede destacar lo siguiente:

De acuerdo con lo dispuesto en el artículo 44 las infracciones se calificarán

como Leves, Graves y Muy graves.

De conformidad con el artículo 45 de la LOPD, se establecen distintas

sanciones económicas según el tipo de infracción. Así


a) Las infracciones leves serán sancionadas con multa de 900 a 40.000

euros.

b) Las infracciones graves serán sancionadas con multa de 40.001 a

300.000 euros.

c) Las infracciones muy graves serán sancionadas con multa de 300.001 a

600.000 euros.

La tramitación del procedimiento sancionador le corresponde a la Agencia

Española de Protección de Datos. En el caso de las CCAA que tengan

Agencia propia, ésta será la que competente para tramitar el procedimiento

sancionador.

La regulación detallada del procedimiento sancionador se contiene en el

Reglamento de desarrollo de la LOPD, y, en concreto, en los artículos 120 y

siguientes. Las fases del procedimiento serían las siguientes:

A. Actuaciones Previas:

No es una fase propiamente dicha, y tiene por objeto determinar si concurren

circunstancias que justifiquen tal iniciación y en concreto, los hechos que pudieran

justificar la incoación del procedimiento, identificar la persona u órgano que pudiera

resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el

caso. Tendrán una duración de 12 meses y le corresponde al Director de la Agencia

Española de Protección de Datos.

B. Inicio:

El procedimiento sancionador se iniciará de oficio, mediante acuerdo, de la

Agencia Española de Protección de Datos, bien por iniciativa propia, o como

consecuencia de la existencia de una denuncia o una petición razonada de otro

órgano.

C. Resolución:

El plazo para dictar resolución será el que determine las normas aplicables a

cada procedimiento sancionador y se computará desde la fecha en que se dicte el


acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora,

o se acredite debidamente el intento de notificación.

El vencimiento del citado plazo máximo sin que se hay dictado y notificado

resolución expresa, producirá la caducidad del procedimiento y el archivo de las

actuaciones.

La resolución que pone fin al procedimiento habrá de ser motivada y resolverá

todas las cuestiones planteadas en el expediente, siendo ejecutiva cuando ponga fin a

la vía administrativa. Más en concreto, el artículo 48 apartado 2 de la LOPD establece

que sus resoluciones agotan la vía administrativa.

Ello implica, de conformidad con lo establecido en el artículo 116 de la LRJAP,

que los interesados puedan interponer recurso de reposición ante el director de la

Agencia sancionadora en el plazo de un mes a contar desde el día siguiente a la

notificación de la resolución, o, directamente, en el plazo de 2 meses, recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional.

Por último, hay que señalar que en la resolución se adoptarán, en su caso, las

disposiciones cautelares precisas para garantizar su eficacia en tanto no sea ejecutiva.

En caso de desatención por parte del responsable del fichero, la Agencia de

Protección de Datos puede adoptar entre otras medidas, la inmovilización de tales

ficheros, regulada en el artículo 49 de la LOPD

La inmovilización deberá, en todo caso, hacerse mediante resolución motivada

y debe tener como finalidad la restauración de los derechos de las personas

afectadas.

Cuando las infracciones se cometan por Administraciones Públicas, el director

de la Agencia de Protección de Datos dictará resolución en la que se establezcan las

medidas a adoptar para corregir o para que cese la infracción, que se notificará al

responsable del fichero, al órgano de que dependa y a los afectados, pudiendo

proponer además, la iniciación de medidas disciplinarias.

Estas actuaciones y resoluciones se comunicaran también al Defensor del

Pueblo. Las Administraciones afectadas deben comunicar también las resoluciones y

medidas adoptadas al respecto.


II.5. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Por último, para completar el régimen de protección de datos de carácter

personal, es necesario conocer la autoridad independiente garante del cumplimiento

de la Ley, esto es, la Agencia Española de Protección de Datos.

El artículo 28 de la Directiva 1995/46/CE de 24 de octubre, establece que “los

Estados miembros dispondrán que una o más autoridades públicas se encarguen de

vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en

aplicación de la presente Directiva”, añadiendo que “estas autoridades ejercerán las

funciones que les son atribuidas con total independencia”.

Por su parte, y en cumplimiento de dicha Directiva, el Título VI de la LOPD

(artículos 35 y siguientes) establece el régimen jurídico de esa autoridad pública en

España, esto es, la denominada AGENCIA DE PROTECCIÓN DE DATOS,

configurándola en su apartado 1 como “un ente de derecho público con personalidad

jurídica propia y plena capacidad pública y privada, que actúa con plena

independencia de las Administraciones Públicas en el ejercicio de sus funciones”,

funciones que se relacionan en el artículo 37.

Más en concreto, dicho precepto establece que la Agencia se regirá por lo

dispuesto en la LOPD y en su Estatuto propio, que será aprobado por el Gobierno.

Dicho Estatuto ha sido aprobado por Real Decreto 428/1993, de 26 de marzo.

En cuanto a sus funciones, cabe decir que con carácter general, le corresponde

a la Agencia Velar por el cumplimiento de la legislación sobre protección de datos y

controlar su aplicación, en especial, lo relativo a los derechos de información, acceso,

rectificación, oposición y cancelación de datos.

Asimismo, es necesario señalar que la Agencia ostenta potestades de

inspección, de conformidad con el artículo 40 de la LOPD, como autoridad de control,

pudiendo inspeccionar los ficheros recabando cuantas informaciones precisen para el

cumplimiento de sus contenidos.

Por lo que respecta a su estructura, cabe decir que está integrada por los

siguientes órganos:


-El Director

-El Consejo Consultivo

-El Registro General de Protección de Datos

-La Inspección de Datos

-La Secretaría General de la Agencia

El director de la Agencia dispondrá de una absoluta independencia en el

ejercicio de sus funciones ya que es elegido para un mandato fijo -será nombrado

entre los miembros del Consejo Consultivo de la Agencia por Real Decreto por un

periodo de cuatro años- y este mandato solo podrá ser acortado por las causas que

expresamente fija la Ley.

El Consejo Consultivo estará compuesto por: un Diputado, un senador, un

representante de la Administración Central y otro de la Administración Local, un

miembro de la Real Academia de la Historia, un experto en la materia propuesto por el

Consejo Superior de Universidades, un representante de los usuarios y consumidores,

un representante de cada Comunidad Autónoma que haya creado su propia Agencia

de Protección de Datos y un representante del sector de fichero privados.

III. DATOS ESPECIALMENTE PROTEGIDOS.

Los datos especialmente protegidos, también conocidos como "datos

sensibles" son una categoría de datos que por su especial influencia en la intimidad,

los derechos fundamentales y las libertades públicas del individuo, requieren de una

mayor protección que el resto de sus datos personales. Su tratamiento se encuentra

regulado en el artículo 7 de LOPD, y son los siguientes:

1. Datos que revelen la ideología, afiliación sindical, religión y creencias

2. Datos que hagan referencia al origen racial, la salud o la vida sexual

3. Datos relativos a la comisión de infracciones penales o administrativas

El responsable del fichero que debe tratar los datos especialmente protegidos

en las condiciones previstas en el artículo 7 de la LOPD, respetando las siguientes

condiciones:


1. Derecho a no declarar sobre la ideología, religión o creencias:

De acuerdo con lo establecido en el apartado 2 del artículo 16 de la

Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o

creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento

a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho

a no prestarlo.

2. Principio de Consentimiento en los datos especialmente protegidos:

Cuando se proceda a recabar el consentimiento del titular de lo datos, se

advertirá al interesado acerca de su derecho a no prestarlo.

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto

de tratamiento de datos de carácter personal que revelen la ideología, afiliación

sindical, religión y creencias.

Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,

iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras

entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,

en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la

cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Tratamiento de datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual.

Los datos de carácter personal que hagan referencia al origen racial, a la salud

y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razón de

interés general, así lo disponga una ley o el afectado consienta expresamente

4. Prohibición de creación y tratamientos de datos especialmente protegidos.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar

datos de carácter personal que revelen la ideología, afiliación sindical, religión,

creencias, origen racial o étnico o vida sexual.


5. Tratamiento de los datos de carácter personal relativos a la comisión de infracciones penales o administrativas.

Los datos de carácter personal relativos a la comisión de infracciones penales

o administrativas sólo podrán ser incluidos en ficheros de las Administraciones

públicas competentes en los supuestos previstos en las respectivas normas

reguladoras.

No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de

tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical,

religión y creencias y los que hagan referencia al origen racial, a la salud y a la vida

sexual, cuando dicho tratamiento resulte necesario para la prevención o para el

diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la

gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por

un profesional sanitario sujeto al secreto profesional o por otra persona sujeta

asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo

anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del

afectado o de otra persona, en el supuesto de que el afectado esté física o

jurídicamente incapacitado para dar su consentimiento

6. Medidas de Seguridad.

Por último, y para completar el régimen especial de protección aplicable a este

tipo de datos, tal y como establece el artículo 81 del Reglamento que desarrolla la

LOPD, y que fue aprobado por el Real Decreto 1720/2007, de 21 de diciembre, el

responsable del fichero deberá garantizar la seguridad de los datos especialmente

protegidos adoptando en su organización las medidas de seguridad correspondientes

a los niveles alto o medio en los siguientes términos:

1. Nivel Alto: el responsable del fichero debe garantizar la seguridad de los

datos que revelan la ideología, afiliación sindical, religión y creencias de las

personas físicas así como la de los datos que hagan referencia al origen

racial, la salud o la vida sexual aplicando en sus ficheros las medidas de


seguridad de nivel alto previstas en el Título VIII del Reglamento que

desarrolla la LOPD.

2. Nivel Medio: el responsable del fichero debe garantizar la seguridad de los

datos relativos a la comisión de infracciones penales o administrativas

aplicando en sus ficheros las medidas de seguridad de nivel medio

previstas en el Título VIII del Reglamento que desarrolla la LOPD.

De manera excepcional, y tal y como establece el artículo 81, 5 del Real

Decreto 1720/2007, en los ficheros que contengan datos relativos a la ideología,

afiliación sindical, religión, creencias, origen racial, salud o vida sexual, se podrán

aplicar las medidas de seguridad de nivel básico únicamente en los siguientes

supuestos:

1. En caso de ficheros o tratamientos de datos sobre la ideología, afiliación

sindical, religión, creencias, origen racial, salud o vida sexual, bastará la

implantación de las medidas de seguridad de nivel básico cuando los datos

se utilicen con la única finalidad de ser realizar una transferencia dineraria a

las entidades de las que los afectados sean asociados o miembros, o

cuando se trate de ficheros o tratamientos no automatizados en los que de

forma incidental o accesoria se contengan aquellos datos sin guardar

relación con su finalidad.

2. También podrán implantarse las medidas de seguridad de nivel básico en

los ficheros o tratamientos que contengan datos relativos a la salud,

referentes exclusivamente al grado de discapacidad o la simple declaración

de la condición de discapacidad o invalidez del afectado, con motivo del

cumplimiento de deberes públicos.

7. Infracciones

El responsable del fichero debe tener en cuenta que recoger, tratar y ceder

datos de carácter personal vulnerando los principios y garantías establecidas en la

LOPD puede ser constitutivo de infracción leve, grave o muy grave según sea el caso

de que se trate, pudiendo ser sancionado por la Agencia Española de Protección de

Datos (AEPD) con multas de hasta 600.000 euros por la infracción más grave.


En relación al tratamiento de datos especialmente protegidos destacamos

como Infracción muy grave, la infracción contenida en el artículo 44.4 de la LOPD,

consistente en recabar y tratar los datos de carácter personal a los que se refiere el

artículo 7.2 (ideología, afiliación sindical, religión y creencias) cuando no medie

consentimiento expreso del afectado; recabar y tratar los datos a los que se refiere el

artículo 7.3 (origen racial, a la salud y a la vida sexual) cuando no lo disponga una ley

o el afectado no haya consentido expresamente o violentar la prohibición contenida en

el apartado 4 del artículo 7.

Dicha infracción es sancionable por la Agencia con multas de 300.001 a

600.000 euros.

IV. ANEXO LEY DE TRANSPARENCIA VS. PROTECCIÓN DE DATOS

La Ley 19/2013, de 19 de de diciembre de Transparencia, Acceso a la

Información Pública y Buen Gobierno tiene por objeto como declara su artículo ampliar

y reforzar la transparencia de la actividad pública, reconocer y garantizar el derecho de

acceso a la información relativa a aquella actividad y establecer las obligaciones de

buen gobierno que deben cumplir los responsables públicos así como las

consecuencias derivadas de su incumplimiento.

La transparencia se encuentra regulada en su Título I, del que se concluye que

se articula en torno a dos grandes conceptos:

a) La publicidad activa en la toma de decisiones y en la actividad pública de

los sujetos incluidos en el ámbito de aplicación de la Ley.

b) El derecho de acceso a la información pública que obre en su poder.

Como ahora veremos, en ambos casos, la protección de datos de carácter

personal constituye el principal límite.

En el mismo sentido, se incluye en la Ley 12/2014, de 16 de diciembre, de

Transparencia y Participación Ciudadana de la Comunidad Autónoma de la Región de

Murcia.


IV.1. LA PUBLICIDAD ACTIVA

De acuerdo con su artículo 5, la obligación de publicidad activa supone que los

Poderes Públicos deberán publicar de forma periódica y actualizada la información

cuyo conocimiento sea relevante para garantizar la transparencia de su actividad

relacionada con el funcionamiento y control de la actuación pública.

Esa información a la que se refiere dicho precepto se desarrolla en los artículos

6, 7 y 8 distinguiéndose entre información institucional, organizativa y de planificación;

información de relevancia jurídica; información económica, presupuestaria y

estadística.

La obligación de difundir esa información no es ilimitada aplicándose aquí los

mismos límites que los previstos para el derecho de acceso a la información pública, y

en especial, el derivado de la protección de datos de carácter personal.

IV.2. EL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA

Podemos definir este derecho, con carácter general como el derecho de

cualquier persona a acceder, previa solicitud, a la información pública que considere

de su interés, con los únicos límites que señale el texto legal.

El derecho de acceso a la información pública se encuentra regulado en el

capítulo III, título I de la Ley.

Uno de los temas más debatidos durante la tramitación de la Ley fue el de su

naturaleza jurídica. Hay quien defendía su configuración como un derecho

fundamental, vinculado al artículo 20 de la CE. Finalmente se regula como un derecho

de desarrollo legal derivado del artículo 105, b) de la Carta Magna.

1. LÍMITES AL EJERCICIO DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA.

1. Límites

La Ley 19/2013, de 9 de diciembre regula también los límites a este derecho.

Así, cabe decir que, este derecho solamente se verá limitado en aquellos casos en

que así sea necesario por la propia naturaleza de la información (límite derivado de la


Constitución Española) o por la concurrencia de un conflicto con otros intereses

protegidos.

Asimismo, la Ley 12/2014, de 16 de diciembre, de Transparencia y

Participación Ciudadana de la Comunidad Autónoma de la Región de Murcia establece

en su artículo 25 en cuanto a los Límites al derecho de acceso a la información

pública, lo siguiente:

1. Será de aplicación al derecho de acceso el régimen de los límites a tal

derecho establecido en el artículo 14 de la Ley 19/2013, de 9 de diciembre,

de transparencia, acceso a la información y buen gobierno.

2. Si la información solicitada contuviera datos de carácter personal se estará

a lo establecido en el artículo 15 de la Ley 19/2013, de 9 de diciembre, y en

la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal.

Analizamos pues, el artículo 14 dispone que el derecho de acceso podrá ser

restringido cuando el mismo suponga un perjuicio para:

a) La seguridad nacional.

b) La defensa.

c) Las relaciones exteriores.

d) La seguridad pública.

e) La prevención, investigación y sanción de los ilícitos penales,

administrativos o disciplinarios.

f) La igualdad de las partes en los procesos judiciales y la tutela judicial

efectiva.

g) Las funciones administrativas de vigilancia, inspección y control.

h) Los intereses económicos y comerciales.

i) La política económica y monetaria.

j) El secreto profesional y la propiedad intelectual e industrial.

k) La garantía de la confidencialidad o el secreto requerido en procesos de

toma de decisión.

l) La protección del medio ambiente


Además, la Ley establece que la aplicación de los límites será justificada y

proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del

caso concreto, especialmente a la concurrencia de un interés público o privado

superior que justifique el acceso. Así por ejemplo, se podría dar la información sobre

efectivos militares destinados en Afganistán pero no su ubicación exacta por evidentes

razones de seguridad.

Con esta previsión y como aclara su Exposición de motivos, el legislador

exigirá la necesidad de valorar en cada caso concreto el interés protegido (límite al

derecho de acceso) y el interés público en la divulgación de la información.

2. Especial referencia a la protección de datos como límite al derecho de acceso a la información pública

Asimismo, dado que el acceso a la información puede afectar de forma directa

a la protección de los datos personales el texto configura estos datos como otro límite

al derecho de acceso en su artículo 15.

Más concretamente, cuando afecte a los denominados datos especialmente

protegidos que revelen la ideología, afiliación sindical, religión y creencias, el acceso

únicamente se podrá autorizar en caso de que se contase con el consentimiento

expreso y por escrito del titular de tales datos.

Y cuando sean datos especialmente protegidos que hagan referencia al origen

racial, a la salud y a la vida sexual, el acceso solo se podrá autorizar en el caso de que

exista consentimiento expreso del afectado o cuando lo permita una norma con rango

de Ley.

La regulación conjunta en texto del derecho de acceso a la información pública

y de la protección de datos personales constituye una novedad digna de mención en

nuestro ordenamiento que debe valorarse de forma positiva, ya que ambos derechos

deben ser vistos como dos derechos complementarios que tienen por finalidad

proteger las libertades personales ante los poderes públicos, viéndose claramente su

conexión con la obligación de las Autoridades públicas de rendir cuentas en el ejercicio

de sus funciones.

Por último, cabe añadir que la Ley en su disposición adicional quinta contempla

posibilidad de que el Consejo de Transparencia y Buen Gobierno y la Agencia


Española de Protección de datos adopten conjuntamente los criterios de aplicación, en

su ámbito de actuación de este artículo 15.

IV.3. EL PRINCIPIO DEL PERJUICIO O TEST DEL DAÑO

En el caso de otro tipo de datos de carácter personal distintos a los analizados

en el apartado anterior, el órgano al que se dirija la solicitud concederá el acceso

previa ponderación suficientemente razonada del interés público en la divulgación de

la información y los derechos de los afectados cuyos datos aparezcan en la

información solicitada, en particular su derecho fundamental a la protección de datos

de carácter personal.

Con esta regulación se consagra en nuestro Ordenamiento, el llamado

Principio del perjuicio o test del daño. Se trata de un principio tradicional en los

ordenamientos jurídicos de nuestro entorno que permite al órgano al que se realiza la

solicitud de acceso al a información pública, evaluarla teniendo en cuenta de una parte

el perjuicio que la divulgación de la información podría ocasionar a intereses públicos o

incluso privados y el interés que quedaría satisfecho con la divulgación.

Para la realización de la citada ponderación, el órgano tomará particularmente

en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivado del transcurso de los plazos

establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del

Patrimonio Histórico Español.

b) La justificación por los solicitantes de su petición en el ejercicio de un

derecho o el hecho de que tengan la condición de investigadores y motiven

el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los

documentos únicamente contuviesen datos de carácter meramente

identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los

datos contenidos en el documento puedan afectar a su intimidad o a su

seguridad.

PROTECCIÓN DE DATOS DE CARÁCTER … · Española de Protección de Datos (Ley 63/2003) resulte...

Documents

Transcript of PROTECCIÓN DE DATOS DE CARÁCTER … · Española de Protección de Datos (Ley 63/2003) resulte...