TEMA_0113
-
Upload
david-munoz -
Category
Documents
-
view
43 -
download
1
Transcript of TEMA_0113
1
Ley de Protección
de Datos
2
Todos los nombres
sistemas
propios de
programas, operativos,
equipos hardware, etc. que aparecen en
este manual son marcas registradas de
sus respectivas compañías u
organizaciones.
Reservados
conformidad
Código
privación
parte, una
castigados
todos
con
con
de
obra
los
lo
derechos.
en
podrán
de multa
De
el
ser
y
dispuesto
Penal vigente,
penas
libertad
literaria,
quienes
artística o
reprodujeren o plagiaren, en todo o en
científica fijada en cualquier tipo de
soporte, sin la preceptiva autorización
del editor.
CÓDIGO: F12_00075
Edita: Interconsulting Bureau S.L.
Imprime:
Depósito Legal:
3
PRÓLOGO
La profunda experiencia de profesionales dedicados a la enseñanza ha
hecho posible la elaboración de este manual. Se caracterizan por su
hondo conocimiento sobre las necesidades del alumnado, por el uso de
una innovadora metodología de aprendizaje así como por aplicar
diferentes técnicas de motivación garantizando de este modo el éxito de
la formación que imparten.
El propósito de este manual es el de ser una guía útil para el aprendizaje,
siendo eminentemente práctica y didáctica.
La estructura del manual en módulos, temas y epígrafes facilita la
comprensión de los contenidos, que pueden estar apoyados por
ilustraciones, esquemas, resúmenes, bibliografía, glosario,…
Además, también puede incluir diferentes tests, cuestionarios de
evaluación, actividades o casos prácticos con el objeto de que el alumno
asimile los conceptos teórico-prácticos del curso.
Para lograr la calidad educativa se ha precisado del asesoramiento de
pedagogos, profesionales de la enseñanza y expertos conocedores en
cada una de las disciplinas, con el objeto de que el resultado final sea
óptimo y el más apropiado a las necesidades educativas.
Desde la humildad del formador, queremos aportar a este apasionante
mundo en el que vivimos, caracterizado por profundos cambios
tecnológicos, de mentalidad y de actitud ante los acontecimientos,
herramientas que faciliten la adaptación a un futuro condicionado por el
cambio continuo.
Por último, agradecer la colaboración de todos los compañeros en este
proyecto, sin la cual éste no habría sido una realidad. prólogo
4
5
MÓDULO 1: Ley de Protección de Datos
TEMA 1. Introducción a la Protección de Datos
Introducción
Definiciones y Conceptos Básicos
Objeto y Ámbito de Aplicación de la LOPD
La Agencia Española de Protección de Datos
TEMA 2. Deber de Notificación de Ficheros
Introducción
Creación y Notificación de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Códigos Tipo
Los Ficheros de Titularidad Pública
TEMA 3. Principios de la Ley Orgánica de Protección de Datos
El Principio de Calidad de los Datos
El Derecho a la Información durante la Recogida de Datos
El Consentimiento del Afectado
Datos Especialmente Protegidos
Datos Relativos a la Salud
Seguridad de los Datos
Deber de Secreto
Movimiento de Datos
TEMA 4. Ejercicio de Derechos
Introducción
Derecho a que le Sea Recabado su Consentimiento.
Derechos ARCO
Derecho a Indemnización
Derecho de Impugnación de Valoraciones
Derecho de Exclusión de Guías Telefónicas
Derecho a No Recibir Publicidad No Deseada
Derechos de Abonados y Usuarios de Comunicaciones Electrónicas
Derechos de los Destinatarios de Servicios de Comunicaciones
Electrónicas
Tutela de los Derechos
índice
Derecho de Información
6
TEMA 5. Medidas de Seguridad
Introducción
El Documento de Seguridad
Niveles de Seguridad de los Datos
Contenido Mínimo del Documento de Seguridad
Medidas de Seguridad Aplicables a los Ficheros
Modelo de Documento de Seguridad de la AEPD
TEMA 6. Régimen Sancionador
Infracciones y Sanciones
Prescripción
Procedimiento Sancionador
Anexos
Glosario
Bibliografía
7
Ley de Protección
de Datos
Ley de Protección de Datos
TEMA 1. Introducción a la Protección de Datos
TEMA 2. Deber de Notificación de Ficheros
TEMA 3. Principios de la Ley Orgánica de Protección de Datos
TEMA 4. Ejercicio de Derechos
TEMA 5. Medidas de Seguridad
TEMA 6. Régimen Sancionador
1
módulo 1
82
9
Ley de Protección
de Datos
Introducción
Datos
�
�
�
�
Introducción
a la Protección de
Definiciones y Conceptos Básicos
Objeto y Ámbito de Aplicación de la LOPD
La Agencia Española de Protección de Datos
Objetivos:
� Familiarizarse con los diferentes conceptos utilizados en la
normativa de protección de datos.
� Conocer el ámbito de aplicación de la Ley Orgánica de
Protección de Datos.
� Conocer la naturaleza, régimen jurídico, funciones y estructura
de la Agencia Española de Protección de Datos.
3
tema 1
104
11
Introducción
El derecho a la intimidad de las personas fue reconocido por vez primera en la
Declaración Universal de Derechos Humanos de 1944. Desde entonces, numerosas han
sido las leyes que han tratado la protección de datos, siendo pionera Alemania, que en
1970 ya promulgó la primera ley europea. Pocos años después, en 1974, Estados
Unidos dictó la conocida como Privacy Act.
Por su parte, en España, se reconoce este derecho en la Constitución, concretamente en
el Capítulo Segundo “Derechos y libertades”, Sección 1ª “De los derechos
fundamentales y de las libertades públicas”, artículo 18.1, cuya expresión literal es la
siguiente:
“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen”.
En 1992, se redacta la Ley Orgánica 5/92, de 29 de octubre, de regulación del
tratamiento automatizado de datos de carácter personal (LORTAD), desarrollándose el
mandato constitucional recogido en el artículo 18.4 de nuestra Constitución, que
disponía que “La Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Como desarrollo de la LORTAD se promulgó el Real Decreto 1332/1994, de 20 de junio y
el Real Decreto 994/1999 por el que se aprobaba el Reglamento de Medidas de
Seguridad de los ficheros automatizados que contienen datos de carácter personal.
En 1995, la Unión Europea aprobó la Directiva 95/46/CE, de 24 de octubre, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de los datos, estableciéndose de esa forma una serie de requisitos
mínimos comunes para todos los miembros de la Unión Europea.
En 1999 se dicta la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos
de carácter personal (LOPD), adaptando el sistema jurídico español a lo establecido en la
citada Directiva. Esta Ley mejora las carencias de la LORTAD, que únicamente se
aplicaba a los ficheros automatizados.
Por último, en 2007 se aprueba el Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgánica de protección de datos
de carácter personal. Su finalidad, al igual que la de la LOPD es hacer frente a los riesgos
que para los derechos de la personalidad pueden suponer el acopio y tratamiento de
datos personales. Nos dice el preámbulo del Reglamento que la norma nace con
vocación de no reiterar los contenidos de la norma que desarrolla, dando mayor
contenido no sólo a los mandatos de la misma, sino también a aquellos que en los años
de vigencia de la Ley se ha demostrado que precisan un mayor desarrollo normativo.
5
12
Definiciones y Conceptos Básicos
A continuación podemos ver una serie de definiciones y conceptos que nos ayudarán a
comprender los diferentes términos empleados en la LOPD y en su Reglamento:
� Datos de carácter personal: cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas
identificadas o identificables.
� Datos de carácter personal relacionados con la salud: las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su información
genética.
� Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
� Fichero: todo conjunto organizado de datos de carácter personal, que permita el
acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
� Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a las
mismas atribuye su normativa específica.
� Ficheros de titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho público
siempre que su finalidad sea el ejercicio de potestades de derecho público.
� Fichero no automatizado: todo conjunto de datos de carácter personal organizado
de forma no automatizada y estructurado conforme a criterios específicos
relativos a personas
a
físicas,
sus datos
que permitan
ya
acceder
sea
sin esfuerzos
desproporcionados personales, aquél centralizado,
descentralizado o repartido de forma funcional o geográfica.
� Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son
necesarios para un tratamiento ocasional o como paso intermedio durante la
realización de un tratamiento.
6
13
� Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no
automatizado, que permita la recogida, grabación, conservación, elaboración,
modificación, consulta, utilización, modificación, cancelación, bloqueo o
supresión, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
� Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que sólo o conjuntamente con otros
decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente. Podrán ser también responsables del fichero o del tratamiento los
entes sin personalidad jurídica que actúen en el tráfico como sujetos
diferenciados.
� Responsable de seguridad: persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables.
� Encargado del tratamiento: La persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito de su actuación para la prestación de
un servicio. Podrán ser también encargados del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
� Cesión o comunicación de datos: Tratamiento de datos que supone su revelación
a una persona distinta del interesado.
� Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano
administrativo, al que se revelen los datos. Podrán ser también destinatarios los
entes sin personalidad jurídica que actúen en el tráfico como sujetos
diferenciados.
� Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser
realizada, por cualquier persona, no impedida por una norma limitativa o sin más
exigencia que, en su caso, el abono de una contraprestación.
� Sistema de información: conjunto de ficheros, tratamientos, programas, soportes
y en su caso, equipos empleados para el tratamiento de datos de carácter
personal.
� Sistema de tratamiento: modo en que se organiza o utiliza un sistema de
información. Atendiendo al sistema de tratamiento, los sistemas de información
podrán ser automatizados, no automatizados o parcialmente automatizados.
7
14
� Soporte: objeto físico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de información y sobre el cual se
pueden grabar y recuperar datos.
� Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la
consideración de usuarios los procesos que permitan acceder a datos o recursos
sin identificación de un usuario físico.
�
�
�
Recurso: cualquier parte componente de un sistema de información.
Autenticación: procedimiento de comprobación de la identidad de un usuario.
Contraseña: información confidencial, frecuentemente constituida por una cadena
de caracteres, que puede ser usada en la autenticación de un usuario o en el
acceso a un recurso.
� Control de acceso: mecanismo que en función de la identificación ya autenticada
permite acceder a datos o recursos.
� Copia de respaldo: copia de los datos de un fichero automatizado en un soporte
que posibilite su recuperación.
�
�
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los
datos.
�
�
Perfil de usuario: accesos autorizados a un grupo de usuarios.
Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de
información que puede ser tratada en un sistema de información como una
unidad diferenciada.
� Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de
los datos. La cancelación implicará el bloqueo de los datos, consistente en la
identificación y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposición de las Administraciones públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la supresión de los datos.
� Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
� Exportador de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo situado en territorio español que realice, conforme a lo
dispuesto en el Reglamento, una transferencia de datos de carácter personal a un
país tercero.
8
15
� Importador de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer país, ya sea responsable del tratamiento,
encargada del tratamiento o tercero.
� Tercero: la persona física o jurídica, pública o privada u órgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del
responsable del fichero, del encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la autoridad directa del responsable del
tratamiento o del encargado del tratamiento. Podrán ser también terceros los
entes sin personalidad jurídica que actúen en el tráfico como sujetos
diferenciados.
� Persona identificable: toda persona cuya identidad pueda determinarse, directa o
indirectamente, mediante cualquier información referida a su identidad física,
fisiológica, psíquica, económica, cultural o social. Una persona física no se
considerará identificable si dicha identificación requiere plazos o actividades
desproporcionados.
� Procedimiento de disociación: Todo tratamiento de datos personales que permita
la obtención de datos disociados.
� Dato disociado: aquél que no permite la identificación de un afectado o
interesado
Objeto y Ámbito de Aplicación de la LOPD
El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente a su honor e intimidad personal y familiar.
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico,
que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los sectores público y privado.
Como hemos visto con anterioridad, el artículo 5.1.f) del Reglamento considera datos de
carácter personales a “cualquier información numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo concerniente a personas físicas identificadas o
identificables”.
Según la Directiva Comunitaria 95/46/CE, una persona será identificable cuando pueda
determinarse su identidad, directa o indirectamente, en particular mediante un número
de identificación o uno o varios elementos característicos de su identidad física,
fisiológica, psíquica, económica, cultural o social.
9
16
Por otra parte, para la aplicación de la norma, no se requiere únicamente la simple
posibilidad de utilización de datos de carácter personal, sino que se precisa que estos
datos estén registrados en un soporte físico que permita realizar operaciones con ellos.
Es decir, debe existir un soporte físico organizado o estructurado conforme a
determinados criterios que permita el tratamiento de estos datos, o lo que es lo mismo,
deberá existir un fichero.
En resumen, para que sea de aplicación la normativa sobre protección de datos hay que
cumplir las siguientes premisas:
� Deben existir datos de carácter personal que permitan identificar a una persona
física.
� De existir un tratamiento de esos datos (almacenamiento, conservación, etc.),
entendiendo como tratamiento de datos a aquellas operaciones y procedimientos
técnicos de carácter automatizado o no, que permita la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
� Debe existir una organización de los datos en un fichero. Entendiendo como
fichero a todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geográfica.
Respecto al ámbito de aplicación territorial la normativa de protección de datos se aplica:
� Cuando el tratamiento sea efectuado en territorio español en el marco de las
actividades de un establecimiento del responsable del tratamiento.
� Cuando al responsable del tratamiento no establecido en territorio español, le sea
de aplicación la legislación española en aplicación de normas de Derecho
Internacional público.
� Cuando el responsable del tratamiento no esté establecido en territorio de la
Unión Europea y utilice en el tratamiento de datos medios situados en territorio
español, salvo que tales medios se utilicen únicamente con fines de tránsito. En
este supuesto, el responsable del tratamiento deberá designar un representante
establecido en territorio español.
Sin embargo, la LOPD no se aplicará en los siguientes casos:
� A los ficheros realizados o mantenidos por personas físicas en el ejercicio de
actividades exclusivamente personales o domésticas, es decir, aquellos
tratamientos relativos a las actividades que se inscriben en el marco de la vida
privada o familiar de los particulares.
10
17
�
�
A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
A los ficheros establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada.
No obstante, en este caso, el responsable del fichero comunicará previamente la
existencia del mismo, sus características generales y su finalidad a la Agencia
Española de Protección de Datos (AEPD).
A su vez, el Reglamento especifica, dentro de su ámbito subjetivo de aplicación que:
� No será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a
los ficheros que se limiten a incorporar los datos de las personas físicas que
presten sus servicios en aquéllas, consistentes únicamente en su nombre y
apellidos, las funciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales.
� No será aplicable a los datos relativos a empresarios individuales, cuando hagan
referencia a ellos en su calidad de comerciantes, industriales o navieros.
� No será de aplicación a los datos referidos a personas fallecidas. No obstante, las
personas vinculadas al fallecido, por razones familiares o análogas, podrán
dirigirse a los responsables de los ficheros o tratamientos que contengan datos
de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del
mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
Por último conviene destacar que existen una serie de ficheros no regulados por la LOPD
y que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su
caso, por la LOPD, siendo estos:
�
�
Los ficheros regulados por la legislación de régimen electoral.
Los ficheros que sirvan a fines exclusivamente estadísticos, y estén amparados
por la legislación estatal o autonómica sobre la función estadística pública.
� Los ficheros que tengan por objeto el almacenamiento de los datos contenidos en
los informes personales de calificación a que se refiere la legislación del régimen
del personal de las Fuerzas Armadas.
� Los ficheros derivados del Registro Civil y del Registro Central de penados y
rebeldes.
� Los ficheros procedentes de imágenes y sonidos obtenidos mediante la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislación sobre la materia.
11
18
La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) se trata de un Ente de Derecho
Público con personalidad jurídica propia y plena capacidad pública y privada que actúa
con independencia de las Administraciones Públicas en el ejercicio de sus funciones.
La AEPD se presenta en la normativa española como el órgano de control y fiscalización
del cumplimiento de la LOPD, si bien, de cara al exterior se percibe como un órgano
meramente sancionador.
Las funciones de la AEPD son las siguientes (art. 37 LOPD):
� Velar por el cumplimiento de la legislación sobre protección de datos y controlar
su aplicación, en especial en lo relativo a los derechos de información, acceso,
rectificación, oposición y cancelación de datos.
� Emitir las autorizaciones previstas en la Ley o en sus disposiciones
reglamentarias.
� Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las
instrucciones precisas para adecuar los tratamientos a los principios de la
presente Ley.
�
�
Atender las peticiones y reclamaciones formuladas por las personas afectadas.
Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal.
� Requerir a los responsables y los encargados de los tratamientos, previa
audiencia de éstos, la adopción de las medidas necesarias para la adecuación del
tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la
cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste
a sus disposiciones.
�
�
Ejercer la potestad sancionadora.
Informar, con carácter preceptivo, los proyectos de disposiciones generales que
desarrollen esta Ley.
� Recabar de los responsables de los ficheros cuanta ayuda e información estime
necesaria para el desempeño de sus funciones.
� Velar por la publicidad de la existencia de los ficheros de datos con carácter
personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros
con la información adicional que el Director de la Agencia determine.
� Redactar una memoria anual y remitirla al Ministerio de Justicia.
12
19
� Ejercer el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos, así como desempeñar las funciones de
cooperación internacional en materia de protección de datos personales.
� Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Al artículo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y de orden social, le añadió el apartado 2 que
establece que se harán públicas las resoluciones de la Agencia, una vez hayan sido
notificadas a los interesados. Dicha publicación se llevará a cabo preferentemente a
través de medios informáticos o telemáticos.
La composición de la AEPD es la siguiente:
� El Director: ostenta la representación de la Agencia y la dirige. Es nombrado de
entre los componentes del Consejo Consultivo por un periodo de 4 años.
� El Consejo Consultivo: asesora al Director, emite informes sobre todas las
cuestiones que solicite el Director y formula propuestas en materia de protección
de datos. Se reúne como mínimo semestralmente.
� El Registro General de Protección de Datos: se encarga de velar por la publicidad
de los tratamientos de datos, mediante la inscripción de los ficheros de titularidad
público y privada.
� La Inspección de datos: se encarga de la comprobación de la legalidad de los
tratamientos.
� La Secretaría General de la Agencia: apoya en el funcionamiento de la Agencia.
Una herramienta fundamental de la Agencia de Protección de Datos es su página web:
www.agpd.es que permite entre otras cosas:
�
�
�
Consulta de dudas en materia de protección de datos.
Conocer los derechos de los afectados.
Consulta del Registro General de la Agencia Española de Protección de Datos, en
el cual se encuentran inscritos los ficheros de las empresas de todo el territorio
español.
� Conocer las últimas novedades sobre protección de datos, etc.
13
2014
21
22
Ley de Protección
de Datos
Deber de Notificación de Ficheros
�
�
�
�
�
�
�
Introducción
Creación y Notificación de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Códigos Tipo
Los Ficheros de Titularidad Pública
Objetivos:
� Conocer cómo se realiza la notificación para la inscripción de la
creación, modificación o supresión de ficheros.
� Familiarizarse con las figuras del responsable del fichero y del
encargado del tratamiento.
� Conocer las particularidades de la creación de los ficheros de
titularidad pública.
17
tema 2
2318
24
Introducción
Se entiende por fichero todo conjunto organizado de datos de carácter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.
Los ficheros pueden clasificarse de dos formas:
1. Atendiendo a su titularidad:
� Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a las
mismas atribuye su normativa específica. (Ej. datos de proveedores, personal,
etc.).
� Ficheros de titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho público
siempre que su finalidad sea el ejercicio de potestades de derecho público.
2. Atendiendo al soporte:
� Ficheros no automatizados: todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a criterios
específicos relativos a personas físicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aquél centralizado,
descentralizado o repartido de forma funcional o geográfica.
� Ficheros automatizados: todo conjunto de datos de carácter personal organizado
de forma automatizado mediante cualquier soporte informático o electrónico que
permita un acceso sin esfuerzo desproporcionado.
Creación y Notificación de Ficheros
Están obligados a notificar la creación, modificación o supresión de ficheros para su
inscripción en el Registro General de Protección de Datos, de conformidad con lo
establecido en la Ley Orgánica de Protección de Datos, aquellas personas físicas o
jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la
creación de ficheros que contengan datos de carácter personal.
Indica el Reglamento que esta obligación se cumplimentará a través de un medio que
permita acreditar su cumplimiento.
19
25
El soporte en el que conste el cumplimiento del deber de informar será conservado por el
responsable del fichero o tratamiento. Estos soportes se podrán almacenar por medios
informáticos o telemáticos; en todo caso, si su soporte fuera papel se permite su
escaneado siempre que quede garantizado que con dicha automatización no se altera el
soporte original.
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia Española de Protección de Datos. El
Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a
los requisitos exigibles. La inscripción del fichero es previa a su creación.
Todos los ficheros automatizados preexistentes deberían haberse notificado a la Agencia
Española de Protección de Datos antes del 14 de enero de 2003.
Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor
de la Ley Orgánica de Protección de Datos (14 de enero de 2000) deberán ser notificados
para su inscripción en el Registro. Para los ficheros manuales que ya existieran antes de
la entrada en vigor de la LOPD, no se estableció como necesaria la notificación para su
inscripción hasta el 24 de octubre de 2007, de conformidad con lo establecido en el
último párrafo de la Disposición Adicional Primera.
En el caso de no notificarse la existencia de un fichero podría incurrirse en falta leve o
grave, como se establece en el artículo 44 de la Ley Orgánica 15/1999 de Protección de
Datos, quedando sujeto al régimen sancionador previsto en esta misma Ley.
Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos
personales, se deberá notificar la existencia del fichero para su inscripción en el Registro.
Cualquier modificación posterior en el contenido de la inscripción de un fichero en el
Registro deberá comunicarse a la Agencia Española de Protección de Datos mediante la
solicitud de modificación o de supresión de la inscripción, según corresponda.
El Registro General de Protección de Datos inscribe el fichero si la notificación se ajusta a
los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que
falten o se proceda a su subsanación.
Una vez inscrito el fichero en el Registro, la Agencia Española de Protección de Datos
notificará la resolución de inscripción del Director en la que se comunicará el código de
inscripción asignado a la dirección que a tales efectos se ha hecho constar en el
apartado correspondiente de la Hoja de solicitud.
Igualmente, cuando los interesados así lo manifiesten expresamente en el formulario de
notificación, podrán recibir por medios telemáticos la notificación de la resolución de
inscripción, la comunicación de subsanar su solicitud, o cualquier otro escrito
relacionado con la solicitud de inscripción de ficheros en el Registro, para lo que deberá
disponer de una dirección electrónica a efectos de notificaciones del Servicio de
Notificaciones Telemáticas Seguras.
20
26
A través de este Servicio:
https://www.notificaciones.administracion.es/portalciudadano/inicio.asp), el Ministerio
de las Administraciones Públicas en colaboración con Correos pone a disposición de
cualquier persona física o jurídica que lo solicite la posibilidad de recibir de forma
alternativa por vía telemática las notificaciones que actualmente reciben en soporte
papel. La suscripción a este servicio es voluntaria y tiene carácter gratuito.
En todo caso, la inscripción de un fichero en el Registro General de Protección de Datos,
únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la
LO 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte
del responsable del fichero del resto de las obligaciones previstas en la Ley y demás
disposiciones reglamentarias.
La existencia de un fichero se notifica al Registro mediante formulario electrónico de
Notificaciones Telemáticas a la Agencia Española de Protección de Datos (NOTA), que
puede obtenerse de forma gratuita en la página Web de la Agencia.
Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por
utilizar el formulario electrónico vacío para ser cumplimentado de forma completa.
Continuarán siendo válidas las notificaciones cumplimentadas con arreglo al programa
de generación de notificaciones de ficheros de titularidad pública y privada aprobado
mediante resolución de la Agencia Española de Protección de Datos 30 de mayo de
2000.
Las notificaciones efectuadas mediante los formularios de notificación en soporte papel
de ficheros de titularidad pública y privada, aprobados mediante la resolución
mencionada, continuaban siendo válidas siempre que las mismas tuvieran entrada en la
Agencia Española de Protección de Datos con anterioridad al 1 de diciembre de 2006.
El Registro General de Protección de Datos adecuará de oficio las notificaciones
efectuadas mediante los modelos establecidos en la resolución de la Agencia Española
de Protección de Datos 30 de mayo de 2000.
La notificación de un fichero se puede presentar mediante el formulario NOTA:
�
�
�
�
A través de Internet con certificado de firma electrónica reconocido.
A través de Internet sin certificado de firma electrónica reconocido.
Mediante soporte electrónico (disquete, CDROM).
En soporte papel impreso con código de barras bidimensional PDF 417.
21
27
Para modificar la inscripción de un fichero, previamente inscrito en el Registro, deberá
cumplimentarse el formulario electrónico, la hoja de solicitud, el apartado de
Modificación de la inscripción del fichero, indicando el código de inscripción asignado
por la Agencia y señalando aquellos apartados que se modifican respecto a la
notificación anterior, según las instrucciones que acompañan al modelo.
Los apartados señalados que se pretendan modificar deben cumplimentarse por
completo, indicando todos los datos y no sólo los modificados respecto a notificaciones
previas, ya que esta notificación es sustitutiva a efectos de inscripción en el Registro. Así
mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su
modificación en el apartado Modificación de la inscripción del fichero.
En el caso de que se notifique la supresión de un fichero, se deberá cumplimentar, del
modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el
código de inscripción del fichero que fue asignado por la Agencia. También deberá
indicar el motivo de la supresión en el texto correspondiente, y el destino de la
información en el siguiente campo. Si se va a proceder a destruir el fichero, se deberán
indicar las previsiones adoptadas para ello.
La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una
inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior
se produciría un duplicado de la inscripción.
El formulario electrónico ha de cumplimentarse conforme a las instrucciones que lo
acompañan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto
del previsto en el modelo.
No obstante, si el responsable desea hacer alguna aclaración adicional a la declaración,
puede acompañar junto al modelo de notificación, correctamente cumplimentado, un
escrito en el que se incluyan las aclaraciones que considere necesarias a su declaración.
El formulario electrónico no permite suprimir apartados no obligatorios que fueron
declarados en anteriores inscripciones o modificaciones del fichero en el Registro
General de Protección de Datos. Para realizar este tipo de modificación, deberá enviar a
la Agencia Española de Protección de Datos un escrito firmado por persona con
representación
correspondiente.
Para notificar un cambio de responsable se deberá indicar en el apartado Modificación
de la inscripción de los datos correspondientes al responsable del fichero (Razón social y
CIF) que figuran en la inscripción del fichero.
Los datos correspondientes a la nueva denominación del responsable del fichero (Razón
social y NIF o CIF) se introducirán en el apartado 1. Responsable del fichero. Además de
la notificación se deberá adjuntar la documentación que justifique el cambio del titular.
suficiente del responsable del fichero indicando la subsanación
22
28
No obstante, dispone el artículo 19 del Reglamento que, en los supuestos en los que se
produzca una modificación en el responsable del fichero como consecuencia de una
fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio
o rama de actividad, o cualquier operación que implique una reestructuración societaria
que contemple la normativa mercantil se ha de entender que no se ha producido cesión
de datos.
Cuando se notifique la supresión de la inscripción de un fichero por responsable distinto
del que figura inscrito en el RGPD (con la salvedad que acabamos de ver), deberá
acompañarse documentación que justifique el cambio de titular.
Si el cambio se debe a un error en la consignación de los datos del responsable durante
la inscripción inicial del fichero, será suficiente con enviar un escrito firmado por persona
con representación suficiente del responsable del fichero indicando la subsanación
correspondiente.
Si se trata de notificar una supresión de la inscripción por responsable distinto del que
figura inscrito en el Registro General de Protección de Datos, se deberá indicar en el
apartado de Supresión de la inscripción los datos correspondientes al responsable del
fichero (Razón social y CIF) que figuran en la inscripción del fichero.
El Responsable del Fichero
Se entiende por responsable del fichero o tratamiento aquella persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con
otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente.
También pueden ser responsables del fichero o del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
A modo de ejemplo podemos encontrarnos un amplio espectro de responsables del
fichero que tratan con datos de carácter personal:
� Administraciones Públicas (Ayuntamientos, Comunidades Autónomas, etc.): son
responsables de numerosos ficheros de distinta índole.
�
�
�
Empresas y sociedades.
Autónomos: ficheros de proveedores, clientes, etc.
Entes sin personalidad jurídica, tales como comunidades de propietarios o UTE´s
(Unión temporal de empresas).
23
29
El Encargado del Tratamiento
Como ya se dijo al hablar de las definiciones que establece la LOPD, dispone en su
artículo 3 g) que se entenderá por encargado del tratamiento: La persona física o
jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.
Así, se establecen y regulan las relaciones de éste con el responsable del fichero: el
acceso a los datos por parte del encargado del tratamiento, cuando suponga una
prestación de servicios al responsable, no se considera comunicación de datos.
Esta realización de tratamiento por cuanta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su
celebración
tratamiento
y contenido, estableciéndose expresamente
las
que el
del
encargado
responsable
del
del tratará los datos conforme a instrucciones
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
No se considera encargado del tratamiento a la persona física que tenga acceso a los
datos personales en su condición de empleado dentro de la relación laboral que
mantiene con el responsable del fichero.
En aquellos supuestos en los que el responsable del tratamiento encargue la prestación
de un servicio que comporte un tratamiento de datos personales debe velar por que el
encargado de éste reúna las garantías que exige el Reglamento.
En cuanto a su responsabilidad, toda utilización del tratamiento para finalidad diferente
de aquélla para la que fue concebido, la comunicación o uso de datos incumpliendo las
estipulaciones del contrato al que alude el artículo 12 de la LOPD, será así mismo
responsabilidad del encargado del tratamiento. Esta responsabilidad no le será
achacable cuando, previa indicación expresa del responsable, comunique los datos a un
tercero designado por éste, al que se hubiese encargado la prestación del servicio tal y
como señala el Reglamento.
Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar
con un tercero la prestación de tratamiento alguno encomendado por el responsable del
tratamiento; para poder realizar esta subcontrata necesita de autorización para ello, de
forma que cuando se cuente con ella, la subcontratación se hará siempre en nombre y
por cuenta del responsable del tratamiento.
A pesar de lo anterior, el artículo 21.2 del Reglamento nos indica qué subcontrataciones
pueden realizarse sin que sea necesaria la autorización; serán las que cumplan con estos
requisitos:
24
30
� “Que se especifiquen en el contrato los servicios que puedan ser objeto de
subcontratación y, si ello fuera posible, la empresa con la que se vaya a
subcontratar. Cuando no se identificase en el contrato la empresa con la que se
vaya a subcontratar, será preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratación.
� Que el tratamiento de datos de carácter personal por parte del subcontratista se
ajuste a las instrucciones del responsable del fichero.
� Que el encargado del tratamiento y la empresa subcontratista formalicen el
contrato, en los términos previstos en el artículo anterior. En este caso, el
subcontratista será considerado encargado del tratamiento, siéndole de
aplicación lo previsto en el artículo 20.3 de este reglamento.”
Las previsiones anteriores serán de aplicación cuando durante la prestación del servicio
fuere necesario subcontratar una parte de éste, sin que la misma haya sido prevista en
el contrato.
Al finalizar la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento o al encargado, al igual que los
soportes o documentos en los que consten datos de carácter personal objeto del
tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no serán
destruidos si alguna norma prevé su conservación; en este caso, serán devueltos
garantizándose por el responsable del fichero su conservación.
Es obligación del encargado del tratamiento conservar, debidamente bloqueados, los
datos en tanto que pudieran derivarse responsabilidades de su relación con el
responsable del tratamiento.
A efectos de inscripción, el encargado del tratamiento (artículo 12 LOPD) no deberá
figurar escrito en el Registro General del Protección de Datos como entidad responsable
de los ficheros o tratamientos.
Cuando existan varios encargados, únicamente se consignarán los datos de uno de
ellos. Se recomienda que se haga constar la denominación del encargado que realice el
tratamiento de datos que pueda implicar una mayor duración de tiempo, o riesgos
mayores según el tipo y la cantidad de riesgos tratados.
El resto de los encargados del tratamiento se podrá comunicar mediante un escrito
adjunto a la notificación para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos más de un encargado en el apartado 4
“Encargado del tratamiento” se podrá notificar tantas inscripciones como encargados
diferentes existan.
Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y en su
caso, en los apartados 5. “Identificación y finalidad del fichero”, 7. “Tipos de datos,
estructura y organización del fichero”.
25
31
Para recibir de forma telemática la notificación de inscripción de ficheros en el Registro
se necesita previamente y por una sola vez:
� Disponer de una Dirección Electrónica Única del Servicios de Notificaciones
Telemáticas Seguras (MAP-Correos).
� Después, suscribirse al procedimiento de la Agencia Española de Protección de
Datos. Para ello, en el apartado “Suscripción a Procedimientos” de la Web del
Servicio de Notificaciones Telemáticas Seguras se selecciona “AEPD” como
organismo emisor, la categoría “Todas” y la casilla “actualizar”.
Además, en cada notificación de ficheros a través del formulario
Es preciso señalar expresamente DEU-SNTS (Dirección Electrónica Única del Servicio de
Notificaciones Telemáticas Seguras) como medio de notificación en la casilla “Medio de
notificación” de la hoja de solicitud del formulario de inscripción
Esta opción sólo estará disponible para usuarios que hayan realizado su notificación de
ficheros.
A través de Internet con certificado de firma electrónica reconocido.
Tipos de Ficheros
La Agencia Española de Protección de Datos clasifica los ficheros según su finalidad y
usos previstos en los siguientes grupos y subgrupos:
� Gestión contable, fiscal y administrativa:
o
o
o
o
o
o
o
o
o
o
Gestión económica y contable.
Gestión fiscal.
Gestión administrativa.
Gestión de facturación.
Gestión de clientes.
Gestión de proveedores.
Gestión de cobros y pagos.
Administración de fincas.
Consultorías, auditorías, asesorías y servicios relacionados.
Histórico de relaciones comerciales.
26
32
� Recursos humanos:
o
o
o
o
o
o
o
o
o
Gestión de personal.
Gestión de nóminas.
Formación de personal.
Prestaciones sociales.
Selección de personal.
Gestión de trabajo temporal.
Promoción y gestión de empleo.
Prevención de riesgos laborales.
Control horario.
� Servicios económicos-financieros y seguros:
o
o
o
o
o
o
o
o
o
o
o
Cuenta de crédito.
Cuenta de depósito.
Gestión de patrimonios.
Gestión de fondos de pensiones y similares.
Gestión de tarjetas de crédito y similares.
Registro de acciones y obligaciones.
Otros servicios financieros.
Cumplimiento/incumplimiento de obligaciones dinerarias.
Prestación de servicios de solvencia patrimonial y crédito.
Seguros de vida y salud.
Otro tipo de seguros.
� Publicidad y prospección:
o
o
o
o
o
Publicidad.
Venta a distancia.
Encuestas de opinión.
Análisis de perfiles.
Prospección comercial.
27
33
o
o
o
o
o
o
o
o
�
Segmentación de mercados.
Sistemas de ayuda a la toma de decisiones.
Recopilación de direcciones.
Servicios de telecomunicaciones:
Prestación de servicios de telecomunicaciones.
Guías/repertorios de servicios de telecomunicaciones.
Comercio electrónico.
Prestación de servicios de certificación.
Actividades asociativas, culturales, recreativas, deportivas y sociales:
o
o
Gestión de actividades culturales.
Gestión de clubes o asociaciones deportivas, culturales, profesionales y
similares.
o Gestión de asociados o miembros de partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro.
o
o
o
Actividades asociativas diversas.
Asistencia social.
Gestión de medios de comunicación social.
� Educación:
o
o
o
o
o
Enseñanza infantil primaria.
Enseñanza infantil secundaria.
Enseñanza universitaria.
Educación especial.
Otras enseñanzas.
� Sanidad:
o
o
o
Gestión y control sanitario.
Control clínico.
Investigación epidemiológica y actividades análogas.
� Seguridad:
28
34
o
o
o
�
Investigaciones privadas a personas.
Seguridad y control acceso a edificios.
Otras actividades de seguridad.
Finalidades varias:
o
o
o
o
Fidelización de clientes.
Reservas y emisión de billetes.
Fines históricos, científicos o estadísticos.
Otras finalidades.
Los Códigos Tipo
El artículo 32 de la LOPD nos dice que mediante acuerdos sectoriales, convenios
administrativos o decisiones de empresa, los responsables de tratamientos de titularidad
pública y privada, así como las organizaciones en que se agrupen.
Se podrán formular códigos tipo que establezcan las condiciones de organización,
régimen de funcionamiento, procedimientos aplicables, normas de seguridad del
entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de
la información personal, así como las garantías, en su ámbito, para el ejercicio de los
derechos de las personas con pleno respeto a los principios y disposiciones de la
presente Ley y sus normas de desarrollo.
Asimismo nos dice que los citados códigos podrán contener o no reglas operacionales
detalladas de cada sistema particular y estándares técnicos de aplicación.
Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica
profesional y serán vinculantes para quienes se adhieran a los mismos, debiendo ser
depositados o inscritos en el Registro General de Protección de Datos y, cuando
corresponda, en los creados a estos efectos por las Comunidades Autónomas, de
acuerdo con el artículo 41 de la LOPD.
El Registro General de Protección de Datos podrá denegar la inscripción cuando
considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia,
debiendo, en este caso, el Director de la Agencia Española de Protección de Datos
requerir a los solicitantes para que efectúen las correcciones oportunas.
Los códigos tipo contendrán reglas o estándares específicos que permitan armonizar los
tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos
de los afectados y favorecer el cumplimiento de lo dispuesto en la LOPD y en el
Reglamento que la desarrolla.
El código tipo deberá incorporar como anexo una relación de adheridos, que deberá
mantenerse actualizada, a disposición de la Agencia Española de Protección de Datos.
29
35
Contenido de los Códigos Tipo
Los códigos tipo deberán estar redactados en términos claros y accesibles, deben
respetar la normativa vigente e incluirán, como mínimo, con suficiente grado de
precisión:
� La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el
código se refiere y los tratamientos sometidos al mismo.
� Las previsiones específicas para la aplicación de los principios de protección de
datos.
� El establecimiento de estándares homogéneos para el cumplimiento por los
adheridos al código de las obligaciones establecidas en la Ley Orgánica 15/1999,
de 13 de diciembre.
� El establecimiento de procedimientos que faciliten el ejercicio por los afectados de
sus derechos de acceso, rectificación, cancelación y oposición.
� La determinación de las cesiones y transferencias internacionales de datos que,
en su caso, se prevean, con indicación de las garantías que deban adoptarse.
� Las acciones formativas en materia de protección de datos dirigidas a quienes los
traten, especialmente en cuanto a su relación con los afectados.
� Los mecanismos de supervisión a través de los cuales se garantice el
cumplimiento por los adheridos de lo establecido en el código tipo.
En particular, deberán contenerse en el código:
� Cláusulas tipo para la obtención del consentimiento de los afectados al
tratamiento o cesión de sus datos.
� Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no
sean obtenidos de los mismos.
� Modelos para el ejercicio por los afectados de sus derechos de acceso,
rectificación, cancelación y oposición.
� Modelos de cláusulas para el cumplimiento de los requisitos formales exigibles
para la contratación de un encargado del tratamiento, en su caso.
Compromisos Adicionales
Los códigos tipo podrán incluir cualquier otro compromiso adicional que asuman los
adheridos para un mejor cumplimiento de la legislación vigente en materia de protección
de datos.
30
36
Además podrán contener cualquier otro compromiso que puedan establecer las
entidades promotoras y, en particular, sobre:
� La adopción de medidas de seguridad adicionales a las exigidas por la Ley
Orgánica 15/1999, de 13 de diciembre, y el Reglamento.
�
�
La identificación de las categorías de cesionarios o importadores de los datos.
Las medidas concretas adoptadas en materia de protección de los menores o de
determinados colectivos de afectados.
� El establecimiento de un sello de calidad que identifique a los adheridos al código.
Garantías del Cumplimiento
Los códigos tipo deberán incluir procedimientos de supervisión independientes para
garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer
un régimen sancionador adecuado, eficaz y disuasorio. Este procedimiento deberá
garantizar:
�
�
La independencia e imparcialidad del órgano responsable de la supervisión.
La sencillez, accesibilidad, celeridad y gratuidad para la presentación de quejas y
reclamaciones ante dicho órgano por los eventuales incumplimientos del código
tipo.
�
�
El principio de contradicción.
Una graduación de sanciones que permita ajustarlas a la gravedad del
incumplimiento. Esas sanciones deberán ser disuasorias y podrán implicar la
suspensión de la adhesión al código o la expulsión de la entidad adherida.
Asimismo, podrá establecerse, en su caso, su publicidad.
� La notificación al afectado de la decisión adoptada.
Asimismo, los códigos tipo podrán contemplar procedimientos para la determinación de
medidas reparadoras en caso de haberse causado un perjuicio a los afectados como
consecuencia del incumplimiento del código tipo.
Los Ficheros de Titularidad Pública
Los ficheros de titularidad pública están regulados en el Capítulo I del Título IV de la
LOPD. A diferencia de los de titularidad privada, se crean, modifican o suprimen por
medio de disposición general que se publica en el Boletín Oficial del Estado o en el diario
oficial correspondiente.
31
37
Los datos de carácter personal recogidos o elaborados por las Administraciones públicas
para el desempeño de sus atribuciones no serán comunicados a otras Administraciones
públicas para el ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,
rectificación y cancelación contemplados en el artículo 23 de la LOPD:
� Los responsables de los ficheros que contengan datos de carácter personal,
incluidos los datos sobre ideología, religión, ideas políticas, sexo, raza y vida
sexual, recogidos con fines policiales por las Fuerzas y Cuerpos de Seguridad,
podrán denegar el acceso, la rectificación o cancelación en función de los peligros
que pudieran derivarse para la defensa del Estado o la seguridad pública, la
protección de los derechos y libertades de terceros o las necesidades de las
investigaciones que se estén realizando.
� Los responsables de los ficheros de la Hacienda Pública podrán, igualmente,
denegar el ejercicio de estos derechos cuando el mismo obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento de las
obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de
actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos
mencionados podrá ponerlo en conocimiento del Director de la Agencia Española de
Protección de Datos o del organismo competente de cada Comunidad Autónoma en el
caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las
Administraciones tributarias autonómicas, quienes deberán asegurarse de la
procedencia o improcedencia de la denegación.
32
38
36
39
Ley de Protección
de Datos
Principios de la Ley
Protección de Datos
�
�
�
�
�
�
�
�
El Principio de Calidad de los Datos
Orgánica de
El Derecho a la Información Durante la Recogida de Datos
El Consentimiento del Afectado
Datos Especialmente Protegidos
Datos Relativos a la Salud
Seguridad de los Datos
Deber de Secreto
Movimiento de Datos
Objetivos:
� Conocer cuáles son los pilares básicos de la protección de
datos.
� Familiarizarse con la tipología de datos y en particular con
aquellos especialmente protegidos.
� Conocer los aspectos básicos a tener en cuenta en el
movimiento de datos.
37
tema 3
4038
41
El Principio de Calidad de los Datos
El artículo 3 de la LOPD define dato de carácter personal como “cualquier información
concerniente a personas físicas identificadas o identificables”, entendiéndose, con
carácter general por dato personal cualquier información sobre una persona concreta
que permita conocer alguna de sus características personales.
Con el Principio de Calidad de los Datos lo que se trata de evitar es que se proceda a una
recopilación de datos masiva que se aparte de la necesidad y finalidad para la que
dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y
a la finalidad del tratamiento se fija la condición de que una vez desaparezca la
necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados
dichos datos, deberán ser cancelados directamente por el responsable del fichero.
Para cumplir con el principio de calidad el artículo 4 de la LOPD y el artículo 8 del
Reglamento nos dice que los datos de carácter personal sólo se podrán recoger para su
tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el
ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
El tratamiento de los datos de carácter personal no podrá usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos, salvo que se
trate con fines históricos, estadísticos o científicos.
Estos datos de carácter personal, deben de cumplir, además de lo anteriormente
expuesto, con los siguientes requisitos:
� Los datos de carácter personal deben ser exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado. Si los datos fueran
recogidos directamente del afectado, se considerarán exactos los facilitados por
éste.
� Si los datos de carácter personal sometidos a tratamiento resultaran ser
inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados en el plazo de
diez días desde que se tuviese conocimiento de la inexactitud, salvo que la
legislación aplicable al fichero establezca un procedimiento o un plazo específico
para ello.
� Cuando los datos a rectificar hubieran sido comunicados previamente, el
responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de
diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea
conocido. En el plazo de diez días desde la recepción de la notificación, el
cesionario que mantuviera el tratamiento de los datos, deberá proceder a la
rectificación y cancelación notificada.
Esta actualización de los datos de carácter personal no requerirá comunicación
alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los
interesados reconocidos en la LOPD.
39
42
� Los datos de carácter personal serán cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o
registrados.
Tampoco podrán ser conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en base a los
cuales hubieran sido recabados o registrados. Si bien, estos datos, podrán
conservarse durante el tiempo en que pueda exigirse algún tipo de
responsabilidad derivada de una relación u obligación jurídica o de la ejecución de
un contrato o de la aplicación de medidas precontractuales solicitadas por el
interesado.
Una vez cumplido este período, los datos sólo podrán ser conservados previa
disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la
LOPD y en el Reglamento que la desarrolla.
� Los datos de carácter personal serán tratados de forma que permitan el ejercicio
del derecho de acceso, en tanto no proceda su cancelación.
Por último recalcar que la LOPD y el Reglamento prohíben expresamente la recogida de
datos por medios fraudulentos, desleales o ilícitos.
Tratamiento con Fines Estadísticos, Históricos y Científicos
El artículo 9 del Reglamento dispone la compatibilidad del tratamiento de los datos para
fines históricos, estadísticos o científicos.
Para determinar que este es el fin del tratamiento habrá de estarse a las legislaciones
específicas, y en concreto a los dispuesto en estas normas: Ley 12/1989, Reguladora de
la función estadística pública, Ley 16/1985, del Patrimonio Histórico Español, y Ley
13/1986, de Fomento y Coordinación General de la Investigación científica y técnica, así
como a las correspondientes normas de desarrollo y normativa autonómica concordante.
Supuestos que Legitiman el Tratamiento o Cesión de Datos Por su parte el artículo 10 del Reglamento viene a dar cobertura jurídica al tratamiento o
cesión de datos de carácter personal, estableciendo, como primera cuestión, la
necesidad del consentimiento previo del interesado.
Si bien, se excluyen de dicho consentimiento cuando lo autorice una norma con rango
de ley o una norma comunitaria, siempre que el tratamiento o cesión tengan por objeto
satisfacer un interés legítimo del responsable del tratamiento o del cesionario amparado
en dichas normas, siempre que no prevalezca el interés o los derechos y libertades
fundamentales de los interesados regulados por al LOPD.
40
43
Del mismo modo, se permitirá el tratamiento o cesión cuando ello sea necesario para
que el responsable del fichero cumpla un deber que las citadas normas le impongan.
Por otra parte, nos recuerda el mismo artículo del Reglamento que hay una serie de
datos de carácter personal que podrán ser objeto de tratamiento sin necesidad de
consentimiento del interesado:
� Los recogidos en el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias.
� Los recabados por el responsable del tratamiento con ocasión de la celebración
de contrato, precontrato, la existencia de relación negocial, laboral o
administrativa, en la que sea parte el interesado, y sean necesarios para su
mantenimiento o cumplimiento.
� Cuando el tratamiento responda a un interés vital para el interesado en los
términos que establece el artículo 7 de la LOPD.
El apartado 4 de artículo 10 del Reglamento se establecen otros supuestos de cesión de
datos sin consentimiento del afectado:
� Cuando se responda a la libre y legítima aceptación de una relación jurídica en
cuyo desarrollo, cumplimiento y control, sea necesaria la comunicación de datos,
siempre y cuando se limite a la finalidad que la justifique.
� Cuando el destinatario de los mismos sea Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones
autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de
Cuentas y se realice en el ámbito de las funciones que la ley les atribuya
expresamente.
� Cuando la cesión sea entre Administraciones públicas y siempre que concurra
uno de los siguientes supuestos:
o Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos
o científicos.
o Los datos de carácter personal hayan sido recogidos o elaborados por una
Administración pública con destino a otra.
o La comunicación se realice para el ejercicio de competencias idénticas o que
versen sobre las mismas materias.
41
44
El Derecho a la Información Durante la Recogida de
Datos
El derecho de información en la recogida de datos está regulado en el artículo 5 de la
LOPD.
El deber de información previo al tratamiento de datos de carácter personal es uno de los
derechos básicos y principales de los ciudadanos contenidos en la LOPD. Por tanto, si se
van a registrar y tratar datos de carácter personal, será necesario informar a través del
medio que se utilice para la recogida.
De este modo, el apartado 1 del artículo 5 de la LOPD nos dice que los interesados a los
que se les soliciten datos de carácter personal deberán previamente ser informados de
modo expreso, preciso e inequívoco de los siguientes aspectos:
� De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de los datos y de los destinatarios de la información.
� Del carácter obligatorio o facultativo de su respuesta a las preguntas que se les
planteen.
� De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
� De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
� De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión
Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá
designar un representante en España, sin perjuicio de las acciones que pudieren
corresponderle contra el propio responsable del tratamiento.
En el apartado 2 se establece que cuando para la recogida de datos se utilicen
cuestionarios o impresos, deberán figurar en ellos en forma claramente legible las
advertencias a que se refiere el apartado anterior.
En el 3 se dispone que no sea necesaria la información a que se refieren las letras b, c y
d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los
datos personales que se solicitan o de las circunstancias en que se recaban.
Se refiere el apartado 4 de este artículo al supuesto de que los datos de carácter
personal no hayan sido recabados del interesado. En este caso, éste deberá ser
informado de forma expresa, precisa e inequívoca, bien por el responsable del fichero o
bien por su representante, dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiese sido informado con anterioridad del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e
del apartado 1 del presente artículo.
42
45
Esto no será de aplicación cuando:
�
�
�
La obtención de dicha información haya sido prevista por alguna Ley.
El tratamiento tenga fines históricos, estadísticos o científicos.
La información al interesado se imposible o exija esfuerzos desproporcionados, a
criterio de la Agencia Española de Protección de Datos o del organismo
autonómico equivalente, en consideración al número de interesados, a la
antigüedad de los datos y a las posibles medidas compensatorias.
� Los datos procedan de fuentes accesibles al público y se destinen a la actividad
de publicidad o prospección comercial, en cuyo caso, en cada comunicación que
se dirija al interesado se le informará del origen de los datos y de la identidad del
responsable del tratamiento así como de los derechos que le asisten.
El Consentimiento del Afectado
Este otro principio de la LOPD se recoge en el artículo 6 de dicha norma.
Este principio se basa en que, salvo que la Ley disponga lo contrario, para poder tratar
datos de carácter personal se requerirá el consentimiento inequívoco del afectado,
pudiendo ser revocado siempre que exista causa justificada para ello, aunque no tendrá
efectos retroactivos.
El consentimiento no será necesario:
� Cuando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones públicas en el ámbito de sus
competencias
� Cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
� Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado.
� Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado.
Por “fuente accesible al público” debe entenderse, de conformidad con la definición
contenida en el artículo 3 de la LOPD, “aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin más
exigencia que, en su caso, el abono de una contraprestación.
43
46
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su normativa
específica y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos del nombre, título, profesión, actividad, grado
académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público, los Datos de Boletines oficiales y los medios de
comunicación.”
Aunque no sea necesario el consentimiento del afectado en los caso anteriores y siempre
que una ley no disponga lo contrario éste podrá oponerse a su tratamiento cuando
existan motivos fundados y legítimos relativos a una concreta situación personal. En tal
supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al
afectado.
Por su parte el artículo 12 del Reglamento recoge los principios generales que deben
informar la obtención de este consentimiento:
�
�
Es obligación del responsable del tratamiento.
La solicitud debe referirse al tratamiento o tratamientos concretos a realizar,
delimitando su finalidad.
� Solicitado el consentimiento para la cesión de datos, el interesado debe ser
informado inequívocamente de la finalidad a la que se destinarán y la actividad a
desarrollar por el cesionario; en otro caso, el consentimiento será nulo.
� La prueba de la existencia del consentimiento del afectado incumbe al
responsable del tratamiento.
Consentimiento para el Tratamiento de Datos de Menores A este respecto, el Reglamento establece la validez del consentimiento prestado por los
mayores de 14 años; se excepcionan aquellos casos para los que la Ley exija para su
prestación la asistencia del titular de su patria potestad. Para los menores de 14 años es
preceptivo el consentimiento de los padres o tutores.
En todo caso, se prohíbe recabar datos de menores a fin de obtener información sobre el
resto de su grupo familiar, o sobre los datos relativos a las profesiones de sus
progenitores, información económica, datos sociológicos, etc, sin el consentimiento de
éstos.
Siempre será obligación del responsable del fichero o tratamiento garantizar que se ha
comprobado la edad del menor, así como la autenticidad del consentimiento prestado,
en su caso, por los padres, tutores o representantes legales.
44
47
¿Cómo Recabar el Consentimiento?
En cuanto al procedimiento establecido para que el responsable obtenga el
consentimiento (artículo 14 RLOPD), dará comienzo cuando éste se dirija al interesado,
informándole de:
� De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información.
� Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
� De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
� De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
� De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
El responsable deberá conceder al afectado un plazo de treinta días para manifestar su
negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se
entenderá que consiente el tratamiento de sus datos de carácter personal.
El medio por el que el interesado pueda comunicar su negativa ha de ser sencillo y
gratuito; cita el Reglamento los envío prefranqueados al responsable del tratamiento, la
llamada a un número gratuito o los servicios de atención al público.
Cuando el responsable del fichero esté prestando al afectado un servicio que genere
información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse
a cabo de forma conjunta a esta información o a la facturación del servicio prestado,
siempre que se realice de forma claramente visible.
Si bien, en todo caso, será necesario que el responsable del tratamiento pueda conocer
si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no
podrá proceder al tratamiento de los datos referidos a ese interesado.
Cuando se solicite el consentimiento del interesado a través del procedimiento
establecido reglamentariamente, no será posible solicitarlo nuevamente respecto de los
mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la
fecha de la anterior solicitud.
No obstante lo anterior, cabe la posibilidad de que el consentimiento sea solicitado en el
marco de una relación contractual para fines no relacionados directamente con la
misma; en dicho caso, se debe permitir que el interesado manifieste de forma expresa su
negativa al tratamiento o comunicación de datos.
45
48
En particular, se entenderá cumplido tal deber cuando se permita al afectado la
marcación de una casilla claramente visible y que no se encuentre ya marcada en el
documento que se le entregue para la celebración del contrato o se establezca un
procedimiento equivalente que le permita manifestar su negativa al tratamiento.
En cuanto a la solicitud del consentimiento para el tratamiento o cesión de los datos de
tráfico, facturación y localización en servicios de comunicaciones electrónicas, o su
revocación, se someterá a lo previsto en su legislación específica y, en todo aquello que
no resulte contrario, a lo previsto en el RLOPD.
¿Cómo Revocar el Consentimiento?
Contempla el apartado 3 del artículo 6 de la Ley, la revocación del consentimiento
cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
A este respecto, establece el Reglamento un sistema similar al de su otorgamiento: un
medio sencillo y gratuito que no implique ingreso alguno para el responsable del fichero
o tratamiento.
En particular, se considerará ajustado al presente reglamento el procedimiento en el que
tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al
responsable del tratamiento o la llamada a un número telefónico gratuito o a los
servicios de atención al público que el mismo hubiera establecido.
No se considerarán válidos los supuestos en que el responsable establezca como medio
para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas
certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que
implique una tarificación adicional al afectado o cualesquiera otros medios que
impliquen un coste adicional al interesado.
Desde que dicha revocación se recibiese, el responsable del fichero o tratamiento
dispone de un plazo de 10 días para cesar en el tratamiento de los datos. Además, tiene
la obligación de bloquear los datos conforme establece el artículo 16.3 de la LOPD.
Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmación
del cese en el tratamiento de sus datos, éste deberá responder expresamente a la
solicitud.
A su vez, si los datos hubieran sido cedidos previamente, el responsable del tratamiento,
una vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo de
diez días, para que éstos, cesen en el tratamiento de los datos en caso de que aún lo
mantuvieran.
46
49
Datos Especialmente Protegidos
El artículo 7 de la LOPD se refiere a los datos especialmente protegidos, remitiendo el
apartado 1 de este artículo al apartado 2 del artículo 16 de nuestra Constitución, al
afirmar que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá
al interesado acerca de su derecho a no prestarlo.
El apartado 2 del artículo 7 de la LOPD contempla que sólo con el consentimiento del
afectado, manifestado de forma expresa y por escrito, podrán ser objeto de tratamiento
los datos de carácter personal relativos a:
�
�
�
�
La ideología.
La afiliación sindical.
La religión.
Las creencias.
Se señala la excepción de los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,
en cuanto a los datos relativos a sus miembros o asociados, sin perjuicio de que la
cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida
sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado consienta expresamente.
Los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud y
vida sexual podrán ser objeto de tratamiento cuando sea necesario para la prevención o
diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta también a
una obligación de secreto. Estos datos igualmente podrán ser objeto de tratamiento
cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona,
en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su
consentimiento.
Establece el apartado 4 de este artículo la prohibición de los ficheros creados con la
finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología,
afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o
administrativas, sólo podrán ser incluidos en ficheros de las Administraciones públicas
competentes en los supuestos previstos en las respectivas normas reguladoras.
47
50
Datos Relativos a la Salud
Los datos personales relativos a la salud están también especialmente protegidos y su
tratamiento se regula en el artículo 8 de la LOPD, siendo necesario el consentimiento
expreso del afectado para su tratamiento o bien que el tratamiento se realice por razones
de interés general o que así lo disponga una Ley.
Las instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los
mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre
sanidad, sin perjuicio de lo establecido sobre cesión de datos en el artículo 11 de la
LOPD.
La Ley Orgánica de Protección de Datos no contiene un concepto de “datos de salud” a
pesar de referirse de forma expresa a ellos, considerándolos especialmente protegidos y
limitando la posibilidad de su recopilación y cesión.
Por su parte, el Reglamento de desarrollo de la LOPD, define datos de carácter personal
relacionados con la salud como; “las informaciones concernientes a la salud pasada,
presente y futura, física o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y
a su información genética.”
El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa añade
al respecto de los datos relativos a la salud que “debe entenderse que estos datos
comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de
drogas”.
Seguridad de los Datos
El artículo 9 de la LOPD establece la seguridad de los datos como uno de los principios
de la protección de datos.
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar
las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de
los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o
del medio físico o natural.
Previene el apartado 2 del artículo 9 que no se registrarán datos de carácter personal en
ficheros que no reúnan las condiciones que se determinen reglamentariamente con
respecto a su integridad y seguridad y a las de los centros de tratamiento, locales,
equipos, sistemas y programas.
48
51
El apartado 3 remite a la vía reglamentaria para establecer los requisitos y condiciones
que deban reunir los ficheros y las personas que intervengan en el tratamiento de los
datos especialmente protegidos.
Por su parte, el RLOPD establece en su Título VIII las medidas de seguridad aplicables al
tratamiento de datos de carácter personal. Para ello establece un primer Capítulo común
a éstas, distinguiendo a continuación las medidas aplicables a ficheros y tratamientos
automatizados y, por otra parte, las medidas aplicables a ficheros y tratamientos no
automatizados.
Estas medidas de seguridad serán objeto de estudio en temas posteriores.
Deber de Secreto
El artículo 10 de la LOPD regula de forma individualizada el deber de secreto de quienes
tratan datos personales, dentro del título II dedicado a los principios de protección de
datos, lo que refleja la importancia que el legislador atribuye al mismo. Este deber de
secreto persigue que los datos personales no puedan conocerse por terceros, salvo
cuando así lo contemple la LOPD, como en los supuestos de comunicación de datos o
acceso a los datos por cuenta de terceros.
Tanto el responsable del fichero como quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto profesional
respecto de los mismos y al deber de guardarlos.
Estas obligaciones continuarán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
Movimiento de Datos
La Comunicación de Datos a Terceros
El artículo 11 de la LOPD regula la comunicación de datos.
Sólo podrán ser comunicados los datos de carácter personal a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legítimas del cedente
y del cesionario con el previo consentimiento del interesado. Según el artículo 27 de la
LOPD el responsable del fichero deberá informar a los afectados en el momento en que
realice la primera cesión de datos.
Este consentimiento del interesado no será necesario en los siguientes casos:
�
�
Cuando la cesión está autorizada en una ley.
Cuando se trate de datos recogidos en fuentes accesibles al público.
49
52
� Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros. En este caso la
comunicación sólo será legítima en cuanto se limite a la fidelidad que la
justifique.
� Cuando la comunicación tenga por destinatario el Defensor del Pueblo, al
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación tenga como
destinatario a instituciones autonómicas con funciones análogas al Defensor del
Pueblo o al Tribunal de Cuentas.
� Cuando la cesión tenga lugar entre Administraciones públicas y tenga por objeto
el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
� Tampoco cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o para
realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre la sanidad estatal o autonómica.
El apartado 3 decreta la nulidad del consentimiento para la comunicación de datos de
carácter personal a un tercero cuando la información que se facilite al interesado no le
permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o
el tipo de actividad de aquel a quien se pretenden comunicar.
El apartado 4 previene la irrevocabilidad del consentimiento para la comunicación de los
datos de carácter personal.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho
de la comunicación, a la observancia de las disposiciones de la LOPD.
El apartado 6 establece que no será aplicable lo dispuesto en los apartados anteriores si
la comunicación se efectúa previo procedimiento de disociación.
El Acceso a los Datos por Cuenta de Terceros
El acceso a los datos por cuenta de terceros está regulado en el artículo 12 de la LOPD.
Lo primero que nos aclara este artículo es que no se considerará comunicación de datos
el acceso de un tercero a los datos cuando éste sea necesario para la prestación de un
servicio al responsable del tratamiento.
50
53
La realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato. Este contrato deberá constar por escrito o en alguna otra forma que permita
acreditar su celebración y contenido, estableciéndose expresamente los siguientes
aspectos:
� El encargado del tratamiento únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento.
� El encargado del tratamiento no los aplicará o utilizará los datos con fin distinto al
que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación,
a otras personas.
� Las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el
encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento.
El artículo 22 del Reglamento añade que no procederá la destrucción de los datos
cuando exista una previsión legal que exija su conservación, en cuyo caso deberá
procederse a la devolución de los mismos garantizando el responsable del fichero dicha
conservación.
El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto
pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
En el supuesto de que el encargado del tratamiento destine los datos a otra finalidad, los
utilice o los comunique incumpliendo lo establecido en el contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa
indicación expresa del responsable, comunique los datos a un tercero designado por
aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto
en el presente capítulo.
La Subcontratación de Servicios
El encargado del tratamiento no podrá subcontratar con un tercero la realización de
ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo
que hubiera obtenido de éste autorización para ello.
En este caso, la contratación se efectuará siempre en nombre y por cuenta del
responsable del tratamiento.
51
54
No obstante, será posible la subcontratación sin necesidad de autorización siempre y
cuando se cumplan los siguientes requisitos:
� Que se especifiquen en el contrato los servicios que puedan ser objeto de
subcontratación y, si ello fuera posible, la empresa con la que se vaya a
subcontratar.
� Cuando no se identificase en el contrato la empresa con la que se vaya a
subcontratar, será preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratación.
� Que el tratamiento de datos de carácter personal por parte del subcontratista se
ajuste a las instrucciones del responsable del fichero.
� Que el encargado del tratamiento y la empresa subcontratista formalicen el
contrato, en los términos previstos en el artículo anterior.
En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de
aplicación lo previsto en el artículo 20.3 del reglamento de desarrollo de la LOPD.
Transferencia Internacional de Datos
Este aspecto está regulado tanto en la LOPD (Título V: Movimiento internacional de
datos) como en el Reglamento (Título VI: Transferencias internacionales de datos).
El artículo 33 de la LOPD establece que no podrán realizarse transferencias temporales ni
definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan
sido recogidos para someterlos a dicho tratamiento con destino a países que no
proporcionen un nivel de protección equiparable al que presta la LOPD, salvo que,
además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del
Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se
obtienen garantías adecuadas.
La AEPD es la encargada de evaluar el carácter adecuado de los niveles de protección de
cada país, tomando en consideración los siguientes aspectos:
�
�
�
�
La naturaleza de los datos
La finalidad y la duración del tratamiento o de los tratamientos previstos.
El país de origen y el país de destino final.
Las normas de derecho, generales o sectoriales, vigentes en el país tercero de
que se trate.
�
�
El contenido de los informes de la Comisión de la Unión Europea.
Las normas profesionales y las medidas de seguridad en vigor en dichos países.
52
55
Si bien, en los siguientes casos no se aplicará todo lo anterior:
� Cuando la transferencia internacional de datos de carácter personal resulte de la
aplicación de tratados o convenios en los que sea parte España.
� Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial
internacional.
� Cuando la transferencia sea necesaria para la prevención o para el diagnóstico
médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión
de servicios sanitarios.
�
�
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista.
� Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado y el responsable del fichero o para la adopción de medidas
precontractuales adoptadas a petición del afectado.
� Cuando la transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del afectado, por el responsable del
fichero y un tercero.
� Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda
de un interés público. Tendrá esta consideración la transferencia solicitada por
una Administración fiscal o aduanera para el cumplimiento de sus competencias.
� Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial.
� Cuando la transferencia se efectúe, a petición de persona con interés legítimo,
desde un Registro público y aquélla sea acorde con la finalidad del mismo.
� Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un
nivel de protección adecuado.
53
56
57
5758
Ley de Protección
de Datos
Ejercicio de Derechos
�
�
�
�
�
�
�
�
�
Introducción
Derecho de Información
Derecho a que le sea Recabado su Consentimiento.
Derechos ARCO
Derecho a Indemnización
Derecho de Impugnación de Valoraciones
Derecho de Exclusión de Guías Telefónicas
Derecho a No Recibir Publicidad No Deseada
Derechos de Abonados y Usuarios de Comunicaciones
Electrónicas
� Derechos de los Destinatarios de Servicios de Comunicaciones
Electrónicas
� Tutela de los Derechos
Objetivos:
� Familiarizarse con los derechos ARCO (Acceso, rectificación,
cancelación y oposición).
�
�
Identificar el contenido y alcance de cada uno de ellos.
Conocer el resto de derechos y los mecanismos de tutela
relacionados con la protección de datos de carácter personal.
59
tema 4
5960
60
Introducción
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD) establece en el Título III los derechos de las personas en relación con el
tratamiento de sus datos personales. Estos derechos y otros contenidos en la legislación
sobre protección de datos son:
�
�
�
�
�
�
�
�
�
�
�
�
Derecho a la información.
Derecho de acceso.
Derecho de rectificación.
Derecho de cancelación.
Derecho de oposición.
Derecho de indemnización.
Derecho de consulta al Registro General de Protección de Datos.
Derecho de impugnación de valoraciones.
Derecho de exclusión de guías telefónicas.
Derecho a no recibir publicidad no deseada.
Derecho de abonados y usuarios de servicios de telecomunicaciones.
Derecho de los destinatarios de servicios de comunicaciones electrónicas.
El ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) es
personalísimo, es decir, deben ser ejercidos directamente por los interesados o sus
representantes legales ante cada uno de los responsables de los ficheros. Estos
derechos también podrán ejercitarse a través de un representante voluntario, designado
expresamente para el ejercicio del derecho. A su vez, los derechos de acceso,
rectificación, cancelación y oposición son derechos independientes, de tal forma que no
puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el
ejercicio de otro.
El responsable del fichero o tratamiento deberá atender la solicitud de acceso,
rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no
hubiese utilizado el procedimiento establecido específicamente al efecto por aquél,
siempre que el interesado haya utilizado un medio que permita acreditar el envío y la
recepción de la solicitud, y que ésta contenga los elementos siguientes:
61
61
� Nombre y apellidos del interesado; fotocopia de su documento nacional de
identidad, o de su pasaporte u otro documento válido que lo identifique y, en su
caso, de la persona que lo represente, o instrumentos electrónicos equivalentes;
así como el documento o instrumento electrónico acreditativo de tal
representación.
La utilización de firma electrónica identificativa del afectado eximirá de la
presentación de las fotocopias del DNI o documento equivalente.
� El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a
la comprobación de datos de identidad por las Administraciones Públicas en los
procedimientos administrativos.
�
�
�
Petición en que se concreta la solicitud.
Dirección a efectos de notificaciones, fecha y firma del solicitante.
Documentos acreditativos de la petición que formula, en su caso.
En los casos en los que la solicitud no reúna estos requisitos, el responsable del fichero
deberá solicitar la subsanación de los mismos. Establece el Reglamento la obligatoriedad
de respuesta para el responsable del tratamiento tanto en el caso de que en sus ficheros
figuren los datos del afectado como en el supuesto de que no figuren.
El ejercicio de los derechos será mediante medios sencillos y gratuitos, de ahí que se
considere contraria a lo dispuesto en la Ley la exigencia de envío de cartas certificadas o
medios similares, así como servicios de telecomunicaciones que impliquen una
tarificación adicional al afectado.
En aquellos supuestos en los que el responsable del fichero o tratamiento disponga de
servicios de atención al público o para el ejercicio de reclamaciones, éstos deberán
ponerse a disposición del afectado para el ejercicio de sus derechos. Y, aún en el
supuesto de que el afectado eligiere otro modo de ejercicio de éstos diferente al ofertado
por el responsable del fichero o tratamiento, su solicitud ha de ser atendida en todo
caso.
Por último, cuando los afectados ejercitasen sus derechos ante un encargado del
tratamiento, éste tiene la obligación de dar traslado de la solicitud al responsable, a fin
de que sea resuelta por éste.
62
62
Derecho de Información
Se trata de uno de los principio de la protección de datos. Si se van a registrar y tratar
datos de carácter personal será necesario informar a los interesados a través del medio
que se utilice para recogida de los mismos.
El artículo 5 de la LOPD regula este derecho de los afectados y nos dice que aquellos
interesados a los que se soliciten datos personales deberán ser previamente informados
de modo expreso, preciso e inequívoco:
� De la existencia de un fichero de tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información.
� Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
� De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
� De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
� De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los
mismos, en forma claramente legible estas advertencias.
Derecho a que le Sea Recabado su Consentimiento
La LOPD establece en su artículo 6 que el tratamiento de los datos personales requiere el
consentimiento inequívoco del afectado.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de
tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como
de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste
deberá ser informado de forma que conozca inequívocamente la finalidad a la que se
destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el
tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será
nulo.
63
63
Derechos ARCO
La LOPD dedica los artículos 15, 16 y 17 a los conocidos como
derechos ARCO (Acceso, rectificación, cancelación y oposición).
Por su parte el Reglamento dedica íntegramente el Titulo III a la
regulación de estos derechos.
Como ya hemos visto con anterioridad, el ejercicio de estos
derechos tiene, entre otras, las siguientes características:
�
�
Carácter personalísimo.
Independencia.
DERECHOS ARCO
Acceso
Rectificación
Cancelación
Oposición
Derecho de Acceso
Este derecho está regulado por el artículo 15 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, así como por Capítulo II del
Reglamento, que reconocen el derecho del afectado a solicitar y obtener gratuitamente
información sobre:
�
�
�
�
Sus datos de carácter personal sometidos a tratamiento.
El origen de dichos datos.
Las comunicaciones realizadas o que se prevén hacer de los mismos.
La finalidad del tratamiento.
Es decir, se entiende este derecho, como la facultad o capacidad que se reconoce al
interesado de recabar información de cada una de las empresas u organismo público
sobre los datos de carácter personal sometidos a tratamiento, sobre el origen de los
mismos y sobre las cesiones o comunicaciones realizadas o que se prevean realizar.
La información podrá obtenerse mediante la mera consulta de los datos por medio de su
visualización, o la indicación de los datos que son objeto de tratamiento mediante
escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin
utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, o
bien, por correo electrónico u otros sistemas de comunicaciones electrónicas y cualquier
otro sistema que sea adecuado a la configuración o implantación material del fichero o a
la naturaleza del tratamiento, ofrecido por el responsable.
El derecho de acceso es personalísimo y se ejercerá mediante solicitud o petición,
formulada mediante cualquier medio que garantice la identificación del afectado (DNI. o
documento análogo) y en la que conste el fichero o ficheros a consultar. Esta petición, a
su vez, deberá contener el domicilio a efectos de notificaciones, fecha y firma del
solicitante.
64
64
El ejercicio del derecho de acceso sólo podrá ejercerse a intervalos no inferiores a doce
meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá
ejercitarse antes.
El artículo 29 del Reglamento dispone que el responsable del fichero resuelva sobre la
solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la
misma. Transcurrido el plazo sin que de forma expresa se responda a la petición de
acceso, el interesado podrá ponerlo en conocimiento de la Agencia Española de
Protección de Datos o, en su caso, del organismo competente de cada Comunidad
Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
Con el fin de evitar posibles reclamaciones ante la Agencia Española de Protección de
Datos, por vencimiento del plazo indicado sin resolución alguna, el responsable del
fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren, o
no, datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que
permita acreditar el envío y la recepción.
La información que se proporcione, cualquiera que sea el soporte en que fuere facilitada,
se dará en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de
dispositivos mecánicos específicos y comprenderá todos los datos de base del afectado,
los resultantes de cualquier elaboración o proceso informático, así como la información
disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación
de los concretos usos y finalidades para los que se almacenaron los datos.
Si, estimada la solicitud, no se acompaña a su comunicación la información pretendida,
el acceso se hará efectivo durante los 10 siguientes a la misma.
No obstante, cabe la posibilidad de que nuestra solicitud de acceso sea denegada, lo
cual sucederá si hemos ejercitado nuestro derecho en los doce meses anteriores, si bien
como excepción a ello, se nos permite alegar un interés legítimo al efecto.
Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley o una
norma de derecho comunitario de aplicación directa o cuando éstas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la
tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades
de control de las comunidades autónomas.
La Ley considera el derecho de acceso como independiente respecto de los derechos de
rectificación y cancelación, de tal forma que no puede entenderse el ejercicio de ninguno
de ellos como requisito previo para el ejercicio de otro.
El Reglamento establece una serie de disposiciones aplicables a determinados ficheros
de titularidad privada. Así, con respecto a los ficheros de información sobre solvencia
patrimonial y crédito, dispone el artículo 44 del citado Texto que el ejercicio del derecho
de acceso, respecto de la inclusión de datos del afectado, debe tener en cuenta las
siguientes reglas:
65
65
� Si la solicitud se dirigiera al titular del fichero común, éste deberá comunicar al
afectado todos los datos relativos al mismo que obren en el fichero. En este caso,
el titular del fichero común deberá, además de dar cumplimiento a lo establecido
en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el
afectado se hayan comunicado en los últimos seis meses y el nombre y dirección
de los cesionarios.
� Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema,
deberá comunicar al afectado todos los datos relativos al mismo a los que ella
pueda acceder, así como la identidad y dirección del titular del fichero común
para que pueda completar el ejercicio de su derecho de acceso.
Respecto de aquellos ficheros para actividades de publicidad y prospección comercial, el
artículo 50 del Reglamento establece que habrá que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realización de una
campaña publicitaria, la misma estará obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 días, a fin de que en el mismo se otorgue al afectado su
derecho.
Derecho de Rectificación
Este derecho está regulado por el artículo 16 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal y se define en el artículo 31 del
Reglamento como el derecho del afectado a que se modifiquen los datos que resulten
ser inexactos o incompletos.
El ejercicio de este derecho es personalísimo, por lo que el titular de los datos deberá
dirigirse directamente al responsable del fichero de la entidad de que se trate. Como
hemos visto en los supuestos anteriores deberá utilizar un medio que permita acreditar
el envío y recogida de su solicitud, acompañando copia del DNI.
La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya
de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.
El responsable del tratamiento dispone de un plazo de 10 días para hacer efectivo este
derecho. Transcurrido este plazo, sin recibir contestación o si esta resultase
insatisfactoria, el interesado deberá reclamar ante la Agencia de Protección de Datos.
En el caso de que no disponga de datos de carácter personal del afectado deberá
igualmente comunicárselo en el mismo plazo.
Si los datos rectificados hubieran sido cedidos previamente, el responsable del fichero
deberá notificar la rectificación efectuada al cesionario.
Podrá denegarse el derecho de rectificación en los supuestos en que así lo prevea una
ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
66
66
En cuanto al ejercicio del derecho de rectificación ante ficheros de información sobre
solvencia patrimonial y crédito, el artículo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
� Si la solicitud se dirige al titular del fichero común, éste tomará las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que ésta la resuelva.
En el caso de que el responsable del fichero común no haya recibido contestación
por parte de la entidad en el plazo de siete días, procederá a la rectificación
cautelar de los mismos.
� Si la solicitud se dirige a quien haya facilitado los datos al fichero común
procederá a la rectificación de los mismos en sus ficheros y a notificarlo al titular
del fichero común en el plazo de diez días, dando asimismo respuesta al
interesado en los términos previstos en el artículo 33 del Reglamento.
� Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera
facilitado al fichero común los datos, dicha entidad informará al afectado sobre
este hecho en el plazo máximo de diez días, proporcionándole, además, la
identidad y dirección del titular del fichero común para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
Respecto de aquellos ficheros para actividades de publicidad y prospección comercial, el
artículo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realización de una
campaña publicitaria, la misma estará obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 días, a fin de que en el mismo se otorgue al afectado su
derecho.
Derecho de Cancelación
Este derecho está regulado por el artículo 16 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal y se concreta en el artículo 31
del Reglamento, que nos dice que el ejercicio del derecho de cancelación dará lugar a
que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del
deber de bloqueo conforme a este reglamento.
A su vez serán cancelados, en su caso, los datos de carácter personal cuyo tratamiento
no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten
inexactos o incompletos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de
las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción
de éstas. Cumplido el citado plazo deberá procederse a la supresión.
67
67
Para ejercer el derecho de cancelación el titular de los datos deberá dirigirse por escrito
al responsable del fichero de la entidad de que se trate indicando a que datos se refiere
y, acompañando dicho escrito con una copia del DNI del solicitante, siendo necesario
utilizar cualquier medio que permita acreditar el envío y la recogida de su solicitud.
El responsable del tratamiento dispone de un plazo de 10 días para hacer efectivo este
derecho. Transcurrido este plazo, sin recibir contestación o si esta resultase
insatisfactoria, el interesado deberá reclamar ante la Agencia de Protección de Datos.
En el caso de que no disponga de datos de carácter personal del afectado deberá
igualmente comunicárselo en el mismo plazo.
Si los datos cancelados hubieran sido cedidos previamente, el responsable del fichero
deberá notificar la cancelación efectuada al cesionario.
Podrá denegarse el derecho de cancelación en los supuestos en que así lo prevea una
ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
A su vez, la cancelación no procederá cuando los datos de carácter personal deban ser
conservados durante los plazos previstos en las disposiciones aplicables o, en su caso,
en las relaciones contractuales entre la persona o entidad responsable del tratamiento y
el interesado que justificaron el tratamiento de los datos.
El afectado al que se deniegue este derecho podrá ponerlo en conocimiento del Director
de la Agencia Española de Protección de Datos, que se asegurará de la procedencia o
improcedencia de la denegación.
En cuanto al ejercicio del derecho de oposición ante ficheros de información sobre
solvencia patrimonial y crédito, el artículo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
� Si la solicitud se dirige al titular del fichero común, éste tomará las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que ésta la resuelva. En el caso de que el responsable del fichero común no
haya recibido contestación por parte de la entidad en el plazo de siete días,
procederá a la cancelación cautelar de los mismos.
� Si la solicitud se dirige a quien haya facilitado los datos al fichero común
procederá a la cancelación de los mismos en sus ficheros y a notificarlo al titular
del fichero común en el plazo de diez días, dando asimismo respuesta al
interesado en los términos previstos en el artículo 33 del Reglamento.
� Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera
facilitado al fichero común los datos, dicha entidad informará al afectado sobre
este hecho en el plazo máximo de diez días, proporcionándole, además, la
identidad y dirección del titular del fichero común para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
68
68
Respecto de aquellos ficheros para actividades de publicidad y prospección comercial, el
artículo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realización de una
campaña publicitaria, la misma estará obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 días, a fin de que en el mismo se otorgue al afectado su
derecho.
Derecho de Oposición
Los titulares de los datos de carácter personal podrán instar la oposición al tratamiento
automatizado de estos datos de conformidad con lo previsto por el artículo 6 de la
LOPD.
El artículo 34 del Reglamento define el derecho de oposición como el derecho del
afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se
cese en el mismo en los siguientes supuestos:
� Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su
concreta situación personal, que lo justifique, siempre que una Ley no disponga
lo contrario.
� Cuando se trate de ficheros que tengan por finalidad la realización de actividades
de publicidad y prospección comercial, en los términos previstos en el artículo 51
del Reglamento, cualquiera que sea la empresa responsable de su creación.
� Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al
afectado y basada únicamente en un tratamiento automatizado de sus datos de
carácter personal, en los términos previstos en el artículo 36 del Reglamento.
El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del
fichero. Cuando la oposición se fundamente en el supuesto que no sea necesario el
consentimiento para el tratamiento, en la solicitud constarán los motivos fundados y
legítimos, relativos a la situación personal del afectado, y que sirven de base a este
derecho.
Las solicitudes serán resueltas en el plazo de 10 días, a contar desde la recepción de la
solicitud. Transcurrido dicho plazo sin que la misma haya sido notificada, el afectado
podrá interponer la reclamación que prevé el artículo 18 de la LOPD. En el caso de que
no disponga de datos de carácter personal de los afectados deberá igualmente
comunicárselo en el mismo plazo.
El responsable del fichero o tratamiento deberá excluir del tratamiento los datos
relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la
solicitud del interesado en el plazo previsto de 10 días.
69
69
Establece el artículo 36 del Reglamento el derecho de oposición que asiste a los
interesados de no verse sometidos a una decisión con efectos jurídicos sobre ellos o que
les afecte de forma significativa, basada únicamente en le tratamiento automatizado de
datos destinado a evaluar determinados aspectos de su personalidad, tales como su
rendimiento laboral, crédito, fiabilidad o conducta.
En lo que respecta a tratamientos para actividades de publicidad y prospección
comercial, dispone el artículo 51 del Reglamento que los interesados tendrán derecho a
oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan,
en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que
sobre ellos figuren en aquél, a su simple solicitud.
Esta oposición deberá entenderse sin perjuicio del derecho del interesado a revocar
cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su caso, para
el tratamiento de los datos.
Dispone el Reglamento que para el ejercicio de este derecho el afectado debe contar con
un medio sencillo y gratuito para oponerse al tratamiento, citando el correo electrónico o
la llamada a un número de teléfono gratuito.
Si el derecho de oposición se ejercitase ante una entidad que hubiera encomendado a
un tercero la realización de una campaña publicitaria, aquélla estará obligada, en el
plazo de 10 días, desde la recepción de la comunicación de la solicitud de ejercicio de
derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el
mismo atienda el derecho del afectado en el plazo de diez días desde la recepción de la
comunicación, dando cuenta de ello al afectado.
Derecho a Indemnización
El artículo 19 de la LOPD establece que los interesados que, como consecuencia del
incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del
tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser
indemnizados.
A estos efectos, la Agencia de Protección de Datos no tiene capacidad para fijar dicha
indemnización, por lo que se deberá plantear su reclamación tal y como establece el
artículo 19 de la Ley:
� En el caso de ficheros de titularidad pública, la responsabilidad se exigirá de
acuerdo con la legislación reguladora del régimen de responsabilidad de las
Administraciones Públicas.
� En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los
órganos de la jurisdicción ordinaria
70
70
Derecho de Impugnación de Valoraciones
El artículo 13 de la LOPD establece que, los ciudadanos tienen derecho a no verse
sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecten de manera
significativa, que se base únicamente en un tratamiento de datos destinados a evaluar a
determinados aspectos de su personalidad.
Por lo tanto, el afectado podrá impugnar los actos administrativos o decisiones privadas
que impliquen una valoración de su comportamiento, cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad.
En este caso el afectado tiene derecho a ser informado por el responsable del fichero a
cerca de los criterios de valoración y el programa utilizado en el tratamiento por el cual
se adoptó tal decisión.
La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de
datos, únicamente podrá tener valor probatorio a petición del afectado.
No obstante, los afectados podrán verse sometidos a una de estas decisiones con
efectos jurídicos cuando dicha decisión:
� Se haya adoptado en el marco de la celebración o ejecución de un contrato a
petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que
estimara pertinente, a fin de defender su derecho o interés. En todo caso, el
responsable del fichero deberá informar previamente al afectado, de forma clara y
precisa, de que se adoptarán estas decisiones y cancelará los datos en caso de
que no llegue a celebrarse finalmente el contrato.
� Esté autorizada por una norma con rango de Ley que establezca medidas que
garanticen el interés legítimo del interesado.
Derecho de Exclusión de Guías Telefónicas
De conformidad con lo establecido en el artículo 3.j de la LOPD, los datos telefónicos
básicos que figuran en los repertorios telefónicos se consideran accesibles al público,
pudiendo recabarse los mismos sin el consentimiento expreso del interesado.
Por lo tanto, para que los datos personales de un afectado no aparezcan en los
repertorios telefónicos, éste deberá manifestar el deseo de que sus datos sean excluidos
de los mismos.
Dicha solicitud debe hacerse efectiva en la edición siguiente a cuando se haya instado,
si se trata de formato papel, y en el plazo de 10 días si se trata de soportes electrónicos.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte
físico, perderán el carácter de fuente accesible con la nueva edición que se publique, es
decir, las guías telefónicas de años anteriores no se considerarían fuentes accesibles.
71
71
Derecho a No Recibir Publicidad No Deseada
El artículo 30 de la LOPD regula este derecho en el siguiente sentido:
� Quienes se dediquen a la recopilación de direcciones, reparto de documentos,
publicidad, venta a distancia, prospección comercial y otras actividades análogas,
utilizarán nombres y direcciones u otros datos de carácter personal cuando los
mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados
por los propios interesados u obtenidos con su consentimiento.
� Cuando los datos procedan de fuentes accesibles al público, de conformidad con
lo establecido en el párrafo segundo del artículo 5.5 de la LOPD, en cada
comunicación que se dirija al interesado se informará del origen de los datos y de
la identidad del responsable del tratamiento, así como de los derechos que le
asisten.
� En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el
origen de sus datos de carácter personal, así como del resto de información a que
se refiere el artículo 15 de la LOPD.
� Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al
tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja
del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél,
a su simple solicitud.
Derechos de Abonados y Usuarios de Comunicaciones
Electrónicas
Según el artículo 38 de la Ley General de Telecomunicaciones, los abonados a los
servicios de comunicaciones electrónicas tienen los siguientes derechos:
� A que se hagan anónimos o se cancelen sus datos de tráfico cuando ya no sean
necesarios a los efectos de la transmisión de una comunicación.
Los datos de tráfico necesarios a efectos de la facturación de los abonados y los
pagos de las interconexiones podrán ser tratados únicamente hasta que haya
expirado el plazo para la impugnación de la factura del servicio o para que el
operador pueda exigir su pago.
� A que sus datos de tráfico sean utilizados con fines comerciales o para la
prestación de servicios de valor añadido únicamente cuando hubieran prestado
su consentimiento previo informado para ello.
� A recibir facturas no desglosadas cuando así lo solicitasen.
72
72
� A que sólo se proceda al tratamiento de sus datos de localización distintos a los
datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento
informado y únicamente en la medida y por el tiempo necesarios para la
prestación, en su caso, de servicios de valor añadido, con conocimiento
inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y
duración del mismo y el servicio de valor añadido que vaya a ser prestado.
� A detener el desvío automático de llamadas efectuado a su terminal por parte de
un tercero.
� A impedir, mediante un procedimiento sencillo y gratuito, la presentación de la
identificación de su línea en las llamadas que genere o la presentación de la
identificación de su línea al usuario que le realice una llamada.
� A impedir, mediante un procedimiento sencillo y gratuito, la presentación de la
identificación de la línea de origen en las llamadas entrantes y a rechazar las
llamadas entrantes en que dicha línea no aparezca identificada.
� A no recibir llamadas y comunicaciones automáticas sin intervención humana, o
mensajes de fax con fines de venta directa sin haber prestado su consentimiento
previo e informado para ello.
Los usuarios de los servicios de comunicaciones electrónicas que no tengan la
condición de abonados tendrán asimismo los derechos reconocidos en los párrafos a, b,
d y en el primer inciso del párrafo f.
Los usuarios finales no podrán ejercer los derechos reconocidos en los párrafos d y f
cuando se trate de llamadas efectuadas a entidades que presten servicios de llamadas
de urgencia que se determinen reglamentariamente, en especial a través del número
112.
Del mismo modo, y por un período de tiempo limitado, los usuarios finales no podrán
ejercer el derecho reconocido en el párrafo f cuando el abonado a la línea de destino
haya solicitado la identificación de las llamadas maliciosas o molestas realizadas a su
línea.
Derechos de los Destinatarios
Comunicaciones Electrónicas
de Servicios de
Estos se regulan por los artículos 21 y 22 de la Ley de Servicios de la Sociedad de la
Información y de Comercio Electrónico, conforme a la redacción dada por la Disposición
Final Primera de la Ley 32/2003, General de Telecomunicaciones.
Estos derechos son los siguientes:
73
73
� Queda prohibido el envío de comunicaciones publicitarias o promocionales por
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas. Éste precepto no será de aplicación cuando exista
una relación contractual previa, siempre que el prestador hubiera obtenido de
forma lícita los datos de contacto del destinatario y los empleara para el envío de
comunicaciones comerciales referentes a productos o servicios de su propia
empresa que sean similares a los que inicialmente fueron objeto de contratación
con el cliente.
� En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de
oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos
como en cada una de las comunicaciones comerciales que le dirija. Cuando las
comunicaciones hubieran sido remitidas por correo electrónico, dicho medio
deberá consistir necesariamente en la inclusión de una dirección electrónica
válida donde pueda ejercitarse este derecho, quedando prohibido el envío de
comunicaciones que no incluyan dicha dirección.
� El destinatario podrá revocar en cualquier momento el consentimiento prestado a
la recepción de comunicaciones comerciales con la simple notificación de su
voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar
procedimientos sencillos y gratuitos para que los destinatarios de servicios
puedan revocar el consentimiento que hubieran prestado. Cuando las
comunicaciones hubieran sido remitidas por correo electrónico dicho medio
deberá consistir necesariamente en la inclusión de una dirección electrónica
válida donde pueda ejercitarse este derecho quedando prohibido el envío de
comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar
información accesible por medios electrónicos sobre dichos procedimientos.
� Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición de
que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular, sobre
los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del
destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el
uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre
que aquél deba proceder a su configuración durante su instalación o
actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el
posible almacenamiento o acceso de índole técnica al solo fin de efectuar la
transmisión de una comunicación por una red de comunicaciones electrónicas o,
en la medida que resulte estrictamente necesario, para la prestación de un
servicio de la sociedad de la información expresamente solicitado por el
destinatario.
74
74
Tutela de los Derechos
Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de reclamación
por los interesados ante la Agencia Española de Protección de Datos.
El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de
oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la
Agencia Española de Protección de Datos o, en su caso, del organismo competente de
cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia
de la denegación.
En este caso, el plazo máximo en que debe dictarse la resolución expresa de tutela de
derechos será de seis meses.
Contra las resoluciones de la Agencia Española de Protección de Datos procederá
recurso contencioso-administrativo.
75
75
Ley de Protección
de Datos
Medidas de Seguridad
�
�
�
�
�
�
Introducción
El Documento de Seguridad
Niveles de Seguridad de los Datos
Contenido Mínimo del Documento de Seguridad
Medidas de Seguridad Aplicables a los Ficheros
Modelo de Documento de Seguridad de la AEPD
Objetivos:
�
�
Conocer el contenido del documento de seguridad.
Diferenciar los distintos niveles de medidas de seguridad y su
aplicación.
� Familiarizarse con el modelo de documento de seguridad de la
Agencia Española de Protección de Datos.
81
tema 5
7682
77
Introducción
El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal establece
que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán
adoptar las medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los
datos almacenados y los riesgos a que están expuestos, ya provengan de la acción
humana o del medio físico o natural.
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones
determinadas por vía reglamentaria con respecto a su integridad y seguridad y a las de
los centros de tratamiento, locales, equipos, sistemas y programas.
Igualmente se apela al desarrollo reglamentario de los requisitos y condiciones que
deben reunir los ficheros y las personas que intervengan en el tratamiento de los datos a
los que alude el artículo 7 de la misma Ley: datos especialmente protegidos.
El Documento de Seguridad
En desarrollo del artículo 9 de la LOPD, el nuevo reglamento establece que el
responsable del fichero o tratamiento elaborará un documento de seguridad que
recogerá las medidas de índole técnica y organizativa acordes a la normativa de
seguridad vigente que será de obligado cumplimiento para el personal con acceso a los
sistemas de información.
El documento de seguridad podrá ser único y comprensivo de todos los ficheros o
tratamientos, o bien individualizado para cada fichero o tratamiento.
También podrán elaborarse distintos documentos de seguridad agrupando ficheros o
tratamientos según el sistema de tratamiento utilizado para su organización, o bien
atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de
documento interno de la organización.
Este documento de seguridad deberá cumplir una mayor o menor cantidad de requisitos
para garantizar la confidencialidad y la integridad de la información en función del tipo
de datos que contenga el fichero. Es decir, el nivel de seguridad de este documento
variará en función de la naturaleza de los datos.
Niveles de Seguridad de los Datos
El artículo 80 del Reglamento establece 3 niveles de seguridad: básico, medio y alto. Las
medidas establecidas para cada uno de los ficheros o tratamiento tienen la condición de
mínimos exigibles.
83
78
Nivel Básico
Este nivel de seguridad se aplica a todos aquellos ficheros que incluyan datos de
carácter personal.
Nivel Medio
Este nivel de seguridad se aplica en los siguientes ficheros o tratamientos de datos de
carácter personal:
�
�
Los relativos a la comisión de infracciones administrativas o penales.
Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica
15/1999, de 13 de diciembre (prestación de servicios sobre solvencia patrimonial
y de crédito).
� Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
� Aquéllos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.
� Aquéllos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus
competencias. De igual modo, aquellos de los que sean responsables las mutuas
de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
� Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan
una definición de las características o de la personalidad de los ciudadanos y que
permitan evaluar determinados aspectos de la personalidad o del
comportamiento de los mismos.
A estos ficheros también se les aplicarán las medidas de seguridad del nivel básico.
Nivel Alto
Este nivel de seguridad se aplica a los siguientes ficheros o tratamientos de datos de
carácter personal:
� Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
� Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
� Aquéllos que contengan datos derivados de actos de violencia de género.
84
79
A estos ficheros también se les aplicarán las medidas de seguridad de nivel básico y
medio. A los ficheros de los que sean responsables los operadores que presten servicios
de comunicaciones electrónicas disponibles al público o exploten redes públicas de
comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización,
se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de
seguridad de nivel alto contenida en el artículo 103 de este reglamento, relativa al
registro de acceso.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de
seguridad de nivel básico cuando:
� Los datos se utilicen con la única finalidad de realizar una transferencia dineraria
a las entidades de las que los afectados sean asociados o miembros.
� Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se
contengan aquellos datos sin guardar relación con su finalidad.
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al
grado de discapacidad o la simple declaración de la condición de discapacidad o
invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Contenido Mínimo del Documento de Seguridad
El artículo 88 del Reglamento establece el contenido mínimo de los documentos de
seguridad en función del nivel de seguridad aplicable al fichero.
Documentos de Seguridad de Nivel Básico
El documento de seguridad deberá contener, como mínimo, los siguientes aspectos:
� Ámbito de aplicación del documento: se debe especificar de forma detallada los
recursos que estarán protegidos y a que fichero o ficheros es de aplicación dicho
documento.
� Medidas, normas, procedimientos de actuación, reglas y estándares
encaminados a garantizar el nivel de seguridad exigido: se detallarán aquellas
medidas y procedimientos que el responsable del fichero va a aplicar para cumplir
las medidas de seguridad exigidas.
� Funciones y obligaciones del personal en relación con el tratamiento de los datos
de carácter personal incluidos en los ficheros.
� Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan: se especificará la estructura interna de
cada fichero y la descripción del contenido de los ficheros, soportes y equipos
que se empleen para el almacenamiento y tratamiento de datos.
85
80
�
�
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Procedimientos de realización de copias de respaldo y de recuperación de los
datos en los ficheros o tratamientos automatizados.
� Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en su
caso, la reutilización de estos últimos.
Documentos de Seguridad de Nivel Medio y Alto
En los documentos de seguridad de nivel medio y alto, además de todos los contenidos
aplicables a los documentos de seguridad de nivel básico, se debe incluir:
�
�
La identificación del responsable o responsables de seguridad.
Los controles periódicos que se deban realizar para verificar el cumplimiento de lo
dispuesto en el propio documento.
Otros Contenidos
En el caso de que exista un tratamiento de datos por cuenta de terceros, el documento
de seguridad deberá contener la identificación de los ficheros o tratamientos que se
traten en concepto de encargado con referencia expresa al contrato o documento que
regule las condiciones del encargo, así como de la identificación del responsable y del
período de vigencia del encargo.
Cuando los datos personales de un fichero o tratamiento se incorporen y traten de modo
exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su
documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de
los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza
del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en
recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al
amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con
especificación de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del
cumplimiento de lo dispuesto por este reglamento.
El documento de seguridad deberá mantenerse en todo momento actualizado y será
revisado siempre que se produzcan cambios relevantes en el sistema de información, en
el sistema de tratamiento empleado, en su organización, en el contenido de la
información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de
los controles periódicos realizados. En todo caso, se entenderá que un cambio es
relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad
implantadas.
El contenido del documento de seguridad deberá adecuarse, en todo momento, a las
disposiciones vigentes en materia de seguridad de los datos de carácter personal.
86
81
Medidas de Seguridad Aplicables a los Ficheros
Medidas de Seguridad de Nivel Básico
Están reguladas en la Sección I del Capítulo III del Reglamento y son las siguientes:
� Funciones y obligaciones del personal: el personal que tenga acceso a los datos
de carácter personal será informado por el responsable del fichero sobre las
normas de seguridad que afecten al desarrollo de sus funciones, así como de las
consecuencias que se deriven de su incumplimiento. Dichas funciones y
responsabilidades deberán estar claramente definidas en el documento de
seguridad.
� Registro de incidencias: entendiendo como incidencia cualquier anomalía que
afecte o pudiera afectar a la seguridad de los datos, se deberá llevar un registro
de éstas que constará de los siguientes campos:
o
o
o
o
o
o
�
Tipo de incidencia.
Momento en que se ha producido, o en su caso, detectado.
Persona que realiza la notificación.
Persona a la cual se notifica la incidencia.
Efectos derivados de la incidencia.
Medidas correctoras resultantes.
Control de acceso: Los usuarios únicamente tendrán acceso a aquellos recursos
que estrictamente precisen para el desarrollo de sus funciones. Para ello, el
responsable del fichero deberá realizar y mantener actualizada una relación de los
usuarios y perfiles de usuarios, así como de los accesos que los mismos tengan
autorizados. Del mismo modo, será su obligación establecer los mecanismos
oportunos para que los usuarios no puedan acceder a aquellos recursos para los
que no estén autorizados.
De esta forma, sólo el personal autorizado en el documento de seguridad podrá
conocer, alterar o anular el acceso autorizado sobre los recursos. En caso de que
exista personal ajeno al responsable del fichero que tenga acceso a los recursos
deberá estar sometido a las mismas condiciones y obligaciones que el personal
propio.
� Gestión de soportes y documentos: los soportes y documentos que contengan
datos de carácter personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y solo deberán ser accesibles por el personal
autorizado para ello en el documento de seguridad. Se exceptúan estas
obligaciones cuando las características físicas del soporte imposibiliten su
cumplimiento, quedando constancia motivada de ello en el documento de
seguridad.
87
82
La identificación de los soportes que contengan datos de carácter personal que la
organización considerase especialmente sensibles se podrá realizar utilizando
sistemas de etiquetado comprensibles y con significado que permitan a los
usuarios con acceso autorizado a los citados soportes y documentos identificar
su contenido, y que dificulten la identificación para el resto de personas.
En cuanto a los soportes de ficheros no automatizados, el archivo de los soportes
o documentos se realizará de acuerdo con los criterios previstos en su respectiva
legislación. Estos criterios deberán garantizar la correcta conservación de los
documentos, la localización y consulta de la información y posibilitar el ejercicio
de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero
deberá establecer los criterios y procedimientos de actuación que deban seguirse
para el archivo.
Los dispositivos de almacenamiento de los documentos que contengan datos de
carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
Cuando las características físicas de aquéllos no permitan adoptar esta medida, el
responsable del fichero o tratamiento adoptará medidas que impidan el acceso de
personas no autorizadas.
Mientras la documentación con datos de carácter personal no se encuentre
archivada en los dispositivos de almacenamiento establecidos en el artículo
anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior
a su archivo, la persona que se encuentre al cargo de la misma deberá
custodiarla e impedir en todo momento que pueda ser accedida por persona no
autorizada.
� Entrada y salida de soportes: la salida de soportes y documentos que contengan
datos de carácter personal, incluidos los comprendidos y/o anejos a un correo
electrónico, fuera de los locales bajo el control del responsable del fichero o
tratamiento deberá ser autorizada por el responsable del fichero o encontrarse
debidamente autorizada en el documento de seguridad.
En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la
sustracción, pérdida o acceso indebido a la información durante su transporte.
� Destrucción de soportes: siempre que vaya a desecharse cualquier documento o
soporte que contenga datos de carácter personal deberá procederse a su
destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el
acceso a la información contenida en el mismo o su recuperación posterior.
� Identificación y autentificación: el responsable del fichero o tratamiento deberá
adoptar las medidas que garanticen la correcta identificación y autenticación de
los usuarios.
El responsable del fichero o tratamiento establecerá un mecanismo que permita la
identificación de forma inequívoca y personalizada de todo aquel usuario que
intente acceder al sistema de información y la verificación de que está autorizado.
88
83
Cuando el mecanismo de autentificación se base en la existencia de contraseñas
existirá un procedimiento de asignación, distribución y almacenamiento que
garantice su confidencialidad e integridad. Estas contraseñas deberán cambiarse
periódicamente, no pudiéndose mantener las mismas contraseñas durante un
periodo superior a un año. Mientras éstas estén vigentes, se almacenarán de
forma ininteligible.
� Copias de respaldo y recuperación: deberán establecerse procedimientos de
actuación para la realización como mínimo semanal de copias de respaldo, salvo
que en dicho período no se hubiera producido ninguna actualización de los datos.
Asimismo, se establecerán procedimientos para la recuperación de los datos que
garanticen en todo momento su reconstrucción en el estado en que se
encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o
tratamientos parcialmente automatizados, y siempre que la existencia de
documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se
deberá proceder a grabar manualmente los datos quedando constancia motivada
de este hecho en el documento de seguridad.
El responsable del fichero se encargará de verificar cada seis meses la correcta
definición, funcionamiento y aplicación de los procedimientos de realización de
copias de respaldo y de recuperación de los datos.
Las pruebas anteriores a la implantación o modificación de los sistemas de
información que traten ficheros con datos de carácter personal no se realizarán
con datos reales, salvo que se asegure el nivel de seguridad correspondiente al
tratamiento realizado y se anote su realización en el documento de seguridad. Si
está previsto realizar pruebas con datos reales, previamente deberá haberse
realizado una copia de seguridad.
Medidas de Seguridad de Nivel Medio
Están reguladas en la Sección II del Capítulo III del Reglamento. Además de los
contenidos de los documentos de seguridad de nivel básico, el documento de seguridad
de nivel medio deberá incluir las siguientes medidas de seguridad:
� Identificación del responsable de seguridad: en el documento de seguridad
deberán designarse uno o varios responsables de seguridad encargados de
coordinar y controlar las medidas definidas en el mismo. Esta designación puede
ser única para todos los ficheros o tratamientos de datos de carácter personal o
diferenciada según los sistemas de tratamiento utilizados, circunstancia que
deberá hacerse constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la responsabilidad
que corresponde al responsable del fichero o al encargado del tratamiento de
acuerdo con este reglamento.
89
84
� Auditoría: los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al menos cada dos años, a una auditoría
interna o externa de Protección de Datos. Por medio de esta auditoría se verifica
que los sistemas de información y las instalaciones de tratamiento de datos de
nivel medio y alto cumplen con lo establecido en el Reglamento de Medidas de
Seguridad.
La auditoría tiene los siguientes objetivos:
o
o
Adecuar las medidas y controles al Reglamento de Seguridad.
Identificar sus deficiencias y proponer medidas correctoras o
complementarias.
o Incluir los datos, hechos y observaciones en que se basen los dictámenes
alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento
para que adopte las medidas correctoras adecuadas y quedarán a disposición de
la Agencia Española de Protección de Datos o, en su caso, de las autoridades de
control de las comunidades autónomas.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se
realicen modificaciones sustanciales en el sistema de información que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado con anterioridad.
� Gestión de soportes y documentos: Deberá establecerse un sistema de registro
de entrada y salida de soportes que permita, directa o indirectamente, conocer la
siguiente información:
o
o
o
o
o
o
o
El tipo de documento o soporte.
Fecha y hora.
Emisor o destinatario.
Número de documentos o soportes incluidos en el envío.
Tipo de información que contienen.
Forma de envío
Persona responsable de la recepción o entrega debidamente autorizada.
90
85
� Identificación y autentificación: el responsable del fichero o tratamiento deberá
establecer un mecanismo que limite la posibilidad de intentar reiteradamente el
acceso no autorizado al sistema de información.
� Control de acceso físico: exclusivamente el personal autorizado en el documento
de seguridad podrá tener acceso a los lugares donde se hallen instalados los
equipos físicos que den soporte a los sistemas de información.
� Registro de incidencias: además de los datos especificados en las medidas de
seguridad de nivel bajo (tipo de incidencia, momento en que se produce, persona
que notifica, persona a la que se realiza la notificación, efectos derivados de la
incidencia y medidas correctoras), deberán consignarse, los procedimientos
realizados de recuperación de los datos, indicando la persona que ejecutó el
proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar
manualmente en el proceso de recuperación. Para realizar la recuperación de
datos será necesaria la autorización del responsable del fichero.
Medidas de Seguridad de Nivel Alto
Están reguladas en la Sección III del Capítulo III del Reglamento. Además de los
contenidos de los documentos de seguridad de nivel básico y medio, el documento de
seguridad de nivel alto deberá incluir las siguientes medidas de seguridad:
� Gestión y distribución de soportes: la identificación de los soportes que
contengan datos de carácter personal (memorias USB, CD-ROM, etc.) se deberá
realizar utilizando sistemas de etiquetado comprensibles y con significado que
permitan a los usuarios con acceso autorizado a los citados soportes y
documentos identificar su contenido, y que dificulten la identificación para el
resto de personas.
La distribución de estos soportes se realizará cifrando dichos datos o bien
utilizando otro mecanismo que garantice que dicha información no sea accesible
o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando
éstos se encuentren fuera de las instalaciones que están bajo el control del
responsable del fichero.
Deberá evitarse el tratamiento de datos de carácter personal en dispositivos
portátiles que no permitan su cifrado.
En caso de que sea estrictamente necesario se hará constar motivadamente en el
documento de seguridad y se adoptarán medidas que tengan en cuenta los
riesgos de realizar tratamientos en entornos desprotegidos.
91
86
Los armarios, archivadores u otros elementos en los que se almacenen los
ficheros no automatizados con datos de carácter personal deberán encontrarse
en áreas en las que el acceso esté protegido con puertas de acceso dotadas de
sistemas de apertura mediante llave u otro dispositivo equivalente.
Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los
documentos incluidos en el fichero.
Si, debido a las características de los locales de que dispusiera el responsable del
fichero o tratamiento, no fuera posible cumplir lo establecido en el párrafo
anterior, el responsable adoptará medidas alternativas que, debidamente
motivadas, se incluirán en el documento de seguridad.
Por su parte, siempre que se proceda al traslado físico de la documentación
contenida en un fichero no automatizado, deberán adoptarse medidas dirigidas a
impedir el acceso o manipulación de la información objeto de traslado.
� Copias de respaldo y recuperación: deberá conservarse una copia de respaldo de
los datos y de los procedimientos de recuperación de los mismos en un lugar
diferente de aquel en que se encuentren los equipos informáticos que los tratan.
Esta copia de respaldo deberá cumplir en todo caso las medidas de seguridad
exigidas en el Reglamento, de modo que se garanticen la integridad y
recuperación de la información.
� Copia o reproducción de ficheros no automatizados: la generación de copias o la
reproducción de los documentos únicamente podrá ser realizada bajo el control
del personal autorizado en el documento de seguridad, procediéndose a la
destrucción de las copias o reproducciones desechadas de forma que se evite el
acceso a la información contenida en las mismas o su recuperación posterior.
� Registro de accesos: de cada intento de acceso realizado por los diferentes
usuarios se guardará, como mínimo, la siguiente información:
o
o
o
o
Identificación del usuario.
Fecha y hora en que se realizó.
Fichero accedido.
Tipo de acceso (consulta, modificación, supresión o introducción de nuevos
datos).
o Si ha sido autorizado o denegado. En el caso de que el acceso haya sido
autorizado, será preciso guardar la información que permita identificar el
registro accedido.
92
87
Estos mecanismos que permiten el registro de accesos estarán bajo el control
directo del responsable de seguridad competente sin que deban permitir la
desactivación ni la manipulación de los mismos.
Los datos registrados deberán conservarse por un periodo mínimo de 2 años y
serán revisados por el responsable de seguridad al menos una vez al mes,
elaborando un informe de las revisiones realizadas y los problemas detectados.
No será necesario el registro de accesos definido en este artículo en caso de que
concurran las siguientes circunstancias:
o
o
Que el responsable del fichero o del tratamiento sea una persona física.
Que el responsable del fichero o del tratamiento garantice que únicamente él
tiene acceso y trata los datos personales.
La concurrencia de estas dos circunstancias deberá hacerse constar
expresamente en el documento de seguridad.
Respecto a los ficheros no automatizados, el acceso a la documentación se
limitará exclusivamente al personal autorizado, estableciéndose mecanismos que
permitan identificar los accesos realizados en el caso de documentos que puedan
ser utilizados por múltiples usuarios.
El acceso de personas no autorizadas deberá quedar adecuadamente registrado
de acuerdo con el procedimiento establecido al efecto en el documento de
seguridad.
� Telecomunicaciones: la transmisión de datos de carácter personal de nivel alto a
través de redes públicas o redes inalámbricas de comunicaciones electrónicas se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por terceros.
Modelo de Documento de Seguridad de la AEPD
El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el
RLOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar
la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por
lo dispuesto en el citado Reglamento y en la LOPD.
El contenido de este documento queda estructurado como sigue:
�
�
Ámbito de aplicación del documento.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar
los niveles de seguridad exigidos en este documento.
93
88
�
�
�
Información y obligaciones del personal.
Procedimientos de notificación, gestión y respuestas ante las incidencias.
Procedimientos de revisión.
Ámbito de Aplicación del Documento
El presente documento será de aplicación a los ficheros que contienen datos de carácter
personal que se hallan bajo la responsabilidad de “nombre del responsable”, incluyendo
los sistemas de información, soportes y equipos empleados para el tratamiento de datos
de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa
vigente, las personas que intervienen en el tratamiento y los locales en los que se
ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en
este documento, con indicación del nivel de seguridad correspondiente, son los
siguientes:
�
�
�
Incluir relación de ficheros o tratamientos afectados.
Indicando si se trata de sistemas automatizados, manuales o mixtos.
El nivel de seguridad que les corresponde.
Medidas, Normas, Procedimiento, Reglas y Estándares Encaminados a
Garantizar los Niveles de Seguridad Exigidos en este Documento IDENTIFICACIÓN Y AUTENTICACIÓN
� Medidas y normas relativas a la identificación y autenticación del personal
autorizado para acceder a los datos personales:
� Los automatizados deben especificar las normativas de identificación y
autenticación de los usuarios con acceso a los datos personales.
La identificación de los usuarios se deberá realizar de forma inequívoca y
personalizada, verificando su autorización (cada identificación debe pertenecer a
un único usuario).
� Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de
asignación, distribución y almacenamiento que deberá garantizar su
confidencialidad e integridad, e indicar la periodicidad con la que se deberán
cambiar, en ningún caso superior a un año
� También es conveniente incluir los requisitos que deben cumplir las cadenas
utilizadas como contraseña.
� En los ficheros de nivel medio y alto, se limitará la posibilidad de intentar
reiteradamente el acceso no autorizado al sistema de información.
94
89
CONTROL DE ACCESO
� El personal sólo accederá a aquellos datos y recursos que precise para el
desarrollo de sus funciones. El responsable del fichero establecerá mecanismos
para evitar que un usuario pueda acceder a recursos con derechos distintos de
los autorizados incluir estos mecanismos.
� Exclusivamente la persona autorizada (o denominación de su puesto de trabajo)
para conceder, alterar o anular el acceso autorizado está autorizado para
conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los
criterios establecidos por el responsable del fichero.
� Especificar los procedimientos para solicitar el alta, modificación y baja de las
autorizaciones de acceso a los datos, indicando qué persona (o puesto de trabajo)
concreta tiene que realizar cada paso.
�
�
Incluir y detallar los controles de acceso a los sistemas de información
Incluir en un anexo la relación de usuarios actualizada con acceso autorizado a
cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado
para cada uno de ellos. Esta lista deberá mantenerse actualizada Especificar
procedimiento de actualización.
� De existir personal ajeno al responsable del fichero con acceso a los recursos
deberá estar sometido a las mismas condiciones y obligaciones de seguridad que
el personal propio.
REGISTRO DE ACCESOS (NIVEL ALTO)
AUTOMATIZADOS
� En los accesos a los datos de los ficheros de nivel alto, se registrará por cada
acceso la identificación del usuario, la fecha y hora en que se realizó, el fichero
accedido, el tipo de acceso y si ha sido autorizado o denegado.
� Si el acceso fue autorizado, se almacenará también la información que permita
identificar el registro accedido.
� Indicar, si se estima oportuno, información relativa al sistema de registro de
accesos.
� El mecanismo que permita este registro estará bajo control directo del
responsable de seguridad, sin que se deba permitir, en ningún caso, la
desactivación del mismo.
� Los datos del registro de accesos se conservaran durante un periodo, que deberá
ser al menos de dos años. No es preciso que estos datos se almacenen "on-line".
95
90
� El responsable de seguridad revisará al menos una vez al mes la información de
control registrada y elaborará un informe según se detalla en el capítulo de
“Comprobaciones para la realización de la auditoría de seguridad” de este
documento.
� No será necesario el registro de accesos cuando: el responsable del fichero es
una persona física, el responsable del fichero garantice que sólo él tiene acceso y
trata los datos personales, y se haga constar en el documento de seguridad.
MANUALES
El acceso a la documentación se limita exclusivamente al personal autorizado.
Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de
los documentos relacionados:
� indicar los documentos o tipos de documentos que puedan ser utilizados por
múltiples usuarios.
� Indicar el mecanismo establecido para controlar estos accesos.
GESTIÓN DE SOPORTES Y DOCUMENTOS
Los soportes que contengan datos de carácter personal deberán permitir identificar el
tipo de información que contienen, ser inventariados y serán almacenados en:
�
�
indicar el lugar de acceso restringido donde se almacenarán.
Lugar de acceso restringido al que solo tendrán acceso las personas con
autorización que se relacionan a continuación:
o Especificar el personal autorizado a acceder al lugar donde se almacenan los
soportes que contengan datos de carácter personal.
o
o
El procedimiento establecido para habilitar o retirar el permiso de acceso.
Tener en cuenta el procedimiento a seguir para casos en que personal no
autorizado tenga que tener acceso a los locales por razones de urgencia o
fuerza mayor.
Los siguientes soportes “relacionar aquellos a que se refiere” se exceptúan de las
obligaciones indicadas en el párrafo anterior, dadas sus características físicas, que
imposibilitan el cumplimiento de las mismas.
Los siguientes soportes “indicar aquellos que contengan datos considerados
especialmente sensibles y respecto de los que se haya optado por proceder del siguiente
modo” se identificarán utilizando los sistemas de etiquetado siguientes “especificar los
criterios de etiquetado que serán comprensibles y con significado para los usuarios
autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultarán la
identificación para el resto de personas”.
96
91
Los soportes se almacenarán de acuerdo a las siguientes normas:
�
�
�
Indicar normas de etiquetado de los soportes.
Especificar el procedimiento de inventariado y almacenamiento de los mismos.
El inventario de soportes puede anexarse al documento o gestionarse de forma
automatizada, en este último caso se indicará en este punto el sistema
informático utilizado.
La salida de soportes y documentos que contengan datos de carácter personal, incluidos
los comprendidos en correos electrónicos, fuera de los locales bajo el control del
responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel
en que se hubiera delegado de acuerdo al siguiente procedimiento:
�
�
Detallar el procedimiento a seguir para que se lleve a cabo la autorización.
Tener en cuenta también los ordenadores portátiles y el resto de dispositivos
móviles que puedan contener datos personales.
En un anexo se incluirán los documentos de autorización relativos a la salida de soportes
que contengan datos personales.
Los soportes que vayan a ser desechados, deberán ser previamente “detallar
procedimiento a realizar para su destrucción o borrado” de forma que no sea posible el
acceso a la información contenida en ellos o su recuperación posterior.
En el traslado de la documentación se adoptarán medidas para evitar la sustracción,
pérdida o acceso indebido a la información.
AUTOMATIZADOS (NIVEL MEDIO): REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto,
serán registradas de acuerdo al siguiente procedimiento:”Detallar el procedimiento por el
que se registrarán las entradas y salidas de soportes”.
El registro de entrada y salida de soportes se gestionará mediante
� Indicar la forma en que se almacenará el registro, que puede ser manual o
informático y en el que deberán constar.
� Indicar los campos del registro, que deberán ser, al menos, en el caso de las
entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el número de
documentos o soportes incluidos en el envío, el tipo de información que
contienen, la forma de envío y la persona autorizada responsable de la recepción;
y en el caso de las salidas, el tipo de documento o soporte, la fecha y hora, el
destinatario, el número de documentos o soportes incluidos en el envío, el tipo de
información que contienen, la forma de envío y la persona autorizada responsable
de la entrega.
� En caso de gestión automatizada se indicará en este punto el sistema informático
utilizado.
97
92
AUTOMATIZADOS (NIVEL ALTO): GESTIÓN Y DISTRIBUCIÓN DE SOPORTES
En este caso los soportes se identificarán mediante el sistema de etiquetado “especificar
los criterios de etiquetado que resultarán comprensibles y con significado para los
usuarios con acceso autorizados, permitiéndoles identificar su contenido y dificultando
la identificación para el resto de personas”.
La distribución y salida de soportes que contengan datos de carácter personal de los
ficheros de nivel alto se realizará “indicar el procedimiento para cifrar los datos o, en su
caso, para utilizar el mecanismo que garantice que dicha información no sea inteligible
ni manipulada durante su transporte. Igualmente se cifrarán los datos que contengan los
dispositivos portátiles cuando se encuentren fuera de las instalaciones que están bajo
control del responsable”.
Los siguientes dispositivos portátiles “relacionar aquellos que no permitan el cifrado de
los datos personales”, debido a las razones indicadas “motivar la necesidad de hacer
uso de este tipo de dispositivos”, se utilizarán en el tratamiento de datos personales
adoptándose las medidas que a continuación se explicitan “relacionar las medidas
alternativas que tendrán en cuenta los riesgos de realizar tratamientos en entornos
desprotegidos”.
MANUALES: CRITERIOS DE ARCHIVO
El archivo de los soportes o documentos se realizará de acuerdo con los criterios “indicar
los previstos en la legislación que les afecte o en su defecto, los establecidos por el
responsable del fichero, que en cualquier caso garantizarán la correcta conservación de
los documentos, la localización y consulta de la información y posibilitarán el ejercicio de
los derechos de oposición al tratamiento, acceso, rectificación y cancelación”.
MANUALES: ALMACENAMIENTO DE LA INFORMACIÓN
Los siguientes dispositivos “relacionarlos así como aquellas de sus características que
obstaculicen su apertura. Cuando sus características físicas no permitan adoptar esta
medida, el responsable adoptará medidas que impidan el acceso a la información de
personas no autorizadas” se utilizarán para guardar los documentos con datos
personales.
Nivel alto: Los elementos de almacenamiento “indicar tipos como armarios, archivadores
u otros elementos utilizados” respecto de los documentos con datos personales, se
encuentran en “indicar lugares físicos y protección con que cuenta el acceso a las
mismas, como llaves u otros dispositivos. Además estos lugares permanecerán cerrados
en tanto no sea preciso el acceso a los documentos. Si a la vista de las características de
los locales no fuera posible cumplir lo anteriormente indicado, se adoptarán medidas
alternativas que se reflejarán en este punto”.
98
93
MANUALES: CUSTODIA DE SOPORTES
En tanto los documentos con datos personales no se encuentren archivados en los
dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de
tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir
el acceso a personas no autorizadas.
ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES
Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a
través de redes de comunicaciones, sean o no públicas, garantizarán un nivel de
seguridad equivalente al exigido para los accesos en modo local. “Relacionar los accesos
previstos y los ficheros a los que se prevea acceder”.
AUTOMATIZADOS (NIVEL ALTO)
Los datos personales correspondientes a los ficheros de nivel alto, que se transmitan a
través de redes públicas o inalámbricas de comunicaciones electrónicas se realizará
cifrando previamente estos datos “indicar en su caso otros mecanismos distintos del
cifrado que se utilicen y que garanticen que la información no sea inteligible ni
manipulada por terceros. También es adecuado cifrar los datos en red local”.
RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO
Se pueden llevar a cabo los siguientes tratamientos de datos personales “relacionar los
ficheros a que afecten estos tratamientos” fuera de los locales del responsable del
fichero “indicar en su caso, los distintos locales a los que deban circunscribirse,
especialmente en el supuesto de que se realicen tratamientos por un encargado del
tratamiento que se especificará”, así como mediante dispositivos portátiles.
Esta autorización regirá durante “indicar el período de validez de la misma”.
“Esta autorización puede realizarse para unos usuarios concretos que hay que indicar o
para un perfil de usuarios”.
“Se debe garantizar el nivel de seguridad correspondiente”.
TRASLADO DE DOCUMENTACIÓN
MANUALES (NIVEL ALTO)
Siempre que se proceda al traslado físico de la documentación contenida en un fichero,
deberán adoptarse las siguientes medidas “relacionar las medidas necesarias y en su
caso alternativas recomendadas, orientadas a impedir el acceso o manipulación de la
información objeto de traslado”.
FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS
Los ficheros temporales o copias de documentos creados exclusivamente para trabajos
temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con
arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán
borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que
motivaron su creación.
99
94
COPIA O REPRODUCCIÓN
MANUALES (NIVEL ALTO)
La realización de copias o reproducción de los documentos con datos personales sólo se
podrán llevar a cabo bajo el control del siguiente personal autorizado “indicar los
usuarios o perfiles habilitados para ello”.
Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la
información contenida “indicar los medios a utilizar o puestos a disposición de los
usuarios para ello”.
COPIAS DE RESPALDO Y RECUPERACIÓN
AUTOMATIZADOS
Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna
actualización de los datos, con la siguiente periodicidad “especificarla, y en todo caso
será como mínimo una vez a la semana”.
Los procedimientos establecidos para las copias de respaldo y para su recuperación
garantizarán su reconstrucción en el estado en que se encontraban al tiempo de
producirse la pérdida o destrucción. En el caso de los ficheros parcialmente
automatizados siguientes “indicarlos”, se grabarán manualmente los datos.
Para la grabación manual indicada deberá existir documentación que permita dicha
reconstrucción.
El responsable del fichero verificará semestralmente los procedimientos de copias de
respaldo y recuperación de los datos.
Las pruebas anteriores a la implantación o modificación de sistemas de información se
realizarán con datos reales previa copia de seguridad, y garantizando el nivel
correspondiente al tratamiento realizado.
En un Anexo se detallarán los procedimientos de copia y recuperación de respaldo para
cada fichero.
Nivel alto: En los ficheros de nivel alto se conservará una copia de respaldo y de los
procedimientos de recuperación de los datos en “especificar el lugar, diferente de donde
se encuentran los sistemas informáticos que los tratan, y que deberá cumplir las
medidas de seguridad, o utilizando elementos que garanticen la integridad y
recuperación de la información de forma que sea recuperable”.
100
95
RESPONSABLE DE SEGURIDAD
NIVEL MEDIO
Se designa como responsable de seguridad “indicarlo/s en el caso de que se prevea que
sean varios”, que con carácter general se encargará de coordinar y controlar las medidas
definidas en este documento de seguridad.
“La designación puede ser única para todos los ficheros o diferenciada según los
sistemas de tratamiento, lo que se especificará en este documento”
En ningún caso, la designación supone una exoneración de la responsabilidad que
corresponde a “denominación responsable del fichero o del encargado del tratamiento”
como responsable del fichero de acuerdo con el RLOPD.
El responsable de seguridad desempeñará las funciones encomendadas durante el
periodo de “indicar periodo de desempeño del cargo”. Una vez transcurrido este plazo
“denominación responsable del fichero” podrá nombrar al mismo responsable de
seguridad o a otro diferente.
En un anexo se incluirán las copias de los nombramientos de responsables de
seguridad.
Información y Obligaciones del Personal
INFORMACIÓN AL PERSONAL
Para asegurar que todas las personas conocen las normas de seguridad que afectan al
desarrollo de sus funciones, así como las consecuencias del incumplimiento de las
mismas, serán informadas de acuerdo con el siguiente procedimiento:
“indicar el procedimiento por el cual se informará a cada persona, en función de su
perfil, de las normas que debe cumplir y de las consecuencias de no hacerlo. Puede ser
conveniente incluir algún sistema de acuse de recibo de la información”.
“Si se estima oportuna, la remisión periódica de información sobre seguridad: circulares,
recordatorios, nuevas normas, indicar aquí el procedimiento y las personas autorizadas
para hacerlo”.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todo el personal que acceda a los datos de carácter personal está obligado a conocer y
observar las medidas, normas, procedimientos, reglas y estándares que afecten a las
funciones que desarrolla.
Constituye una obligación del personal notificar al “responsable del fichero o de
seguridad en su caso” las incidencias de seguridad de las que tengan conocimiento
respecto a los recursos protegidos, según los procedimientos establecidos en este
Documento, y en concreto en el apartado de “Procedimientos de notificación, gestión y
respuesta ante las incidencias.”
101
96
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos
personales que conozcan en el desarrollo de su trabajo.
Funciones y obligaciones de “incluir un punto con las obligaciones detalladas de los
perfiles que afectan a todos los ficheros, como por ejemplo, administradores de los
sistemas, responsables de informática, responsable/s de seguridad si existe/n,
responsables de seguridad física, etc. Es importante que se concrete la persona o cargo
que corresponde a cada perfil. También deben contemplarse los procedimientos de
actuación o delegación de funciones para casos de ausencia. Este apartado se propone
principalmente como un recopilatorio que agrupe las medidas que en el resto del
Documento se asignan a perfiles concretos”.
El personal que realice trabajos que no impliquen el tratamiento de datos personales
tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los
recursos del sistema de información.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá
expresamente la prohibición de acceder a los datos personales y la obligación de secreto
respecto de aquellos datos que hubiera podido conocer durante la prestación del
servicio.
Se delegan las siguientes autorizaciones en los usuarios relacionados “indicar usuarios,
o perfiles y autorizaciones que el responsable del fichero delega en ellos para su
ejercicio”.
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD
El incumplimiento de las obligaciones y medidas de seguridad establecidas en el
presente documento por el personal afectado, se sancionará conforme a “indicar la
normativa sancionadora aplicable”.
Procedimientos de Notificación, Gestión y Respuesta ante las Incidencias
Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento
de la normativa desarrollada en este Documento de Seguridad, así como a cualquier
anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de
“denominación del responsable del fichero”.
El procedimiento a seguir para la notificación de incidencias será “especificar
concretamente los procedimientos de notificación y gestión de incidencias, indicando
quien tiene que notificar la incidencia, a quien y de que modo, así como quien gestionará
la incidencia”.
El registro de incidencias se gestionará mediante “indicar la forma en que se almacenará
el registro, que puede ser manual o informático, y en el que deberán constar, al menos,
el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la
persona que realiza la notificación, a quién se comunica, los efectos que se hubieran
derivado de la misma y las medidas correctoras aplicadas. En caso de gestión
automatizada se indicará en este punto el sistema informático utilizado”.
102
97
AUTOMATIZADOS (NIVEL MEDIO)
En el registro de incidencias se consignarán también los procedimientos de recuperación
de datos que afecten a los ficheros de nivel medio y alto, del modo que se indica a
continuación “detallar el procedimiento para registrar las recuperaciones de datos, que
deberá incluir la persona que ejecutó el proceso, los datos restaurados y, en su caso,
que datos ha sido necesario grabar manualmente en el proceso de recuperación. En caso
de gestión automatizada, se deberá prever la existencia de un código específico para
recuperaciones de datos, en la información relativa al tipo de incidencia”.
Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados
en el párrafo anterior, será necesaria la autorización por escrito del responsable del
fichero.
En un anexo se incluirán los documentos de autorización del responsable del fichero
relativos a la ejecución de procedimientos de recuperación de datos.
Procedimientos de Revisión
REVISIÓN DEL DOCUMENTO DE SEGURIDAD
El documento deberá mantenerse en todo momento actualizado y deberá ser revisado
siempre que se produzcan cambios relevantes en el sistema de información, en el
contenido de la información incluida en los ficheros o como consecuencia de los
controles periódicos realizados. En todo caso se entenderá como cambio relevante
cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia
de seguridad de los datos de carácter personal.
“Especificar los procedimientos previstos para la modificación del documento de
seguridad, con especificación concreta de las personas que pueden o deben proponerlos
y aprobarlos, así como para la comunicación de las modificaciones al personal que
pueda verse afectado”.
NIVEL MEDIO: AUDITORÍA
“Indicar los procedimientos para realizar la auditoría interna o externa que verifique el
cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo
indicado en sus artículos 96 y 110 respecto de ficheros automatizados y no
automatizados respectivamente, y que debe realizarse al menos cada dos años”.
Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones
sustanciales en el sistema de información que puedan repercutir en el cumplimiento de
las medidas de seguridad implantadas, con el objeto de verificar la adaptación,
adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años
señalado. El informe analizará la adecuación de las medidas y controles a la Ley y su
desarrollo reglamentario, identificará las deficiencias y propondrá las medidas
correctoras o complementarias necesarias.
103
98
Los informes de auditoría han de ser analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero para que adopte las
medidas correctoras y quedará a disposición de la Agencia Española de Protección de
Datos, o en su caso de las autoridades de control de las comunidades autónomas.
AUTOMATIZADOS (NIVEL ALTO): INFORME MENSUAL SOBRE EL REGISTRO DE
ACCESOS
“Indicar los procedimientos para realizar el informe mensual sobre el registro de accesos
a los datos de nivel alto regulado por el artículo 103 del RLOPD”.
104
99108
100
Ley de Protección
de Datos
Régimen Sancionador
�
�
�
Infracciones y Sanciones
Prescripción
Procedimiento Sancionador
Objetivos:
� Conocer las conductas consideradas como infracciones en la
Ley.
� Saber los tipos de infracciones así como las sanciones
aplicables a cada una de ellas.
� Familiarizarse con los aspectos fundamentales del
procedimiento sancionador.
109
tema 6
101110
102
Infracciones y Sanciones
El artículo 37.1.g) establece que son funciones de la Agencia Española de Protección de
Datos (AEPD), entre otras, ejercer la potestad sancionadora. Asimismo el artículo 120 del
RLOPD dice que, el ejercicio de la potestad sancionadora le vienen atribuido a la AEPD
en virtud de la propia LOPD, la Ley 34/2002, de Servicios de la sociedad de la
información y de comercio electrónico, así como la Ley 32/2003, General de
Telecomunicaciones.
El título VII de la LOPD, relativo a infracciones y sanciones, se inicia en el artículo 43,
estableciendo quiénes serán las personas sujetas al régimen sancionador que se
establece a continuación:
�
�
Los responsables de los ficheros.
Los encargados de los tratamientos.
Este mismo artículo hace una salvedad, con remisión a los artículos 46 y 48, para el
caso de que los ficheros de los que se trate sean responsabilidad de las
Administraciones Públicas.
El artículo 44 de la LOPD tipifica las infracciones, dividiendo éstas en leves, graves o
muy graves. Este artículo fue modificado en gran medida por la Ley 2/2011, de 4 de
marzo, de Economía Sostenible.
Así el artículo 41.2 de la Ley establece las que debemos entender como infracciones
leves:
� No remitir a la Agencia Española de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo.
� No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos.
� El incumplimiento del deber de información al afectado acerca del tratamiento de
sus datos de carácter personal cuando los datos sean recabados del propio
interesado.
� La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento
a los deberes formales establecidos en el artículo 12 de la LOPD.
En el punto tercero del mismo artículo se definen las infracciones graves:
� Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos, sin autorización de disposición
general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente.
111
103
� Tratar datos de carácter personal sin recabar el consentimiento de las personas
afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la LOPD y
sus disposiciones de desarrollo.
� Tratar datos de carácter personal o usarlos posteriormente con conculcación de
los principios y garantías establecidos en el artículo 4 de la LOPD y las
disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy
grave.
� La vulneración del deber de guardar secreto acerca del tratamiento de los datos
de carácter personal al que se refiere el artículo 10 de la LOPD.
� El impedimento o la obstaculización del ejercicio de los derechos de acceso,
rectificación, cancelación y oposición.
� El incumplimiento del deber de información al afectado acerca del tratamiento de
sus datos de carácter personal cuando los datos no hayan sido recabados del
propio interesado.
� El incumplimiento de los restantes deberes de notificación o requerimiento al
afectado impuestos por la LOPD y sus disposiciones de desarrollo.
� Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen.
� No atender los requerimientos o apercibimientos de la Agencia Española de
Protección de Datos o no proporcionar a aquélla cuantos documentos e
informaciones sean solicitados por la misma.
�
�
La obstrucción al ejercicio de la función inspectora.
La comunicación o cesión de los datos de carácter personal sin contar con
legitimación para ello en los términos previstos en la LOPD y sus disposiciones
reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción
muy grave.
Por último, en el apartado 4 del mismo precepto se relacionan las infracciones
consideradas como muy graves. Siendo las siguientes:
�
�
La recogida de datos en forma engañosa o fraudulenta.
Tratar o ceder los datos de carácter personal a los que se refieren los apartados
2, 3 y 5 del artículo 7 de la LOPD salvo en los supuestos en que la misma lo
autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
112
104
� No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese
un previo requerimiento del Director de la Agencia Española de Protección de
Datos para ello.
� La transferencia internacional de datos de carácter personal con destino a países
que no proporcionen un nivel de protección equiparable sin autorización del
Director de la Agencia Española de Protección de Datos salvo en los supuestos en
los que conforme a la LOPD y sus disposiciones de desarrollo dicha autorización
no resulta necesaria.
Para la anterior relación de infracciones leves, graves y muy graves, el artículo 45 de la
Ley establece las correspondientes sanciones:
� Las infracciones leves serán sancionadas con multa, cuya cuantía oscilará entre
las cantidades que al efecto marca la Ley.
� Las infracciones graves se sancionan con multa, cuya cuantía oscila entre las
cantidades que al efecto marca la Ley.
� Para las infracciones muy graves la sanción a imponer será la de multa, cuyas
cuantías oscilan entre las cantidades que al efecto marca la Ley.
Por otra parte, el artículo 121 RLOPD establece la posibilidad que asiste al Director de la
AEPD de requerir al responsable de los ficheros o tratamientos a fin de que cese en la
utilización o cesión ilícita de datos, cuando con ello se atente o se impida el ejercicio de
los derechos de los ciudadanos y el libre desarrollo de la personalidad que tanto la CE
como las leyes garantizan.
El requerido dispone de un plazo improrrogable de tres días para hacer efectivo el
requerimiento y formular alegaciones a fin de levantar dicha
inmovilización de los ficheros o tratamientos.
Respecto a las sanciones, el artículo 45 de la LOPD establece los siguientes baremos:
�
�
�
Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000
euros.
Para la adecuación de la sanción pecuniaria este mismo artículo establece en su punto
cuarto los criterios de graduación que se deben atender:
�
�
�
El carácter continuado de la infracción.
El volumen de los tratamientos efectuados.
La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal.
medida; si fuere
desatendido, el Director de la AEPD, mediante resolución motivada, podrá acordar la
113
105
�
�
�
�
�
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
El grado de intencionalidad.
La reincidencia por comisión de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
� La acreditación de que con anterioridad a los hechos constitutivos de infracción la
entidad imputada tenía implantados procedimientos adecuados de actuación en
la recogida y tratamiento de los datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
� Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Por otra parte, el órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
� Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o
de la antijuridicidad del hecho como consecuencia de la concurrencia significativa
de varios de los criterios enunciados en el apartado 4 de este artículo.
� Cuando la entidad infractora haya regularizado la situación irregular de forma
diligente.
� Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión de la infracción.
�
�
Cuando el infractor haya reconocido espontáneamente su culpabilidad.
Cuando se haya producido un proceso de fusión por absorción y la infracción
fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y
atendida la naturaleza de los hechos y la concurrencia significativa de los criterios
establecidos en el apartado anterior, no acordar la apertura del procedimiento
sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que
el órgano sancionador determine, acredite la adopción de las medidas correctoras que en
cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
114
106
� Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en la LOPD.
� Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
En el caso de que dicho apercibimiento no fuera atendido en el plazo que el órgano
sancionador hubiera determinado se procederá a la apertura del correspondiente
procedimiento sancionador por dicho incumplimiento.
Como límite a la imposición de sanciones se establece que en ningún caso se podrá
imponer una más grave que aquélla que haya fijado la norma para la clase de infracción
en la que se integre la que se pretende sancionar.
Por último, se establece una “cláusula de revisión” de las cuantías de las sanciones, las
cuales experimentaran las variaciones que se produzcan sobre los índices de precios.
Se dedica el artículo 46 de la Ley a las infracciones de las Administraciones Públicas; así,
se dispone que cuando las infracciones a las que se alude en el artículo 44 de la Ley
fueren cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos
responsables serían de ficheros de dicha naturaleza, el órgano sancionador dictará una
resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan
los efectos de la infracción.
La citada resolución debe ser notificada al responsable del fichero, así como al órgano
del que dependa jerárquicamente y a los afectados, en el caso de que los hubiere.
Asimismo, se establece la posibilidad de que el órgano sancionador proponga la
iniciación de las correspondientes actuaciones disciplinarias, en el caso de que éstas
procedan. Siendo el procedimiento y las sanciones a aplicar las establecidas en el
régimen disciplinario de las Administraciones Públicas y debiéndose comunicar al
órgano sancionador las resoluciones que recaigan en relación con estas medidas y
actuaciones.
Sobre el Director de la Agencia recae la obligación de comunicar al Defensor del Pueblo
las actuaciones que se efectúen, así como las resoluciones dictadas en este sentido.
Prescripción
El artículo 47 de la LOPD establece los plazos de prescripción de las infracciones:
�
�
�
Las infracciones muy graves prescriben a los tres años.
Las infracciones graves prescriben a los dos años.
Las infracciones leves prescriben al año.
115
107
El plazo de prescripción comenzará a contarse desde el día en que la infracción se
hubiera cometido. La prescripción se considera interrumpida por la iniciación, con
conocimiento del interesado, del correspondiente procedimiento sancionador; dicho
plazo se reanudará si el expediente sancionador se paraliza por un plazo superior a seis
meses, siempre que se deba a causas no imputables al presunto infractor.
Por su parte, el apartado 4 del artículo 47 establece los plazos de prescripción de las
sanciones:
�
�
�
Las sanciones impuestas por faltas muy graves prescriben a los tres años.
Las sanciones impuestas por faltas graves prescriben a los dos años.
Las sanciones impuestas por infracciones leves prescriben al año.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a
aquél en que adquiera firmeza la resolución por la que se impone la sanción.
Este plazo queda interrumpido por la iniciación, con conocimiento del interesado, del
correspondiente procedimiento de ejecución, volviendo a transcurrir si el mismo queda
paralizado por tiempo superior a seis meses, cuando no sea por causas imputables al
infractor.
Procedimiento Sancionador
A modo de introducción debemos señalar que una de las principales novedades
introducidas por el Reglamento de desarrollo de la LOPD es la tramitación uniforme de
los procedimientos sancionadores. Estos procedimientos sancionadores se tramitan al
amparo de tres normas diferentes: la LOPD, la Ley General de Telecomunicaciones y la
Ley de los Servicios de la Sociedad de la Información y del Comercio Electrónico.
Hasta la promulgación del citado Reglamento, los procedimientos sancionadores
incoados como consecuencia de una infracción de la LOPD se regían por lo dispuesto en
el Real Decreto 1332/1994, mientras que los tramitados como consecuencia de una
infracción de las otras dos leyes, se regían por las previsiones del Real Decreto
1398/1993, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la
Potestad Sancionadora.
El artículo 48 de la LOPD se establece que por será por vía reglamentaria como se
determinará el procedimiento sancionador para el enjuiciamiento de las infracciones y la
imposición de las sanciones que correspondan.
Actuaciones Previas
A estos efectos, el artículo 122 del Reglamento nos indica una serie de actuaciones
previas a la iniciación del procedimiento sancionador. Éstas irán encaminadas a
determinar si, efectivamente, concurren circunstancias que justifiquen tal iniciación.
Concretamente irán destinadas a determinar, con la mayor precisión, los hechos que
justifiquen la incoación del procedimiento, la persona u órgano que pudiera resultar
responsable, así como las circunstancias que se estimen relevantes en cada caso.
116
108
Las actuaciones previas serán realizadas de oficio por la AEPD por iniciativa propia,
cuando medie denuncia o a consecuencia de petición razonada de otro órgano. Como
duración máxima de las mismas se establece un plazo de 12 meses, contados desde la
recepción de la denuncia o petición razonada en la AEPD, o, desde el acuerdo del
Director de la misma de realización de éstas. Si, transcurrido el plazo no se incoase el
procedimiento sancionador, se entenderá que han caducado.
Será competente para llevar a cabo las actuaciones previas el personal del área de
Inspección de Datos, habilitado para el ejercicio de funciones inspectoras.
Excepcionalmente, el Director de la AEPD podía designar para este cometido a
funcionarios de la misma no habilitados para ello, pero que no presten sus funciones en
la Agencia, siempre que reúnan las condiciones de idoneidad y especialización para la
realización de tales actuaciones, si bien, esta posibilidad ha sido anulada, por
disconforme a derecho, por Sentencia de 15 de julio de 2010, de la Sala Tercera del
Tribunal Supremo.
En el desempeño de sus actuaciones los inspectores podrán recabar cuantas
informaciones precisen para el cumplimiento de sus cometidos. Así, podrán requerir la
exhibición o envío de documentos y datos, o examinarlos en el lugar en el que se
encuentren depositados, obtener copias de los mismos, inspeccionar equipos,… Del
mismo modo, el Reglamento los faculta para realizar visitas de inspección a los locales o
sedes inspeccionados o donde se ubiquen los ficheros.
Los inspectores han de estar previamente autorizados por el Director de la Agencia
Española de Protección de Datos; la autorización indicará la habilitación del inspector y
la identificación de la persona u órgano inspeccionado.
De las diferentes inspecciones se levantará acta, quedando constancia de las
actuaciones practicadas. Ésta será emitida por duplicado, firmada por los inspectores y
por el inspeccionado, quien podrá hacer constar en la misma las alegaciones o
manifestaciones que tenga por convenientes. Si el inspeccionado se negase a firmar el
acta, dicho extremo quedará igualmente consignado; no obstante, la firma de éste no
supondrá su conformidad, únicamente dará fe de la recepción del acta.
Finalmente se hará entrega al inspeccionado de uno de los originales del acta de
inspección, incorporándose el otro a las actuaciones.
Una vez hayan finalizado las actuaciones previas, se someterán a decisión del Director
de la Agencia; si se considera que los hechos no son susceptibles de motivar imputación
de infracción alguna, aquél dictará resolución de archivo, notificándolo al investigado y
al denunciante, si lo hubiera. Si por el contrario se aprecia la existencia de indicios que
motiven la imputación de una infracción, el Director de la AEPD dictará acuerdo de inicio
del procedimiento sancionador o de infracción de las Administraciones Públicas.
A título de ejemplo señalamos que, tal y como reza en la Memoria del año 2010 de la
AEPD, la labor de inspección para ese mismo año se centró en los sectores de las
telecomunicaciones, videovigilancia, entidades financieras, administraciones públicas,
servicios de internet, etc.
117
109
Iniciación del Procedimiento
El artículo 127 del Reglamento de desarrollo de la LOPD establece que el acuerdo de
iniciación del procedimiento sancionador debe contener estos extremos:
�
�
Identificación de la persona o personas presuntamente responsables.
Descripción sucinta de los hechos imputados, su posible calificación y las
sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la
instrucción.
� Indicación de que el órgano competente para resolver el procedimiento es el
Director de la Agencia Española de Protección de Datos.
� Indicación al presunto responsable de que puede reconocer voluntariamente su
responsabilidad, en cuyo caso se dictará directamente resolución.
� Designación de instructor y, en su caso, secretario, con expresa indicación del
régimen de recusación de los mismos.
� Indicación expresa del derecho del responsable a formular alegaciones, a la
audiencia en el procedimiento y a proponer las pruebas que estime procedentes.
� Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a
lo establecido en la sección primera del capítulo III del Reglamento.
Finalización del Procedimiento
Cada procedimiento sancionador establece un plazo para dictar resolución, computado
desde la fecha en que se dicte este acuerdo de inicio y hasta que se produzca la
notificación de la resolución sancionadora; igualmente es válido el intento fallido de
notificación de la misma.
Vencido el plazo que se estipule en cada caso sin que haya se haya dictado y notificado
la resolución expresa, se entenderá el procedimiento caducado, procediendo el archivo
de las actuaciones.
En todo caso, establece la Disposición Final Única del Reglamento que, para todo lo no
establecido, serán de aplicación a los procedimientos sancionadores las disposiciones
contenidas en el Reglamento de Procedimiento para el ejercicio de la potestad
sancionadora, aprobado por Real Decreto 1398/1993. Asimismo, el artículo 115 indica
que los procedimientos tramitados por la AEPD se regirán, supletoriamente, por lo
establecido en la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y
del Procedimiento Administrativo Común
Las resoluciones de la Agencia de Protección de Datos o del órgano correspondiente de
la Comunidad Autónoma son actos administrativos que agotan la vía administrativa.
118
110
Los procedimientos sancionadores que se tramiten por la Agencia Española de
Protección de Datos, en el ejercicio de las potestades que le vienen atribuidas por la Ley
o por otras disposiciones, tendrán una duración máxima de seis meses, si la normativa
no indica otro plazo superior.
No obstante, quedan fuera de esta limitación temporal los procedimientos sancionadores
que se sigan como consecuencia de las infracciones que se prevé en la Ley 32/2003, de
3 de Noviembre, General de Telecomunicaciones.
Además del ejercicio de la potestad sancionadora, el artículo 49 de la Ley otorga a la
Agencia de Protección de Datos la potestad de requerir a los responsables de ficheros de
datos de carácter personal, tanto de titularidad pública como privada, la cesación de la
utilización o cesión ilícita de los datos.
Esta facultad queda reservada para los supuestos de infracción grave o muy grave en
que la persistencia en el tratamiento de los datos de carácter personal o su
comunicación o transferencia internacional posterior pudiera suponer un grave
menoscabo de los derechos fundamentales de los afectados y en particular de su
derecho a la protección de datos de carácter personal.
En los casos en los que dicho requerimiento no sea atendido, la Ley faculta a la Agencia
de Protección de Datos a inmovilizar estos ficheros a los solos efectos de restaurar los
derechos de las personas afectadas. Para ello será necesaria una resolución motivada en
la que así se acuerde.
Por último, se debe señalar que las resoluciones de la Agencia, en el ejercicio de su
potestad sancionadora, son recurribles, pudiendo interponerse recurso contencioso
administrativo ante la Audiencia Nacional.
119
111
�
�
�
�
�
�
122
112
Ley de Protección
de Datos
Anexos
�
�
�
�
�
�
Modelo A de Derecho de Acceso
Modelo B de Derecho de Rectificación
Modelo C de Derecho de Cancelación
Modelo D de Derecho de Exclusión
Modelo E de Derecho de Oposición
anexos
Modelos de Denuncia ante la AEPD
113
114
A. DERECHO DE ACCESO.
A.1. EJERCICIO DEL DERECHO DE ACCESO (1).
DATOS DEL RESPONSABLE DEL FICHERO (2).
Nombre / razón social: .............................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza....................................................................... nº........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(3.
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 27 y 28 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en consecuencia,
SOLICITA,
Que se le facilite gratuitamente el derecho de acceso a sus ficheros en el plazo máximo de un mes a contar desde la recepción de esta solicitud, y que se remita por correo la información a la dirección arriba indicada en el plazo de diez días a contar desde la resolución estimatoria de la solicitud de acceso.
Asimismo, se solicita que dicha información comprenda, de modo legible e inteligible, los datos de base que sobre mi persona están incluidos en sus ficheros, los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los mismos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.
En ............................a.........de...........................de 20......
Firmado
1 Se trata de la petición de información sobre los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero (Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos.
2 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099.
3 También podrá ejercerse a través de representación legal, en cuyo caso,
además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.
115
A. DERECHO DE ACCESO.
A.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE ACCESO.
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I...........................
DATOS DEL RESPONSABLE DEL FICHERO.
Nombre/razón social: ......................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de acceso ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):
• No se ha contestado en el plazo de un mes desde la recepción de la solicitud. • Se ha denegado el acceso completamente, documentándose con copia del escrito. • No se ha contestado satisfactoriamente a la petición de acceso, documentándose con copia del
escrito.
Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite la siguiente documentación anexa a este escrito:
• • • •
•
Copia del escrito de petición de acceso sellada por el responsable del fichero. Copia del escrito de petición de acceso sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de acceso. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de acceso. Copia de la denegación de acceso dictada por el responsable del fichero.
información solicitada. • Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la
En virtud de cuanto antecede,
SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 15 de la referida Ley Orgánica, y de los artículos 27, 28, 29 y 30 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:
ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID
(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.
116
A. DERECHO DE ACCESO.
A.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE ACCESO.
1. Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del fichero pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal deberá aportarse, además, DNI y documento acreditativo de la representación del representante.
2. El derecho de acceso no podrá llevarse a cabo en intervalos inferiores a 12 meses, salvo interés legítimo debidamente justificado.
3. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar, en su caso, la dirección de los responsables de los ficheros inscritos. El titular de los datos personales objeto de tratamiento debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos.
4. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela de derechos, resulta necesario que haya transcurrido un mes desde la presentación de la solicitud por la que se ejercita el derecho de acceso, sin que se haya producido contestación alguna, y que se aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos:
. • la negativa del responsable del fichero a facilitar la información solicitada.
. • copia sellada por el responsable del fichero del modelo de petición de acceso.
. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos.
. • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.
117
118
B. DERECHO DE RECTIFICACIÓN.
B.1. EJERCICIO DEL DERECHO DE RECTIFICACIÓN(1)
DATOS DEL RESPONSABLE DEL FICHERO(2).
Nombre / razón social: ................................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de rectificación: C/Plaza ..................................................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3).
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de rectificación sobre los datos anexos, aportando los correspondientes justificantes, de conformidad con lo previsto en el artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma y en consecuencia,
SOLICITA,
Que se proceda a acordar la rectificación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la rectificación practicada.
Que en caso de que se acuerde, dentro del plazo de diez días hábiles, que no procede acceder a practicar total o parcialmente las rectificaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 18 de la citada Ley Orgánica 15/1999.
Que si los datos rectificados hubieran sido comunicados previamente se notifique al responsable del fichero la rectificación practicada, con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.
En ............................a.........de...........................de 20......
Firmado:
1.
2.
3.
Consiste en la petición dirigida al responsable del fichero con el fin de que los datos personales respondan con veracidad a la situación actual del afectado. Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.
119
B. DERECHO DE RECTIFICACIÓN.
B.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE RECTIFICACIÓN.
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I...........................
DATOS DEL RESPONSABLE DEL FICHERO.
Nombre / razón social: ............................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de rectificación: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma ............................ C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de rectificación ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):
•
•
•
No se ha contestado en el plazo diez días hábiles.
Se ha denegado la rectificación total o parcialmente sin justificación.
Se ha denegado la rectificación total o parcialmente motivadamente. No se ha rectificado el dato de modo efectivo.
Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite junto con el presente escrito, contestación recibida en su caso del responsable del fichero y la documentación aneja que proceda (márquese):
• • • •
• •
Copia del escrito de petición de rectificación sellada por el responsable del fichero. Copia del escrito de petición de rectificación sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de rectificación. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de rectificación. Copia de la denegación de rectificación dictada por el responsable del fichero. Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la rectificación solicitada.
En virtud de cuanto antecede,
SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 16 de la referida Ley Orgánica, y de los artículos 31, 32 y 33 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:
ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID
(1) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.
120
B. DERECHO DE RECTIFICACIÓN.
B.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE RECTIFICACIÓN.
1. Este modelo se utilizará para el caso de que se deban rectificar datos inexactos o incompletos en un fichero. 2. Para probar el carácter inexacto o incompleto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través del representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos: . • la negativa del responsable del fichero a la rectificación de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de rectificación. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.
121
122
C. DERECHO DE CANCELACIÓN. C.1. EJERCICIO DEL DERECHO DE CANCELACIÓN(1)
DATOS DEL RESPONSABLE DEL FICHERO(2)
Nombre / razón social: ............................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de cancelación: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de cancelación, de conformidad con lo previsto en el artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma y en consecuencia,
SOLICITA,
Que se proceda a acordar la cancelación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la cancelación practicada.
Que en caso de que se acuerde dentro del plazo de diez días hábiles que no procede acceder a practicar total o parcialmente las cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 18 de la citada Ley Orgánica 15/1999.
Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable del fichero la cancelación practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.
En ............................a.........de...........................de 20......
Firmado:
(1)Consiste en la petición de cancelación de un dato que resulte innecesario o no pertinente para la finalidad con la que fue recabado. El dato será bloqueado, es decir, será identificado y reservado con el fin de impedir su tratamiento. (2)Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (3)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.
123
C. DERECHO DE CANCELACIÓN.
C.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE CANCELACIÓN.
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I...........................
DATOS DEL RESPONSABLE DEL FICHERO.
Nombre / razón social: ................................................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de cancelación: C/Plaza ................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de cancelación ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):
• • •
No se ha contestado en el plazo diez días hábiles. Se ha denegado la cancelación total o parcialmente sin justificación. Se ha denegado la cancelación total o parcialmente motivadamente. No se ha cancelado el dato de modo efectivo. •
Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite junto con el presente escrito, contestación recibida en su caso del responsable del fichero y la documentación aneja que proceda (márquese):
• • • •
Copia del escrito de petición de cancelación sellada por el responsable del fichero. Copia del escrito de petición de cancelación sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de cancelación. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que
• •
se pueda deducir la recepción de la solicitud de cancelación. Copia de la denegación de cancelación dictada por el responsable del fichero. Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la cancelación solicitada.
En virtud de cuanto antecede,
SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 16 de la referida Ley Orgánica, y de los artículos 31, 32 y 33 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:
ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID
(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado,
habrá de aportarse DNI y documento acreditativo de la representación del tercero.
124
C. DERECHO DE CANCELACIÓN.
C.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE CANCELACIÓN.
1. El Modelo C.1. se utilizará por el afectado cuando desee cancelar y bloquear datos inexactos existentes en un fichero. 2. Para probar el carácter inexacto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos: . • la negativa del responsable del fichero a la cancelación de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de cancelación. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud. 6. Sin perjuicio del ejercicio del derecho de cancelación, a tenor del art. 16,5 de La Ley Orgánica 15/1999, los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
125
126
D. EJERCICIO DEL DERECHO DE EXCLUSIÓN(1).
D.1. DERECHO DE EXCLUSIÓN DE LA UTILIZACIÓN DE LOS DATOS PARA FINES DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL(2).
DATOS DEL RESPONSABLE DEL FICHERO(3).
Nombre / razón social: .................................................................................Dirección de la Oficina / Servicio ante el que se ejercita el derecho de exclusión: C/Plaza ...................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(4).
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de exclusión de la utilización de los datos para fines de publicidad y prospección comercial, de conformidad con lo previsto en el artículo 28 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en su caso en el articulo 67,2 del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III de la Ley General de Telecomunicaciones, y en consecuencia,
SOLICITA,
Que se proceda a acordar la exclusión de la utilización de los datos para fines de publicidad y prospección comercial de mis datos personales, y que se me notifique de forma escrita el resultado de la exclusión practicada.
Que si los datos objeto de exclusión hubieran sido comunicados previamente se notifique al responsable del fichero la exclusión practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.
En ............................a.........de...........................de 20......
Firmado:
(1) Consiste en la petición de supresión total o parcial de los datos personales incluidos en fuentes de acceso al público. La presente solicitud será atendida en el plazo de diez días cuando el dato sea utilizado por consulta o comunicación telemática, y en la siguiente edición del listado cuando se editen en forma de libro o algún otro soporte físico (p.e. un C.D.). (2) Aplicable únicamente al Censo Promocional, a los listados públicos de Colegios Profesionales y a los repertorios telefónicos. (3). Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (4) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.
127
D. EJERCICIO DEL DERECHO DE EXCLUSIÓN(1).
D.2. EJERCICIO DEL DERECHO DE EXCLUSIÓN EN LOS REPERTORIOS TELEFÓNICOS DE ACCESO PÚBLICO.
DATOS DEL RESPONSABLE DEL FICHERO(1).
Nombre / razón social:..................................................................................Dirección de la Oficina / Servicio ante el que se ejercita el derecho de exclusión: C/Plaza ...............................................................nº........... C.Postal.............. Localidad..................................... Provincia ................................. Comunidad Autónoma ..............................C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(2).
D./ Dª. ..............................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de exclusión de conformidad con el art. 67 del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III de la Ley General de Telecomunicaciones, y en consecuencia,
SOLICITA
1. Que se proceda gratuitamente a la exclusión total / parcial(3) (táchese lo que no proceda) de los datos relativos a mi persona que se encuentren en los repertorios telefónicos de abonados. 2. Que la exclusión se haga efectiva en todos los repertorios de abonados de servicios telefónicos y de telecomunicación, ya sean impresos en papel o disponibles por otros medios de esa compañía. 3. Manifiesto además mediante este escrito mi voluntad clara y expresa de que mis datos personales no sean cedidos a ninguna persona, física o jurídica, así como que su utilización se limite exclusivamente a la relación contractual que mantengo con esa entidad, por ser la finalidad para la que fueron recogidos.
En ............................a.........de...........................de 20......
Firmado:
1 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. 2 También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.
3 Referida a los datos del domicilio del abonado.
128
DERECHO DE OPOSICION E.1. EJERCICIO DEL DERECHO DE OPOSICIÓN (1)
DATOS DEL RESPONSABLE DEL FICHERO(2)
Nombre / razón social: ............................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de oposición: Calle/Plaza ....................................................................... nº ........... C.Postal .................. Localidad .................................................... Provincia ................................. Comunidad Autónoma ................................ C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(3)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la Calle/Plaza .................................................................................... nº..... Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaño copia, por medio del presente escrito ejerzo el derecho de oposición, de conformidad con lo previsto en los artículos 6.4, 17 y 30.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal y en los artículos 34 y 35 del Real Decreto 1720/2007, de 21 de diciembre , que la desarrolla y en consecuencia,
EXPONGO,
(describir la situación en la que se produce el tratamiento de sus datos personales y enumerar los motivos por los que se opone al mismo) Para acreditar la situación descrita, acompaño una copia de los siguientes documentos: (enumerar los documentos que adjunta con esta solicitud para acreditar la situación que ha descrito)
SOLICITO,
Que sea atendido mi ejercicio del derecho de oposición en los términos anteriormente expuestos.
En ............................a.........de...........................de 20......
Firmado:
(1) Se trata de la solicitud de oposición al tratamiento de los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero (Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos. (2) Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (3) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.
129
DERECHO DE OPOSICION
E.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE OPOSICION.
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)
D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I...........................
DATOS DEL RESPONSABLE DEL FICHERO.
Nombre / razón social: ................................................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de oposición: C/Plaza ................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de oposición ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo
que proceda):
• • •
No se ha contestado en el plazo diez días hábiles. Se ha denegado la oposición total o parcialmente sin justificación. Se ha denegado la oposición motivadamente.
Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite junto con el presente escrito, contestación recibida en su caso del responsable del fichero y la documentación aneja que proceda (márquese):
• • • •
•
Copia del escrito de petición de oposición sellada por el responsable del fichero. Copia del escrito de petición de oposición sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de oposición. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de oposición. Copia de la denegación de oposición dictada por el responsable del fichero.
En virtud de cuanto antecede,
SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 16 de la referida Ley Orgánica, y de los artículos 31, 32 y 33 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:
ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID
(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.
130
DERECHO DE OPOSICION
E.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE OPOSICION.
1. El Modelo D.1. se utilizará por el afectado cuando desee oponerse a determinados tratamientos específicos de datos personales existentes en un fichero. 2. Para oponerse a un tratamiento de los datos que figuran en los ficheros resulta necesaria la existencia de unos motivos fundados y legitimos 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos:
. • la negativa del responsable del fichero a la oposición de los datos solicitados.
. • copia sellada por el responsable del fichero del modelo de petición de oposición.
. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.
6. En el caso de que el responsable del fichero no disponga de datos personales deberá comunicarlo en el mismo plazo de 10 días.
131
132
DENUNCIA ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
DATOS DEL AFECTADO (1)
D. / Dª. ......................................................................................................................................, mayor de edad,
con domicilio en ............................................................................................................................. nº..........,
Localidad ……………………......................................... Provincia ……........................................ C.P. ...............
Comunidad Autónoma ........................................................................, con D.N.I./Pasaporte nº..........................
DATOS DEL PRESUNTO RESPONSABLE
Nombre / Razón social: .........................................................................................................................................
Oficina / Servicio (en su caso): …………...............................................................................................................
Domicilio: ............................................................................................................................................... nº ….....,
Localidad.................................................................................. Provincia ................................. C.P. ..................
Comunidad Autónoma ...................................................................................... C.I.F./D.N.I. ...............................
De acuerdo con lo previsto en la normativa vigente, pone en conocimiento del Director de la Agencia Española
de Protección de Datos los siguientes HECHOS: ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………
que justifica con la DOCUMENTACIÓN ANEXA que se relaciona a continuación:
Documento nº 1 ………………………………………………………………………………………………..………...... Documento nº 2 ……………………………………………………………………………………………..…………...... Documento nº 3 …………………………………………………………………………………………..……………...... ……
En virtud de lo expuesto, SOLICITA que se dicte acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones Públicas o se incoen actuaciones con objeto de determinar si concurren circunstancias que justifiquen tal iniciación y que, en cualquier caso, se me notifique el acuerdo que se adopte, de conformidad con lo previsto en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre.
En ..............................................................................................a ........de ........................... de 20......
Firmado:
SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS C/ Jorge Juan, 6.- 28001 MADRID
La denuncia puede presentarse por el propio afectado, en cuyo caso acompañará copia del DNI, o cualquier otro documento que acredite la identidad y sea considerado válido en derecho. También puede concederse la representación legal a un tercero, en cuyo caso, además, se deberá aportar DNI y documento acreditativo de la representación de éste.
(1)
133
134
GLOSARIO
Accesos Autorizados
Autorizaciones concedidas a un usuario para la utilización de los
diversos recursos. En su caso, incluirán las autorizaciones o funciones
que tenga atribuidas un usuario por delegación del responsable del
fichero o tratamiento o del responsable de seguridad.
Afectado o Interesado
Persona física titular de los datos que sean objeto del tratamiento.
Autenticación
Procedimiento de comprobación de la identidad de un usuario.
Bloqueo de Datos
La identificación y reserva de los datos de carácter personal con el fin de
impedir su tratamiento.
Cancelación
Procedimiento en virtud del cual el responsable cesa en el uso de los
datos.
Comunicación o Cesión de Datos
Toda revelación de datos realizada a una persona distinta del
interesado.
Consentimiento del Interesado
Toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernen
Copia de Respaldo
Copia de los datos de un fichero automatizado en un soporte que
posibilite su recuperación.
Datos
Toda información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier tipo susceptible de recogida, registro, tratamiento o
transmisión.
glosario
135
Datos de Carácter Personal
Cualquier información concerniente a personas físicas identificadas o
identificables.
Dato Disociado
Aquél que no permite la identificación de un afectado o interesado.
Datos de Carácter Personal Relativos a La Salud
Las informaciones concernientes a la salud pasada, presente y futura,
física o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje
de discapacidad y a su información genética.
Declarante
Persona física que cumplimenta la solicitud de inscripción y actúa como
mediador entre la Agencia y el titular/responsable del fichero. No debe
necesariamente coincidir con el titular/responsable.
Destinatario o Concesionario
La persona física o jurídica, pública o privada u órgano administrativo, al
que se revelen los datos.
Documento
Todo escrito, gráfico, sonido, imagen o cualquier otra clase de
información que puede ser tratada en un sistema de información como
una unidad diferenciada.
Encargado del Tratamiento
La persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, solo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento.
Exportador de Datos Personales
La persona física o jurídica, pública o privada, u órgano administrativo
situado en territorio español y responsable del tratamiento de los datos
de carácter personal que son objeto de transferencia internacional a un
país tercero.
Fichero
Conjunto organizado de datos de carácter personal, cualquiera que sea
la forma o modalidad de su creación, almacenamiento, organización y
acceso.
136
Fichero de Titularidad Privada
Ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.
Ficheros de Titularidad Pública
Ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.
Fichero No Automatizado
Conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.
Fuentes Accesibles al Público
Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.
Identificación del Afectado
Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada.
Importador de Datos Personales
La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
Persona Identificable
Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
137
Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Procedimiento de Disociación
Todo tratamiento de datos personales de modo que la información que
se obtenga no pueda asociarse a persona identificada o identificable.
Responsable del Fichero o Tratamiento
Persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
Responsable de Seguridad
Persona o personas a las que el responsable del fichero ha asignado
formalmente la función de coordinar y controlar las medidas de
seguridad aplicables.
Sistema de Tratamiento
Modo
podrán
en que se organiza o utiliza
no
un sistema de
o
información.
parcialmente
Atendiendo al sistema de tratamiento, los sistemas de información
ser automatizados, automatizados
automatizados.
Soporte
Objeto físico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de información y sobre el cual
se pueden grabar y recuperar datos.
Tercero
Persona física o jurídica, pública o privada u órgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del
responsable del fichero, del encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la autoridad directa del
responsable del tratamiento o del encargado del tratamiento. Podrán ser
también terceros los entes sin personalidad jurídica que actúen en el
tráfico como sujetos diferenciados.
Transferencia de Datos
El transporte de los datos entre sistemas informáticos por cualquier
medio de transmisión, así como el transporte de soportes de datos por
correo o por cualquier otro medio convencional.
138
Transferencia Internacional de Datos
Tratamiento de datos que supone una transmisión de los mismos fuera
del territorio del Espacio Económico Europeo, bien constituya una cesión
o comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del fichero establecido
en territorio español.
Tratamiento de Datos
Operaciones y procedimientos técnicos de carácter automatizado o no,
que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias
139
140
BIBLIOGRAFÍA
Título: La Protección de los Datos de Carácter Personal en el Derecho
Español
Editorial: Bosch
Autor: Freixas Gutiérrez, G.cebillo, P.M.
Año: 2001
Título: La protección de datos personales
Editorial: Civitas
Autor: Gómez Navajas, Justa mat, O.
Año: 2005
Título: Manual práctico sobre el Reglamento de Protección de Datos
Editorial: Derecho.com
Autor: Derecho.com
Año: 2007
Título: Protección de Datos de Carácter Personal
Editorial: Derecho.com
Autor: Derecho.com
Año: 2007
Páginas Web:
Título: Boletín Oficial del Estado
Web: www.boe.es
Título: Noticias Jurídicas
Web: www.noticias.juridicas.com
Título: vLex
Web: www.vlex.com
Título: Agencia Española de Protección de Datos
Web: www.agpd.es
bibliografía
141