TEMA_0113

1

Ley de Protección

de Datos

2

Todos los nombres

sistemas

propios de

programas, operativos,

equipos hardware, etc. que aparecen en

este manual son marcas registradas de

sus respectivas compañías u

organizaciones.

Reservados

conformidad

Código

privación

parte, una

castigados

todos

con

con

de

obra

los

lo

derechos.

en

podrán

de multa

De

el

ser

y

dispuesto

Penal vigente,

penas

libertad

literaria,

quienes

artística o

reprodujeren o plagiaren, en todo o en

científica fijada en cualquier tipo de

soporte, sin la preceptiva autorización

del editor.

CÓDIGO: F12_00075

Edita: Interconsulting Bureau S.L.

Imprime:

Depósito Legal:

3

PRÓLOGO

La profunda experiencia de profesionales dedicados a la enseñanza ha

hecho posible la elaboración de este manual. Se caracterizan por su

hondo conocimiento sobre las necesidades del alumnado, por el uso de

una innovadora metodología de aprendizaje así como por aplicar

diferentes técnicas de motivación garantizando de este modo el éxito de

la formación que imparten.

El propósito de este manual es el de ser una guía útil para el aprendizaje,

siendo eminentemente práctica y didáctica.

La estructura del manual en módulos, temas y epígrafes facilita la

comprensión de los contenidos, que pueden estar apoyados por

ilustraciones, esquemas, resúmenes, bibliografía, glosario,…

Además, también puede incluir diferentes tests, cuestionarios de

evaluación, actividades o casos prácticos con el objeto de que el alumno

asimile los conceptos teórico-prácticos del curso.

Para lograr la calidad educativa se ha precisado del asesoramiento de

pedagogos, profesionales de la enseñanza y expertos conocedores en

cada una de las disciplinas, con el objeto de que el resultado final sea

óptimo y el más apropiado a las necesidades educativas.

Desde la humildad del formador, queremos aportar a este apasionante

mundo en el que vivimos, caracterizado por profundos cambios

tecnológicos, de mentalidad y de actitud ante los acontecimientos,

herramientas que faciliten la adaptación a un futuro condicionado por el

cambio continuo.

Por último, agradecer la colaboración de todos los compañeros en este

proyecto, sin la cual éste no habría sido una realidad. prólogo

5

MÓDULO 1: Ley de Protección de Datos

TEMA 1. Introducción a la Protección de Datos

Introducción

Definiciones y Conceptos Básicos

Objeto y Ámbito de Aplicación de la LOPD

La Agencia Española de Protección de Datos

TEMA 2. Deber de Notificación de Ficheros

Introducción

Creación y Notificación de Ficheros

El Responsable del Fichero

El Encargado del Tratamiento

Tipos de Ficheros

Los Códigos Tipo

Los Ficheros de Titularidad Pública

TEMA 3. Principios de la Ley Orgánica de Protección de Datos

El Principio de Calidad de los Datos

El Derecho a la Información durante la Recogida de Datos

El Consentimiento del Afectado

Datos Especialmente Protegidos

Datos Relativos a la Salud

Seguridad de los Datos

Deber de Secreto

Movimiento de Datos

TEMA 4. Ejercicio de Derechos

Introducción

Derecho a que le Sea Recabado su Consentimiento.

Derechos ARCO

Derecho a Indemnización

Derecho de Impugnación de Valoraciones

Derecho de Exclusión de Guías Telefónicas

Derecho a No Recibir Publicidad No Deseada

Derechos de Abonados y Usuarios de Comunicaciones Electrónicas

Derechos de los Destinatarios de Servicios de Comunicaciones

Electrónicas

Tutela de los Derechos

índice

Derecho de Información

6

TEMA 5. Medidas de Seguridad

Introducción

El Documento de Seguridad

Niveles de Seguridad de los Datos

Contenido Mínimo del Documento de Seguridad

Medidas de Seguridad Aplicables a los Ficheros

Modelo de Documento de Seguridad de la AEPD

TEMA 6. Régimen Sancionador

Infracciones y Sanciones

Prescripción

Procedimiento Sancionador

Anexos

Glosario

Bibliografía

7

Ley de Protección

de Datos

Ley de Protección de Datos

TEMA 1. Introducción a la Protección de Datos

TEMA 2. Deber de Notificación de Ficheros

TEMA 3. Principios de la Ley Orgánica de Protección de Datos

TEMA 4. Ejercicio de Derechos

TEMA 5. Medidas de Seguridad

TEMA 6. Régimen Sancionador

1

módulo 1

9

Ley de Protección

de Datos

Introducción

Datos

�

�

�

�

Introducción

a la Protección de




Objetivos:

� Familiarizarse con los diferentes conceptos utilizados en la

normativa de protección de datos.

� Conocer el ámbito de aplicación de la Ley Orgánica de

Protección de Datos.

� Conocer la naturaleza, régimen jurídico, funciones y estructura

de la Agencia Española de Protección de Datos.

3

tema 1

11

Introducción

El derecho a la intimidad de las personas fue reconocido por vez primera en la

Declaración Universal de Derechos Humanos de 1944. Desde entonces, numerosas han

sido las leyes que han tratado la protección de datos, siendo pionera Alemania, que en

1970 ya promulgó la primera ley europea. Pocos años después, en 1974, Estados

Unidos dictó la conocida como Privacy Act.

Por su parte, en España, se reconoce este derecho en la Constitución, concretamente en

el Capítulo Segundo “Derechos y libertades”, Sección 1ª “De los derechos

fundamentales y de las libertades públicas”, artículo 18.1, cuya expresión literal es la

siguiente:

“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia

imagen”.

En 1992, se redacta la Ley Orgánica 5/92, de 29 de octubre, de regulación del

tratamiento automatizado de datos de carácter personal (LORTAD), desarrollándose el

mandato constitucional recogido en el artículo 18.4 de nuestra Constitución, que

disponía que “La Ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Como desarrollo de la LORTAD se promulgó el Real Decreto 1332/1994, de 20 de junio y

el Real Decreto 994/1999 por el que se aprobaba el Reglamento de Medidas de

Seguridad de los ficheros automatizados que contienen datos de carácter personal.

En 1995, la Unión Europea aprobó la Directiva 95/46/CE, de 24 de octubre, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales

y a la libre circulación de los datos, estableciéndose de esa forma una serie de requisitos

mínimos comunes para todos los miembros de la Unión Europea.

En 1999 se dicta la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos

de carácter personal (LOPD), adaptando el sistema jurídico español a lo establecido en la

citada Directiva. Esta Ley mejora las carencias de la LORTAD, que únicamente se

aplicaba a los ficheros automatizados.

Por último, en 2007 se aprueba el Real Decreto 1720/2007, de 21 de diciembre, por el

que se aprueba el Reglamento de desarrollo de la Ley Orgánica de protección de datos

de carácter personal. Su finalidad, al igual que la de la LOPD es hacer frente a los riesgos

que para los derechos de la personalidad pueden suponer el acopio y tratamiento de

datos personales. Nos dice el preámbulo del Reglamento que la norma nace con

vocación de no reiterar los contenidos de la norma que desarrolla, dando mayor

contenido no sólo a los mandatos de la misma, sino también a aquellos que en los años

de vigencia de la Ley se ha demostrado que precisan un mayor desarrollo normativo.

5

12


A continuación podemos ver una serie de definiciones y conceptos que nos ayudarán a

comprender los diferentes términos empleados en la LOPD y en su Reglamento:

� Datos de carácter personal: cualquier información numérica, alfabética, gráfica,

fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas

identificadas o identificables.

� Datos de carácter personal relacionados con la salud: las informaciones

concernientes a la salud pasada, presente y futura, física o mental, de un

individuo. En particular, se consideran datos relacionados con la salud de las

personas los referidos a su porcentaje de discapacidad y a su información

genética.

� Afectado o interesado: Persona física titular de los datos que sean objeto del

tratamiento.

� Fichero: todo conjunto organizado de datos de carácter personal, que permita el

acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la

forma o modalidad de su creación, almacenamiento, organización y acceso.

� Ficheros de titularidad privada: los ficheros de los que sean responsables las

personas, empresas o entidades de derecho privado, con independencia de quien

ostente la titularidad de su capital o de la procedencia de sus recursos

económicos, así como los ficheros de los que sean responsables las

corporaciones de derecho público, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho público que a las

mismas atribuye su normativa específica.

� Ficheros de titularidad pública: los ficheros de los que sean responsables los

órganos constitucionales o con relevancia constitucional del Estado o las

instituciones autonómicas con funciones análogas a los mismos, las

Administraciones públicas territoriales, así como las entidades u organismos

vinculados o dependientes de las mismas y las Corporaciones de derecho público

siempre que su finalidad sea el ejercicio de potestades de derecho público.

� Fichero no automatizado: todo conjunto de datos de carácter personal organizado

de forma no automatizada y estructurado conforme a criterios específicos

relativos a personas

a

físicas,

sus datos

que permitan

ya

acceder

sea

sin esfuerzos

desproporcionados personales, aquél centralizado,

descentralizado o repartido de forma funcional o geográfica.

� Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son

necesarios para un tratamiento ocasional o como paso intermedio durante la

realización de un tratamiento.

6

13

� Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no

automatizado, que permita la recogida, grabación, conservación, elaboración,

modificación, consulta, utilización, modificación, cancelación, bloqueo o

supresión, así como las cesiones de datos que resulten de comunicaciones,

consultas, interconexiones y transferencias.

� Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza

pública o privada, u órgano administrativo, que sólo o conjuntamente con otros

decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase

materialmente. Podrán ser también responsables del fichero o del tratamiento los

entes sin personalidad jurídica que actúen en el tráfico como sujetos

diferenciados.

� Responsable de seguridad: persona o personas a las que el responsable del

fichero ha asignado formalmente la función de coordinar y controlar las medidas

de seguridad aplicables.

� Encargado del tratamiento: La persona física o jurídica, pública o privada, u

órgano administrativo que, solo o conjuntamente con otros, trate datos

personales por cuenta del responsable del tratamiento o del responsable del

fichero, como consecuencia de la existencia de una relación jurídica que le

vincula con el mismo y delimita el ámbito de su actuación para la prestación de

un servicio. Podrán ser también encargados del tratamiento los entes sin

personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

� Cesión o comunicación de datos: Tratamiento de datos que supone su revelación

a una persona distinta del interesado.

� Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano

administrativo, al que se revelen los datos. Podrán ser también destinatarios los


diferenciados.

� Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser

realizada, por cualquier persona, no impedida por una norma limitativa o sin más

exigencia que, en su caso, el abono de una contraprestación.

� Sistema de información: conjunto de ficheros, tratamientos, programas, soportes

y en su caso, equipos empleados para el tratamiento de datos de carácter

personal.

� Sistema de tratamiento: modo en que se organiza o utiliza un sistema de

información. Atendiendo al sistema de tratamiento, los sistemas de información

podrán ser automatizados, no automatizados o parcialmente automatizados.

7

14

� Soporte: objeto físico que almacena o contiene datos o documentos, u objeto

susceptible de ser tratado en un sistema de información y sobre el cual se

pueden grabar y recuperar datos.

� Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la

consideración de usuarios los procesos que permitan acceder a datos o recursos

sin identificación de un usuario físico.

�

�

�

Recurso: cualquier parte componente de un sistema de información.

Autenticación: procedimiento de comprobación de la identidad de un usuario.

Contraseña: información confidencial, frecuentemente constituida por una cadena

de caracteres, que puede ser usada en la autenticación de un usuario o en el

acceso a un recurso.

� Control de acceso: mecanismo que en función de la identificación ya autenticada

permite acceder a datos o recursos.

� Copia de respaldo: copia de los datos de un fichero automatizado en un soporte

que posibilite su recuperación.

�

�

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los

datos.

�

�

Perfil de usuario: accesos autorizados a un grupo de usuarios.

Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de

información que puede ser tratada en un sistema de información como una

unidad diferenciada.

� Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de

los datos. La cancelación implicará el bloqueo de los datos, consistente en la

identificación y reserva de los mismos con el fin de impedir su tratamiento

excepto para su puesta a disposición de las Administraciones públicas, Jueces y

Tribunales, para la atención de las posibles responsabilidades nacidas del

tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.

Transcurrido ese plazo deberá procederse a la supresión de los datos.

� Consentimiento del interesado: Toda manifestación de voluntad, libre,

inequívoca, específica e informada, mediante la que el interesado consienta el

tratamiento de datos personales que le conciernen.

� Exportador de datos personales: la persona física o jurídica, pública o privada, u

órgano administrativo situado en territorio español que realice, conforme a lo

dispuesto en el Reglamento, una transferencia de datos de carácter personal a un

país tercero.

8

15

� Importador de datos personales: la persona física o jurídica, pública o privada, u

órgano administrativo receptor de los datos en caso de transferencia

internacional de los mismos a un tercer país, ya sea responsable del tratamiento,

encargada del tratamiento o tercero.

� Tercero: la persona física o jurídica, pública o privada u órgano administrativo

distinta del afectado o interesado, del responsable del tratamiento, del

responsable del fichero, del encargado del tratamiento y de las personas

autorizadas para tratar los datos bajo la autoridad directa del responsable del

tratamiento o del encargado del tratamiento. Podrán ser también terceros los


diferenciados.

� Persona identificable: toda persona cuya identidad pueda determinarse, directa o

indirectamente, mediante cualquier información referida a su identidad física,

fisiológica, psíquica, económica, cultural o social. Una persona física no se

considerará identificable si dicha identificación requiere plazos o actividades

desproporcionados.

� Procedimiento de disociación: Todo tratamiento de datos personales que permita

la obtención de datos disociados.

� Dato disociado: aquél que no permite la identificación de un afectado o

interesado


El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales de las personas

físicas, y especialmente a su honor e intimidad personal y familiar.

La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico,

que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos

datos por los sectores público y privado.

Como hemos visto con anterioridad, el artículo 5.1.f) del Reglamento considera datos de

carácter personales a “cualquier información numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo concerniente a personas físicas identificadas o

identificables”.

Según la Directiva Comunitaria 95/46/CE, una persona será identificable cuando pueda

determinarse su identidad, directa o indirectamente, en particular mediante un número

de identificación o uno o varios elementos característicos de su identidad física,

fisiológica, psíquica, económica, cultural o social.

9

16

Por otra parte, para la aplicación de la norma, no se requiere únicamente la simple

posibilidad de utilización de datos de carácter personal, sino que se precisa que estos

datos estén registrados en un soporte físico que permita realizar operaciones con ellos.

Es decir, debe existir un soporte físico organizado o estructurado conforme a

determinados criterios que permita el tratamiento de estos datos, o lo que es lo mismo,

deberá existir un fichero.

En resumen, para que sea de aplicación la normativa sobre protección de datos hay que

cumplir las siguientes premisas:

� Deben existir datos de carácter personal que permitan identificar a una persona

física.

� De existir un tratamiento de esos datos (almacenamiento, conservación, etc.),

entendiendo como tratamiento de datos a aquellas operaciones y procedimientos

técnicos de carácter automatizado o no, que permita la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación, así como las

cesiones de datos que resulten de comunicaciones, consultas, interconexiones y

transferencias.

� Debe existir una organización de los datos en un fichero. Entendiendo como

fichero a todo conjunto estructurado de datos personales, accesibles con arreglo

a criterios determinados, ya sea centralizado, descentralizado o repartido de

forma funcional o geográfica.

Respecto al ámbito de aplicación territorial la normativa de protección de datos se aplica:

� Cuando el tratamiento sea efectuado en territorio español en el marco de las

actividades de un establecimiento del responsable del tratamiento.

� Cuando al responsable del tratamiento no establecido en territorio español, le sea

de aplicación la legislación española en aplicación de normas de Derecho

Internacional público.

� Cuando el responsable del tratamiento no esté establecido en territorio de la

Unión Europea y utilice en el tratamiento de datos medios situados en territorio

español, salvo que tales medios se utilicen únicamente con fines de tránsito. En

este supuesto, el responsable del tratamiento deberá designar un representante

establecido en territorio español.

Sin embargo, la LOPD no se aplicará en los siguientes casos:

� A los ficheros realizados o mantenidos por personas físicas en el ejercicio de

actividades exclusivamente personales o domésticas, es decir, aquellos

tratamientos relativos a las actividades que se inscriben en el marco de la vida

privada o familiar de los particulares.

10

17

�

�

A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

A los ficheros establecidos para la investigación del terrorismo y de formas

graves de delincuencia organizada.

No obstante, en este caso, el responsable del fichero comunicará previamente la

existencia del mismo, sus características generales y su finalidad a la Agencia

Española de Protección de Datos (AEPD).

A su vez, el Reglamento especifica, dentro de su ámbito subjetivo de aplicación que:

� No será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a

los ficheros que se limiten a incorporar los datos de las personas físicas que

presten sus servicios en aquéllas, consistentes únicamente en su nombre y

apellidos, las funciones o puestos desempeñados, así como la dirección postal o

electrónica, teléfono y número de fax profesionales.

� No será aplicable a los datos relativos a empresarios individuales, cuando hagan

referencia a ellos en su calidad de comerciantes, industriales o navieros.

� No será de aplicación a los datos referidos a personas fallecidas. No obstante, las

personas vinculadas al fallecido, por razones familiares o análogas, podrán

dirigirse a los responsables de los ficheros o tratamientos que contengan datos

de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del

mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

Por último conviene destacar que existen una serie de ficheros no regulados por la LOPD

y que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su

caso, por la LOPD, siendo estos:

�

�

Los ficheros regulados por la legislación de régimen electoral.

Los ficheros que sirvan a fines exclusivamente estadísticos, y estén amparados

por la legislación estatal o autonómica sobre la función estadística pública.

� Los ficheros que tengan por objeto el almacenamiento de los datos contenidos en

los informes personales de calificación a que se refiere la legislación del régimen

del personal de las Fuerzas Armadas.

� Los ficheros derivados del Registro Civil y del Registro Central de penados y

rebeldes.

� Los ficheros procedentes de imágenes y sonidos obtenidos mediante la utilización

de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la

legislación sobre la materia.

11

18


La Agencia Española de Protección de Datos (AEPD) se trata de un Ente de Derecho

Público con personalidad jurídica propia y plena capacidad pública y privada que actúa

con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

La AEPD se presenta en la normativa española como el órgano de control y fiscalización

del cumplimiento de la LOPD, si bien, de cara al exterior se percibe como un órgano

meramente sancionador.

Las funciones de la AEPD son las siguientes (art. 37 LOPD):

� Velar por el cumplimiento de la legislación sobre protección de datos y controlar

su aplicación, en especial en lo relativo a los derechos de información, acceso,

rectificación, oposición y cancelación de datos.

� Emitir las autorizaciones previstas en la Ley o en sus disposiciones

reglamentarias.

� Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la

presente Ley.

�

�

Atender las peticiones y reclamaciones formuladas por las personas afectadas.

Proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal.

� Requerir a los responsables y los encargados de los tratamientos, previa

audiencia de éstos, la adopción de las medidas necesarias para la adecuación del

tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la

cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste

a sus disposiciones.

�

�

Ejercer la potestad sancionadora.

Informar, con carácter preceptivo, los proyectos de disposiciones generales que

desarrollen esta Ley.

� Recabar de los responsables de los ficheros cuanta ayuda e información estime

necesaria para el desempeño de sus funciones.

� Velar por la publicidad de la existencia de los ficheros de datos con carácter

personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros

con la información adicional que el Director de la Agencia determine.

� Redactar una memoria anual y remitirla al Ministerio de Justicia.

12

19

� Ejercer el control y adoptar las autorizaciones que procedan en relación con los

movimientos internacionales de datos, así como desempeñar las funciones de

cooperación internacional en materia de protección de datos personales.

� Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Al artículo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de diciembre, de

medidas fiscales, administrativas y de orden social, le añadió el apartado 2 que

establece que se harán públicas las resoluciones de la Agencia, una vez hayan sido

notificadas a los interesados. Dicha publicación se llevará a cabo preferentemente a

través de medios informáticos o telemáticos.

La composición de la AEPD es la siguiente:

� El Director: ostenta la representación de la Agencia y la dirige. Es nombrado de

entre los componentes del Consejo Consultivo por un periodo de 4 años.

� El Consejo Consultivo: asesora al Director, emite informes sobre todas las

cuestiones que solicite el Director y formula propuestas en materia de protección

de datos. Se reúne como mínimo semestralmente.

� El Registro General de Protección de Datos: se encarga de velar por la publicidad

de los tratamientos de datos, mediante la inscripción de los ficheros de titularidad

público y privada.

� La Inspección de datos: se encarga de la comprobación de la legalidad de los

tratamientos.

� La Secretaría General de la Agencia: apoya en el funcionamiento de la Agencia.

Una herramienta fundamental de la Agencia de Protección de Datos es su página web:

www.agpd.es que permite entre otras cosas:

�

�

�

Consulta de dudas en materia de protección de datos.

Conocer los derechos de los afectados.

Consulta del Registro General de la Agencia Española de Protección de Datos, en

el cual se encuentran inscritos los ficheros de las empresas de todo el territorio

español.

� Conocer las últimas novedades sobre protección de datos, etc.

13

22

Ley de Protección

de Datos

Deber de Notificación de Ficheros

�

�

�

�

�

�

�

Introducción




Tipos de Ficheros

Los Códigos Tipo


Objetivos:

� Conocer cómo se realiza la notificación para la inscripción de la

creación, modificación o supresión de ficheros.

� Familiarizarse con las figuras del responsable del fichero y del

encargado del tratamiento.

� Conocer las particularidades de la creación de los ficheros de

titularidad pública.

17

tema 2

24

Introducción

Se entiende por fichero todo conjunto organizado de datos de carácter personal, que

permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere

la forma o modalidad de su creación, almacenamiento, organización y acceso.

Los ficheros pueden clasificarse de dos formas:

1. Atendiendo a su titularidad:

� Ficheros de titularidad privada: los ficheros de los que sean responsables las

personas, empresas o entidades de derecho privado, con independencia de quien

ostente la titularidad de su capital o de la procedencia de sus recursos

económicos, así como los ficheros de los que sean responsables las

corporaciones de derecho público, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho público que a las

mismas atribuye su normativa específica. (Ej. datos de proveedores, personal,

etc.).

� Ficheros de titularidad pública: los ficheros de los que sean responsables los

órganos constitucionales o con relevancia constitucional del Estado o las

instituciones autonómicas con funciones análogas a los mismos, las

Administraciones públicas territoriales, así como las entidades u organismos

vinculados o dependientes de las mismas y las Corporaciones de derecho público

siempre que su finalidad sea el ejercicio de potestades de derecho público.

2. Atendiendo al soporte:

� Ficheros no automatizados: todo conjunto de datos de carácter personal

organizado de forma no automatizada y estructurado conforme a criterios

específicos relativos a personas físicas, que permitan acceder sin esfuerzos

desproporcionados a sus datos personales, ya sea aquél centralizado,

descentralizado o repartido de forma funcional o geográfica.

� Ficheros automatizados: todo conjunto de datos de carácter personal organizado

de forma automatizado mediante cualquier soporte informático o electrónico que

permita un acceso sin esfuerzo desproporcionado.


Están obligados a notificar la creación, modificación o supresión de ficheros para su

inscripción en el Registro General de Protección de Datos, de conformidad con lo

establecido en la Ley Orgánica de Protección de Datos, aquellas personas físicas o

jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la

creación de ficheros que contengan datos de carácter personal.

Indica el Reglamento que esta obligación se cumplimentará a través de un medio que

permita acreditar su cumplimiento.

19

25

El soporte en el que conste el cumplimiento del deber de informar será conservado por el

responsable del fichero o tratamiento. Estos soportes se podrán almacenar por medios

informáticos o telemáticos; en todo caso, si su soporte fuera papel se permite su

escaneado siempre que quede garantizado que con dicha automatización no se altera el

soporte original.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter

personal lo notificará previamente a la Agencia Española de Protección de Datos. El

Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a

los requisitos exigibles. La inscripción del fichero es previa a su creación.

Todos los ficheros automatizados preexistentes deberían haberse notificado a la Agencia

Española de Protección de Datos antes del 14 de enero de 2003.

Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor

de la Ley Orgánica de Protección de Datos (14 de enero de 2000) deberán ser notificados

para su inscripción en el Registro. Para los ficheros manuales que ya existieran antes de

la entrada en vigor de la LOPD, no se estableció como necesaria la notificación para su

inscripción hasta el 24 de octubre de 2007, de conformidad con lo establecido en el

último párrafo de la Disposición Adicional Primera.

En el caso de no notificarse la existencia de un fichero podría incurrirse en falta leve o

grave, como se establece en el artículo 44 de la Ley Orgánica 15/1999 de Protección de

Datos, quedando sujeto al régimen sancionador previsto en esta misma Ley.

Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos

personales, se deberá notificar la existencia del fichero para su inscripción en el Registro.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el

Registro deberá comunicarse a la Agencia Española de Protección de Datos mediante la

solicitud de modificación o de supresión de la inscripción, según corresponda.

El Registro General de Protección de Datos inscribe el fichero si la notificación se ajusta a

los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que

falten o se proceda a su subsanación.

Una vez inscrito el fichero en el Registro, la Agencia Española de Protección de Datos

notificará la resolución de inscripción del Director en la que se comunicará el código de

inscripción asignado a la dirección que a tales efectos se ha hecho constar en el

apartado correspondiente de la Hoja de solicitud.

Igualmente, cuando los interesados así lo manifiesten expresamente en el formulario de

notificación, podrán recibir por medios telemáticos la notificación de la resolución de

inscripción, la comunicación de subsanar su solicitud, o cualquier otro escrito

relacionado con la solicitud de inscripción de ficheros en el Registro, para lo que deberá

disponer de una dirección electrónica a efectos de notificaciones del Servicio de

Notificaciones Telemáticas Seguras.

20

26

A través de este Servicio:

https://www.notificaciones.administracion.es/portalciudadano/inicio.asp), el Ministerio

de las Administraciones Públicas en colaboración con Correos pone a disposición de

cualquier persona física o jurídica que lo solicite la posibilidad de recibir de forma

alternativa por vía telemática las notificaciones que actualmente reciben en soporte

papel. La suscripción a este servicio es voluntaria y tiene carácter gratuito.

En todo caso, la inscripción de un fichero en el Registro General de Protección de Datos,

únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la

LO 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte

del responsable del fichero del resto de las obligaciones previstas en la Ley y demás

disposiciones reglamentarias.

La existencia de un fichero se notifica al Registro mediante formulario electrónico de

Notificaciones Telemáticas a la Agencia Española de Protección de Datos (NOTA), que

puede obtenerse de forma gratuita en la página Web de la Agencia.

Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por

utilizar el formulario electrónico vacío para ser cumplimentado de forma completa.

Continuarán siendo válidas las notificaciones cumplimentadas con arreglo al programa

de generación de notificaciones de ficheros de titularidad pública y privada aprobado

mediante resolución de la Agencia Española de Protección de Datos 30 de mayo de

2000.

Las notificaciones efectuadas mediante los formularios de notificación en soporte papel

de ficheros de titularidad pública y privada, aprobados mediante la resolución

mencionada, continuaban siendo válidas siempre que las mismas tuvieran entrada en la

Agencia Española de Protección de Datos con anterioridad al 1 de diciembre de 2006.

El Registro General de Protección de Datos adecuará de oficio las notificaciones

efectuadas mediante los modelos establecidos en la resolución de la Agencia Española

de Protección de Datos 30 de mayo de 2000.

La notificación de un fichero se puede presentar mediante el formulario NOTA:

�

�

�

�

A través de Internet con certificado de firma electrónica reconocido.

A través de Internet sin certificado de firma electrónica reconocido.

Mediante soporte electrónico (disquete, CDROM).

En soporte papel impreso con código de barras bidimensional PDF 417.

21

27

Para modificar la inscripción de un fichero, previamente inscrito en el Registro, deberá

cumplimentarse el formulario electrónico, la hoja de solicitud, el apartado de

Modificación de la inscripción del fichero, indicando el código de inscripción asignado

por la Agencia y señalando aquellos apartados que se modifican respecto a la

notificación anterior, según las instrucciones que acompañan al modelo.

Los apartados señalados que se pretendan modificar deben cumplimentarse por

completo, indicando todos los datos y no sólo los modificados respecto a notificaciones

previas, ya que esta notificación es sustitutiva a efectos de inscripción en el Registro. Así

mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su

modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que se notifique la supresión de un fichero, se deberá cumplimentar, del

modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el

código de inscripción del fichero que fue asignado por la Agencia. También deberá

indicar el motivo de la supresión en el texto correspondiente, y el destino de la

información en el siguiente campo. Si se va a proceder a destruir el fichero, se deberán

indicar las previsiones adoptadas para ello.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una

inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior

se produciría un duplicado de la inscripción.

El formulario electrónico ha de cumplimentarse conforme a las instrucciones que lo

acompañan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto

del previsto en el modelo.

No obstante, si el responsable desea hacer alguna aclaración adicional a la declaración,

puede acompañar junto al modelo de notificación, correctamente cumplimentado, un

escrito en el que se incluyan las aclaraciones que considere necesarias a su declaración.

El formulario electrónico no permite suprimir apartados no obligatorios que fueron

declarados en anteriores inscripciones o modificaciones del fichero en el Registro

General de Protección de Datos. Para realizar este tipo de modificación, deberá enviar a

la Agencia Española de Protección de Datos un escrito firmado por persona con

representación

correspondiente.

Para notificar un cambio de responsable se deberá indicar en el apartado Modificación

de la inscripción de los datos correspondientes al responsable del fichero (Razón social y

CIF) que figuran en la inscripción del fichero.

Los datos correspondientes a la nueva denominación del responsable del fichero (Razón

social y NIF o CIF) se introducirán en el apartado 1. Responsable del fichero. Además de

la notificación se deberá adjuntar la documentación que justifique el cambio del titular.

suficiente del responsable del fichero indicando la subsanación

22

28

No obstante, dispone el artículo 19 del Reglamento que, en los supuestos en los que se

produzca una modificación en el responsable del fichero como consecuencia de una

fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio

o rama de actividad, o cualquier operación que implique una reestructuración societaria

que contemple la normativa mercantil se ha de entender que no se ha producido cesión

de datos.

Cuando se notifique la supresión de la inscripción de un fichero por responsable distinto

del que figura inscrito en el RGPD (con la salvedad que acabamos de ver), deberá

acompañarse documentación que justifique el cambio de titular.

Si el cambio se debe a un error en la consignación de los datos del responsable durante

la inscripción inicial del fichero, será suficiente con enviar un escrito firmado por persona

con representación suficiente del responsable del fichero indicando la subsanación

correspondiente.

Si se trata de notificar una supresión de la inscripción por responsable distinto del que

figura inscrito en el Registro General de Protección de Datos, se deberá indicar en el

apartado de Supresión de la inscripción los datos correspondientes al responsable del

fichero (Razón social y CIF) que figuran en la inscripción del fichero.


Se entiende por responsable del fichero o tratamiento aquella persona física o jurídica,

de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con

otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase

materialmente.

También pueden ser responsables del fichero o del tratamiento los entes sin

personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

A modo de ejemplo podemos encontrarnos un amplio espectro de responsables del

fichero que tratan con datos de carácter personal:

� Administraciones Públicas (Ayuntamientos, Comunidades Autónomas, etc.): son

responsables de numerosos ficheros de distinta índole.

�

�

�

Empresas y sociedades.

Autónomos: ficheros de proveedores, clientes, etc.

Entes sin personalidad jurídica, tales como comunidades de propietarios o UTE´s

(Unión temporal de empresas).

23

29


Como ya se dijo al hablar de las definiciones que establece la LOPD, dispone en su

artículo 3 g) que se entenderá por encargado del tratamiento: La persona física o

jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o

conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento.

Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.

Así, se establecen y regulan las relaciones de éste con el responsable del fichero: el

acceso a los datos por parte del encargado del tratamiento, cuando suponga una

prestación de servicios al responsable, no se considera comunicación de datos.

Esta realización de tratamiento por cuanta de terceros deberá estar regulada en un

contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su

celebración

tratamiento

y contenido, estableciéndose expresamente

las

que el

del

encargado

responsable

del

del tratará los datos conforme a instrucciones

tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho

contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

No se considera encargado del tratamiento a la persona física que tenga acceso a los

datos personales en su condición de empleado dentro de la relación laboral que

mantiene con el responsable del fichero.

En aquellos supuestos en los que el responsable del tratamiento encargue la prestación

de un servicio que comporte un tratamiento de datos personales debe velar por que el

encargado de éste reúna las garantías que exige el Reglamento.

En cuanto a su responsabilidad, toda utilización del tratamiento para finalidad diferente

de aquélla para la que fue concebido, la comunicación o uso de datos incumpliendo las

estipulaciones del contrato al que alude el artículo 12 de la LOPD, será así mismo

responsabilidad del encargado del tratamiento. Esta responsabilidad no le será

achacable cuando, previa indicación expresa del responsable, comunique los datos a un

tercero designado por éste, al que se hubiese encargado la prestación del servicio tal y

como señala el Reglamento.

Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar

con un tercero la prestación de tratamiento alguno encomendado por el responsable del

tratamiento; para poder realizar esta subcontrata necesita de autorización para ello, de

forma que cuando se cuente con ella, la subcontratación se hará siempre en nombre y

por cuenta del responsable del tratamiento.

A pesar de lo anterior, el artículo 21.2 del Reglamento nos indica qué subcontrataciones

pueden realizarse sin que sea necesaria la autorización; serán las que cumplan con estos

requisitos:

24

30

� “Que se especifiquen en el contrato los servicios que puedan ser objeto de

subcontratación y, si ello fuera posible, la empresa con la que se vaya a

subcontratar. Cuando no se identificase en el contrato la empresa con la que se

vaya a subcontratar, será preciso que el encargado del tratamiento comunique al

responsable los datos que la identifiquen antes de proceder a la subcontratación.

� Que el tratamiento de datos de carácter personal por parte del subcontratista se

ajuste a las instrucciones del responsable del fichero.

� Que el encargado del tratamiento y la empresa subcontratista formalicen el

contrato, en los términos previstos en el artículo anterior. En este caso, el

subcontratista será considerado encargado del tratamiento, siéndole de

aplicación lo previsto en el artículo 20.3 de este reglamento.”

Las previsiones anteriores serán de aplicación cuando durante la prestación del servicio

fuere necesario subcontratar una parte de éste, sin que la misma haya sido prevista en

el contrato.

Al finalizar la prestación contractual, los datos de carácter personal deberán ser

destruidos o devueltos al responsable del tratamiento o al encargado, al igual que los

soportes o documentos en los que consten datos de carácter personal objeto del

tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no serán

destruidos si alguna norma prevé su conservación; en este caso, serán devueltos

garantizándose por el responsable del fichero su conservación.

Es obligación del encargado del tratamiento conservar, debidamente bloqueados, los

datos en tanto que pudieran derivarse responsabilidades de su relación con el

responsable del tratamiento.

A efectos de inscripción, el encargado del tratamiento (artículo 12 LOPD) no deberá

figurar escrito en el Registro General del Protección de Datos como entidad responsable

de los ficheros o tratamientos.

Cuando existan varios encargados, únicamente se consignarán los datos de uno de

ellos. Se recomienda que se haga constar la denominación del encargado que realice el

tratamiento de datos que pueda implicar una mayor duración de tiempo, o riesgos

mayores según el tipo y la cantidad de riesgos tratados.

El resto de los encargados del tratamiento se podrá comunicar mediante un escrito

adjunto a la notificación para que el RGPD tome nota a los efectos informativos.

No obstante, si se desea que figuren inscritos más de un encargado en el apartado 4

“Encargado del tratamiento” se podrá notificar tantas inscripciones como encargados

diferentes existan.

Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y en su

caso, en los apartados 5. “Identificación y finalidad del fichero”, 7. “Tipos de datos,

estructura y organización del fichero”.

25

31

Para recibir de forma telemática la notificación de inscripción de ficheros en el Registro

se necesita previamente y por una sola vez:

� Disponer de una Dirección Electrónica Única del Servicios de Notificaciones

Telemáticas Seguras (MAP-Correos).

� Después, suscribirse al procedimiento de la Agencia Española de Protección de

Datos. Para ello, en el apartado “Suscripción a Procedimientos” de la Web del

Servicio de Notificaciones Telemáticas Seguras se selecciona “AEPD” como

organismo emisor, la categoría “Todas” y la casilla “actualizar”.

Además, en cada notificación de ficheros a través del formulario

Es preciso señalar expresamente DEU-SNTS (Dirección Electrónica Única del Servicio de

Notificaciones Telemáticas Seguras) como medio de notificación en la casilla “Medio de

notificación” de la hoja de solicitud del formulario de inscripción

Esta opción sólo estará disponible para usuarios que hayan realizado su notificación de

ficheros.

A través de Internet con certificado de firma electrónica reconocido.

Tipos de Ficheros

La Agencia Española de Protección de Datos clasifica los ficheros según su finalidad y

usos previstos en los siguientes grupos y subgrupos:

� Gestión contable, fiscal y administrativa:

o

o

o

o

o

o

o

o

o

o

Gestión económica y contable.

Gestión fiscal.

Gestión administrativa.

Gestión de facturación.

Gestión de clientes.

Gestión de proveedores.

Gestión de cobros y pagos.

Administración de fincas.

Consultorías, auditorías, asesorías y servicios relacionados.

Histórico de relaciones comerciales.

26

32

� Recursos humanos:

o

o

o

o

o

o

o

o

o

Gestión de personal.

Gestión de nóminas.

Formación de personal.

Prestaciones sociales.

Selección de personal.

Gestión de trabajo temporal.

Promoción y gestión de empleo.

Prevención de riesgos laborales.

Control horario.

� Servicios económicos-financieros y seguros:

o

o

o

o

o

o

o

o

o

o

o

Cuenta de crédito.

Cuenta de depósito.

Gestión de patrimonios.

Gestión de fondos de pensiones y similares.

Gestión de tarjetas de crédito y similares.

Registro de acciones y obligaciones.

Otros servicios financieros.

Cumplimiento/incumplimiento de obligaciones dinerarias.

Prestación de servicios de solvencia patrimonial y crédito.

Seguros de vida y salud.

Otro tipo de seguros.

� Publicidad y prospección:

o

o

o

o

o

Publicidad.

Venta a distancia.

Encuestas de opinión.

Análisis de perfiles.

Prospección comercial.

27

33

o

o

o

o

o

o

o

o

�

Segmentación de mercados.

Sistemas de ayuda a la toma de decisiones.

Recopilación de direcciones.

Servicios de telecomunicaciones:

Prestación de servicios de telecomunicaciones.

Guías/repertorios de servicios de telecomunicaciones.

Comercio electrónico.

Prestación de servicios de certificación.

Actividades asociativas, culturales, recreativas, deportivas y sociales:

o

o

Gestión de actividades culturales.

Gestión de clubes o asociaciones deportivas, culturales, profesionales y

similares.

o Gestión de asociados o miembros de partidos políticos, sindicatos, iglesias,

confesiones o comunidades religiosas y asociaciones, fundaciones y otras

entidades sin ánimo de lucro.

o

o

o

Actividades asociativas diversas.

Asistencia social.

Gestión de medios de comunicación social.

� Educación:

o

o

o

o

o

Enseñanza infantil primaria.

Enseñanza infantil secundaria.

Enseñanza universitaria.

Educación especial.

Otras enseñanzas.

� Sanidad:

o

o

o

Gestión y control sanitario.

Control clínico.

Investigación epidemiológica y actividades análogas.

� Seguridad:

28

34

o

o

o

�

Investigaciones privadas a personas.

Seguridad y control acceso a edificios.

Otras actividades de seguridad.

Finalidades varias:

o

o

o

o

Fidelización de clientes.

Reservas y emisión de billetes.

Fines históricos, científicos o estadísticos.

Otras finalidades.

Los Códigos Tipo

El artículo 32 de la LOPD nos dice que mediante acuerdos sectoriales, convenios

administrativos o decisiones de empresa, los responsables de tratamientos de titularidad

pública y privada, así como las organizaciones en que se agrupen.

Se podrán formular códigos tipo que establezcan las condiciones de organización,

régimen de funcionamiento, procedimientos aplicables, normas de seguridad del

entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de

la información personal, así como las garantías, en su ámbito, para el ejercicio de los

derechos de las personas con pleno respeto a los principios y disposiciones de la

presente Ley y sus normas de desarrollo.

Asimismo nos dice que los citados códigos podrán contener o no reglas operacionales

detalladas de cada sistema particular y estándares técnicos de aplicación.

Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica

profesional y serán vinculantes para quienes se adhieran a los mismos, debiendo ser

depositados o inscritos en el Registro General de Protección de Datos y, cuando

corresponda, en los creados a estos efectos por las Comunidades Autónomas, de

acuerdo con el artículo 41 de la LOPD.

El Registro General de Protección de Datos podrá denegar la inscripción cuando

considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia,

debiendo, en este caso, el Director de la Agencia Española de Protección de Datos

requerir a los solicitantes para que efectúen las correcciones oportunas.

Los códigos tipo contendrán reglas o estándares específicos que permitan armonizar los

tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos

de los afectados y favorecer el cumplimiento de lo dispuesto en la LOPD y en el

Reglamento que la desarrolla.

El código tipo deberá incorporar como anexo una relación de adheridos, que deberá

mantenerse actualizada, a disposición de la Agencia Española de Protección de Datos.

29

35

Contenido de los Códigos Tipo

Los códigos tipo deberán estar redactados en términos claros y accesibles, deben

respetar la normativa vigente e incluirán, como mínimo, con suficiente grado de

precisión:

� La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el

código se refiere y los tratamientos sometidos al mismo.

� Las previsiones específicas para la aplicación de los principios de protección de

datos.

� El establecimiento de estándares homogéneos para el cumplimiento por los

adheridos al código de las obligaciones establecidas en la Ley Orgánica 15/1999,

de 13 de diciembre.

� El establecimiento de procedimientos que faciliten el ejercicio por los afectados de

sus derechos de acceso, rectificación, cancelación y oposición.

� La determinación de las cesiones y transferencias internacionales de datos que,

en su caso, se prevean, con indicación de las garantías que deban adoptarse.

� Las acciones formativas en materia de protección de datos dirigidas a quienes los

traten, especialmente en cuanto a su relación con los afectados.

� Los mecanismos de supervisión a través de los cuales se garantice el

cumplimiento por los adheridos de lo establecido en el código tipo.

En particular, deberán contenerse en el código:

� Cláusulas tipo para la obtención del consentimiento de los afectados al

tratamiento o cesión de sus datos.

� Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no

sean obtenidos de los mismos.

� Modelos para el ejercicio por los afectados de sus derechos de acceso,

rectificación, cancelación y oposición.

� Modelos de cláusulas para el cumplimiento de los requisitos formales exigibles

para la contratación de un encargado del tratamiento, en su caso.

Compromisos Adicionales

Los códigos tipo podrán incluir cualquier otro compromiso adicional que asuman los

adheridos para un mejor cumplimiento de la legislación vigente en materia de protección

de datos.

30

36

Además podrán contener cualquier otro compromiso que puedan establecer las

entidades promotoras y, en particular, sobre:

� La adopción de medidas de seguridad adicionales a las exigidas por la Ley

Orgánica 15/1999, de 13 de diciembre, y el Reglamento.

�

�

La identificación de las categorías de cesionarios o importadores de los datos.

Las medidas concretas adoptadas en materia de protección de los menores o de

determinados colectivos de afectados.

� El establecimiento de un sello de calidad que identifique a los adheridos al código.

Garantías del Cumplimiento

Los códigos tipo deberán incluir procedimientos de supervisión independientes para

garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer

un régimen sancionador adecuado, eficaz y disuasorio. Este procedimiento deberá

garantizar:

�

�

La independencia e imparcialidad del órgano responsable de la supervisión.

La sencillez, accesibilidad, celeridad y gratuidad para la presentación de quejas y

reclamaciones ante dicho órgano por los eventuales incumplimientos del código

tipo.

�

�

El principio de contradicción.

Una graduación de sanciones que permita ajustarlas a la gravedad del

incumplimiento. Esas sanciones deberán ser disuasorias y podrán implicar la

suspensión de la adhesión al código o la expulsión de la entidad adherida.

Asimismo, podrá establecerse, en su caso, su publicidad.

� La notificación al afectado de la decisión adoptada.

Asimismo, los códigos tipo podrán contemplar procedimientos para la determinación de

medidas reparadoras en caso de haberse causado un perjuicio a los afectados como

consecuencia del incumplimiento del código tipo.


Los ficheros de titularidad pública están regulados en el Capítulo I del Título IV de la

LOPD. A diferencia de los de titularidad privada, se crean, modifican o suprimen por

medio de disposición general que se publica en el Boletín Oficial del Estado o en el diario

oficial correspondiente.

31

37

Los datos de carácter personal recogidos o elaborados por las Administraciones públicas

para el desempeño de sus atribuciones no serán comunicados a otras Administraciones

públicas para el ejercicio de competencias diferentes o de competencias que versen

sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,

rectificación y cancelación contemplados en el artículo 23 de la LOPD:

� Los responsables de los ficheros que contengan datos de carácter personal,

incluidos los datos sobre ideología, religión, ideas políticas, sexo, raza y vida

sexual, recogidos con fines policiales por las Fuerzas y Cuerpos de Seguridad,

podrán denegar el acceso, la rectificación o cancelación en función de los peligros

que pudieran derivarse para la defensa del Estado o la seguridad pública, la

protección de los derechos y libertades de terceros o las necesidades de las

investigaciones que se estén realizando.

� Los responsables de los ficheros de la Hacienda Pública podrán, igualmente,

denegar el ejercicio de estos derechos cuando el mismo obstaculice las

actuaciones administrativas tendentes a asegurar el cumplimiento de las

obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de

actuaciones inspectoras.

El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos

mencionados podrá ponerlo en conocimiento del Director de la Agencia Española de

Protección de Datos o del organismo competente de cada Comunidad Autónoma en el

caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las

Administraciones tributarias autonómicas, quienes deberán asegurarse de la

procedencia o improcedencia de la denegación.

32

38

36

39

Ley de Protección

de Datos

Principios de la Ley

Protección de Datos

�

�

�

�

�

�

�

�


Orgánica de

El Derecho a la Información Durante la Recogida de Datos





Deber de Secreto

Movimiento de Datos

Objetivos:

� Conocer cuáles son los pilares básicos de la protección de

datos.

� Familiarizarse con la tipología de datos y en particular con

aquellos especialmente protegidos.

� Conocer los aspectos básicos a tener en cuenta en el

movimiento de datos.

37

tema 3

41


El artículo 3 de la LOPD define dato de carácter personal como “cualquier información

concerniente a personas físicas identificadas o identificables”, entendiéndose, con

carácter general por dato personal cualquier información sobre una persona concreta

que permita conocer alguna de sus características personales.

Con el Principio de Calidad de los Datos lo que se trata de evitar es que se proceda a una

recopilación de datos masiva que se aparte de la necesidad y finalidad para la que

dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y

a la finalidad del tratamiento se fija la condición de que una vez desaparezca la

necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados

dichos datos, deberán ser cancelados directamente por el responsable del fichero.

Para cumplir con el principio de calidad el artículo 4 de la LOPD y el artículo 8 del

Reglamento nos dice que los datos de carácter personal sólo se podrán recoger para su

tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el

ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan

obtenido.

El tratamiento de los datos de carácter personal no podrá usarse para finalidades

incompatibles con aquellas para las que los datos hubieran sido recogidos, salvo que se

trate con fines históricos, estadísticos o científicos.

Estos datos de carácter personal, deben de cumplir, además de lo anteriormente

expuesto, con los siguientes requisitos:

� Los datos de carácter personal deben ser exactos y puestos al día de forma que

respondan con veracidad a la situación actual del afectado. Si los datos fueran

recogidos directamente del afectado, se considerarán exactos los facilitados por

éste.

� Si los datos de carácter personal sometidos a tratamiento resultaran ser

inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de

oficio por los correspondientes datos rectificados o completados en el plazo de

diez días desde que se tuviese conocimiento de la inexactitud, salvo que la

legislación aplicable al fichero establezca un procedimiento o un plazo específico

para ello.

� Cuando los datos a rectificar hubieran sido comunicados previamente, el

responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de

diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea

conocido. En el plazo de diez días desde la recepción de la notificación, el

cesionario que mantuviera el tratamiento de los datos, deberá proceder a la

rectificación y cancelación notificada.

Esta actualización de los datos de carácter personal no requerirá comunicación

alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los

interesados reconocidos en la LOPD.

39

42

� Los datos de carácter personal serán cancelados cuando hayan dejado de ser

necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o

registrados.

Tampoco podrán ser conservados en forma que permita la identificación del

interesado durante un período superior al necesario para los fines en base a los

cuales hubieran sido recabados o registrados. Si bien, estos datos, podrán

conservarse durante el tiempo en que pueda exigirse algún tipo de

responsabilidad derivada de una relación u obligación jurídica o de la ejecución de

un contrato o de la aplicación de medidas precontractuales solicitadas por el

interesado.

Una vez cumplido este período, los datos sólo podrán ser conservados previa

disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la

LOPD y en el Reglamento que la desarrolla.

� Los datos de carácter personal serán tratados de forma que permitan el ejercicio

del derecho de acceso, en tanto no proceda su cancelación.

Por último recalcar que la LOPD y el Reglamento prohíben expresamente la recogida de

datos por medios fraudulentos, desleales o ilícitos.

Tratamiento con Fines Estadísticos, Históricos y Científicos

El artículo 9 del Reglamento dispone la compatibilidad del tratamiento de los datos para

fines históricos, estadísticos o científicos.

Para determinar que este es el fin del tratamiento habrá de estarse a las legislaciones

específicas, y en concreto a los dispuesto en estas normas: Ley 12/1989, Reguladora de

la función estadística pública, Ley 16/1985, del Patrimonio Histórico Español, y Ley

13/1986, de Fomento y Coordinación General de la Investigación científica y técnica, así

como a las correspondientes normas de desarrollo y normativa autonómica concordante.

Supuestos que Legitiman el Tratamiento o Cesión de Datos Por su parte el artículo 10 del Reglamento viene a dar cobertura jurídica al tratamiento o

cesión de datos de carácter personal, estableciendo, como primera cuestión, la

necesidad del consentimiento previo del interesado.

Si bien, se excluyen de dicho consentimiento cuando lo autorice una norma con rango

de ley o una norma comunitaria, siempre que el tratamiento o cesión tengan por objeto

satisfacer un interés legítimo del responsable del tratamiento o del cesionario amparado

en dichas normas, siempre que no prevalezca el interés o los derechos y libertades

fundamentales de los interesados regulados por al LOPD.

40

43

Del mismo modo, se permitirá el tratamiento o cesión cuando ello sea necesario para

que el responsable del fichero cumpla un deber que las citadas normas le impongan.

Por otra parte, nos recuerda el mismo artículo del Reglamento que hay una serie de

datos de carácter personal que podrán ser objeto de tratamiento sin necesidad de

consentimiento del interesado:

� Los recogidos en el ejercicio de las funciones propias de las Administraciones

Públicas en el ámbito de sus competencias.

� Los recabados por el responsable del tratamiento con ocasión de la celebración

de contrato, precontrato, la existencia de relación negocial, laboral o

administrativa, en la que sea parte el interesado, y sean necesarios para su

mantenimiento o cumplimiento.

� Cuando el tratamiento responda a un interés vital para el interesado en los

términos que establece el artículo 7 de la LOPD.

El apartado 4 de artículo 10 del Reglamento se establecen otros supuestos de cesión de

datos sin consentimiento del afectado:

� Cuando se responda a la libre y legítima aceptación de una relación jurídica en

cuyo desarrollo, cumplimiento y control, sea necesaria la comunicación de datos,

siempre y cuando se limite a la finalidad que la justifique.

� Cuando el destinatario de los mismos sea Defensor del Pueblo, el Ministerio

Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones

autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de

Cuentas y se realice en el ámbito de las funciones que la ley les atribuya

expresamente.

� Cuando la cesión sea entre Administraciones públicas y siempre que concurra

uno de los siguientes supuestos:

o Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos

o científicos.

o Los datos de carácter personal hayan sido recogidos o elaborados por una

Administración pública con destino a otra.

o La comunicación se realice para el ejercicio de competencias idénticas o que

versen sobre las mismas materias.

41

44

El Derecho a la Información Durante la Recogida de

Datos

El derecho de información en la recogida de datos está regulado en el artículo 5 de la

LOPD.

El deber de información previo al tratamiento de datos de carácter personal es uno de los

derechos básicos y principales de los ciudadanos contenidos en la LOPD. Por tanto, si se

van a registrar y tratar datos de carácter personal, será necesario informar a través del

medio que se utilice para la recogida.

De este modo, el apartado 1 del artículo 5 de la LOPD nos dice que los interesados a los

que se les soliciten datos de carácter personal deberán previamente ser informados de

modo expreso, preciso e inequívoco de los siguientes aspectos:

� De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de los datos y de los destinatarios de la información.

� Del carácter obligatorio o facultativo de su respuesta a las preguntas que se les

planteen.

� De las consecuencias de la obtención de los datos o de la negativa a

suministrarlos.

� De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y

oposición.

� De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión

Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá

designar un representante en España, sin perjuicio de las acciones que pudieren

corresponderle contra el propio responsable del tratamiento.

En el apartado 2 se establece que cuando para la recogida de datos se utilicen

cuestionarios o impresos, deberán figurar en ellos en forma claramente legible las

advertencias a que se refiere el apartado anterior.

En el 3 se dispone que no sea necesaria la información a que se refieren las letras b, c y

d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los

datos personales que se solicitan o de las circunstancias en que se recaban.

Se refiere el apartado 4 de este artículo al supuesto de que los datos de carácter

personal no hayan sido recabados del interesado. En este caso, éste deberá ser

informado de forma expresa, precisa e inequívoca, bien por el responsable del fichero o

bien por su representante, dentro de los tres meses siguientes al momento del registro

de los datos, salvo que ya hubiese sido informado con anterioridad del contenido del

tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e

del apartado 1 del presente artículo.

42

45

Esto no será de aplicación cuando:

�

�

�

La obtención de dicha información haya sido prevista por alguna Ley.

El tratamiento tenga fines históricos, estadísticos o científicos.

La información al interesado se imposible o exija esfuerzos desproporcionados, a

criterio de la Agencia Española de Protección de Datos o del organismo

autonómico equivalente, en consideración al número de interesados, a la

antigüedad de los datos y a las posibles medidas compensatorias.

� Los datos procedan de fuentes accesibles al público y se destinen a la actividad

de publicidad o prospección comercial, en cuyo caso, en cada comunicación que

se dirija al interesado se le informará del origen de los datos y de la identidad del

responsable del tratamiento así como de los derechos que le asisten.


Este otro principio de la LOPD se recoge en el artículo 6 de dicha norma.

Este principio se basa en que, salvo que la Ley disponga lo contrario, para poder tratar

datos de carácter personal se requerirá el consentimiento inequívoco del afectado,

pudiendo ser revocado siempre que exista causa justificada para ello, aunque no tendrá

efectos retroactivos.

El consentimiento no será necesario:

� Cuando los datos de carácter personal se recojan para el ejercicio de las

funciones propias de las Administraciones públicas en el ámbito de sus

competencias

� Cuando se refieran a las partes de un contrato o precontrato de una relación

negocial, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento.

� Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital

del interesado.

� Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el responsable

del fichero o por el del tercero a quien se comuniquen los datos, siempre que no

se vulneren los derechos y libertades fundamentales del interesado.

Por “fuente accesible al público” debe entenderse, de conformidad con la definición

contenida en el artículo 3 de la LOPD, “aquellos ficheros cuya consulta puede ser

realizada por cualquier persona, no impedida por una norma limitativa, o sin más

exigencia que, en su caso, el abono de una contraprestación.

43

46

Tienen la consideración de fuentes de acceso público, exclusivamente, el censo

promocional, los repertorios telefónicos en los términos previstos por su normativa

específica y las listas de personas pertenecientes a grupos de profesionales que

contengan únicamente los datos del nombre, título, profesión, actividad, grado

académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el

carácter de fuentes de acceso público, los Datos de Boletines oficiales y los medios de

comunicación.”

Aunque no sea necesario el consentimiento del afectado en los caso anteriores y siempre

que una ley no disponga lo contrario éste podrá oponerse a su tratamiento cuando

existan motivos fundados y legítimos relativos a una concreta situación personal. En tal

supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al

afectado.

Por su parte el artículo 12 del Reglamento recoge los principios generales que deben

informar la obtención de este consentimiento:

�

�

Es obligación del responsable del tratamiento.

La solicitud debe referirse al tratamiento o tratamientos concretos a realizar,

delimitando su finalidad.

� Solicitado el consentimiento para la cesión de datos, el interesado debe ser

informado inequívocamente de la finalidad a la que se destinarán y la actividad a

desarrollar por el cesionario; en otro caso, el consentimiento será nulo.

� La prueba de la existencia del consentimiento del afectado incumbe al


Consentimiento para el Tratamiento de Datos de Menores A este respecto, el Reglamento establece la validez del consentimiento prestado por los

mayores de 14 años; se excepcionan aquellos casos para los que la Ley exija para su

prestación la asistencia del titular de su patria potestad. Para los menores de 14 años es

preceptivo el consentimiento de los padres o tutores.

En todo caso, se prohíbe recabar datos de menores a fin de obtener información sobre el

resto de su grupo familiar, o sobre los datos relativos a las profesiones de sus

progenitores, información económica, datos sociológicos, etc, sin el consentimiento de

éstos.

Siempre será obligación del responsable del fichero o tratamiento garantizar que se ha

comprobado la edad del menor, así como la autenticidad del consentimiento prestado,

en su caso, por los padres, tutores o representantes legales.

44

47

¿Cómo Recabar el Consentimiento?

En cuanto al procedimiento establecido para que el responsable obtenga el

consentimiento (artículo 14 RLOPD), dará comienzo cuando éste se dirija al interesado,

informándole de:

� De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.

� Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean

planteadas.


suministrarlos.


oposición.


representante.

El responsable deberá conceder al afectado un plazo de treinta días para manifestar su

negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se

entenderá que consiente el tratamiento de sus datos de carácter personal.

El medio por el que el interesado pueda comunicar su negativa ha de ser sencillo y

gratuito; cita el Reglamento los envío prefranqueados al responsable del tratamiento, la

llamada a un número gratuito o los servicios de atención al público.

Cuando el responsable del fichero esté prestando al afectado un servicio que genere

información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse

a cabo de forma conjunta a esta información o a la facturación del servicio prestado,

siempre que se realice de forma claramente visible.

Si bien, en todo caso, será necesario que el responsable del tratamiento pueda conocer

si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no

podrá proceder al tratamiento de los datos referidos a ese interesado.

Cuando se solicite el consentimiento del interesado a través del procedimiento

establecido reglamentariamente, no será posible solicitarlo nuevamente respecto de los

mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la

fecha de la anterior solicitud.

No obstante lo anterior, cabe la posibilidad de que el consentimiento sea solicitado en el

marco de una relación contractual para fines no relacionados directamente con la

misma; en dicho caso, se debe permitir que el interesado manifieste de forma expresa su

negativa al tratamiento o comunicación de datos.

45

48

En particular, se entenderá cumplido tal deber cuando se permita al afectado la

marcación de una casilla claramente visible y que no se encuentre ya marcada en el

documento que se le entregue para la celebración del contrato o se establezca un

procedimiento equivalente que le permita manifestar su negativa al tratamiento.

En cuanto a la solicitud del consentimiento para el tratamiento o cesión de los datos de

tráfico, facturación y localización en servicios de comunicaciones electrónicas, o su

revocación, se someterá a lo previsto en su legislación específica y, en todo aquello que

no resulte contrario, a lo previsto en el RLOPD.

¿Cómo Revocar el Consentimiento?

Contempla el apartado 3 del artículo 6 de la Ley, la revocación del consentimiento

cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

A este respecto, establece el Reglamento un sistema similar al de su otorgamiento: un

medio sencillo y gratuito que no implique ingreso alguno para el responsable del fichero

o tratamiento.

En particular, se considerará ajustado al presente reglamento el procedimiento en el que

tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al

responsable del tratamiento o la llamada a un número telefónico gratuito o a los

servicios de atención al público que el mismo hubiera establecido.

No se considerarán válidos los supuestos en que el responsable establezca como medio

para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas

certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que

implique una tarificación adicional al afectado o cualesquiera otros medios que

impliquen un coste adicional al interesado.

Desde que dicha revocación se recibiese, el responsable del fichero o tratamiento

dispone de un plazo de 10 días para cesar en el tratamiento de los datos. Además, tiene

la obligación de bloquear los datos conforme establece el artículo 16.3 de la LOPD.

Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmación

del cese en el tratamiento de sus datos, éste deberá responder expresamente a la

solicitud.

A su vez, si los datos hubieran sido cedidos previamente, el responsable del tratamiento,

una vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo de

diez días, para que éstos, cesen en el tratamiento de los datos en caso de que aún lo

mantuvieran.

46

49


El artículo 7 de la LOPD se refiere a los datos especialmente protegidos, remitiendo el

apartado 1 de este artículo al apartado 2 del artículo 16 de nuestra Constitución, al

afirmar que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá

al interesado acerca de su derecho a no prestarlo.

El apartado 2 del artículo 7 de la LOPD contempla que sólo con el consentimiento del

afectado, manifestado de forma expresa y por escrito, podrán ser objeto de tratamiento

los datos de carácter personal relativos a:

�

�

�

�

La ideología.

La afiliación sindical.

La religión.

Las creencias.

Se señala la excepción de los ficheros mantenidos por los partidos políticos, sindicatos,

iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras

entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,

en cuanto a los datos relativos a sus miembros o asociados, sin perjuicio de que la

cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida

sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés

general, así lo disponga una ley o el afectado consienta expresamente.

Los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud y

vida sexual podrán ser objeto de tratamiento cuando sea necesario para la prevención o

diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la

gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un

profesional sanitario sujeto al secreto profesional o por otra persona sujeta también a

una obligación de secreto. Estos datos igualmente podrán ser objeto de tratamiento

cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona,

en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su

consentimiento.

Establece el apartado 4 de este artículo la prohibición de los ficheros creados con la

finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología,

afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Los datos de carácter personal relativos a la comisión de infracciones penales o

administrativas, sólo podrán ser incluidos en ficheros de las Administraciones públicas

competentes en los supuestos previstos en las respectivas normas reguladoras.

47

50


Los datos personales relativos a la salud están también especialmente protegidos y su

tratamiento se regula en el artículo 8 de la LOPD, siendo necesario el consentimiento

expreso del afectado para su tratamiento o bien que el tratamiento se realice por razones

de interés general o que así lo disponga una Ley.

Las instituciones y los centros sanitarios públicos y privados y los profesionales

correspondientes podrán proceder al tratamiento de los datos de carácter personal

relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los

mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre

sanidad, sin perjuicio de lo establecido sobre cesión de datos en el artículo 11 de la

LOPD.

La Ley Orgánica de Protección de Datos no contiene un concepto de “datos de salud” a

pesar de referirse de forma expresa a ellos, considerándolos especialmente protegidos y

limitando la posibilidad de su recopilación y cesión.

Por su parte, el Reglamento de desarrollo de la LOPD, define datos de carácter personal

relacionados con la salud como; “las informaciones concernientes a la salud pasada,

presente y futura, física o mental, de un individuo. En particular, se consideran datos

relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y

a su información genética.”

El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa añade

al respecto de los datos relativos a la salud que “debe entenderse que estos datos

comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de

drogas”.


El artículo 9 de la LOPD establece la seguridad de los datos como uno de los principios

de la protección de datos.

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de

los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no

autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos

almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o

del medio físico o natural.

Previene el apartado 2 del artículo 9 que no se registrarán datos de carácter personal en

ficheros que no reúnan las condiciones que se determinen reglamentariamente con

respecto a su integridad y seguridad y a las de los centros de tratamiento, locales,

equipos, sistemas y programas.

48

51

El apartado 3 remite a la vía reglamentaria para establecer los requisitos y condiciones

que deban reunir los ficheros y las personas que intervengan en el tratamiento de los

datos especialmente protegidos.

Por su parte, el RLOPD establece en su Título VIII las medidas de seguridad aplicables al

tratamiento de datos de carácter personal. Para ello establece un primer Capítulo común

a éstas, distinguiendo a continuación las medidas aplicables a ficheros y tratamientos

automatizados y, por otra parte, las medidas aplicables a ficheros y tratamientos no

automatizados.

Estas medidas de seguridad serán objeto de estudio en temas posteriores.

Deber de Secreto

El artículo 10 de la LOPD regula de forma individualizada el deber de secreto de quienes

tratan datos personales, dentro del título II dedicado a los principios de protección de

datos, lo que refleja la importancia que el legislador atribuye al mismo. Este deber de

secreto persigue que los datos personales no puedan conocerse por terceros, salvo

cuando así lo contemple la LOPD, como en los supuestos de comunicación de datos o

acceso a los datos por cuenta de terceros.

Tanto el responsable del fichero como quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al secreto profesional

respecto de los mismos y al deber de guardarlos.

Estas obligaciones continuarán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo.

Movimiento de Datos

La Comunicación de Datos a Terceros

El artículo 11 de la LOPD regula la comunicación de datos.

Sólo podrán ser comunicados los datos de carácter personal a un tercero para el

cumplimiento de fines directamente relacionados con las funciones legítimas del cedente

y del cesionario con el previo consentimiento del interesado. Según el artículo 27 de la

LOPD el responsable del fichero deberá informar a los afectados en el momento en que

realice la primera cesión de datos.

Este consentimiento del interesado no será necesario en los siguientes casos:

�

�

Cuando la cesión está autorizada en una ley.

Cuando se trate de datos recogidos en fuentes accesibles al público.

49

52

� Cuando el tratamiento responda a la libre y legítima aceptación de una relación

jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la

conexión de dicho tratamiento con ficheros de terceros. En este caso la

comunicación sólo será legítima en cuanto se limite a la fidelidad que la

justifique.

� Cuando la comunicación tenga por destinatario el Defensor del Pueblo, al

Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el

ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación tenga como

destinatario a instituciones autonómicas con funciones análogas al Defensor del

Pueblo o al Tribunal de Cuentas.

� Cuando la cesión tenga lugar entre Administraciones públicas y tenga por objeto

el tratamiento posterior de los datos con fines históricos, estadísticos o

científicos.

� Tampoco cuando la cesión de datos de carácter personal relativos a la salud sea

necesaria para solucionar una urgencia que requiera acceder a un fichero o para

realizar los estudios epidemiológicos en los términos establecidos en la

legislación sobre la sanidad estatal o autonómica.

El apartado 3 decreta la nulidad del consentimiento para la comunicación de datos de

carácter personal a un tercero cuando la información que se facilite al interesado no le

permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o

el tipo de actividad de aquel a quien se pretenden comunicar.

El apartado 4 previene la irrevocabilidad del consentimiento para la comunicación de los

datos de carácter personal.

Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho

de la comunicación, a la observancia de las disposiciones de la LOPD.

El apartado 6 establece que no será aplicable lo dispuesto en los apartados anteriores si

la comunicación se efectúa previo procedimiento de disociación.

El Acceso a los Datos por Cuenta de Terceros

El acceso a los datos por cuenta de terceros está regulado en el artículo 12 de la LOPD.

Lo primero que nos aclara este artículo es que no se considerará comunicación de datos

el acceso de un tercero a los datos cuando éste sea necesario para la prestación de un

servicio al responsable del tratamiento.

50

53

La realización de tratamientos por cuenta de terceros deberá estar regulada en un

contrato. Este contrato deberá constar por escrito o en alguna otra forma que permita

acreditar su celebración y contenido, estableciéndose expresamente los siguientes

aspectos:

� El encargado del tratamiento únicamente tratará los datos conforme a las

instrucciones del responsable del tratamiento.

� El encargado del tratamiento no los aplicará o utilizará los datos con fin distinto al

que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación,

a otras personas.

� Las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el

encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser

destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o

documentos en que conste algún dato de carácter personal objeto del tratamiento.

El artículo 22 del Reglamento añade que no procederá la destrucción de los datos

cuando exista una previsión legal que exija su conservación, en cuyo caso deberá

procederse a la devolución de los mismos garantizando el responsable del fichero dicha

conservación.

El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto

pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

En el supuesto de que el encargado del tratamiento destine los datos a otra finalidad, los

utilice o los comunique incumpliendo lo establecido en el contrato, será considerado

también responsable del tratamiento, respondiendo de las infracciones en que hubiera

incurrido personalmente.

No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa

indicación expresa del responsable, comunique los datos a un tercero designado por

aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto

en el presente capítulo.

La Subcontratación de Servicios

El encargado del tratamiento no podrá subcontratar con un tercero la realización de

ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo

que hubiera obtenido de éste autorización para ello.

En este caso, la contratación se efectuará siempre en nombre y por cuenta del


51

54

No obstante, será posible la subcontratación sin necesidad de autorización siempre y

cuando se cumplan los siguientes requisitos:

� Que se especifiquen en el contrato los servicios que puedan ser objeto de

subcontratación y, si ello fuera posible, la empresa con la que se vaya a

subcontratar.

� Cuando no se identificase en el contrato la empresa con la que se vaya a

subcontratar, será preciso que el encargado del tratamiento comunique al

responsable los datos que la identifiquen antes de proceder a la subcontratación.

� Que el tratamiento de datos de carácter personal por parte del subcontratista se

ajuste a las instrucciones del responsable del fichero.

� Que el encargado del tratamiento y la empresa subcontratista formalicen el

contrato, en los términos previstos en el artículo anterior.

En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de

aplicación lo previsto en el artículo 20.3 del reglamento de desarrollo de la LOPD.

Transferencia Internacional de Datos

Este aspecto está regulado tanto en la LOPD (Título V: Movimiento internacional de

datos) como en el Reglamento (Título VI: Transferencias internacionales de datos).

El artículo 33 de la LOPD establece que no podrán realizarse transferencias temporales ni

definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan

sido recogidos para someterlos a dicho tratamiento con destino a países que no

proporcionen un nivel de protección equiparable al que presta la LOPD, salvo que,

además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del

Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se

obtienen garantías adecuadas.

La AEPD es la encargada de evaluar el carácter adecuado de los niveles de protección de

cada país, tomando en consideración los siguientes aspectos:

�

�

�

�

La naturaleza de los datos

La finalidad y la duración del tratamiento o de los tratamientos previstos.

El país de origen y el país de destino final.

Las normas de derecho, generales o sectoriales, vigentes en el país tercero de

que se trate.

�

�

El contenido de los informes de la Comisión de la Unión Europea.

Las normas profesionales y las medidas de seguridad en vigor en dichos países.

52

55

Si bien, en los siguientes casos no se aplicará todo lo anterior:

� Cuando la transferencia internacional de datos de carácter personal resulte de la

aplicación de tratados o convenios en los que sea parte España.

� Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial

internacional.

� Cuando la transferencia sea necesaria para la prevención o para el diagnóstico

médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión

de servicios sanitarios.

�

�

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia

prevista.

� Cuando la transferencia sea necesaria para la ejecución de un contrato entre el

afectado y el responsable del fichero o para la adopción de medidas

precontractuales adoptadas a petición del afectado.

� Cuando la transferencia sea necesaria para la celebración o ejecución de un

contrato celebrado o por celebrar, en interés del afectado, por el responsable del

fichero y un tercero.

� Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda

de un interés público. Tendrá esta consideración la transferencia solicitada por

una Administración fiscal o aduanera para el cumplimiento de sus competencias.

� Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de

un derecho en un proceso judicial.

� Cuando la transferencia se efectúe, a petición de persona con interés legítimo,

desde un Registro público y aquélla sea acorde con la finalidad del mismo.

� Cuando la transferencia tenga como destino un Estado miembro de la Unión

Europea, o un Estado respecto del cual la Comisión de las Comunidades

Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un

nivel de protección adecuado.

53

56

57

Ley de Protección

de Datos

Ejercicio de Derechos

�

�

�

�

�

�

�

�

�

Introducción


Derecho a que le sea Recabado su Consentimiento.

Derechos ARCO





Derechos de Abonados y Usuarios de Comunicaciones

Electrónicas

� Derechos de los Destinatarios de Servicios de Comunicaciones

Electrónicas

� Tutela de los Derechos

Objetivos:

� Familiarizarse con los derechos ARCO (Acceso, rectificación,

cancelación y oposición).

�

�

Identificar el contenido y alcance de cada uno de ellos.

Conocer el resto de derechos y los mecanismos de tutela

relacionados con la protección de datos de carácter personal.

59

tema 4

60

Introducción

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal (LOPD) establece en el Título III los derechos de las personas en relación con el

tratamiento de sus datos personales. Estos derechos y otros contenidos en la legislación

sobre protección de datos son:

�

�

�

�

�

�

�

�

�

�

�

�

Derecho a la información.

Derecho de acceso.

Derecho de rectificación.

Derecho de cancelación.

Derecho de oposición.

Derecho de indemnización.

Derecho de consulta al Registro General de Protección de Datos.

Derecho de impugnación de valoraciones.

Derecho de exclusión de guías telefónicas.

Derecho a no recibir publicidad no deseada.

Derecho de abonados y usuarios de servicios de telecomunicaciones.

Derecho de los destinatarios de servicios de comunicaciones electrónicas.

El ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) es

personalísimo, es decir, deben ser ejercidos directamente por los interesados o sus

representantes legales ante cada uno de los responsables de los ficheros. Estos

derechos también podrán ejercitarse a través de un representante voluntario, designado

expresamente para el ejercicio del derecho. A su vez, los derechos de acceso,

rectificación, cancelación y oposición son derechos independientes, de tal forma que no

puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el

ejercicio de otro.

El responsable del fichero o tratamiento deberá atender la solicitud de acceso,

rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no

hubiese utilizado el procedimiento establecido específicamente al efecto por aquél,

siempre que el interesado haya utilizado un medio que permita acreditar el envío y la

recepción de la solicitud, y que ésta contenga los elementos siguientes:

61

61

� Nombre y apellidos del interesado; fotocopia de su documento nacional de

identidad, o de su pasaporte u otro documento válido que lo identifique y, en su

caso, de la persona que lo represente, o instrumentos electrónicos equivalentes;

así como el documento o instrumento electrónico acreditativo de tal

representación.

La utilización de firma electrónica identificativa del afectado eximirá de la

presentación de las fotocopias del DNI o documento equivalente.

� El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a

la comprobación de datos de identidad por las Administraciones Públicas en los

procedimientos administrativos.

�

�

�

Petición en que se concreta la solicitud.

Dirección a efectos de notificaciones, fecha y firma del solicitante.

Documentos acreditativos de la petición que formula, en su caso.

En los casos en los que la solicitud no reúna estos requisitos, el responsable del fichero

deberá solicitar la subsanación de los mismos. Establece el Reglamento la obligatoriedad

de respuesta para el responsable del tratamiento tanto en el caso de que en sus ficheros

figuren los datos del afectado como en el supuesto de que no figuren.

El ejercicio de los derechos será mediante medios sencillos y gratuitos, de ahí que se

considere contraria a lo dispuesto en la Ley la exigencia de envío de cartas certificadas o

medios similares, así como servicios de telecomunicaciones que impliquen una

tarificación adicional al afectado.

En aquellos supuestos en los que el responsable del fichero o tratamiento disponga de

servicios de atención al público o para el ejercicio de reclamaciones, éstos deberán

ponerse a disposición del afectado para el ejercicio de sus derechos. Y, aún en el

supuesto de que el afectado eligiere otro modo de ejercicio de éstos diferente al ofertado

por el responsable del fichero o tratamiento, su solicitud ha de ser atendida en todo

caso.

Por último, cuando los afectados ejercitasen sus derechos ante un encargado del

tratamiento, éste tiene la obligación de dar traslado de la solicitud al responsable, a fin

de que sea resuelta por éste.

62

62


Se trata de uno de los principio de la protección de datos. Si se van a registrar y tratar

datos de carácter personal será necesario informar a los interesados a través del medio

que se utilice para recogida de los mismos.

El artículo 5 de la LOPD regula este derecho de los afectados y nos dice que aquellos

interesados a los que se soliciten datos personales deberán ser previamente informados

de modo expreso, preciso e inequívoco:

� De la existencia de un fichero de tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.

� Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean

planteadas.


suministrarlos.


oposición.


representante.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los

mismos, en forma claramente legible estas advertencias.

Derecho a que le Sea Recabado su Consentimiento

La LOPD establece en su artículo 6 que el tratamiento de los datos personales requiere el

consentimiento inequívoco del afectado.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de

tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como

de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste

deberá ser informado de forma que conozca inequívocamente la finalidad a la que se

destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el

tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será

nulo.

63

63

Derechos ARCO

La LOPD dedica los artículos 15, 16 y 17 a los conocidos como

derechos ARCO (Acceso, rectificación, cancelación y oposición).

Por su parte el Reglamento dedica íntegramente el Titulo III a la

regulación de estos derechos.

Como ya hemos visto con anterioridad, el ejercicio de estos

derechos tiene, entre otras, las siguientes características:

�

�

Carácter personalísimo.

Independencia.

DERECHOS ARCO

Acceso

Rectificación

Cancelación

Oposición

Derecho de Acceso

Este derecho está regulado por el artículo 15 de la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal, así como por Capítulo II del

Reglamento, que reconocen el derecho del afectado a solicitar y obtener gratuitamente

información sobre:

�

�

�

�

Sus datos de carácter personal sometidos a tratamiento.

El origen de dichos datos.

Las comunicaciones realizadas o que se prevén hacer de los mismos.

La finalidad del tratamiento.

Es decir, se entiende este derecho, como la facultad o capacidad que se reconoce al

interesado de recabar información de cada una de las empresas u organismo público

sobre los datos de carácter personal sometidos a tratamiento, sobre el origen de los

mismos y sobre las cesiones o comunicaciones realizadas o que se prevean realizar.

La información podrá obtenerse mediante la mera consulta de los datos por medio de su

visualización, o la indicación de los datos que son objeto de tratamiento mediante

escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin

utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, o

bien, por correo electrónico u otros sistemas de comunicaciones electrónicas y cualquier

otro sistema que sea adecuado a la configuración o implantación material del fichero o a

la naturaleza del tratamiento, ofrecido por el responsable.

El derecho de acceso es personalísimo y se ejercerá mediante solicitud o petición,

formulada mediante cualquier medio que garantice la identificación del afectado (DNI. o

documento análogo) y en la que conste el fichero o ficheros a consultar. Esta petición, a

su vez, deberá contener el domicilio a efectos de notificaciones, fecha y firma del

solicitante.

64

64

El ejercicio del derecho de acceso sólo podrá ejercerse a intervalos no inferiores a doce

meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá

ejercitarse antes.

El artículo 29 del Reglamento dispone que el responsable del fichero resuelva sobre la

solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la

misma. Transcurrido el plazo sin que de forma expresa se responda a la petición de

acceso, el interesado podrá ponerlo en conocimiento de la Agencia Española de

Protección de Datos o, en su caso, del organismo competente de cada Comunidad

Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.

Con el fin de evitar posibles reclamaciones ante la Agencia Española de Protección de

Datos, por vencimiento del plazo indicado sin resolución alguna, el responsable del

fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren, o

no, datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que

permita acreditar el envío y la recepción.

La información que se proporcione, cualquiera que sea el soporte en que fuere facilitada,

se dará en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de

dispositivos mecánicos específicos y comprenderá todos los datos de base del afectado,

los resultantes de cualquier elaboración o proceso informático, así como la información

disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación

de los concretos usos y finalidades para los que se almacenaron los datos.

Si, estimada la solicitud, no se acompaña a su comunicación la información pretendida,

el acceso se hará efectivo durante los 10 siguientes a la misma.

No obstante, cabe la posibilidad de que nuestra solicitud de acceso sea denegada, lo

cual sucederá si hemos ejercitado nuestro derecho en los doce meses anteriores, si bien

como excepción a ello, se nos permite alegar un interés legítimo al efecto.

Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley o una

norma de derecho comunitario de aplicación directa o cuando éstas impidan al

responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que

se refiera el acceso.

En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la

tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades

de control de las comunidades autónomas.

La Ley considera el derecho de acceso como independiente respecto de los derechos de

rectificación y cancelación, de tal forma que no puede entenderse el ejercicio de ninguno

de ellos como requisito previo para el ejercicio de otro.

El Reglamento establece una serie de disposiciones aplicables a determinados ficheros

de titularidad privada. Así, con respecto a los ficheros de información sobre solvencia

patrimonial y crédito, dispone el artículo 44 del citado Texto que el ejercicio del derecho

de acceso, respecto de la inclusión de datos del afectado, debe tener en cuenta las

siguientes reglas:

65

65

� Si la solicitud se dirigiera al titular del fichero común, éste deberá comunicar al

afectado todos los datos relativos al mismo que obren en el fichero. En este caso,

el titular del fichero común deberá, además de dar cumplimiento a lo establecido

en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el

afectado se hayan comunicado en los últimos seis meses y el nombre y dirección

de los cesionarios.

� Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema,

deberá comunicar al afectado todos los datos relativos al mismo a los que ella

pueda acceder, así como la identidad y dirección del titular del fichero común

para que pueda completar el ejercicio de su derecho de acceso.

Respecto de aquellos ficheros para actividades de publicidad y prospección comercial, el

artículo 50 del Reglamento establece que habrá que tener en cuenta que si el derecho se

ejercitase ante una entidad que hubiese encargado a un tercero la realización de una

campaña publicitaria, la misma estará obligada a comunicar la solicitud al responsable

del fichero en el plazo de 10 días, a fin de que en el mismo se otorgue al afectado su

derecho.

Derecho de Rectificación


diciembre, de Protección de Datos de Carácter Personal y se define en el artículo 31 del

Reglamento como el derecho del afectado a que se modifiquen los datos que resulten

ser inexactos o incompletos.

El ejercicio de este derecho es personalísimo, por lo que el titular de los datos deberá

dirigirse directamente al responsable del fichero de la entidad de que se trate. Como

hemos visto en los supuestos anteriores deberá utilizar un medio que permita acreditar

el envío y recogida de su solicitud, acompañando copia del DNI.

La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya

de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

El responsable del tratamiento dispone de un plazo de 10 días para hacer efectivo este

derecho. Transcurrido este plazo, sin recibir contestación o si esta resultase

insatisfactoria, el interesado deberá reclamar ante la Agencia de Protección de Datos.

En el caso de que no disponga de datos de carácter personal del afectado deberá

igualmente comunicárselo en el mismo plazo.

Si los datos rectificados hubieran sido cedidos previamente, el responsable del fichero

deberá notificar la rectificación efectuada al cesionario.

Podrá denegarse el derecho de rectificación en los supuestos en que así lo prevea una

ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al



66

66

En cuanto al ejercicio del derecho de rectificación ante ficheros de información sobre

solvencia patrimonial y crédito, el artículo 44 del Reglamento nos indica que han de

tenerse presentes las siguientes reglas:

� Si la solicitud se dirige al titular del fichero común, éste tomará las medidas

oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,

para que ésta la resuelva.

En el caso de que el responsable del fichero común no haya recibido contestación

por parte de la entidad en el plazo de siete días, procederá a la rectificación

cautelar de los mismos.

� Si la solicitud se dirige a quien haya facilitado los datos al fichero común

procederá a la rectificación de los mismos en sus ficheros y a notificarlo al titular

del fichero común en el plazo de diez días, dando asimismo respuesta al

interesado en los términos previstos en el artículo 33 del Reglamento.

� Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera

facilitado al fichero común los datos, dicha entidad informará al afectado sobre

este hecho en el plazo máximo de diez días, proporcionándole, además, la

identidad y dirección del titular del fichero común para, que en su caso, puedan

ejercitar sus derechos ante el mismo.


artículo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se




derecho.

Derecho de Cancelación


diciembre, de Protección de Datos de Carácter Personal y se concreta en el artículo 31

del Reglamento, que nos dice que el ejercicio del derecho de cancelación dará lugar a

que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del

deber de bloqueo conforme a este reglamento.

A su vez serán cancelados, en su caso, los datos de carácter personal cuyo tratamiento

no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten

inexactos o incompletos.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a

disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de

las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción

de éstas. Cumplido el citado plazo deberá procederse a la supresión.

67

67

Para ejercer el derecho de cancelación el titular de los datos deberá dirigirse por escrito

al responsable del fichero de la entidad de que se trate indicando a que datos se refiere

y, acompañando dicho escrito con una copia del DNI del solicitante, siendo necesario

utilizar cualquier medio que permita acreditar el envío y la recogida de su solicitud.

El responsable del tratamiento dispone de un plazo de 10 días para hacer efectivo este

derecho. Transcurrido este plazo, sin recibir contestación o si esta resultase

insatisfactoria, el interesado deberá reclamar ante la Agencia de Protección de Datos.

En el caso de que no disponga de datos de carácter personal del afectado deberá

igualmente comunicárselo en el mismo plazo.

Si los datos cancelados hubieran sido cedidos previamente, el responsable del fichero

deberá notificar la cancelación efectuada al cesionario.

Podrá denegarse el derecho de cancelación en los supuestos en que así lo prevea una

ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al



A su vez, la cancelación no procederá cuando los datos de carácter personal deban ser

conservados durante los plazos previstos en las disposiciones aplicables o, en su caso,

en las relaciones contractuales entre la persona o entidad responsable del tratamiento y

el interesado que justificaron el tratamiento de los datos.

El afectado al que se deniegue este derecho podrá ponerlo en conocimiento del Director

de la Agencia Española de Protección de Datos, que se asegurará de la procedencia o

improcedencia de la denegación.

En cuanto al ejercicio del derecho de oposición ante ficheros de información sobre

solvencia patrimonial y crédito, el artículo 44 del Reglamento nos indica que han de

tenerse presentes las siguientes reglas:

� Si la solicitud se dirige al titular del fichero común, éste tomará las medidas

oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,

para que ésta la resuelva. En el caso de que el responsable del fichero común no

haya recibido contestación por parte de la entidad en el plazo de siete días,

procederá a la cancelación cautelar de los mismos.

� Si la solicitud se dirige a quien haya facilitado los datos al fichero común

procederá a la cancelación de los mismos en sus ficheros y a notificarlo al titular

del fichero común en el plazo de diez días, dando asimismo respuesta al

interesado en los términos previstos en el artículo 33 del Reglamento.

� Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera

facilitado al fichero común los datos, dicha entidad informará al afectado sobre

este hecho en el plazo máximo de diez días, proporcionándole, además, la

identidad y dirección del titular del fichero común para, que en su caso, puedan

ejercitar sus derechos ante el mismo.

68

68


artículo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se




derecho.

Derecho de Oposición

Los titulares de los datos de carácter personal podrán instar la oposición al tratamiento

automatizado de estos datos de conformidad con lo previsto por el artículo 6 de la

LOPD.

El artículo 34 del Reglamento define el derecho de oposición como el derecho del

afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se

cese en el mismo en los siguientes supuestos:

� Cuando no sea necesario su consentimiento para el tratamiento, como

consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su

concreta situación personal, que lo justifique, siempre que una Ley no disponga

lo contrario.

� Cuando se trate de ficheros que tengan por finalidad la realización de actividades

de publicidad y prospección comercial, en los términos previstos en el artículo 51

del Reglamento, cualquiera que sea la empresa responsable de su creación.

� Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al

afectado y basada únicamente en un tratamiento automatizado de sus datos de

carácter personal, en los términos previstos en el artículo 36 del Reglamento.

El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del

fichero. Cuando la oposición se fundamente en el supuesto que no sea necesario el

consentimiento para el tratamiento, en la solicitud constarán los motivos fundados y

legítimos, relativos a la situación personal del afectado, y que sirven de base a este

derecho.

Las solicitudes serán resueltas en el plazo de 10 días, a contar desde la recepción de la

solicitud. Transcurrido dicho plazo sin que la misma haya sido notificada, el afectado

podrá interponer la reclamación que prevé el artículo 18 de la LOPD. En el caso de que

no disponga de datos de carácter personal de los afectados deberá igualmente

comunicárselo en el mismo plazo.

El responsable del fichero o tratamiento deberá excluir del tratamiento los datos

relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la

solicitud del interesado en el plazo previsto de 10 días.

69

69

Establece el artículo 36 del Reglamento el derecho de oposición que asiste a los

interesados de no verse sometidos a una decisión con efectos jurídicos sobre ellos o que

les afecte de forma significativa, basada únicamente en le tratamiento automatizado de

datos destinado a evaluar determinados aspectos de su personalidad, tales como su

rendimiento laboral, crédito, fiabilidad o conducta.

En lo que respecta a tratamientos para actividades de publicidad y prospección

comercial, dispone el artículo 51 del Reglamento que los interesados tendrán derecho a

oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan,

en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que

sobre ellos figuren en aquél, a su simple solicitud.

Esta oposición deberá entenderse sin perjuicio del derecho del interesado a revocar

cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su caso, para

el tratamiento de los datos.

Dispone el Reglamento que para el ejercicio de este derecho el afectado debe contar con

un medio sencillo y gratuito para oponerse al tratamiento, citando el correo electrónico o

la llamada a un número de teléfono gratuito.

Si el derecho de oposición se ejercitase ante una entidad que hubiera encomendado a

un tercero la realización de una campaña publicitaria, aquélla estará obligada, en el

plazo de 10 días, desde la recepción de la comunicación de la solicitud de ejercicio de

derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el

mismo atienda el derecho del afectado en el plazo de diez días desde la recepción de la

comunicación, dando cuenta de ello al afectado.


El artículo 19 de la LOPD establece que los interesados que, como consecuencia del

incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del

tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser

indemnizados.

A estos efectos, la Agencia de Protección de Datos no tiene capacidad para fijar dicha

indemnización, por lo que se deberá plantear su reclamación tal y como establece el

artículo 19 de la Ley:

� En el caso de ficheros de titularidad pública, la responsabilidad se exigirá de

acuerdo con la legislación reguladora del régimen de responsabilidad de las

Administraciones Públicas.

� En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los

órganos de la jurisdicción ordinaria

70

70


El artículo 13 de la LOPD establece que, los ciudadanos tienen derecho a no verse

sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecten de manera

significativa, que se base únicamente en un tratamiento de datos destinados a evaluar a

determinados aspectos de su personalidad.

Por lo tanto, el afectado podrá impugnar los actos administrativos o decisiones privadas

que impliquen una valoración de su comportamiento, cuyo único fundamento sea un

tratamiento de datos de carácter personal que ofrezca una definición de sus

características o personalidad.

En este caso el afectado tiene derecho a ser informado por el responsable del fichero a

cerca de los criterios de valoración y el programa utilizado en el tratamiento por el cual

se adoptó tal decisión.

La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de

datos, únicamente podrá tener valor probatorio a petición del afectado.

No obstante, los afectados podrán verse sometidos a una de estas decisiones con

efectos jurídicos cuando dicha decisión:

� Se haya adoptado en el marco de la celebración o ejecución de un contrato a

petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que

estimara pertinente, a fin de defender su derecho o interés. En todo caso, el

responsable del fichero deberá informar previamente al afectado, de forma clara y

precisa, de que se adoptarán estas decisiones y cancelará los datos en caso de

que no llegue a celebrarse finalmente el contrato.

� Esté autorizada por una norma con rango de Ley que establezca medidas que

garanticen el interés legítimo del interesado.


De conformidad con lo establecido en el artículo 3.j de la LOPD, los datos telefónicos

básicos que figuran en los repertorios telefónicos se consideran accesibles al público,

pudiendo recabarse los mismos sin el consentimiento expreso del interesado.

Por lo tanto, para que los datos personales de un afectado no aparezcan en los

repertorios telefónicos, éste deberá manifestar el deseo de que sus datos sean excluidos

de los mismos.

Dicha solicitud debe hacerse efectiva en la edición siguiente a cuando se haya instado,

si se trata de formato papel, y en el plazo de 10 días si se trata de soportes electrónicos.

Las fuentes de acceso público que se editen en forma de libro o algún otro soporte

físico, perderán el carácter de fuente accesible con la nueva edición que se publique, es

decir, las guías telefónicas de años anteriores no se considerarían fuentes accesibles.

71

71


El artículo 30 de la LOPD regula este derecho en el siguiente sentido:

� Quienes se dediquen a la recopilación de direcciones, reparto de documentos,

publicidad, venta a distancia, prospección comercial y otras actividades análogas,

utilizarán nombres y direcciones u otros datos de carácter personal cuando los

mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados

por los propios interesados u obtenidos con su consentimiento.

� Cuando los datos procedan de fuentes accesibles al público, de conformidad con

lo establecido en el párrafo segundo del artículo 5.5 de la LOPD, en cada

comunicación que se dirija al interesado se informará del origen de los datos y de

la identidad del responsable del tratamiento, así como de los derechos que le

asisten.

� En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el

origen de sus datos de carácter personal, así como del resto de información a que

se refiere el artículo 15 de la LOPD.

� Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al

tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja

del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél,

a su simple solicitud.

Derechos de Abonados y Usuarios de Comunicaciones

Electrónicas

Según el artículo 38 de la Ley General de Telecomunicaciones, los abonados a los

servicios de comunicaciones electrónicas tienen los siguientes derechos:

� A que se hagan anónimos o se cancelen sus datos de tráfico cuando ya no sean

necesarios a los efectos de la transmisión de una comunicación.

Los datos de tráfico necesarios a efectos de la facturación de los abonados y los

pagos de las interconexiones podrán ser tratados únicamente hasta que haya

expirado el plazo para la impugnación de la factura del servicio o para que el

operador pueda exigir su pago.

� A que sus datos de tráfico sean utilizados con fines comerciales o para la

prestación de servicios de valor añadido únicamente cuando hubieran prestado

su consentimiento previo informado para ello.

� A recibir facturas no desglosadas cuando así lo solicitasen.

72

72

� A que sólo se proceda al tratamiento de sus datos de localización distintos a los

datos de tráfico cuando se hayan hecho anónimos o previo su consentimiento

informado y únicamente en la medida y por el tiempo necesarios para la

prestación, en su caso, de servicios de valor añadido, con conocimiento

inequívoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y

duración del mismo y el servicio de valor añadido que vaya a ser prestado.

� A detener el desvío automático de llamadas efectuado a su terminal por parte de

un tercero.

� A impedir, mediante un procedimiento sencillo y gratuito, la presentación de la

identificación de su línea en las llamadas que genere o la presentación de la

identificación de su línea al usuario que le realice una llamada.

� A impedir, mediante un procedimiento sencillo y gratuito, la presentación de la

identificación de la línea de origen en las llamadas entrantes y a rechazar las

llamadas entrantes en que dicha línea no aparezca identificada.

� A no recibir llamadas y comunicaciones automáticas sin intervención humana, o

mensajes de fax con fines de venta directa sin haber prestado su consentimiento

previo e informado para ello.

Los usuarios de los servicios de comunicaciones electrónicas que no tengan la

condición de abonados tendrán asimismo los derechos reconocidos en los párrafos a, b,

d y en el primer inciso del párrafo f.

Los usuarios finales no podrán ejercer los derechos reconocidos en los párrafos d y f

cuando se trate de llamadas efectuadas a entidades que presten servicios de llamadas

de urgencia que se determinen reglamentariamente, en especial a través del número

112.

Del mismo modo, y por un período de tiempo limitado, los usuarios finales no podrán

ejercer el derecho reconocido en el párrafo f cuando el abonado a la línea de destino

haya solicitado la identificación de las llamadas maliciosas o molestas realizadas a su

línea.

Derechos de los Destinatarios

Comunicaciones Electrónicas

de Servicios de

Estos se regulan por los artículos 21 y 22 de la Ley de Servicios de la Sociedad de la

Información y de Comercio Electrónico, conforme a la redacción dada por la Disposición

Final Primera de la Ley 32/2003, General de Telecomunicaciones.

Estos derechos son los siguientes:

73

73

� Queda prohibido el envío de comunicaciones publicitarias o promocionales por

correo electrónico u otro medio de comunicación electrónica equivalente que

previamente no hubieran sido solicitadas o expresamente autorizadas por los

destinatarios de las mismas. Éste precepto no será de aplicación cuando exista

una relación contractual previa, siempre que el prestador hubiera obtenido de

forma lícita los datos de contacto del destinatario y los empleara para el envío de

comunicaciones comerciales referentes a productos o servicios de su propia

empresa que sean similares a los que inicialmente fueron objeto de contratación

con el cliente.

� En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de

oponerse al tratamiento de sus datos con fines promocionales mediante un

procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos

como en cada una de las comunicaciones comerciales que le dirija. Cuando las

comunicaciones hubieran sido remitidas por correo electrónico, dicho medio

deberá consistir necesariamente en la inclusión de una dirección electrónica

válida donde pueda ejercitarse este derecho, quedando prohibido el envío de

comunicaciones que no incluyan dicha dirección.

� El destinatario podrá revocar en cualquier momento el consentimiento prestado a

la recepción de comunicaciones comerciales con la simple notificación de su

voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar

procedimientos sencillos y gratuitos para que los destinatarios de servicios

puedan revocar el consentimiento que hubieran prestado. Cuando las

comunicaciones hubieran sido remitidas por correo electrónico dicho medio

deberá consistir necesariamente en la inclusión de una dirección electrónica

válida donde pueda ejercitarse este derecho quedando prohibido el envío de

comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar

información accesible por medios electrónicos sobre dichos procedimientos.

� Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y

recuperación de datos en equipos terminales de los destinatarios, a condición de

que los mismos hayan dado su consentimiento después de que se les haya

facilitado información clara y completa sobre su utilización, en particular, sobre

los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del

destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el

uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre

que aquél deba proceder a su configuración durante su instalación o

actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el

posible almacenamiento o acceso de índole técnica al solo fin de efectuar la

transmisión de una comunicación por una red de comunicaciones electrónicas o,

en la medida que resulte estrictamente necesario, para la prestación de un

servicio de la sociedad de la información expresamente solicitado por el

destinatario.

74

74

Tutela de los Derechos

Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de reclamación

por los interesados ante la Agencia Española de Protección de Datos.

El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de

oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la

Agencia Española de Protección de Datos o, en su caso, del organismo competente de

cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia

de la denegación.

En este caso, el plazo máximo en que debe dictarse la resolución expresa de tutela de

derechos será de seis meses.

Contra las resoluciones de la Agencia Española de Protección de Datos procederá

recurso contencioso-administrativo.

75

75

Ley de Protección

de Datos

Medidas de Seguridad

�

�

�

�

�

�

Introducción






Objetivos:

�

�

Conocer el contenido del documento de seguridad.

Diferenciar los distintos niveles de medidas de seguridad y su

aplicación.

� Familiarizarse con el modelo de documento de seguridad de la

Agencia Española de Protección de Datos.

81

tema 5

77

Introducción

El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal establece

que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán

adoptar las medidas de índole técnica y organizativas necesarias que garanticen la

seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o

acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los

datos almacenados y los riesgos a que están expuestos, ya provengan de la acción

humana o del medio físico o natural.

No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

determinadas por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

Igualmente se apela al desarrollo reglamentario de los requisitos y condiciones que

deben reunir los ficheros y las personas que intervengan en el tratamiento de los datos a

los que alude el artículo 7 de la misma Ley: datos especialmente protegidos.


En desarrollo del artículo 9 de la LOPD, el nuevo reglamento establece que el

responsable del fichero o tratamiento elaborará un documento de seguridad que

recogerá las medidas de índole técnica y organizativa acordes a la normativa de

seguridad vigente que será de obligado cumplimiento para el personal con acceso a los

sistemas de información.

El documento de seguridad podrá ser único y comprensivo de todos los ficheros o

tratamientos, o bien individualizado para cada fichero o tratamiento.

También podrán elaborarse distintos documentos de seguridad agrupando ficheros o

tratamientos según el sistema de tratamiento utilizado para su organización, o bien

atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de

documento interno de la organización.

Este documento de seguridad deberá cumplir una mayor o menor cantidad de requisitos

para garantizar la confidencialidad y la integridad de la información en función del tipo

de datos que contenga el fichero. Es decir, el nivel de seguridad de este documento

variará en función de la naturaleza de los datos.


El artículo 80 del Reglamento establece 3 niveles de seguridad: básico, medio y alto. Las

medidas establecidas para cada uno de los ficheros o tratamiento tienen la condición de

mínimos exigibles.

83

78

Nivel Básico

Este nivel de seguridad se aplica a todos aquellos ficheros que incluyan datos de

carácter personal.

Nivel Medio

Este nivel de seguridad se aplica en los siguientes ficheros o tratamientos de datos de

carácter personal:

�

�

Los relativos a la comisión de infracciones administrativas o penales.

Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica

15/1999, de 13 de diciembre (prestación de servicios sobre solvencia patrimonial

y de crédito).

� Aquellos de los que sean responsables Administraciones tributarias y se

relacionen con el ejercicio de sus potestades tributarias.

� Aquéllos de los que sean responsables las entidades financieras para finalidades

relacionadas con la prestación de servicios financieros.

� Aquéllos de los que sean responsables las Entidades Gestoras y Servicios

Comunes de la Seguridad Social y se relacionen con el ejercicio de sus

competencias. De igual modo, aquellos de los que sean responsables las mutuas

de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

� Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan

una definición de las características o de la personalidad de los ciudadanos y que

permitan evaluar determinados aspectos de la personalidad o del

comportamiento de los mismos.

A estos ficheros también se les aplicarán las medidas de seguridad del nivel básico.

Nivel Alto

Este nivel de seguridad se aplica a los siguientes ficheros o tratamientos de datos de

carácter personal:

� Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,

origen racial, salud o vida sexual.

� Los que contengan o se refieran a datos recabados para fines policiales sin

consentimiento de las personas afectadas.

� Aquéllos que contengan datos derivados de actos de violencia de género.

84

79

A estos ficheros también se les aplicarán las medidas de seguridad de nivel básico y

medio. A los ficheros de los que sean responsables los operadores que presten servicios

de comunicaciones electrónicas disponibles al público o exploten redes públicas de

comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización,

se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de

seguridad de nivel alto contenida en el artículo 103 de este reglamento, relativa al

registro de acceso.

En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,

creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de

seguridad de nivel básico cuando:

� Los datos se utilicen con la única finalidad de realizar una transferencia dineraria

a las entidades de las que los afectados sean asociados o miembros.

� Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se

contengan aquellos datos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o

tratamientos que contengan datos relativos a la salud, referentes exclusivamente al

grado de discapacidad o la simple declaración de la condición de discapacidad o

invalidez del afectado, con motivo del cumplimiento de deberes públicos.


El artículo 88 del Reglamento establece el contenido mínimo de los documentos de

seguridad en función del nivel de seguridad aplicable al fichero.

Documentos de Seguridad de Nivel Básico

El documento de seguridad deberá contener, como mínimo, los siguientes aspectos:

� Ámbito de aplicación del documento: se debe especificar de forma detallada los

recursos que estarán protegidos y a que fichero o ficheros es de aplicación dicho

documento.

� Medidas, normas, procedimientos de actuación, reglas y estándares

encaminados a garantizar el nivel de seguridad exigido: se detallarán aquellas

medidas y procedimientos que el responsable del fichero va a aplicar para cumplir

las medidas de seguridad exigidas.

� Funciones y obligaciones del personal en relación con el tratamiento de los datos

de carácter personal incluidos en los ficheros.

� Estructura de los ficheros con datos de carácter personal y descripción de los

sistemas de información que los tratan: se especificará la estructura interna de

cada fichero y la descripción del contenido de los ficheros, soportes y equipos

que se empleen para el almacenamiento y tratamiento de datos.

85

80

�

�

Procedimiento de notificación, gestión y respuesta ante las incidencias.

Procedimientos de realización de copias de respaldo y de recuperación de los

datos en los ficheros o tratamientos automatizados.

� Las medidas que sea necesario adoptar para el transporte de soportes y

documentos, así como para la destrucción de los documentos y soportes, o en su

caso, la reutilización de estos últimos.

Documentos de Seguridad de Nivel Medio y Alto

En los documentos de seguridad de nivel medio y alto, además de todos los contenidos

aplicables a los documentos de seguridad de nivel básico, se debe incluir:

�

�

La identificación del responsable o responsables de seguridad.

Los controles periódicos que se deban realizar para verificar el cumplimiento de lo

dispuesto en el propio documento.

Otros Contenidos

En el caso de que exista un tratamiento de datos por cuenta de terceros, el documento

de seguridad deberá contener la identificación de los ficheros o tratamientos que se

traten en concepto de encargado con referencia expresa al contrato o documento que

regule las condiciones del encargo, así como de la identificación del responsable y del

período de vigencia del encargo.

Cuando los datos personales de un fichero o tratamiento se incorporen y traten de modo

exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su

documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de

los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza

del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en

recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al

amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con

especificación de los ficheros o tratamientos afectados.

En tal caso, se atenderá al documento de seguridad del encargado al efecto del

cumplimiento de lo dispuesto por este reglamento.

El documento de seguridad deberá mantenerse en todo momento actualizado y será

revisado siempre que se produzcan cambios relevantes en el sistema de información, en

el sistema de tratamiento empleado, en su organización, en el contenido de la

información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de

los controles periódicos realizados. En todo caso, se entenderá que un cambio es

relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad

implantadas.

El contenido del documento de seguridad deberá adecuarse, en todo momento, a las

disposiciones vigentes en materia de seguridad de los datos de carácter personal.

86

81


Medidas de Seguridad de Nivel Básico

Están reguladas en la Sección I del Capítulo III del Reglamento y son las siguientes:

� Funciones y obligaciones del personal: el personal que tenga acceso a los datos

de carácter personal será informado por el responsable del fichero sobre las

normas de seguridad que afecten al desarrollo de sus funciones, así como de las

consecuencias que se deriven de su incumplimiento. Dichas funciones y

responsabilidades deberán estar claramente definidas en el documento de

seguridad.

� Registro de incidencias: entendiendo como incidencia cualquier anomalía que

afecte o pudiera afectar a la seguridad de los datos, se deberá llevar un registro

de éstas que constará de los siguientes campos:

o

o

o

o

o

o

�

Tipo de incidencia.

Momento en que se ha producido, o en su caso, detectado.

Persona que realiza la notificación.

Persona a la cual se notifica la incidencia.

Efectos derivados de la incidencia.

Medidas correctoras resultantes.

Control de acceso: Los usuarios únicamente tendrán acceso a aquellos recursos

que estrictamente precisen para el desarrollo de sus funciones. Para ello, el

responsable del fichero deberá realizar y mantener actualizada una relación de los

usuarios y perfiles de usuarios, así como de los accesos que los mismos tengan

autorizados. Del mismo modo, será su obligación establecer los mecanismos

oportunos para que los usuarios no puedan acceder a aquellos recursos para los

que no estén autorizados.

De esta forma, sólo el personal autorizado en el documento de seguridad podrá

conocer, alterar o anular el acceso autorizado sobre los recursos. En caso de que

exista personal ajeno al responsable del fichero que tenga acceso a los recursos

deberá estar sometido a las mismas condiciones y obligaciones que el personal

propio.

� Gestión de soportes y documentos: los soportes y documentos que contengan

datos de carácter personal deberán permitir identificar el tipo de información que

contienen, ser inventariados y solo deberán ser accesibles por el personal

autorizado para ello en el documento de seguridad. Se exceptúan estas

obligaciones cuando las características físicas del soporte imposibiliten su

cumplimiento, quedando constancia motivada de ello en el documento de

seguridad.

87

82

La identificación de los soportes que contengan datos de carácter personal que la

organización considerase especialmente sensibles se podrá realizar utilizando

sistemas de etiquetado comprensibles y con significado que permitan a los

usuarios con acceso autorizado a los citados soportes y documentos identificar

su contenido, y que dificulten la identificación para el resto de personas.

En cuanto a los soportes de ficheros no automatizados, el archivo de los soportes

o documentos se realizará de acuerdo con los criterios previstos en su respectiva

legislación. Estos criterios deberán garantizar la correcta conservación de los

documentos, la localización y consulta de la información y posibilitar el ejercicio

de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero

deberá establecer los criterios y procedimientos de actuación que deban seguirse

para el archivo.

Los dispositivos de almacenamiento de los documentos que contengan datos de

carácter personal deberán disponer de mecanismos que obstaculicen su apertura.

Cuando las características físicas de aquéllos no permitan adoptar esta medida, el

responsable del fichero o tratamiento adoptará medidas que impidan el acceso de

personas no autorizadas.

Mientras la documentación con datos de carácter personal no se encuentre

archivada en los dispositivos de almacenamiento establecidos en el artículo

anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior

a su archivo, la persona que se encuentre al cargo de la misma deberá

custodiarla e impedir en todo momento que pueda ser accedida por persona no

autorizada.

� Entrada y salida de soportes: la salida de soportes y documentos que contengan

datos de carácter personal, incluidos los comprendidos y/o anejos a un correo

electrónico, fuera de los locales bajo el control del responsable del fichero o

tratamiento deberá ser autorizada por el responsable del fichero o encontrarse

debidamente autorizada en el documento de seguridad.

En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la

sustracción, pérdida o acceso indebido a la información durante su transporte.

� Destrucción de soportes: siempre que vaya a desecharse cualquier documento o

soporte que contenga datos de carácter personal deberá procederse a su

destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el

acceso a la información contenida en el mismo o su recuperación posterior.

� Identificación y autentificación: el responsable del fichero o tratamiento deberá

adoptar las medidas que garanticen la correcta identificación y autenticación de

los usuarios.

El responsable del fichero o tratamiento establecerá un mecanismo que permita la

identificación de forma inequívoca y personalizada de todo aquel usuario que

intente acceder al sistema de información y la verificación de que está autorizado.

88

83

Cuando el mecanismo de autentificación se base en la existencia de contraseñas

existirá un procedimiento de asignación, distribución y almacenamiento que

garantice su confidencialidad e integridad. Estas contraseñas deberán cambiarse

periódicamente, no pudiéndose mantener las mismas contraseñas durante un

periodo superior a un año. Mientras éstas estén vigentes, se almacenarán de

forma ininteligible.

� Copias de respaldo y recuperación: deberán establecerse procedimientos de

actuación para la realización como mínimo semanal de copias de respaldo, salvo

que en dicho período no se hubiera producido ninguna actualización de los datos.

Asimismo, se establecerán procedimientos para la recuperación de los datos que

garanticen en todo momento su reconstrucción en el estado en que se

encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o

tratamientos parcialmente automatizados, y siempre que la existencia de

documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se

deberá proceder a grabar manualmente los datos quedando constancia motivada

de este hecho en el documento de seguridad.

El responsable del fichero se encargará de verificar cada seis meses la correcta

definición, funcionamiento y aplicación de los procedimientos de realización de

copias de respaldo y de recuperación de los datos.

Las pruebas anteriores a la implantación o modificación de los sistemas de

información que traten ficheros con datos de carácter personal no se realizarán

con datos reales, salvo que se asegure el nivel de seguridad correspondiente al

tratamiento realizado y se anote su realización en el documento de seguridad. Si

está previsto realizar pruebas con datos reales, previamente deberá haberse

realizado una copia de seguridad.

Medidas de Seguridad de Nivel Medio

Están reguladas en la Sección II del Capítulo III del Reglamento. Además de los

contenidos de los documentos de seguridad de nivel básico, el documento de seguridad

de nivel medio deberá incluir las siguientes medidas de seguridad:

� Identificación del responsable de seguridad: en el documento de seguridad

deberán designarse uno o varios responsables de seguridad encargados de

coordinar y controlar las medidas definidas en el mismo. Esta designación puede

ser única para todos los ficheros o tratamientos de datos de carácter personal o

diferenciada según los sistemas de tratamiento utilizados, circunstancia que

deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad

que corresponde al responsable del fichero o al encargado del tratamiento de

acuerdo con este reglamento.

89

84

� Auditoría: los sistemas de información e instalaciones de tratamiento y

almacenamiento de datos se someterán, al menos cada dos años, a una auditoría

interna o externa de Protección de Datos. Por medio de esta auditoría se verifica

que los sistemas de información y las instalaciones de tratamiento de datos de

nivel medio y alto cumplen con lo establecido en el Reglamento de Medidas de

Seguridad.

La auditoría tiene los siguientes objetivos:

o

o

Adecuar las medidas y controles al Reglamento de Seguridad.

Identificar sus deficiencias y proponer medidas correctoras o

complementarias.

o Incluir los datos, hechos y observaciones en que se basen los dictámenes

alcanzados y las recomendaciones propuestas.

Los informes de auditoría serán analizados por el responsable de seguridad

competente, que elevará las conclusiones al responsable del fichero o tratamiento

para que adopte las medidas correctoras adecuadas y quedarán a disposición de

la Agencia Española de Protección de Datos o, en su caso, de las autoridades de

control de las comunidades autónomas.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se

realicen modificaciones sustanciales en el sistema de información que puedan

repercutir en el cumplimiento de las medidas de seguridad implantadas con el

objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta

auditoría inicia el cómputo de dos años señalado con anterioridad.

� Gestión de soportes y documentos: Deberá establecerse un sistema de registro

de entrada y salida de soportes que permita, directa o indirectamente, conocer la

siguiente información:

o

o

o

o

o

o

o

El tipo de documento o soporte.

Fecha y hora.

Emisor o destinatario.

Número de documentos o soportes incluidos en el envío.

Tipo de información que contienen.

Forma de envío

Persona responsable de la recepción o entrega debidamente autorizada.

90

85

� Identificación y autentificación: el responsable del fichero o tratamiento deberá

establecer un mecanismo que limite la posibilidad de intentar reiteradamente el

acceso no autorizado al sistema de información.

� Control de acceso físico: exclusivamente el personal autorizado en el documento

de seguridad podrá tener acceso a los lugares donde se hallen instalados los

equipos físicos que den soporte a los sistemas de información.

� Registro de incidencias: además de los datos especificados en las medidas de

seguridad de nivel bajo (tipo de incidencia, momento en que se produce, persona

que notifica, persona a la que se realiza la notificación, efectos derivados de la

incidencia y medidas correctoras), deberán consignarse, los procedimientos

realizados de recuperación de los datos, indicando la persona que ejecutó el

proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar

manualmente en el proceso de recuperación. Para realizar la recuperación de

datos será necesaria la autorización del responsable del fichero.

Medidas de Seguridad de Nivel Alto

Están reguladas en la Sección III del Capítulo III del Reglamento. Además de los

contenidos de los documentos de seguridad de nivel básico y medio, el documento de

seguridad de nivel alto deberá incluir las siguientes medidas de seguridad:

� Gestión y distribución de soportes: la identificación de los soportes que

contengan datos de carácter personal (memorias USB, CD-ROM, etc.) se deberá

realizar utilizando sistemas de etiquetado comprensibles y con significado que

permitan a los usuarios con acceso autorizado a los citados soportes y

documentos identificar su contenido, y que dificulten la identificación para el

resto de personas.

La distribución de estos soportes se realizará cifrando dichos datos o bien

utilizando otro mecanismo que garantice que dicha información no sea accesible

o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando

éstos se encuentren fuera de las instalaciones que están bajo el control del

responsable del fichero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos

portátiles que no permitan su cifrado.

En caso de que sea estrictamente necesario se hará constar motivadamente en el

documento de seguridad y se adoptarán medidas que tengan en cuenta los

riesgos de realizar tratamientos en entornos desprotegidos.

91

86

Los armarios, archivadores u otros elementos en los que se almacenen los

ficheros no automatizados con datos de carácter personal deberán encontrarse

en áreas en las que el acceso esté protegido con puertas de acceso dotadas de

sistemas de apertura mediante llave u otro dispositivo equivalente.

Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los

documentos incluidos en el fichero.

Si, debido a las características de los locales de que dispusiera el responsable del

fichero o tratamiento, no fuera posible cumplir lo establecido en el párrafo

anterior, el responsable adoptará medidas alternativas que, debidamente

motivadas, se incluirán en el documento de seguridad.

Por su parte, siempre que se proceda al traslado físico de la documentación

contenida en un fichero no automatizado, deberán adoptarse medidas dirigidas a

impedir el acceso o manipulación de la información objeto de traslado.

� Copias de respaldo y recuperación: deberá conservarse una copia de respaldo de

los datos y de los procedimientos de recuperación de los mismos en un lugar

diferente de aquel en que se encuentren los equipos informáticos que los tratan.

Esta copia de respaldo deberá cumplir en todo caso las medidas de seguridad

exigidas en el Reglamento, de modo que se garanticen la integridad y

recuperación de la información.

� Copia o reproducción de ficheros no automatizados: la generación de copias o la

reproducción de los documentos únicamente podrá ser realizada bajo el control

del personal autorizado en el documento de seguridad, procediéndose a la

destrucción de las copias o reproducciones desechadas de forma que se evite el

acceso a la información contenida en las mismas o su recuperación posterior.

� Registro de accesos: de cada intento de acceso realizado por los diferentes

usuarios se guardará, como mínimo, la siguiente información:

o

o

o

o

Identificación del usuario.

Fecha y hora en que se realizó.

Fichero accedido.

Tipo de acceso (consulta, modificación, supresión o introducción de nuevos

datos).

o Si ha sido autorizado o denegado. En el caso de que el acceso haya sido

autorizado, será preciso guardar la información que permita identificar el

registro accedido.

92

87

Estos mecanismos que permiten el registro de accesos estarán bajo el control

directo del responsable de seguridad competente sin que deban permitir la

desactivación ni la manipulación de los mismos.

Los datos registrados deberán conservarse por un periodo mínimo de 2 años y

serán revisados por el responsable de seguridad al menos una vez al mes,

elaborando un informe de las revisiones realizadas y los problemas detectados.

No será necesario el registro de accesos definido en este artículo en caso de que

concurran las siguientes circunstancias:

o

o

Que el responsable del fichero o del tratamiento sea una persona física.

Que el responsable del fichero o del tratamiento garantice que únicamente él

tiene acceso y trata los datos personales.

La concurrencia de estas dos circunstancias deberá hacerse constar

expresamente en el documento de seguridad.

Respecto a los ficheros no automatizados, el acceso a la documentación se

limitará exclusivamente al personal autorizado, estableciéndose mecanismos que

permitan identificar los accesos realizados en el caso de documentos que puedan

ser utilizados por múltiples usuarios.

El acceso de personas no autorizadas deberá quedar adecuadamente registrado

de acuerdo con el procedimiento establecido al efecto en el documento de

seguridad.

� Telecomunicaciones: la transmisión de datos de carácter personal de nivel alto a

través de redes públicas o redes inalámbricas de comunicaciones electrónicas se

realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que

garantice que la información no sea inteligible ni manipulada por terceros.


El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el

RLOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar

la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por

lo dispuesto en el citado Reglamento y en la LOPD.

El contenido de este documento queda estructurado como sigue:

�

�

Ámbito de aplicación del documento.

Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar

los niveles de seguridad exigidos en este documento.

93

88

�

�

�

Información y obligaciones del personal.

Procedimientos de notificación, gestión y respuestas ante las incidencias.

Procedimientos de revisión.

Ámbito de Aplicación del Documento

El presente documento será de aplicación a los ficheros que contienen datos de carácter

personal que se hallan bajo la responsabilidad de “nombre del responsable”, incluyendo

los sistemas de información, soportes y equipos empleados para el tratamiento de datos

de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa

vigente, las personas que intervienen en el tratamiento y los locales en los que se

ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en

este documento, con indicación del nivel de seguridad correspondiente, son los

siguientes:

�

�

�

Incluir relación de ficheros o tratamientos afectados.

Indicando si se trata de sistemas automatizados, manuales o mixtos.

El nivel de seguridad que les corresponde.

Medidas, Normas, Procedimiento, Reglas y Estándares Encaminados a

Garantizar los Niveles de Seguridad Exigidos en este Documento IDENTIFICACIÓN Y AUTENTICACIÓN

� Medidas y normas relativas a la identificación y autenticación del personal

autorizado para acceder a los datos personales:

� Los automatizados deben especificar las normativas de identificación y

autenticación de los usuarios con acceso a los datos personales.

La identificación de los usuarios se deberá realizar de forma inequívoca y

personalizada, verificando su autorización (cada identificación debe pertenecer a

un único usuario).

� Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de

asignación, distribución y almacenamiento que deberá garantizar su

confidencialidad e integridad, e indicar la periodicidad con la que se deberán

cambiar, en ningún caso superior a un año

� También es conveniente incluir los requisitos que deben cumplir las cadenas

utilizadas como contraseña.

� En los ficheros de nivel medio y alto, se limitará la posibilidad de intentar

reiteradamente el acceso no autorizado al sistema de información.

94

89

CONTROL DE ACCESO

� El personal sólo accederá a aquellos datos y recursos que precise para el

desarrollo de sus funciones. El responsable del fichero establecerá mecanismos

para evitar que un usuario pueda acceder a recursos con derechos distintos de

los autorizados incluir estos mecanismos.

� Exclusivamente la persona autorizada (o denominación de su puesto de trabajo)

para conceder, alterar o anular el acceso autorizado está autorizado para

conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los

criterios establecidos por el responsable del fichero.

� Especificar los procedimientos para solicitar el alta, modificación y baja de las

autorizaciones de acceso a los datos, indicando qué persona (o puesto de trabajo)

concreta tiene que realizar cada paso.

�

�

Incluir y detallar los controles de acceso a los sistemas de información

Incluir en un anexo la relación de usuarios actualizada con acceso autorizado a

cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado

para cada uno de ellos. Esta lista deberá mantenerse actualizada Especificar

procedimiento de actualización.

� De existir personal ajeno al responsable del fichero con acceso a los recursos

deberá estar sometido a las mismas condiciones y obligaciones de seguridad que

el personal propio.

REGISTRO DE ACCESOS (NIVEL ALTO)

AUTOMATIZADOS

� En los accesos a los datos de los ficheros de nivel alto, se registrará por cada

acceso la identificación del usuario, la fecha y hora en que se realizó, el fichero

accedido, el tipo de acceso y si ha sido autorizado o denegado.

� Si el acceso fue autorizado, se almacenará también la información que permita

identificar el registro accedido.

� Indicar, si se estima oportuno, información relativa al sistema de registro de

accesos.

� El mecanismo que permita este registro estará bajo control directo del

responsable de seguridad, sin que se deba permitir, en ningún caso, la

desactivación del mismo.

� Los datos del registro de accesos se conservaran durante un periodo, que deberá

ser al menos de dos años. No es preciso que estos datos se almacenen "on-line".

95

90

� El responsable de seguridad revisará al menos una vez al mes la información de

control registrada y elaborará un informe según se detalla en el capítulo de

“Comprobaciones para la realización de la auditoría de seguridad” de este

documento.

� No será necesario el registro de accesos cuando: el responsable del fichero es

una persona física, el responsable del fichero garantice que sólo él tiene acceso y

trata los datos personales, y se haga constar en el documento de seguridad.

MANUALES

El acceso a la documentación se limita exclusivamente al personal autorizado.

Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de

los documentos relacionados:

� indicar los documentos o tipos de documentos que puedan ser utilizados por

múltiples usuarios.

� Indicar el mecanismo establecido para controlar estos accesos.

GESTIÓN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carácter personal deberán permitir identificar el

tipo de información que contienen, ser inventariados y serán almacenados en:

�

�

indicar el lugar de acceso restringido donde se almacenarán.

Lugar de acceso restringido al que solo tendrán acceso las personas con

autorización que se relacionan a continuación:

o Especificar el personal autorizado a acceder al lugar donde se almacenan los

soportes que contengan datos de carácter personal.

o

o

El procedimiento establecido para habilitar o retirar el permiso de acceso.

Tener en cuenta el procedimiento a seguir para casos en que personal no

autorizado tenga que tener acceso a los locales por razones de urgencia o

fuerza mayor.

Los siguientes soportes “relacionar aquellos a que se refiere” se exceptúan de las

obligaciones indicadas en el párrafo anterior, dadas sus características físicas, que

imposibilitan el cumplimiento de las mismas.

Los siguientes soportes “indicar aquellos que contengan datos considerados

especialmente sensibles y respecto de los que se haya optado por proceder del siguiente

modo” se identificarán utilizando los sistemas de etiquetado siguientes “especificar los

criterios de etiquetado que serán comprensibles y con significado para los usuarios

autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultarán la

identificación para el resto de personas”.

96

91

Los soportes se almacenarán de acuerdo a las siguientes normas:

�

�

�

Indicar normas de etiquetado de los soportes.

Especificar el procedimiento de inventariado y almacenamiento de los mismos.

El inventario de soportes puede anexarse al documento o gestionarse de forma

automatizada, en este último caso se indicará en este punto el sistema

informático utilizado.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos

los comprendidos en correos electrónicos, fuera de los locales bajo el control del

responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel

en que se hubiera delegado de acuerdo al siguiente procedimiento:

�

�

Detallar el procedimiento a seguir para que se lleve a cabo la autorización.

Tener en cuenta también los ordenadores portátiles y el resto de dispositivos

móviles que puedan contener datos personales.

En un anexo se incluirán los documentos de autorización relativos a la salida de soportes

que contengan datos personales.

Los soportes que vayan a ser desechados, deberán ser previamente “detallar

procedimiento a realizar para su destrucción o borrado” de forma que no sea posible el

acceso a la información contenida en ellos o su recuperación posterior.

En el traslado de la documentación se adoptarán medidas para evitar la sustracción,

pérdida o acceso indebido a la información.

AUTOMATIZADOS (NIVEL MEDIO): REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto,

serán registradas de acuerdo al siguiente procedimiento:”Detallar el procedimiento por el

que se registrarán las entradas y salidas de soportes”.

El registro de entrada y salida de soportes se gestionará mediante

� Indicar la forma en que se almacenará el registro, que puede ser manual o

informático y en el que deberán constar.

� Indicar los campos del registro, que deberán ser, al menos, en el caso de las

entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el número de

documentos o soportes incluidos en el envío, el tipo de información que

contienen, la forma de envío y la persona autorizada responsable de la recepción;

y en el caso de las salidas, el tipo de documento o soporte, la fecha y hora, el

destinatario, el número de documentos o soportes incluidos en el envío, el tipo de

información que contienen, la forma de envío y la persona autorizada responsable

de la entrega.

� En caso de gestión automatizada se indicará en este punto el sistema informático

utilizado.

97

92

AUTOMATIZADOS (NIVEL ALTO): GESTIÓN Y DISTRIBUCIÓN DE SOPORTES

En este caso los soportes se identificarán mediante el sistema de etiquetado “especificar

los criterios de etiquetado que resultarán comprensibles y con significado para los

usuarios con acceso autorizados, permitiéndoles identificar su contenido y dificultando

la identificación para el resto de personas”.

La distribución y salida de soportes que contengan datos de carácter personal de los

ficheros de nivel alto se realizará “indicar el procedimiento para cifrar los datos o, en su

caso, para utilizar el mecanismo que garantice que dicha información no sea inteligible

ni manipulada durante su transporte. Igualmente se cifrarán los datos que contengan los

dispositivos portátiles cuando se encuentren fuera de las instalaciones que están bajo

control del responsable”.

Los siguientes dispositivos portátiles “relacionar aquellos que no permitan el cifrado de

los datos personales”, debido a las razones indicadas “motivar la necesidad de hacer

uso de este tipo de dispositivos”, se utilizarán en el tratamiento de datos personales

adoptándose las medidas que a continuación se explicitan “relacionar las medidas

alternativas que tendrán en cuenta los riesgos de realizar tratamientos en entornos

desprotegidos”.

MANUALES: CRITERIOS DE ARCHIVO

El archivo de los soportes o documentos se realizará de acuerdo con los criterios “indicar

los previstos en la legislación que les afecte o en su defecto, los establecidos por el

responsable del fichero, que en cualquier caso garantizarán la correcta conservación de

los documentos, la localización y consulta de la información y posibilitarán el ejercicio de

los derechos de oposición al tratamiento, acceso, rectificación y cancelación”.

MANUALES: ALMACENAMIENTO DE LA INFORMACIÓN

Los siguientes dispositivos “relacionarlos así como aquellas de sus características que

obstaculicen su apertura. Cuando sus características físicas no permitan adoptar esta

medida, el responsable adoptará medidas que impidan el acceso a la información de

personas no autorizadas” se utilizarán para guardar los documentos con datos

personales.

Nivel alto: Los elementos de almacenamiento “indicar tipos como armarios, archivadores

u otros elementos utilizados” respecto de los documentos con datos personales, se

encuentran en “indicar lugares físicos y protección con que cuenta el acceso a las

mismas, como llaves u otros dispositivos. Además estos lugares permanecerán cerrados

en tanto no sea preciso el acceso a los documentos. Si a la vista de las características de

los locales no fuera posible cumplir lo anteriormente indicado, se adoptarán medidas

alternativas que se reflejarán en este punto”.

98

93

MANUALES: CUSTODIA DE SOPORTES

En tanto los documentos con datos personales no se encuentren archivados en los

dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de

tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir

el acceso a personas no autorizadas.

ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES

Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a

través de redes de comunicaciones, sean o no públicas, garantizarán un nivel de

seguridad equivalente al exigido para los accesos en modo local. “Relacionar los accesos

previstos y los ficheros a los que se prevea acceder”.

AUTOMATIZADOS (NIVEL ALTO)

Los datos personales correspondientes a los ficheros de nivel alto, que se transmitan a

través de redes públicas o inalámbricas de comunicaciones electrónicas se realizará

cifrando previamente estos datos “indicar en su caso otros mecanismos distintos del

cifrado que se utilicen y que garanticen que la información no sea inteligible ni

manipulada por terceros. También es adecuado cifrar los datos en red local”.

RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO

Se pueden llevar a cabo los siguientes tratamientos de datos personales “relacionar los

ficheros a que afecten estos tratamientos” fuera de los locales del responsable del

fichero “indicar en su caso, los distintos locales a los que deban circunscribirse,

especialmente en el supuesto de que se realicen tratamientos por un encargado del

tratamiento que se especificará”, así como mediante dispositivos portátiles.

Esta autorización regirá durante “indicar el período de validez de la misma”.

“Esta autorización puede realizarse para unos usuarios concretos que hay que indicar o

para un perfil de usuarios”.

“Se debe garantizar el nivel de seguridad correspondiente”.

TRASLADO DE DOCUMENTACIÓN

MANUALES (NIVEL ALTO)

Siempre que se proceda al traslado físico de la documentación contenida en un fichero,

deberán adoptarse las siguientes medidas “relacionar las medidas necesarias y en su

caso alternativas recomendadas, orientadas a impedir el acceso o manipulación de la

información objeto de traslado”.

FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS

Los ficheros temporales o copias de documentos creados exclusivamente para trabajos

temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con

arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán

borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que

motivaron su creación.

99

94

COPIA O REPRODUCCIÓN

MANUALES (NIVEL ALTO)

La realización de copias o reproducción de los documentos con datos personales sólo se

podrán llevar a cabo bajo el control del siguiente personal autorizado “indicar los

usuarios o perfiles habilitados para ello”.

Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la

información contenida “indicar los medios a utilizar o puestos a disposición de los

usuarios para ello”.

COPIAS DE RESPALDO Y RECUPERACIÓN

AUTOMATIZADOS

Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna

actualización de los datos, con la siguiente periodicidad “especificarla, y en todo caso

será como mínimo una vez a la semana”.

Los procedimientos establecidos para las copias de respaldo y para su recuperación

garantizarán su reconstrucción en el estado en que se encontraban al tiempo de

producirse la pérdida o destrucción. En el caso de los ficheros parcialmente

automatizados siguientes “indicarlos”, se grabarán manualmente los datos.

Para la grabación manual indicada deberá existir documentación que permita dicha

reconstrucción.

El responsable del fichero verificará semestralmente los procedimientos de copias de

respaldo y recuperación de los datos.

Las pruebas anteriores a la implantación o modificación de sistemas de información se

realizarán con datos reales previa copia de seguridad, y garantizando el nivel

correspondiente al tratamiento realizado.

En un Anexo se detallarán los procedimientos de copia y recuperación de respaldo para

cada fichero.

Nivel alto: En los ficheros de nivel alto se conservará una copia de respaldo y de los

procedimientos de recuperación de los datos en “especificar el lugar, diferente de donde

se encuentran los sistemas informáticos que los tratan, y que deberá cumplir las

medidas de seguridad, o utilizando elementos que garanticen la integridad y

recuperación de la información de forma que sea recuperable”.

100

95

RESPONSABLE DE SEGURIDAD

NIVEL MEDIO

Se designa como responsable de seguridad “indicarlo/s en el caso de que se prevea que

sean varios”, que con carácter general se encargará de coordinar y controlar las medidas

definidas en este documento de seguridad.

“La designación puede ser única para todos los ficheros o diferenciada según los

sistemas de tratamiento, lo que se especificará en este documento”

En ningún caso, la designación supone una exoneración de la responsabilidad que

corresponde a “denominación responsable del fichero o del encargado del tratamiento”

como responsable del fichero de acuerdo con el RLOPD.

El responsable de seguridad desempeñará las funciones encomendadas durante el

periodo de “indicar periodo de desempeño del cargo”. Una vez transcurrido este plazo

“denominación responsable del fichero” podrá nombrar al mismo responsable de

seguridad o a otro diferente.

En un anexo se incluirán las copias de los nombramientos de responsables de

seguridad.

Información y Obligaciones del Personal

INFORMACIÓN AL PERSONAL

Para asegurar que todas las personas conocen las normas de seguridad que afectan al

desarrollo de sus funciones, así como las consecuencias del incumplimiento de las

mismas, serán informadas de acuerdo con el siguiente procedimiento:

“indicar el procedimiento por el cual se informará a cada persona, en función de su

perfil, de las normas que debe cumplir y de las consecuencias de no hacerlo. Puede ser

conveniente incluir algún sistema de acuse de recibo de la información”.

“Si se estima oportuna, la remisión periódica de información sobre seguridad: circulares,

recordatorios, nuevas normas, indicar aquí el procedimiento y las personas autorizadas

para hacerlo”.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y

observar las medidas, normas, procedimientos, reglas y estándares que afecten a las

funciones que desarrolla.

Constituye una obligación del personal notificar al “responsable del fichero o de

seguridad en su caso” las incidencias de seguridad de las que tengan conocimiento

respecto a los recursos protegidos, según los procedimientos establecidos en este

Documento, y en concreto en el apartado de “Procedimientos de notificación, gestión y

respuesta ante las incidencias.”

101

96

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos

personales que conozcan en el desarrollo de su trabajo.

Funciones y obligaciones de “incluir un punto con las obligaciones detalladas de los

perfiles que afectan a todos los ficheros, como por ejemplo, administradores de los

sistemas, responsables de informática, responsable/s de seguridad si existe/n,

responsables de seguridad física, etc. Es importante que se concrete la persona o cargo

que corresponde a cada perfil. También deben contemplarse los procedimientos de

actuación o delegación de funciones para casos de ausencia. Este apartado se propone

principalmente como un recopilatorio que agrupe las medidas que en el resto del

Documento se asignan a perfiles concretos”.

El personal que realice trabajos que no impliquen el tratamiento de datos personales

tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los

recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá

expresamente la prohibición de acceder a los datos personales y la obligación de secreto

respecto de aquellos datos que hubiera podido conocer durante la prestación del

servicio.

Se delegan las siguientes autorizaciones en los usuarios relacionados “indicar usuarios,

o perfiles y autorizaciones que el responsable del fichero delega en ellos para su

ejercicio”.

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el

presente documento por el personal afectado, se sancionará conforme a “indicar la

normativa sancionadora aplicable”.

Procedimientos de Notificación, Gestión y Respuesta ante las Incidencias

Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento

de la normativa desarrollada en este Documento de Seguridad, así como a cualquier

anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de

“denominación del responsable del fichero”.

El procedimiento a seguir para la notificación de incidencias será “especificar

concretamente los procedimientos de notificación y gestión de incidencias, indicando

quien tiene que notificar la incidencia, a quien y de que modo, así como quien gestionará

la incidencia”.

El registro de incidencias se gestionará mediante “indicar la forma en que se almacenará

el registro, que puede ser manual o informático, y en el que deberán constar, al menos,

el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la

persona que realiza la notificación, a quién se comunica, los efectos que se hubieran

derivado de la misma y las medidas correctoras aplicadas. En caso de gestión

automatizada se indicará en este punto el sistema informático utilizado”.

102

97

AUTOMATIZADOS (NIVEL MEDIO)

En el registro de incidencias se consignarán también los procedimientos de recuperación

de datos que afecten a los ficheros de nivel medio y alto, del modo que se indica a

continuación “detallar el procedimiento para registrar las recuperaciones de datos, que

deberá incluir la persona que ejecutó el proceso, los datos restaurados y, en su caso,

que datos ha sido necesario grabar manualmente en el proceso de recuperación. En caso

de gestión automatizada, se deberá prever la existencia de un código específico para

recuperaciones de datos, en la información relativa al tipo de incidencia”.

Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados

en el párrafo anterior, será necesaria la autorización por escrito del responsable del

fichero.

En un anexo se incluirán los documentos de autorización del responsable del fichero

relativos a la ejecución de procedimientos de recuperación de datos.

Procedimientos de Revisión

REVISIÓN DEL DOCUMENTO DE SEGURIDAD

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado

siempre que se produzcan cambios relevantes en el sistema de información, en el

contenido de la información incluida en los ficheros o como consecuencia de los

controles periódicos realizados. En todo caso se entenderá como cambio relevante

cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia

de seguridad de los datos de carácter personal.

“Especificar los procedimientos previstos para la modificación del documento de

seguridad, con especificación concreta de las personas que pueden o deben proponerlos

y aprobarlos, así como para la comunicación de las modificaciones al personal que

pueda verse afectado”.

NIVEL MEDIO: AUDITORÍA

“Indicar los procedimientos para realizar la auditoría interna o externa que verifique el

cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo

indicado en sus artículos 96 y 110 respecto de ficheros automatizados y no

automatizados respectivamente, y que debe realizarse al menos cada dos años”.

Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones

sustanciales en el sistema de información que puedan repercutir en el cumplimiento de

las medidas de seguridad implantadas, con el objeto de verificar la adaptación,

adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años

señalado. El informe analizará la adecuación de las medidas y controles a la Ley y su

desarrollo reglamentario, identificará las deficiencias y propondrá las medidas

correctoras o complementarias necesarias.

103

98

Los informes de auditoría han de ser analizados por el responsable de seguridad

competente, que elevará las conclusiones al responsable del fichero para que adopte las

medidas correctoras y quedará a disposición de la Agencia Española de Protección de

Datos, o en su caso de las autoridades de control de las comunidades autónomas.

AUTOMATIZADOS (NIVEL ALTO): INFORME MENSUAL SOBRE EL REGISTRO DE

ACCESOS

“Indicar los procedimientos para realizar el informe mensual sobre el registro de accesos

a los datos de nivel alto regulado por el artículo 103 del RLOPD”.

104

100

Ley de Protección

de Datos

Régimen Sancionador

�

�

�


Prescripción


Objetivos:

� Conocer las conductas consideradas como infracciones en la

Ley.

� Saber los tipos de infracciones así como las sanciones

aplicables a cada una de ellas.

� Familiarizarse con los aspectos fundamentales del

procedimiento sancionador.

109

tema 6

101110

102


El artículo 37.1.g) establece que son funciones de la Agencia Española de Protección de

Datos (AEPD), entre otras, ejercer la potestad sancionadora. Asimismo el artículo 120 del

RLOPD dice que, el ejercicio de la potestad sancionadora le vienen atribuido a la AEPD

en virtud de la propia LOPD, la Ley 34/2002, de Servicios de la sociedad de la

información y de comercio electrónico, así como la Ley 32/2003, General de

Telecomunicaciones.

El título VII de la LOPD, relativo a infracciones y sanciones, se inicia en el artículo 43,

estableciendo quiénes serán las personas sujetas al régimen sancionador que se

establece a continuación:

�

�

Los responsables de los ficheros.

Los encargados de los tratamientos.

Este mismo artículo hace una salvedad, con remisión a los artículos 46 y 48, para el

caso de que los ficheros de los que se trate sean responsabilidad de las

Administraciones Públicas.

El artículo 44 de la LOPD tipifica las infracciones, dividiendo éstas en leves, graves o

muy graves. Este artículo fue modificado en gran medida por la Ley 2/2011, de 4 de

marzo, de Economía Sostenible.

Así el artículo 41.2 de la Ley establece las que debemos entender como infracciones

leves:

� No remitir a la Agencia Española de Protección de Datos las notificaciones

previstas en esta Ley o en sus disposiciones de desarrollo.

� No solicitar la inscripción del fichero de datos de carácter personal en el Registro

General de Protección de Datos.

� El incumplimiento del deber de información al afectado acerca del tratamiento de

sus datos de carácter personal cuando los datos sean recabados del propio

interesado.

� La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento

a los deberes formales establecidos en el artículo 12 de la LOPD.

En el punto tercero del mismo artículo se definen las infracciones graves:

� Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de

datos de carácter personal para los mismos, sin autorización de disposición

general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente.

111

103

� Tratar datos de carácter personal sin recabar el consentimiento de las personas

afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la LOPD y

sus disposiciones de desarrollo.

� Tratar datos de carácter personal o usarlos posteriormente con conculcación de

los principios y garantías establecidos en el artículo 4 de la LOPD y las

disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy

grave.

� La vulneración del deber de guardar secreto acerca del tratamiento de los datos

de carácter personal al que se refiere el artículo 10 de la LOPD.

� El impedimento o la obstaculización del ejercicio de los derechos de acceso,

rectificación, cancelación y oposición.

� El incumplimiento del deber de información al afectado acerca del tratamiento de

sus datos de carácter personal cuando los datos no hayan sido recabados del

propio interesado.

� El incumplimiento de los restantes deberes de notificación o requerimiento al

afectado impuestos por la LOPD y sus disposiciones de desarrollo.

� Mantener los ficheros, locales, programas o equipos que contengan datos de

carácter personal sin las debidas condiciones de seguridad que por vía

reglamentaria se determinen.

� No atender los requerimientos o apercibimientos de la Agencia Española de

Protección de Datos o no proporcionar a aquélla cuantos documentos e

informaciones sean solicitados por la misma.

�

�

La obstrucción al ejercicio de la función inspectora.

La comunicación o cesión de los datos de carácter personal sin contar con

legitimación para ello en los términos previstos en la LOPD y sus disposiciones

reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción

muy grave.

Por último, en el apartado 4 del mismo precepto se relacionan las infracciones

consideradas como muy graves. Siendo las siguientes:

�

�

La recogida de datos en forma engañosa o fraudulenta.

Tratar o ceder los datos de carácter personal a los que se refieren los apartados

2, 3 y 5 del artículo 7 de la LOPD salvo en los supuestos en que la misma lo

autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

112

104

� No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese

un previo requerimiento del Director de la Agencia Española de Protección de

Datos para ello.

� La transferencia internacional de datos de carácter personal con destino a países

que no proporcionen un nivel de protección equiparable sin autorización del

Director de la Agencia Española de Protección de Datos salvo en los supuestos en

los que conforme a la LOPD y sus disposiciones de desarrollo dicha autorización

no resulta necesaria.

Para la anterior relación de infracciones leves, graves y muy graves, el artículo 45 de la

Ley establece las correspondientes sanciones:

� Las infracciones leves serán sancionadas con multa, cuya cuantía oscilará entre

las cantidades que al efecto marca la Ley.

� Las infracciones graves se sancionan con multa, cuya cuantía oscila entre las

cantidades que al efecto marca la Ley.

� Para las infracciones muy graves la sanción a imponer será la de multa, cuyas

cuantías oscilan entre las cantidades que al efecto marca la Ley.

Por otra parte, el artículo 121 RLOPD establece la posibilidad que asiste al Director de la

AEPD de requerir al responsable de los ficheros o tratamientos a fin de que cese en la

utilización o cesión ilícita de datos, cuando con ello se atente o se impida el ejercicio de

los derechos de los ciudadanos y el libre desarrollo de la personalidad que tanto la CE

como las leyes garantizan.

El requerido dispone de un plazo improrrogable de tres días para hacer efectivo el

requerimiento y formular alegaciones a fin de levantar dicha

inmovilización de los ficheros o tratamientos.

Respecto a las sanciones, el artículo 45 de la LOPD establece los siguientes baremos:

�

�

�

Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.

Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000

euros.

Para la adecuación de la sanción pecuniaria este mismo artículo establece en su punto

cuarto los criterios de graduación que se deben atender:

�

�

�

El carácter continuado de la infracción.

El volumen de los tratamientos efectuados.

La vinculación de la actividad del infractor con la realización de tratamientos de

datos de carácter personal.

medida; si fuere

desatendido, el Director de la AEPD, mediante resolución motivada, podrá acordar la

113

105

�

�

�

�

�

El volumen de negocio o actividad del infractor.

Los beneficios obtenidos como consecuencia de la comisión de la infracción.

El grado de intencionalidad.

La reincidencia por comisión de infracciones de la misma naturaleza.

La naturaleza de los perjuicios causados a las personas interesadas o a terceras

personas.

� La acreditación de que con anterioridad a los hechos constitutivos de infracción la

entidad imputada tenía implantados procedimientos adecuados de actuación en

la recogida y tratamiento de los datos de carácter personal, siendo la infracción

consecuencia de una anomalía en el funcionamiento de dichos procedimientos no

debida a una falta de diligencia exigible al infractor.

� Cualquier otra circunstancia que sea relevante para determinar el grado de

antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Por otra parte, el órgano sancionador establecerá la cuantía de la sanción aplicando la

escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a

aquella en que se integra la considerada en el caso de que se trate, en los siguientes

supuestos:

� Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o

de la antijuridicidad del hecho como consecuencia de la concurrencia significativa

de varios de los criterios enunciados en el apartado 4 de este artículo.

� Cuando la entidad infractora haya regularizado la situación irregular de forma

diligente.

� Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la

comisión de la infracción.

�

�

Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Cuando se haya producido un proceso de fusión por absorción y la infracción

fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y

atendida la naturaleza de los hechos y la concurrencia significativa de los criterios

establecidos en el apartado anterior, no acordar la apertura del procedimiento

sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que

el órgano sancionador determine, acredite la adopción de las medidas correctoras que en

cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

114

106

� Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en la LOPD.

� Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

En el caso de que dicho apercibimiento no fuera atendido en el plazo que el órgano

sancionador hubiera determinado se procederá a la apertura del correspondiente

procedimiento sancionador por dicho incumplimiento.

Como límite a la imposición de sanciones se establece que en ningún caso se podrá

imponer una más grave que aquélla que haya fijado la norma para la clase de infracción

en la que se integre la que se pretende sancionar.

Por último, se establece una “cláusula de revisión” de las cuantías de las sanciones, las

cuales experimentaran las variaciones que se produzcan sobre los índices de precios.

Se dedica el artículo 46 de la Ley a las infracciones de las Administraciones Públicas; así,

se dispone que cuando las infracciones a las que se alude en el artículo 44 de la Ley

fueren cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos

responsables serían de ficheros de dicha naturaleza, el órgano sancionador dictará una

resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan

los efectos de la infracción.

La citada resolución debe ser notificada al responsable del fichero, así como al órgano

del que dependa jerárquicamente y a los afectados, en el caso de que los hubiere.

Asimismo, se establece la posibilidad de que el órgano sancionador proponga la

iniciación de las correspondientes actuaciones disciplinarias, en el caso de que éstas

procedan. Siendo el procedimiento y las sanciones a aplicar las establecidas en el

régimen disciplinario de las Administraciones Públicas y debiéndose comunicar al

órgano sancionador las resoluciones que recaigan en relación con estas medidas y

actuaciones.

Sobre el Director de la Agencia recae la obligación de comunicar al Defensor del Pueblo

las actuaciones que se efectúen, así como las resoluciones dictadas en este sentido.

Prescripción

El artículo 47 de la LOPD establece los plazos de prescripción de las infracciones:

�

�

�

Las infracciones muy graves prescriben a los tres años.

Las infracciones graves prescriben a los dos años.

Las infracciones leves prescriben al año.

115

107

El plazo de prescripción comenzará a contarse desde el día en que la infracción se

hubiera cometido. La prescripción se considera interrumpida por la iniciación, con

conocimiento del interesado, del correspondiente procedimiento sancionador; dicho

plazo se reanudará si el expediente sancionador se paraliza por un plazo superior a seis

meses, siempre que se deba a causas no imputables al presunto infractor.

Por su parte, el apartado 4 del artículo 47 establece los plazos de prescripción de las

sanciones:

�

�

�

Las sanciones impuestas por faltas muy graves prescriben a los tres años.

Las sanciones impuestas por faltas graves prescriben a los dos años.

Las sanciones impuestas por infracciones leves prescriben al año.

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a

aquél en que adquiera firmeza la resolución por la que se impone la sanción.

Este plazo queda interrumpido por la iniciación, con conocimiento del interesado, del

correspondiente procedimiento de ejecución, volviendo a transcurrir si el mismo queda

paralizado por tiempo superior a seis meses, cuando no sea por causas imputables al

infractor.


A modo de introducción debemos señalar que una de las principales novedades

introducidas por el Reglamento de desarrollo de la LOPD es la tramitación uniforme de

los procedimientos sancionadores. Estos procedimientos sancionadores se tramitan al

amparo de tres normas diferentes: la LOPD, la Ley General de Telecomunicaciones y la

Ley de los Servicios de la Sociedad de la Información y del Comercio Electrónico.

Hasta la promulgación del citado Reglamento, los procedimientos sancionadores

incoados como consecuencia de una infracción de la LOPD se regían por lo dispuesto en

el Real Decreto 1332/1994, mientras que los tramitados como consecuencia de una

infracción de las otras dos leyes, se regían por las previsiones del Real Decreto

1398/1993, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la

Potestad Sancionadora.

El artículo 48 de la LOPD se establece que por será por vía reglamentaria como se

determinará el procedimiento sancionador para el enjuiciamiento de las infracciones y la

imposición de las sanciones que correspondan.

Actuaciones Previas

A estos efectos, el artículo 122 del Reglamento nos indica una serie de actuaciones

previas a la iniciación del procedimiento sancionador. Éstas irán encaminadas a

determinar si, efectivamente, concurren circunstancias que justifiquen tal iniciación.

Concretamente irán destinadas a determinar, con la mayor precisión, los hechos que

justifiquen la incoación del procedimiento, la persona u órgano que pudiera resultar

responsable, así como las circunstancias que se estimen relevantes en cada caso.

116

108

Las actuaciones previas serán realizadas de oficio por la AEPD por iniciativa propia,

cuando medie denuncia o a consecuencia de petición razonada de otro órgano. Como

duración máxima de las mismas se establece un plazo de 12 meses, contados desde la

recepción de la denuncia o petición razonada en la AEPD, o, desde el acuerdo del

Director de la misma de realización de éstas. Si, transcurrido el plazo no se incoase el

procedimiento sancionador, se entenderá que han caducado.

Será competente para llevar a cabo las actuaciones previas el personal del área de

Inspección de Datos, habilitado para el ejercicio de funciones inspectoras.

Excepcionalmente, el Director de la AEPD podía designar para este cometido a

funcionarios de la misma no habilitados para ello, pero que no presten sus funciones en

la Agencia, siempre que reúnan las condiciones de idoneidad y especialización para la

realización de tales actuaciones, si bien, esta posibilidad ha sido anulada, por

disconforme a derecho, por Sentencia de 15 de julio de 2010, de la Sala Tercera del

Tribunal Supremo.

En el desempeño de sus actuaciones los inspectores podrán recabar cuantas

informaciones precisen para el cumplimiento de sus cometidos. Así, podrán requerir la

exhibición o envío de documentos y datos, o examinarlos en el lugar en el que se

encuentren depositados, obtener copias de los mismos, inspeccionar equipos,… Del

mismo modo, el Reglamento los faculta para realizar visitas de inspección a los locales o

sedes inspeccionados o donde se ubiquen los ficheros.

Los inspectores han de estar previamente autorizados por el Director de la Agencia

Española de Protección de Datos; la autorización indicará la habilitación del inspector y

la identificación de la persona u órgano inspeccionado.

De las diferentes inspecciones se levantará acta, quedando constancia de las

actuaciones practicadas. Ésta será emitida por duplicado, firmada por los inspectores y

por el inspeccionado, quien podrá hacer constar en la misma las alegaciones o

manifestaciones que tenga por convenientes. Si el inspeccionado se negase a firmar el

acta, dicho extremo quedará igualmente consignado; no obstante, la firma de éste no

supondrá su conformidad, únicamente dará fe de la recepción del acta.

Finalmente se hará entrega al inspeccionado de uno de los originales del acta de

inspección, incorporándose el otro a las actuaciones.

Una vez hayan finalizado las actuaciones previas, se someterán a decisión del Director

de la Agencia; si se considera que los hechos no son susceptibles de motivar imputación

de infracción alguna, aquél dictará resolución de archivo, notificándolo al investigado y

al denunciante, si lo hubiera. Si por el contrario se aprecia la existencia de indicios que

motiven la imputación de una infracción, el Director de la AEPD dictará acuerdo de inicio

del procedimiento sancionador o de infracción de las Administraciones Públicas.

A título de ejemplo señalamos que, tal y como reza en la Memoria del año 2010 de la

AEPD, la labor de inspección para ese mismo año se centró en los sectores de las

telecomunicaciones, videovigilancia, entidades financieras, administraciones públicas,

servicios de internet, etc.

117

109

Iniciación del Procedimiento

El artículo 127 del Reglamento de desarrollo de la LOPD establece que el acuerdo de

iniciación del procedimiento sancionador debe contener estos extremos:

�

�

Identificación de la persona o personas presuntamente responsables.

Descripción sucinta de los hechos imputados, su posible calificación y las

sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la

instrucción.

� Indicación de que el órgano competente para resolver el procedimiento es el

Director de la Agencia Española de Protección de Datos.

� Indicación al presunto responsable de que puede reconocer voluntariamente su

responsabilidad, en cuyo caso se dictará directamente resolución.

� Designación de instructor y, en su caso, secretario, con expresa indicación del

régimen de recusación de los mismos.

� Indicación expresa del derecho del responsable a formular alegaciones, a la

audiencia en el procedimiento y a proponer las pruebas que estime procedentes.

� Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a

lo establecido en la sección primera del capítulo III del Reglamento.

Finalización del Procedimiento

Cada procedimiento sancionador establece un plazo para dictar resolución, computado

desde la fecha en que se dicte este acuerdo de inicio y hasta que se produzca la

notificación de la resolución sancionadora; igualmente es válido el intento fallido de

notificación de la misma.

Vencido el plazo que se estipule en cada caso sin que haya se haya dictado y notificado

la resolución expresa, se entenderá el procedimiento caducado, procediendo el archivo

de las actuaciones.

En todo caso, establece la Disposición Final Única del Reglamento que, para todo lo no

establecido, serán de aplicación a los procedimientos sancionadores las disposiciones

contenidas en el Reglamento de Procedimiento para el ejercicio de la potestad

sancionadora, aprobado por Real Decreto 1398/1993. Asimismo, el artículo 115 indica

que los procedimientos tramitados por la AEPD se regirán, supletoriamente, por lo

establecido en la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y

del Procedimiento Administrativo Común

Las resoluciones de la Agencia de Protección de Datos o del órgano correspondiente de

la Comunidad Autónoma son actos administrativos que agotan la vía administrativa.

118

110

Los procedimientos sancionadores que se tramiten por la Agencia Española de

Protección de Datos, en el ejercicio de las potestades que le vienen atribuidas por la Ley

o por otras disposiciones, tendrán una duración máxima de seis meses, si la normativa

no indica otro plazo superior.

No obstante, quedan fuera de esta limitación temporal los procedimientos sancionadores

que se sigan como consecuencia de las infracciones que se prevé en la Ley 32/2003, de

3 de Noviembre, General de Telecomunicaciones.

Además del ejercicio de la potestad sancionadora, el artículo 49 de la Ley otorga a la

Agencia de Protección de Datos la potestad de requerir a los responsables de ficheros de

datos de carácter personal, tanto de titularidad pública como privada, la cesación de la

utilización o cesión ilícita de los datos.

Esta facultad queda reservada para los supuestos de infracción grave o muy grave en

que la persistencia en el tratamiento de los datos de carácter personal o su

comunicación o transferencia internacional posterior pudiera suponer un grave

menoscabo de los derechos fundamentales de los afectados y en particular de su

derecho a la protección de datos de carácter personal.

En los casos en los que dicho requerimiento no sea atendido, la Ley faculta a la Agencia

de Protección de Datos a inmovilizar estos ficheros a los solos efectos de restaurar los

derechos de las personas afectadas. Para ello será necesaria una resolución motivada en

la que así se acuerde.

Por último, se debe señalar que las resoluciones de la Agencia, en el ejercicio de su

potestad sancionadora, son recurribles, pudiendo interponerse recurso contencioso

administrativo ante la Audiencia Nacional.

119

111

�

�

�

�

�

�

122

112

Ley de Protección

de Datos

Anexos

�

�

�

�

�

�

Modelo A de Derecho de Acceso

Modelo B de Derecho de Rectificación

Modelo C de Derecho de Cancelación

Modelo D de Derecho de Exclusión

Modelo E de Derecho de Oposición

anexos

Modelos de Denuncia ante la AEPD

114

A. DERECHO DE ACCESO.

A.1. EJERCICIO DEL DERECHO DE ACCESO (1).

DATOS DEL RESPONSABLE DEL FICHERO (2).

Nombre / razón social: .............................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza....................................................................... nº........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

DATOS DEL INTERESADO O REPRESENTANTE LEGAL(3.

D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 27 y 28 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en consecuencia,

SOLICITA,

Que se le facilite gratuitamente el derecho de acceso a sus ficheros en el plazo máximo de un mes a contar desde la recepción de esta solicitud, y que se remita por correo la información a la dirección arriba indicada en el plazo de diez días a contar desde la resolución estimatoria de la solicitud de acceso.

Asimismo, se solicita que dicha información comprenda, de modo legible e inteligible, los datos de base que sobre mi persona están incluidos en sus ficheros, los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los mismos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.

En ............................a.........de...........................de 20......

Firmado

1 Se trata de la petición de información sobre los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero (Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos.

2 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099.

3 También podrá ejercerse a través de representación legal, en cuyo caso,

además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

115


A.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE ACCESO.

DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)

D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I...........................

DATOS DEL RESPONSABLE DEL FICHERO.

Nombre/razón social: ......................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de acceso ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):

• No se ha contestado en el plazo de un mes desde la recepción de la solicitud. • Se ha denegado el acceso completamente, documentándose con copia del escrito. • No se ha contestado satisfactoriamente a la petición de acceso, documentándose con copia del

escrito.

Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite la siguiente documentación anexa a este escrito:

• • • •

•

Copia del escrito de petición de acceso sellada por el responsable del fichero. Copia del escrito de petición de acceso sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de acceso. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de acceso. Copia de la denegación de acceso dictada por el responsable del fichero.

información solicitada. • Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la

En virtud de cuanto antecede,

SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 15 de la referida Ley Orgánica, y de los artículos 27, 28, 29 y 30 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.

En ............................a.........de...........................de 20......

Firmado:

ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID

(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

116


A.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE ACCESO.

1. Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del fichero pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal deberá aportarse, además, DNI y documento acreditativo de la representación del representante.

2. El derecho de acceso no podrá llevarse a cabo en intervalos inferiores a 12 meses, salvo interés legítimo debidamente justificado.

3. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar, en su caso, la dirección de los responsables de los ficheros inscritos. El titular de los datos personales objeto de tratamiento debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos.

4. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela de derechos, resulta necesario que haya transcurrido un mes desde la presentación de la solicitud por la que se ejercita el derecho de acceso, sin que se haya producido contestación alguna, y que se aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos:

. • la negativa del responsable del fichero a facilitar la información solicitada.

. • copia sellada por el responsable del fichero del modelo de petición de acceso.

. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos.

. • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.

118

B. DERECHO DE RECTIFICACIÓN.

B.1. EJERCICIO DEL DERECHO DE RECTIFICACIÓN(1)

DATOS DEL RESPONSABLE DEL FICHERO(2).

Nombre / razón social: ................................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de rectificación: C/Plaza ..................................................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3).

D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de rectificación sobre los datos anexos, aportando los correspondientes justificantes, de conformidad con lo previsto en el artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma y en consecuencia,

SOLICITA,

Que se proceda a acordar la rectificación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la rectificación practicada.

Que en caso de que se acuerde, dentro del plazo de diez días hábiles, que no procede acceder a practicar total o parcialmente las rectificaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 18 de la citada Ley Orgánica 15/1999.

Que si los datos rectificados hubieran sido comunicados previamente se notifique al responsable del fichero la rectificación practicada, con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.

En ............................a.........de...........................de 20......

Firmado:

1.

2.

3.

Consiste en la petición dirigida al responsable del fichero con el fin de que los datos personales respondan con veracidad a la situación actual del afectado. Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

119


B.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE RECTIFICACIÓN.




Nombre / razón social: ............................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de rectificación: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma ............................ C.I.F./D.N.I. .................................

Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de rectificación ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):

•

•

•

No se ha contestado en el plazo diez días hábiles.

Se ha denegado la rectificación total o parcialmente sin justificación.

Se ha denegado la rectificación total o parcialmente motivadamente. No se ha rectificado el dato de modo efectivo.

Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite junto con el presente escrito, contestación recibida en su caso del responsable del fichero y la documentación aneja que proceda (márquese):

• • • •

• •

Copia del escrito de petición de rectificación sellada por el responsable del fichero. Copia del escrito de petición de rectificación sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de rectificación. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de rectificación. Copia de la denegación de rectificación dictada por el responsable del fichero. Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la rectificación solicitada.


SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 16 de la referida Ley Orgánica, y de los artículos 31, 32 y 33 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.

En ............................a.........de...........................de 20......

Firmado:


(1) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.

120


B.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE RECTIFICACIÓN.

1. Este modelo se utilizará para el caso de que se deban rectificar datos inexactos o incompletos en un fichero. 2. Para probar el carácter inexacto o incompleto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través del representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte, junto con el escrito que en su caso haya realizado el responsable del fichero, alguno de los siguientes documentos: . • la negativa del responsable del fichero a la rectificación de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de rectificación. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.

122

C. DERECHO DE CANCELACIÓN. C.1. EJERCICIO DEL DERECHO DE CANCELACIÓN(1)

DATOS DEL RESPONSABLE DEL FICHERO(2)

Nombre / razón social: ............................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de cancelación: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3)

D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de cancelación, de conformidad con lo previsto en el artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los artículos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma y en consecuencia,

SOLICITA,

Que se proceda a acordar la cancelación de los datos personales sobre los cuales se ejercita el derecho, que se realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el resultado de la cancelación practicada.

Que en caso de que se acuerde dentro del plazo de diez días hábiles que no procede acceder a practicar total o parcialmente las cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 18 de la citada Ley Orgánica 15/1999.

Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable del fichero la cancelación practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.

En ............................a.........de...........................de 20......

Firmado:

(1)Consiste en la petición de cancelación de un dato que resulte innecesario o no pertinente para la finalidad con la que fue recabado. El dato será bloqueado, es decir, será identificado y reservado con el fin de impedir su tratamiento. (2)Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (3)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

123

C. DERECHO DE CANCELACIÓN.

C.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE CANCELACIÓN.




Nombre / razón social: ................................................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de cancelación: C/Plaza ................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de cancelación ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):

• • •

No se ha contestado en el plazo diez días hábiles. Se ha denegado la cancelación total o parcialmente sin justificación. Se ha denegado la cancelación total o parcialmente motivadamente. No se ha cancelado el dato de modo efectivo. •


• • • •

Copia del escrito de petición de cancelación sellada por el responsable del fichero. Copia del escrito de petición de cancelación sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de cancelación. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que

• •

se pueda deducir la recepción de la solicitud de cancelación. Copia de la denegación de cancelación dictada por el responsable del fichero. Copia de la contestación del responsable del fichero en la que no se facilita el contenido de la cancelación solicitada.



En ............................a.........de...........................de 20......

Firmado:


(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado,

habrá de aportarse DNI y documento acreditativo de la representación del tercero.

124

C. DERECHO DE CANCELACIÓN.

C.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE CANCELACIÓN.

1. El Modelo C.1. se utilizará por el afectado cuando desee cancelar y bloquear datos inexactos existentes en un fichero. 2. Para probar el carácter inexacto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos: . • la negativa del responsable del fichero a la cancelación de los datos solicitados. . • copia sellada por el responsable del fichero del modelo de petición de cancelación. . • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud. 6. Sin perjuicio del ejercicio del derecho de cancelación, a tenor del art. 16,5 de La Ley Orgánica 15/1999, los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

126

D. EJERCICIO DEL DERECHO DE EXCLUSIÓN(1).

D.1. DERECHO DE EXCLUSIÓN DE LA UTILIZACIÓN DE LOS DATOS PARA FINES DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL(2).


Nombre / razón social: .................................................................................Dirección de la Oficina / Servicio ante el que se ejercita el derecho de exclusión: C/Plaza ...................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

DATOS DEL INTERESADO O REPRESENTANTE LEGAL(4).

D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de exclusión de la utilización de los datos para fines de publicidad y prospección comercial, de conformidad con lo previsto en el artículo 28 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en su caso en el articulo 67,2 del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III de la Ley General de Telecomunicaciones, y en consecuencia,

SOLICITA,

Que se proceda a acordar la exclusión de la utilización de los datos para fines de publicidad y prospección comercial de mis datos personales, y que se me notifique de forma escrita el resultado de la exclusión practicada.

Que si los datos objeto de exclusión hubieran sido comunicados previamente se notifique al responsable del fichero la exclusión practicada con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el artículo 4 de la mencionada Ley Orgánica 15/1999.

En ............................a.........de...........................de 20......

Firmado:

(1) Consiste en la petición de supresión total o parcial de los datos personales incluidos en fuentes de acceso al público. La presente solicitud será atendida en el plazo de diez días cuando el dato sea utilizado por consulta o comunicación telemática, y en la siguiente edición del listado cuando se editen en forma de libro o algún otro soporte físico (p.e. un C.D.). (2) Aplicable únicamente al Censo Promocional, a los listados públicos de Colegios Profesionales y a los repertorios telefónicos. (3). Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (4) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.

127

D. EJERCICIO DEL DERECHO DE EXCLUSIÓN(1).

D.2. EJERCICIO DEL DERECHO DE EXCLUSIÓN EN LOS REPERTORIOS TELEFÓNICOS DE ACCESO PÚBLICO.


Nombre / razón social:..................................................................................Dirección de la Oficina / Servicio ante el que se ejercita el derecho de exclusión: C/Plaza ...............................................................nº........... C.Postal.............. Localidad..................................... Provincia ................................. Comunidad Autónoma ..............................C.I.F./D.N.I. .................................

DATOS DEL INTERESADO O REPRESENTANTE LEGAL(2).

D./ Dª. ..............................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma............................................ con D.N.I.........................., del que acompaña copia, por medio del presente escrito ejerce el derecho de exclusión de conformidad con el art. 67 del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III de la Ley General de Telecomunicaciones, y en consecuencia,

SOLICITA

1. Que se proceda gratuitamente a la exclusión total / parcial(3) (táchese lo que no proceda) de los datos relativos a mi persona que se encuentren en los repertorios telefónicos de abonados. 2. Que la exclusión se haga efectiva en todos los repertorios de abonados de servicios telefónicos y de telecomunicación, ya sean impresos en papel o disponibles por otros medios de esa compañía. 3. Manifiesto además mediante este escrito mi voluntad clara y expresa de que mis datos personales no sean cedidos a ninguna persona, física o jurídica, así como que su utilización se limite exclusivamente a la relación contractual que mantengo con esa entidad, por ser la finalidad para la que fueron recogidos.

En ............................a.........de...........................de 20......

Firmado:

1 Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. 2 También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.

3 Referida a los datos del domicilio del abonado.

128

DERECHO DE OPOSICION E.1. EJERCICIO DEL DERECHO DE OPOSICIÓN (1)

DATOS DEL RESPONSABLE DEL FICHERO(2)

Nombre / razón social: ............................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de oposición: Calle/Plaza ....................................................................... nº ........... C.Postal .................. Localidad .................................................... Provincia ................................. Comunidad Autónoma ................................ C.I.F./D.N.I. .................................


D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la Calle/Plaza .................................................................................... nº..... Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I.........................., del que acompaño copia, por medio del presente escrito ejerzo el derecho de oposición, de conformidad con lo previsto en los artículos 6.4, 17 y 30.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal y en los artículos 34 y 35 del Real Decreto 1720/2007, de 21 de diciembre , que la desarrolla y en consecuencia,

EXPONGO,

(describir la situación en la que se produce el tratamiento de sus datos personales y enumerar los motivos por los que se opone al mismo) Para acreditar la situación descrita, acompaño una copia de los siguientes documentos: (enumerar los documentos que adjunta con esta solicitud para acreditar la situación que ha descrito)

SOLICITO,

Que sea atendido mi ejercicio del derecho de oposición en los términos anteriormente expuestos.

En ............................a.........de...........................de 20......

Firmado:

(1) Se trata de la solicitud de oposición al tratamiento de los datos personales incluidos en un fichero. Este derecho se ejerce ante el responsable del fichero (Organismo Público o entidad privada) que es quien dispone de los datos. La Agencia Española de Protección de Datos no dispone de sus datos personales sino solamente de la ubicación del citado responsable si el fichero está inscrito en el Registro General de Protección de Datos. (2) Si Vd. desconoce la dirección del responsable del fichero puede dirigirse a la Agencia Española de Protección de Datos para solicitar esta información en el teléfono 901 100 099. (3) También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo auténtico de la representación del tercero.

129

DERECHO DE OPOSICION

E.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE OPOSICION.




Nombre / razón social: ................................................................................. Dirección de la Oficina / Servicio ante el que se ejercita el derecho de oposición: C/Plaza ................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. .................................

Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de oposición ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo

que proceda):

• • •

No se ha contestado en el plazo diez días hábiles. Se ha denegado la oposición total o parcialmente sin justificación. Se ha denegado la oposición motivadamente.


• • • •

•

Copia del escrito de petición de oposición sellada por el responsable del fichero. Copia del escrito de petición de oposición sellada por la oficina de correos. Copias del resguardo del envío por correo certificado y de la petición de oposición. Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud de oposición. Copia de la denegación de oposición dictada por el responsable del fichero.



En ............................a.........de...........................de 20......

Firmado:


(1)También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI del interesado, habrá de aportarse DNI y documento acreditativo de la representación del tercero.

130

DERECHO DE OPOSICION

E.3. INSTRUCCIONES PARA LA CUMPLIMENTACIÓN DE LOS MODELOS RELACIONADOS CON EL DERECHO DE OPOSICION.

1. El Modelo D.1. se utilizará por el afectado cuando desee oponerse a determinados tratamientos específicos de datos personales existentes en un fichero. 2. Para oponerse a un tratamiento de los datos que figuran en los ficheros resulta necesaria la existencia de unos motivos fundados y legitimos 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos:

. • la negativa del responsable del fichero a la oposición de los datos solicitados.

. • copia sellada por el responsable del fichero del modelo de petición de oposición.

. • copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos. . • cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.

6. En el caso de que el responsable del fichero no disponga de datos personales deberá comunicarlo en el mismo plazo de 10 días.

132

DENUNCIA ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

DATOS DEL AFECTADO (1)

D. / Dª. ......................................................................................................................................, mayor de edad,

con domicilio en ............................................................................................................................. nº..........,

Localidad ……………………......................................... Provincia ……........................................ C.P. ...............

Comunidad Autónoma ........................................................................, con D.N.I./Pasaporte nº..........................

DATOS DEL PRESUNTO RESPONSABLE

Nombre / Razón social: .........................................................................................................................................

Oficina / Servicio (en su caso): …………...............................................................................................................

Domicilio: ............................................................................................................................................... nº ….....,

Localidad.................................................................................. Provincia ................................. C.P. ..................

Comunidad Autónoma ...................................................................................... C.I.F./D.N.I. ...............................

De acuerdo con lo previsto en la normativa vigente, pone en conocimiento del Director de la Agencia Española

de Protección de Datos los siguientes HECHOS: ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………

que justifica con la DOCUMENTACIÓN ANEXA que se relaciona a continuación:

Documento nº 1 ………………………………………………………………………………………………..………...... Documento nº 2 ……………………………………………………………………………………………..…………...... Documento nº 3 …………………………………………………………………………………………..……………...... ……

En virtud de lo expuesto, SOLICITA que se dicte acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones Públicas o se incoen actuaciones con objeto de determinar si concurren circunstancias que justifiquen tal iniciación y que, en cualquier caso, se me notifique el acuerdo que se adopte, de conformidad con lo previsto en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre.

En ..............................................................................................a ........de ........................... de 20......

Firmado:

SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS C/ Jorge Juan, 6.- 28001 MADRID

La denuncia puede presentarse por el propio afectado, en cuyo caso acompañará copia del DNI, o cualquier otro documento que acredite la identidad y sea considerado válido en derecho. También puede concederse la representación legal a un tercero, en cuyo caso, además, se deberá aportar DNI y documento acreditativo de la representación de éste.

(1)

134

GLOSARIO

Accesos Autorizados

Autorizaciones concedidas a un usuario para la utilización de los

diversos recursos. En su caso, incluirán las autorizaciones o funciones

que tenga atribuidas un usuario por delegación del responsable del

fichero o tratamiento o del responsable de seguridad.

Afectado o Interesado

Persona física titular de los datos que sean objeto del tratamiento.

Autenticación

Procedimiento de comprobación de la identidad de un usuario.

Bloqueo de Datos

La identificación y reserva de los datos de carácter personal con el fin de

impedir su tratamiento.

Cancelación

Procedimiento en virtud del cual el responsable cesa en el uso de los

datos.

Comunicación o Cesión de Datos

Toda revelación de datos realizada a una persona distinta del

interesado.

Consentimiento del Interesado

Toda manifestación de voluntad, libre, inequívoca, específica e

informada, mediante la que el interesado consienta el tratamiento de

datos personales que le conciernen

Copia de Respaldo

Copia de los datos de un fichero automatizado en un soporte que

posibilite su recuperación.

Datos

Toda información numérica, alfabética, gráfica, fotográfica, acústica o de

cualquier tipo susceptible de recogida, registro, tratamiento o

transmisión.

glosario

135

Datos de Carácter Personal

Cualquier información concerniente a personas físicas identificadas o

identificables.

Dato Disociado

Aquél que no permite la identificación de un afectado o interesado.

Datos de Carácter Personal Relativos a La Salud

Las informaciones concernientes a la salud pasada, presente y futura,

física o mental, de un individuo. En particular, se consideran datos

relacionados con la salud de las personas los referidos a su porcentaje

de discapacidad y a su información genética.

Declarante

Persona física que cumplimenta la solicitud de inscripción y actúa como

mediador entre la Agencia y el titular/responsable del fichero. No debe

necesariamente coincidir con el titular/responsable.

Destinatario o Concesionario

La persona física o jurídica, pública o privada u órgano administrativo, al

que se revelen los datos.

Documento

Todo escrito, gráfico, sonido, imagen o cualquier otra clase de

información que puede ser tratada en un sistema de información como

una unidad diferenciada.

Encargado del Tratamiento

La persona física o jurídica, autoridad pública, servicio o cualquier otro

organismo que, solo o conjuntamente con otros, trate datos personales

por cuenta del responsable del tratamiento.

Exportador de Datos Personales

La persona física o jurídica, pública o privada, u órgano administrativo

situado en territorio español y responsable del tratamiento de los datos

de carácter personal que son objeto de transferencia internacional a un

país tercero.

Fichero

Conjunto organizado de datos de carácter personal, cualquiera que sea

la forma o modalidad de su creación, almacenamiento, organización y

acceso.

136

Fichero de Titularidad Privada

Ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

Ficheros de Titularidad Pública

Ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.

Fichero No Automatizado

Conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

Fuentes Accesibles al Público

Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.

Identificación del Afectado

Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada.

Importador de Datos Personales

La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

Persona Identificable

Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

137

Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Procedimiento de Disociación

Todo tratamiento de datos personales de modo que la información que

se obtenga no pueda asociarse a persona identificada o identificable.

Responsable del Fichero o Tratamiento

Persona física o jurídica, de naturaleza pública o privada, u órgano

administrativo, que decida sobre la finalidad, contenido y uso del

tratamiento.

Responsable de Seguridad

Persona o personas a las que el responsable del fichero ha asignado

formalmente la función de coordinar y controlar las medidas de

seguridad aplicables.

Sistema de Tratamiento

Modo

podrán

en que se organiza o utiliza

no

un sistema de

o

información.

parcialmente

Atendiendo al sistema de tratamiento, los sistemas de información

ser automatizados, automatizados

automatizados.

Soporte

Objeto físico que almacena o contiene datos o documentos, u objeto

susceptible de ser tratado en un sistema de información y sobre el cual

se pueden grabar y recuperar datos.

Tercero

Persona física o jurídica, pública o privada u órgano administrativo

distinta del afectado o interesado, del responsable del tratamiento, del

responsable del fichero, del encargado del tratamiento y de las personas

autorizadas para tratar los datos bajo la autoridad directa del

responsable del tratamiento o del encargado del tratamiento. Podrán ser

también terceros los entes sin personalidad jurídica que actúen en el

tráfico como sujetos diferenciados.

Transferencia de Datos

El transporte de los datos entre sistemas informáticos por cualquier

medio de transmisión, así como el transporte de soportes de datos por

correo o por cualquier otro medio convencional.

138

Transferencia Internacional de Datos

Tratamiento de datos que supone una transmisión de los mismos fuera

del territorio del Espacio Económico Europeo, bien constituya una cesión

o comunicación de datos, bien tenga por objeto la realización de un

tratamiento de datos por cuenta del responsable del fichero establecido

en territorio español.

Tratamiento de Datos

Operaciones y procedimientos técnicos de carácter automatizado o no,

que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos que

resulten de comunicaciones, consultas, interconexiones y transferencias

140

BIBLIOGRAFÍA

Título: La Protección de los Datos de Carácter Personal en el Derecho

Español

Editorial: Bosch

Autor: Freixas Gutiérrez, G.cebillo, P.M.

Año: 2001

Título: La protección de datos personales

Editorial: Civitas

Autor: Gómez Navajas, Justa mat, O.

Año: 2005

Título: Manual práctico sobre el Reglamento de Protección de Datos

Editorial: Derecho.com

Autor: Derecho.com

Año: 2007

Título: Protección de Datos de Carácter Personal

Editorial: Derecho.com

Autor: Derecho.com

Año: 2007

Páginas Web:

Título: Boletín Oficial del Estado

Web: www.boe.es

Título: Noticias Jurídicas

Web: www.noticias.juridicas.com

Título: vLex

Web: www.vlex.com

Título: Agencia Española de Protección de Datos

Web: www.agpd.es

bibliografía

TEMA_0113

Documents

Transcript of TEMA_0113