Este documento presenta definiciones de varios conceptos clave relacionados con la Ley Orgánica de Protección de Datos (LOPD) de España. En la sección 1.1 define 8 conceptos importantes como "afectado", "consentimiento", "datos personales", "encargado del tratamiento", "fichero", "LOPD", "responsable del tratamiento" y "tratamiento de datos". La sección 1.2 define otros conceptos adicionales como "Agencia Española de Protección de Datos", "cesión de datos", "fuentes accesibles al público" y
2. 1 Glosario
1.1 Conceptos Importantes
En un principio para esta secci´n se han identificado los 8 conceptos m´s relevantes
o a
y significativos, presentes en los contenidos impartidos en las clases de teor´ sobre “La
ıa
Protecci´n de Datos de Car´cter Personal”. Adem´s, estos conceptos se han expuestos de
o a a
forma ordenada alfab´ticamente y se han acompa˜ado de una breve definici´n.
e n o
1.1.1 Afectado o interesado (1)
Tanto para la LOPD como para el Reglamento de desarrollo, afectado o intere-
sado es:
Art 3.e. (4), art. 5.a. (5) “Persona f´
ısica titular de los datos que
sean objeto del tratamiento”.
Es importante destacar que las personas jur´ıdicas no disponen del derecho a la
protecci´n de datos de car´cter personal, exclusivo de las personas f´
o a ısicas, que
son las unicas que quedan protegidas por el ´mbito de aplicaci´n de la norma.
´ a o
Un aspecto relevante de este concepto y que encontramos en el Reglamento
(5) de desarrollo es que, el ´mbito de aplicaci´n de la normativa en materia
a o
de protecci´n de datos de car´cter personal no incluye los datos referidos a
o a
personas fallecidas.
No obstante, aquellas personas vinculadas al fallecido, por razones familiares
o an´logas, podr´n dirigirse a los responsables de los ficheros o tratamientos
a a
que contengan datos de ´ste con la finalidad de notificar el ´bito, aportando
e o
acreditaci´n suficiente del mismo, y solicitar, en su caso, la cancelaci´n de los
o o
datos del fallecido.
1.1.2 Consentimiento del interesado (1)
El consentimiento es uno de los pilares centrales y definitorios en lo que a la
protecci´n de los datos de car´cter personal se refiere.
o a
2
3. Seg´n la LOPD y el Reglamento de desarrollo, el consentimiento es:
u
Art 3.h. (4), art. 5.1.d. (5) “Toda manifestaci´n de voluntad,
o
libre, inequ´
ıvoca, espec´
ıfica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen”.
Supone la autorizaci´n, por parte del interesado de la finalidad que va a ser
o
dada a sus datos y de los medios empleados para conseguir tal fin.
1.1.3 Datos de car´cter personal, DCP (3)
a
Los datos de car´cter personal est´n definidos legalmente como:
a a
Art 3.a. (4) “cualquier informaci´n concerniente a personas f´
o ısicas
identificadas o identificables”.
Como se desprende de esta definici´n, cuando la ley habla de datos de car´cter
o a
personal no solo hace referencia al nombre y apellidos de las personas, sino que,
de manera muy amplia, incluye cualquier tipo de informaci´n (DNI, fotograf´
o ıas,
v´ıdeos, voz, huellas, ...) siempre que haga referencia a una persona f´
ısica iden-
tificada (se sabe a qui´n pertenece el dato) o identificable (no se sabe a qui´n
e e
pertenece el dato pero se podr´ averiguar sin muchos esfuerzos).
ıa
1.1.4 Encargado del tratamiento (1)
La LOPD define la figura del encargado del tratamiento como:
Art 3.g. (4) “La persona f´ ısica o jur´
ıdica, autoridad p´blica, servi-
u
cio o cualquier otro organismo que, s´lo o conjuntamente con otros,
o
trate datos personales por cuenta del responsable del tratamiento”.
Por su parte el Reglamento de desarrollo nos ofrece una definici´n m´s amplia
o a
de este concepto:
Art 5.1.i. (5) “La persona f´ısica o jur´
ıdica, p´blica o privada, u
u
´rgano administrativo que, solo o conjuntamente con otros, trate
o
datos personales por cuenta del responsable del tratamiento o del
3
4. responsable del fichero, como consecuencia de la existencia de una
relaci´n jur´
o ıdica que le vincula con el mismo y delimita el ´mbito de
a
su actuaci´n para la prestaci´n de un servicio”.
o o
“Podr´n ser tambi´n encargados del tratamiento los entes sin person-
a e
alidad jur´
ıdica que act´en en el tr´fico como sujetos diferenciados”.
u a
1.1.5 Fichero (3)
F´ısicamente un fichero es el soporte en el que se encuentren almacenados o
registrados los datos de car´cter personal, pero jur´
a ıdicamente el t´rmino fichero
e
est´ definido de una manera mucho m´s amplia y abstracta, incluyendo a:
a a
Art 3.b. (4) “todo conjunto organizado de datos de car´cter per-
a
sonal, cualquiera que fuere la forma o modalidad de su creaci´n, al-
o
macenamiento, organizaci´n y acceso”.
o
Por lo tanto, bastar´ con que exista un conjunto de datos de car´cter personal
a a
organizado de alguna manera que permita acceder a los datos utilizando alg´n
u
criterio determinado para que legalmente se considere que estamos ante un
fichero, independientemente de que el almacenamiento, organizaci´n y acceso a
o
los datos se lleve a cabo de manera manual (ficheros no automatizados) o
a trav´s de procedimientos informatizados (ficheros automatizados).
e
1.1.6 LOPD (3)
La LOPD son las siglas que hacen referencia a la Ley Org´nica 15/1999, de
a
13 de diciembre, de Protecci´n de Datos de Car´cter Personal, que
o a
es la norma jur´ıdica que, desde el 14 de Enero del a˜o 2000, regula en Espa˜a
n n
todo lo relativo al tratamiento de los datos personales de las personas f´
ısicas.
Esta ley tiene como:
Art 1. (4) “... objeto garantizar y proteger, en lo que concierne
al tratamiento de los datos personales, las libertades p´blicas y los
u
derechos fundamentales de las personas f´
ısicas, y especialmente de su
honor e intimidad personal y familiar”.
4
5. Y, para ello, a trav´s de siete t´
e ıtulos y cuarenta y nueve art´
ıculos establece
como se deben recoger, tratar y ceder los datos de car´cter personal para no
a
perjudicar con ello los derechos de sus titulares.
1.1.7 Responsable del fichero o tratamiento (1)
Para la LOPD, el concepto de responsable del fichero se define como:
Art 3.d. (4) “persona f´ ısica o jur´
ıdica, de naturaleza p´blica o
u
privada, u ´rgano administrativo, que decida sobre la finalidad, con-
o
tenido y uso del tratamiento”.
´
Esta persona es responsable y custodio de los datos contenidos en sus ficheros,
as´ como de aplicar las medidas legales que se le impongan y ser´ adem´s, quien
ı a a
decida la finalidad para la cual los datos son recabados.
El Reglamento de desarrollo sube un pelda˜o m´s en su definici´n del concepto
n a o
del Responsable del fichero o tratamiento y considera que es:
Art 5.1.q. (5) “Persona f´ ısica o jur´
ıdica, de naturaleza p´blica o
u
privada, u ´rgano administrativo, que s´lo o conjuntamente con otros
o o
decida sobre la finalidad, contenido y uso del tratamiento, aunque no
lo realizase materialmente”.
“Podr´n ser tambi´n responsables del fichero o del tratamiento los
a e
entes sin personalidad jur´ıdica que act´en en el tr´fico como sujetos
u a
diferenciados”.
1.1.8 Tratamiento de datos personales (1)
La LOPD define el tratamiento de datos como todas aquellas:
Art 3.c. (4) “operaciones y procedimientos t´cnicos de car´cter au-
e a
tomatizado o no, que permitan la recogida, grabaci´n, conservaci´n,
o o
elaboraci´n, modificaci´n, bloqueo y cancelaci´n, as´ como las ce-
o o o ı
siones de datos que resulten de comunicaciones, consultas, inter-
conexiones y transferencias”.
5
6. No es sino el proceso por el cual los datos sirven al fin para el cual fueron
recabados, teniendo en cuenta que este tratamiento comprende cualquier uso,
desde el momento de su recogida hasta el momento de su cancelaci´n.
o
1.2 Otros Conceptos
A continuaci´n, se detallan otros conceptos que nos pareci´ interesante definir aunque
o o
su importancia en el tema no sea tan relevante como los anteriores.
1.2.1 Agencia Espa˜ ola de Protecci´n de Datos, AEPD (3)
n o
La Agencia Espa˜ola de Protecci´n de Datos (AEPD) es un ´rgano especial-
n o o
izado encargado de velar por el cumplimiento de la legislaci´n sobre protecci´n
o o
de datos y controlar su aplicaci´n, especialmente en lo relativo al ejercicio de
o
los derechos esenciales de los ciudadanos (los derechos de acceso, rectificaci´n,
o
cancelaci´n y oposici´n). Se trata de un ente p´blico con personalidad jur´
o o u ıdica
propia y plena capacidad p´blica y privada que act´a con plena independencia
u u
de las Administraciones P´blicas y que se relaciona con el Gobierno a trav´s
u e
del Ministerio de Justicia.
1.2.2 Cesi´n o comunicaci´n de datos (1)
o o
La LOPD define la cesi´n o comunicaci´n de datos como:
o o
Art 3.i. (4) “Toda revelaci´n de datos realizada a una persona
o
distinta del interesado”.
La LOPD permite las cesiones o comunicaciones de datos cuando:
• Los datos sean cedidos para el cumplimiento de finalidades legitimas de
cesionario y cedente.
• Que exista consentimiento del interesado a esa cesi´n con la salvedades
o
siguientes:
– Que la cesi´n se autorice por ley.
o
– Cuando los datos hayan sido extra´ ıdos de fuentes de acceso p´blico.
u
– Sea necesaria para la prestaci´n de un servicio aceptado por el afec-
o
tado.
6
7. – Cuando los datos sean remitidos al Defensor del Pueblo, al Ministerio
Fiscal, a los jueces o Tribunales o al Tribunal de Cuentas.
– Cuando los datos sean relativos a la salud y sea necesaria su comuni-
caci´n en caso de urgencia.
o
1.2.3 Fuentes accesibles al p´ blico (1)
u
La LOPD define las fuentes accesibles al p´blico como:
u
Art 3.j. (4) “Aquellos ficheros cuya consulta puede ser realizada,
por cualquier persona, no impedida por una norma limitativa o sin
m´s exigencia que, en su caso, el abono de una contraprestaci´n”.
a o
Adem´s, la Ley nos proporciona un listado exclusivo de las misma.
a
Este listado se considera exclusivo y excluyente, es decir, todas las que no se
encuentren recogidas en el mismo, no se consideran fuentes de acceso p´blico.
u
Por lo tanto, se consideran fuentes accesibles al p´blico:
u
• El censo promocional.
• Los repertorios telef´nicos.
o
• Listados de personas pertenecientes a colegios profesionales que contengan
unicamente los datos de nombre, t´
´ ıtulo, profesi´n, actividad, grado acad´mico,
o e
direcci´n e indicaci´n de su pertenencia al grupo.
o o
• Los Diarios y Boletines Oficiales.
• Los medios de comunicaci´n.
o
Respecto de los medios de comunicaci´n, la Agencia Espa˜ola de Protecci´n de
o n o
Datos, en su Memoria del a˜o 2000 considera que:
n
“No se considera que la procedencia de los datos recogidos en In-
ternet sea la de fuente accesible al p´blico, siendo necesario, por lo
u
tanto, la obtenci´n del consentimiento inequ´
o ıvoco, espec´
ıfico e infor-
mado del afectado para realizar tratamientos con sus datos personales
publicados en Internet, aunque ´stos se hayan publicado de forma que
e
cualquier internauta pueda acceder a los mismos”.
7
8. 1.2.4 Copias de respaldo y de recuperaci´n (3)
o
El Reglamento define las copias de respaldo como:
Art 5.1.e (5) “Copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperaci´n”.
o
Tal y como establece el art´ıculo 94 del Real Decreto 1720/2007, en todos los
ficheros automatizados el responsable del fichero debe establecer un proce-
dimiento que permita realizar semanalmente copias de seguridad (backup) de
los datos de car´cter personal en alg´n tipo de soporte que permita su recu-
a u
peraci´n posterior en caso de problemas, dicho procedimiento debe cumplir con
o
los siguientes requisitos:
Art 94. Copias de respaldo y recuperaci´n (5)
o
1. “Deber´n establecerse procedimientos de actuaci´n para la rea-
a o
lizaci´n como m´
o ınimo semanal de copias de respaldo, salvo que
en dicho per´ıodo no se hubiera producido ninguna actualizaci´no
de los datos”.
2. “Asimismo, se establecer´n procedimientos para la recuperaci´n
a o
de los datos que garanticen en todo momento su reconstrucci´n o
en el estado en que se encontraban al tiempo de producirse la
p´rdida o destrucci´n”.
e o
´
“Unicamente, en el caso de que la p´rdida o destrucci´n afectase
e o
a ficheros o tratamientos parcialmente automatizados, y siempre
que la existencia de documentaci´n permita alcanzar el objetivo
o
al que se refiere el p´rrafo anterior, se deber´ proceder a grabar
a a
manualmente los datos quedando constancia motivada de este
hecho en el documento de seguridad”.
3. “El responsable del fichero se encargar´ de verificar cada seis
a
meses la correcta definici´n, funcionamiento y aplicaci´n de los
o o
procedimientos de realizaci´n de copias de respaldo y de recu-
o
peraci´n de los datos”.
o
4. “Las pruebas anteriores a la implantaci´n o modificaci´n de los
o o
sistemas de informaci´n que traten ficheros con datos de car´cter
o a
personal no se realizar´n con datos reales, salvo que se asegure
a
el nivel de seguridad correspondiente al tratamiento realizado y
se anote su realizaci´n en el documento de seguridad”.
o
8
9. “Si est´ previsto realizar pruebas con datos reales, previamente
a
deber´ haberse realizado una copia de seguridad”.
a
1.2.5 Procedimiento de disociaci´n (1)
o
La LOPD define el procedimiento de disociaci´n como:
o
Art 3.f. (4) “Todo tratamiento de datos personales de modo que la
informaci´n que se obtenga no pueda asociarse a persona identificada
o
o identificable”.
Los procedimientos de disociaci´n permiten, al responsable o al encargado del
o
fichero o tratamiento, no encontrarse sometido a la necesidad de contar con
el consentimiento del titular en el caso de comunicaciones de datos a terceros
y, a otras obligaciones que la normativa en materia de protecci´n de datos de
o
car´cter personal le impone.
a
La disociaci´n se utiliza fundamentalmente en procesos estad´
o ısticos en los que
los datos relevantes son los porcentajes y no los datos en s´ mismos.
ı
Ser´ el caso por ejemplo de conocer el porcentaje de personas que consideran
ıa
que la informaci´n facilitada, por una entidad local, respecto de los tributos
o
locales, es acorde a lo que ellos consideran como aceptable.
El Reglamento de desarrollo es mucho m´s parco en su definici´n y se limita a
a o
decir:
Art 5.1.p. (5) “Todo tratamiento de datos personales que permita
la obtenci´n de datos disociados”.
o
1.2.6 Registro General de Protecci´n de Datos, RGPD (2)
o
El Registro General de Protecci´n de Datos es el ´rgano de la Agencia Espa˜ola
o o n
de Protecci´n de Datos al que corresponde velar por la publicidad de la exis-
o
tencia de los ficheros y tratamientos de datos de car´cter personal, con miras
a
a hacer posible el ejercicio de los derechos de informaci´n, acceso, rectificaci´n
o o
y cancelaci´n de datos regulados en los art´
o ıculos 14 a 17 de la Ley Org´nica
a
15/99, de 13 de diciembre, de Protecci´n de Datos de Car´cter Personal.
o a
Ser´n objeto de inscripci´n en el Registro General de Protecci´n de Datos:
a o o
9
10. • Los ficheros de las Administraciones P´blicas.
u
• Los ficheros de titularidad privada.
• Las autorizaciones de transferencias internacionales de datos de car´cter
a
personal con destino a pa´ que no presten un nivel de protecci´n equipara-
ıses o
ble al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.
• Los c´digos tipo , a que se refiere el art´
o ıculo 32 de la LOPD.
• Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de informaci´n, acceso, rectificaci´n, cancelaci´n y oposici´n.
o o o o
10
12. Referencias
[1] adrformacion. URL: http://www.adrformacion.com/cursos/lopdsani/leccion2/
tutorial2.html.
[2] Agencia Espa˜ola de Protecci´n de Datos.
n o URL: https://www.agpd.es/
portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.
php.
[3] Cuida tus datos. URL: http://www.cuidatusdatos.com/preguntasfrecuentes.
html.
[4] Ley Org´nica 15/1999, de 13 de diciembre, de Protecci´n de Datos de Car´cter Per-
a o a
sonal. URL: http://www.boe.es/buscar/doc.php?id=BOE-A-1999-23750.
[5] REAL DECRETO 1720/2007, de 21 de diciembre. URL: http://www.boe.es/boe/
dias/2008/01/19/pdfs/A04103-04136.pdf.
12