5. Prólogo de María Garaña
El derecho a la intimidad resulta tan irrenunciable como cualquier otro de los
derechos que nos asisten en nuestra Constitución. Su valor ya se encuentra recono-
cido en el artículo 12 de la Declaración Universal de los Derechos Humanos (1944),
así como en el artículo 18 de La Constitución Española, donde se recoge literalmen-
te: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia ima-
gen”… “La Ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Sin perdernos en demasiados tecnicismos, el concepto de intimidad y
privacidad, quizá sea de los más cercanos a nuestra experiencia y sentimiento.
Especialmente cuando es vulnerado nuestro derecho a poder excluir a las demás
personas del conocimiento de nuestra vida personal, de nuestros sentimientos, de
nuestras emociones, de nuestros datos biográficos y personales etc. Así como el
derecho a controlar el quién, cuándo y cómo puede tener acceso a estos aspectos de
la vida personal de cada uno.
El tratamiento automatizado y masivo de datos constituye un pilar de la
Sociedad del Conocimiento, sobre la cual se ha cimentado el progreso de nuestras
empresas, de nuestras administraciones, e incluso de nuestro propio desarrollo
como individuos del siglo XXI. Pero es evidente que la facilidad inherente al trata-
miento automatizado de datos requiere una especial atención que asegure la protec-
ción efectiva de nuestro derecho a la intimidad. En este sentido, la legislación
específica sobre Protección de Datos es la que establece los límites y condiciones
para su tratamiento.
El presente libro, aunque de carácter divulgativo, está dirigido a los responsa-
bles técnicos de empresas y administraciones, así como a los responsables de aplicar
las salvaguardas y procesos contemplados en el Reglamento de la LOPD para el
manejo de los datos de carácter personal de sus clientes, empleados, socios, etc... El
libro busca su hueco en esa zona intermedia en la que necesitamos aplicar con
garantías una serie de medidas técnicas, dictadas por un reglamento jurídico, pero
trasladables al mundo real en la forma de conocimiento tecnológico.
Es por ello por lo que la guía toma como hilo conductor todos y cada uno de
los artículos contemplados en el reglamento de la LOPD, con transcendencia en el
ámbito de las Tecnologías de la Información, para a continuación comentarlos de
forma sencilla y detallar cual sería la configuración o recomendación técnica más
adecuada para su cumplimiento desde la perspectiva de la tecnología Microsoft.
Aun reconociendo la naturaleza eminentemente técnica del manual, no deja de
ser una auténtica delicia el navegar por sus páginas de contenido reglamentario,
que de forma amena y clara presenta con sencillez los conceptos más básicos y
delicados del reglamento.
La estructura del libro, aun manteniendo dos partes claramente diferenciadas
(jurídica y técnica), establece un permanente vínculo entre ambas, y es en ese nexo
precisamente donde reside el principal valor para los responsables técnicos de
III
6. La protección de datos personales: Soluciones en entornos Microsoft
aplicar las medidas del reglamento para los datos almacenados utilizando software
de Microsoft.
Tenemos la esperanza que, este manual, en su segunda edición, sirva para
facilitar a los responsables de Seguridad/Privacidad/Sistemas, el cumplimiento de
los aspectos tecnológicos derivados del cumplimiento de la Ley, así como servir de
vehículo de difusión de un conocimiento importante como es el relativo a nuestros
derechos y obligaciones en materia de Protección de Datos. Es un ejemplo más del
compromiso incuestionable de Microsoft por colaborar, decidida y eficazmente, con
la administración española en el desarrollo de la Sociedad del Conocimiento en
nuestro país.
María Garaña
Presidenta de Microsoft Ibérica S.R.L.
IV
7. Prólogo de Artemi Rallo
Como Director de la Agencia Española de Protección de Datos, institución
pública independiente, cuya labor primordial es la de velar por el cumplimiento de
la normativa de protección de datos de carácter personal, supone para mí una
enorme satisfacción poder presentar este libro, “La Protección de Datos Personales:
soluciones en entornos Microsoft”, fruto de los trabajos realizados por entidades de
la talla de Microsoft, Helas Consultores, IPSCA, Informática64 y Red.es.
Debemos destacar el objetivo primordial que pretende conseguir una obra
como la que en estos momentos se edita y que viene a reforzar la labor de difusión y
divulgación del derecho fundamental a la protección de datos de carácter personal
en nuestro país.
El libro que tengo la oportunidad de prologar, una vez adaptado a la normati-
va vigente en materia de protección de datos personales debe, sin lugar a dudas,
convertirse en una guía de consulta, no sólo para los responsables de ficheros y
tratamientos de datos personales sino también para los posibles encargados de
tratamientos que pudieran contratarse como consecuencia de la necesaria presta-
ción de un servicio determinado, tanto en el ámbito privado como público y que el
propio RLOPD regula de manera muy detallada en su articulado.
Los conceptos mencionados en este libro y las obligaciones que todo responsa-
ble de un fichero o tratamiento deben cumplir dentro del marco de la protección de
datos personales, analizados de una forma muy detallada a lo largo del mismo,
pretenden aportar una claridad y una seguridad jurídica valiosa a la hora de inter-
pretar la normativa vigente. Sin lugar a dudas, la lectura del presente texto debe
servir para resolver gran parte de las posibles dudas que pudieran tener los respon-
sables de ficheros o tratamientos al interpretar las normas concernientes a la protec-
ción de datos de carácter personal.
Principios como la calidad de los datos, la información previa que ha de ser
prestada al titular de los datos para recabar su consentimiento, el deber de secreto,
la seguridad de los datos recabados, la proporcionalidad que debe regir acorde con
la finalidad que justifica la recogida de la información personal o la veracidad y
exactitud de los datos personales tratados, son principios que han de ser respetados
y considerados como una de las piedras angulares de la materia que nos ocupa.
El reconocimiento de los derechos ARCO (acceso, rectificación, cancelación y
oposición) en relación con el tratamiento de datos de carácter personal es uno de los
pilares fundamentales de la protección de datos personales, sin duda muy vincula-
do al deber de información que en ocasiones los responsables de ficheros y trata-
mientos no cumplen con la minuciosidad que establece la Ley.
Junto a la aplicación de los aspectos mencionados, los responsables de ficheros
y tratamientos de datos personales deberán tener en cuenta las obligaciones relacio-
nadas con la implementación de medidas de seguridad de índole técnica y
organizativa acordes con la información personal gestionada tanto en soportes
V
8. La protección de datos personales: Soluciones en entornos Microsoft
automatizados como no automatizados y que de manera muy detallada regula el
RLOPD.
Otras cuestiones, como la autorregulación o los movimientos internacionales
de datos, cuya ejecución requieren de la autorización previa del Director de la
Agencia Española de Protección de Datos, salvo que se destinen a países que
proporcionen un nivel adecuado de protección o se trate de los supuestos
excepcionados que la propia LOPD establece, deberán igualmente ser tenidas en
cuenta por los responsables de ficheros y tratamientos que pudieran verse
involucrados en alguna de estas situaciones.
El presente libro hace alusión a los diferentes procedimientos que la Agencia
Española de Protección de Datos tramita y que el RD 1720/2007, de desarrollo de la
LOPD, regula de manera muy detallada en relación con la notificación de los
ficheros y tratamientos por parte de sus responsables, los vinculados a la tutela del
ejercicio de los derechos ARCO, los posibles procedimientos sancionadores que
pudieran iniciarse con motivo de la comisión de las infracciones tipificadas en la
LOPD, así como otros procedimientos relacionados con la inscripción de códigos
tipo, las solicitudes de autorización para realizar una transferencia internacional de
datos y otros procedimientos más excepcionales relacionados con el deber de
informar y la conservación de datos para fines específicos (históricos, estadísticos o
científicos).
El alto nivel de competencia que rige en determinados sectores del ámbito
empresarial no debe ser, de ninguna manera, una licencia que permita olvidar la
existencia de una información personal que, salvo las excepciones que la propia Ley
establece, son los propios titulares de esos datos personales quienes deben decidir el
uso, las aplicaciones, cesiones y finalidades que se les puede dar a los mismos.
La actuación empresarial, conforme a lo regulado en la Ley, debe interpretarse
como un valor añadido para la empresa y para su imagen, aportando una mayor
calidad y una mejor gestión de sus recursos y, en ningún caso, el cumplimiento de la
normativa vigente debe entenderse como un obstáculo de difícil superación.
La entidades e instituciones a las que va dirigida la normativa de protección de
datos no sólo deben colaborar en la defensa de los derechos de los ciudadanos, sino
que además deben ser conscientes de que el cumplimiento de la Ley redundará en
una mayor seguridad propia, de sus sistemas, de la información que registren, en
ocasiones muy valiosa y cuya pérdida puede suponer una secuencia irreparable de
daños económicos de gran envergadura.
Por todo ello, la implementación de medidas de seguridad, de carácter técnico
y organizativo, acorde con la información gestionada, debe ser una prioridad y un
procedimiento incorporado al quehacer diario del ámbito empresarial.
La aplicación de las nuevas tecnologías, en la sociedad en la que nos encontra-
mos inmersos, debe tener en cuenta la existencia de distintas modalidades de
tratamiento de la información personal que permitan identificar a una persona
física, en todas sus variantes (dato identificativo, imagen, fotografía, dato
biométrico, voz, etc.).
VI
9. Debemos ser conscientes de que en muchas ocasiones el incumplimiento de la
Ley se debe a una falta de conocimiento y de información de las normas, derechos y
procedimientos existentes.
He de destacar que la Agencia Española de Protección de Datos, como autori-
dad garante de este derecho fundamental, apoyará siempre iniciativas como la que
en esta ocasión han impulsado entidades como Microsoft, Helas Consultores, IPSCA
y Red.es, que avanzan en el camino de una mayor concienciación y difusión de la
normativa de protección de datos de carácter personal, siempre desde la perspecti-
va de la prevención e información.
Artemi Rallo
Director de la Agencia Española de Protección de Datos
VII
10. La protección de datos personales: Soluciones en entornos Microsoft
Prólogo de Sebastián Muriel
Actualmente asistimos a un cambio del uso social de la tecnología sin prece-
dentes en la historia de la humanidad. Sería difícil tratar de entender este repentino
aumento de la permeabilidad social hacia lo tecnificado, sin la ubicua presencia de
las tecnologías de la información y de las comunicaciones (TIC) y de todos los
servicios asociados a las mismas, hasta el punto de que lo que distingue a las
economías avanzadas de las economías emergentes, es la intensidad en el uso de
estas tecnologías.
Gracias a importantes logros como el Plan Avanza, puesto en marcha por la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información en
2005, se puede decir que España está ya en posición de liderazgo en muchos de los
indicadores que miden el uso de las TIC.
Un uso que es creciente en todas las actividades y áreas que se nos puedan
ocurrir: en el plano profesional, en la esfera del ocio (cada vez más interactivo y más
digital, donde los contenidos digitales y las redes sociales juegan un papel cada vez
más relevante), en las maneras de acceder a las noticias y a la información en los
medios de comunicación, en la educación, en la sanidad, en la relación de los
ciudadanos y empresas con las diferentes administraciones, pero además, sobre
todo, en las maneras de relacionarnos unos con otros, con nuestras familias, amigos
y conocidos.
Es evidente que éste es el camino y que los esfuerzos realizados suponen una
ventaja comparativa como país. En este entorno es importante educar y sensibilizar
a los usuarios en el buen uso de las TIC.
Porque la creciente expansión del mundo digital conlleva un reto a la gestión
adecuada de la privacidad. Por eso estoy convencido de que iniciativas como la
segunda edición de este manual realizado por Microsoft, van a servir, gracias a su
carácter divulgativo, a mejorar el cumplimiento de la LOPD y que derivará en
beneficios y ventajas de inmenso valor para la empresa y Administraciones Públi-
cas, además de concienciar a todos los sectores (empresas, administraciones) y a los
usuarios, especialmente a los más jóvenes, de que los datos personales son un bien
que debe protegerse y, por ello, deben establecerse procedimientos, normas y
medidas para conseguir tal fin.
Sebastián Muriel.
Director General de red.es.
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información
VIII
11. Autores
El coordinador de los contenidos de esta obra es Héctor Sánchez Montenegro,
National Technology Officer de Microsoft Ibérica, y los autores de este libro son:
José María Alonso Cebrián de Informática 64, Microsoft MVP en el área de
Seguridad.
Juan Luís García Rambla de Informática 64, Microsoft MVP en el área de
Seguridad.
Antonio Soto. Director de Solid Quality.
David Suz Pérez. Consultor de Microsoft Ibérica.
José Helguero Sainz. Director General de Helas Consultores. Economista.
Miembro de la Comisión de Seguridad de ASIMELEC.
María Estrella Blanco Patiño, Responsable de publicaciones de Helas Consul-
tores.
Miguel Vega Martín, Director de Marketing de IPS Certification Authority.
Miembro de la Comisión de Seguridad de ASIMELEC.
Héctor Sánchez Montenegro. National Technology Officer de Microsoft
Ibérica.
IX
12. La protección de datos personales: Soluciones en entornos Microsoft
Agradecimientos
Los autores quieren agradecer a las siguientes personas, quienes sin su inesti-
mable colaboración, hubiera resultado mucho más difícil la edición de este libro:
Dña. María Garaña, Presidenta de Microsoft Ibérica.
D. Artemi Rallo, Director de la Agencia de Protección de Datos Española.
D. Sebastián Muriel, Director General de Red.es.
D. Alberto Amescua de Microsoft Ibérica, programa Technet.
D Fernando Bocigas de Microsoft Ibérica.
Dña. Barbara Olagaray de Microsoft Ibérica.
D. Luis Miguel García de la Oliva de Microsoft Ibérica.
D. Francisco Camina Álvarez. Gerente de Soluciones de Microsoft Ibérica.
D. Fernando García Varela. Director Comercial de Industria. De Microsoft
Ibérica.
D. Rodolfo Lomascolo Szittyay, Director General de IPS Certification
Authority, S.L.
D. Ignacio de Bustos Martín, Director General de Newcomlab S.L.L.
D. Manuel Sánchez Chumillas de Informática64.
Los técnicos de la “guarida del sótano” de Informática64.
Dña. María Martín Pardo de Vera, Responsable del Departamento de
Consultoría de Helas Consultores.
Dña. Carmen de Prada Hernández, Responsable del Departamento de
Instituciones de Helas Consultores.
Dña. María de la Rica Ortega, Responsable del Departamento de
Auditoría de Helas Consultores.
Dña. Cristina Palomino Dávila, Consultora senior en el Departamento de
Consultoría de Helas Consultores.
D. Miguel Prieto Quintana, Director Comercial de Helas Consultores.
D. María Rita Helguero Sainz, Directora de Administración de Helas
Consultores.
Dña. Mónica Pujadó Coll, Directora Financiera de ipsCA.
Dña. Vera Sánchez - Carpintero Rodríguez, Responsable de Marketing
Internacional ipsCA.
Dña. Irene Corral López, Departamento Marketing ipsCA.
Dña. Marta Corral López, Departamento Marketing ipsCA.
D. Guillermo Alcázar, Departamento Marketing ipsCA.
D. Alfonso Dominguez, Departamento Marketing ipsCA.
X
13. Índice de contenidos
Introducción .............................................................................................. XVII
Parte I Legal ................................................................................................... 1
1. Breve historia de la protección de datos de carácter personal ..................... 3
1.1. La protección de datos personales, un derecho fundamental .............. 4
2. Legislación vigente ........................................................................................... 7
2.1. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD) ................................................................. 7
2.2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (RLOPD) ..... 7
2.2.1. Plazos de adaptación ................................................................... 8
3. Datos de carácter personal ............................................................................. 11
3.1. Tipos de datos personales ..................................................................... 12
3.2. Novedades RLOPD en la aplicación de algunas medidas
de seguridad (Artículo 81.5 y 81.6) ...................................................... 14
3.3. Otros datos personales .......................................................................... 15
4. Obligaciones básicas ...................................................................................... 17
4.1. Con carácter previo a la recogida de los datos .................................... 17
4.1.1. La creación y notificación de ficheros ....................................... 17
4.1.2. La calidad de los datos ............................................................... 25
4.1.3. La información al interesado ..................................................... 26
4.1.4. El consentimiento del interesado .............................................. 32
4.2. Durante el tratamiento de los datos ..................................................... 37
4.2.1. La calidad de los datos ............................................................... 37
4.2.2. El deber de secreto ..................................................................... 38
4.2.3. La seguridad de los datos .......................................................... 39
4.2.4. La cesión de los datos ................................................................ 54
4.2.5. El acceso a datos por cuenta de terceros ................................... 56
4.2.6. Prestaciones de servicios sin acceso a datos personales .......... 60
4.2.7. La modificación de ficheros ....................................................... 61
4.2.8. Las transferencias internacionales de datos .............................. 61
4.3. Una vez finalizado el tratamiento ........................................................ 63
4.3.1. La cancelación y el bloqueo de los datos .................................. 63
4.3.2. La supresión de ficheros ............................................................ 63
XI
14. La protección de datos personales: Soluciones en entornos Microsoft
5. Los derechos de los titulares de los datos .................................................... 65
5.1. La impugnación de valoraciones ......................................................... 65
5.2. El derecho de consulta al Registro General de Protección de Datos .. 65
5.3. El derecho de indemnización ............................................................... 66
5.4. Los derechos ARCO .............................................................................. 66
5.4.1. El derecho de acceso .................................................................. 68
5.4.2. El derecho de rectificación ......................................................... 68
5.4.3. El derecho de oposición ............................................................. 69
5.4.4. El derecho de cancelación .......................................................... 70
5.5. La tutela de los derechos ...................................................................... 70
6. Tratamientos especiales ................................................................................. 73
6.1. Prestación de servicios de información sobre solvencia patrimonial
y crédito ................................................................................................. 73
6.1.1. Requisitos para la inclusión de los datos .................................. 74
6.1.2. Información previa a la inclusión .............................................. 74
6.1.3. Notificación de la inclusión ....................................................... 74
6.1.4. Conservación de los datos ......................................................... 75
6.1.5. Acceso a la información contenida en el fichero ...................... 75
6.1.6. Responsabilidad ......................................................................... 75
6.1.7. Ejercicio de los derechos ARCO ................................................ 75
6.2. Tratamientos con fines de publicidad y de prospección comercial .... 76
6.2.1. Campañas publicitarias ............................................................. 77
6.2.2. Depuración de bases de datos ................................................... 77
6.2.3. Exclusión del envío de comunicaciones comerciales ............... 77
6.2.4. Ejercicio de derechos .................................................................. 78
6.3. Sistemas de videovigilancia ................................................................. 78
7. La autorregulación: los códigos tipo ............................................................. 81
7.1. Objeto de los códigos tipo .................................................................... 83
7.2. Naturaleza de los códigos tipo ............................................................. 83
7.3. Sujetos habilitados para la adopción de códigos tipo ......................... 83
7.4. Procedimiento para la elaboración de códigos tipo ............................ 84
7.5. Contenido de los códigos tipo .............................................................. 84
7.6. Ventajas derivadas de la creación de códigos tipo .............................. 87
7.7. Garantías del cumplimiento de los códigos tipo ................................. 88
7.8. Obligaciones posteriores a la inscripción del código tipo .................. 88
7.9. Códigos tipo inscritos ........................................................................... 89
XII
15. 8. Infracciones y sanciones ................................................................................ 95
8.1. Los responsables ................................................................................... 95
8.2. Las infracciones: tipos ........................................................................... 95
8.2.1. Leves ........................................................................................... 95
8.2.2. Graves ......................................................................................... 96
8.2.3. Muy graves ................................................................................. 97
8.3. Prescripción ........................................................................................... 98
8.4. La infracción continuada ...................................................................... 98
8.5. Las sanciones ......................................................................................... 99
8.5.1. Las sanciones en el sector privado ............................................ 99
8.5.2. Las sanciones en el sector público ........................................... 101
8.6. El procedimiento sancionador ........................................................... 102
8.6.1. Procedimiento sancionador ..................................................... 102
8.6.2. Procedimiento de tutela de derechos ...................................... 103
9. Los órganos de control ................................................................................. 105
9.1. La Agencia Española de Protección de Datos (AEPD) ..................... 105
9.2. Las agencias de protección de datos de las comunidades
autónomas ........................................................................................... 107
9.2.1. Agencia de Protección de Datos de la Comunidad
de Madrid (APDCM) ............................................................... 107
9.2.2. Agencia Catalana de Protecció de Dades (APDCAT) ............ 107
9.2.3. Agencia Vasca de Protección de Datos (AVPD) ...................... 108
9.3. Conclusiones ....................................................................................... 108
Parte II Técnico ............................................................................................ 111
10. La seguridad en sistemas Microsoft ........................................................... 113
10.1. TrustWorthy Computing (TWC). La estrategia de Microsoft ........... 114
10.2. Soluciones seguras .............................................................................. 114
10.2.1.Seguridad en el diseño ............................................................. 115
10.2.2.Seguridad predeterminada ...................................................... 115
10.2.3.Seguridad en el despliegue ...................................................... 116
10.2.4.Comunicación ........................................................................... 117
10.3. ¿Que se ha conseguido con TWC? ..................................................... 117
10.3.1.Common Criteria ..................................................................... 118
10.3.2.Evaluación de FIPS 140 (Federal Information Processing
Standard) ........................................................................................ 120
10.3.3.Iniciativa de recursos compartidos ......................................... 121
XIII
16. La protección de datos personales: Soluciones en entornos Microsoft
10.3.4.Programa para la cooperación de la seguridad (SCP) ........... 122
10.3.5.Seminarios de seguridad ......................................................... 122
11. La aplicación del reglamento de seguridad en los sistemas Microsoft ... 123
11.1. Tecnología de seguridad en Microsoft Windows .............................. 124
11.2. Tecnologías aplicables a medidas de nivel básico ............................. 125
11.2.1. Ficheros temporales ................................................................. 126
11.2.2. Artículo 89. Funciones y obligaciones del personal ............... 127
11.2.3. Artículo 90. Registro de incidencias ........................................ 130
11.2.4. Artículo 91. Control de acceso (puntos 1 y 3) ......................... 130
11.2.5. Artículo 91. Control de acceso (punto 2) ................................. 145
11.2.6. Artículo 91. Control de acceso (puntos 4 y 5) ......................... 146
11.2.7. Artículo 92. Gestión de soportes y documentos ..................... 146
11.2.8. Artículo 93. Identificación y autenticación (puntos 1 y 2) ..... 153
11.2.9. Artículo 93. Identificación y autenticación (punto 3) ............. 165
11.2.10. Artículo 93. Identificación y autentificación (punto 4) ........ 167
11.2.11. Artículo 94. Copias de respaldo y recuperación .................. 169
11.3. Tecnología aplicable a medidas de nivel medio ................................ 174
11.3.1. Artículo 98. Identificación y autenticación ............................. 175
11.4. Tecnología aplicable a medidas de nivel alto .................................... 176
11.4.1. Artículo 101. Gestión y distribución de soportes ................... 177
11.4.2. Artículo 102. Copias de respaldo y recuperación ................... 177
11.4.3. Artículo 103. Registro de accesos ............................................ 178
11.4.4. Artículo 104. Telecomunicaciones ........................................... 215
11.4.5. Confidencialidad en Exchange 2007 ....................................... 218
12. La aplicación del reglamento de seguridad en SQL Server ..................... 223
12.1. Artículo 91. Control de acceso ............................................................ 223
12.2. Artículo 93. Identificación y autenticación ........................................ 225
12.3. Artículo 94. Copias de respaldo y recuperación ............................... 226
12.4. Artículo 98. Identificación y autenticación ........................................ 229
12.5. Artículo 101. Gestión y distribución de soportes .............................. 230
12.6. Artículo 103. Registro de accesos ....................................................... 231
12.6.1.Auditoría en SQL Server 2008 ................................................. 231
12.7. Artículo 104. Telecomunicaciones ...................................................... 232
13. Implementación de la LOPD sobre SQL Server (SQL Server 2005-2008) 235
13.1. Introducción ........................................................................................ 235
13.2. Objetivos del documento .................................................................... 235
13.3. Ejemplo teórico ................................................................................... 236
XIV
17. 13.4. Requisitos ............................................................................................ 237
13.5. Implementación .................................................................................. 238
13.5.1.Implementación del proceso de Registro de Accesos ............ 238
13.5.2.Acceso a la información de Registro de Accesos .................... 245
13.5.3.Recomendaciones en casos especiales .................................... 248
13.6. Rendimiento ........................................................................................ 248
13.6.1.Sobrecarga del proceso de traza .............................................. 248
13.6.2.Almacenamiento físico de los ficheros de traza ..................... 250
13.7. Nuevas características en SQL Server 2008 ....................................... 251
13.8. Apéndices ............................................................................................ 252
13.8.1.Implementación de trazas sobre SQL Server 2005 ................. 252
13.8.2.Posibilidades de Backup y Restore en SQL Server 2005 ........ 253
13.8.3.Seguridad en SQL Server 2005 ................................................ 253
13.8.4.Seguridad en SQL Server 2008 ................................................ 253
14. Política de seguridad .................................................................................... 255
14.1. Introducción ........................................................................................ 255
14.2. Fases fundamentales ........................................................................... 255
14.2.1.Fase 1. Organización y análisis ................................................ 256
14.2.2.Fase 2. Desarrollo de un estudio sobre las necesidades
de privacidad ............................................................................ 258
14.2.3.Fase 3. Evaluación de las necesidades tecnológicas para
la protección de la privacidad ................................................. 260
Parte III Anexos ............................................................................................. 263
Anexo A. Ley Orgánica 15/1999, de 13 de diciembre, de protección
de datos de carácter personal ................................................................................. 265
Anexo B. Real decreto por el que se aprueba el reglamento de desarrollo
de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal .................................................................................................... .. 295
Glosario de términos ........................................................................................... 383
XV
18. La protección de datos personales: Soluciones en entornos Microsoft
XVI
19. I
Introducción
El Tribunal Constitucional, en su sentencia 292/2000, define la Protección de
Datos de Carácter Personal como el derecho fundamental que garantiza a toda
persona “un poder de control sobre sus datos personales, sobre su uso y destino, con el
propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”.
La automatización del tratamiento de datos, fruto de la aplicación y desarrollo
de la informática, proporciona numerosas ventajas, aumentando la productividad y
la competitividad, tanto de las personas como de las empresas. Los beneficios
sobrepasan con mucho los problemas que se derivan del tratamiento de datos
personales, pero debemos de poner límite al grado de intrusión en nuestra intimi-
dad que las nuevas tecnologías pueden generar.
La legislación sobre protección de datos establece esos límites y, por ello, afecta
a todas las empresas y organismos públicos de nuestro país, porque todos -en
mayor o menor medida- manejan datos de carácter personal de personas físicas
(empleados, clientes, proveedores, accionistas, colaboradores…). Así pues, todos
ellos deben adecuarse a la legislación actual sobre protección de datos contemplan-
do una doble perspectiva: por un lado, el respeto a los derechos de los ciudadanos y,
por otro, su funcionamiento interno y la seguridad de su información.
Hoy en día la actividad empresarial y pública no se concibe sin el apoyo de la
informática, ya que gracias a programas y aplicaciones (software) podemos manejar
un gran volumen de datos. Por tanto, no son discutibles las enormes ventajas de la
informática. Sin embargo, también es cierto que ésta puede conllevar cierta peligro-
sidad si se hace un mal uso de ella. Pensemos en la cantidad de información que se
puede obtener de una persona si miramos sus movimientos bancarios: podemos
saber qué tipo de restaurantes le gustan, a qué tipo de colegio lleva a sus hijos,
dónde va de vacaciones, sus gustos y aficiones, qué deporte practica, si es una
XVII
20. La protección de datos personales: Soluciones en entornos Microsoft
persona solvente, etc. Este conocimiento ordenado de los datos puede arrojar un
perfil de la persona, que quizás ni ésta misma conoce, y que puede ser utilizado,
favorable o desfavorablemente, para todo tipo de actividades, como es, por ejem-
plo, la selección de personal. No debemos tampoco olvidar los ficheros y los trata-
mientos en formato papel, que adquieren una especial importancia con el Nuevo
Reglamento aprobado mediante el Real Decreto 1720/2007 (RLOPD).
Por ello, ha sido necesario establecer una serie de mecanismos que protejan al
individuo de este tipo de actuaciones. La legislación actual desarrolla una serie de
obligaciones que las empresas deben cumplir, y el objetivo de este libro es describir-
las y facilitar a los responsables de ficheros y tratamientos la comprensión y el
alcance de dichas obligaciones.
Cualquier empresa o institución que tenga, mantenga, utilice o trate datos de
carácter personal, en soporte informático o papel, se encuentra obligada al cumpli-
miento de la normativa vigente en materia de protección de datos; por tanto, en la
práctica todas las empresas e instituciones.
Pero además debemos tener en cuenta que la normativa aplicable protege al
titular de los datos en cada una de las fases que conlleva la utilización de los mis-
mos en una empresa, y que son básicamente tres:
1. Con carácter previo a la recogida de los datos.
2. Durante el tratamiento de los datos.
3. Una vez finalizado el tratamiento.
Por tanto, podemos concluir que las obligaciones de las organizaciones no se
reducen a un momento en concreto; sino que el cumplimiento con la legislación es
un proceso permanente que afecta a la actividad que desarrollan de manera cons-
tante.
Las preguntas que siempre se hace el responsable de los ficheros cuando se le
plantea la necesidad de adecuar su organización a una nueva legislación son: ¿Qué
beneficio obtengo de esa adecuación?, ¿No es otra vez un gasto de dinero inútil? El
caso de la Protección de Datos de Carácter Personal no es ajeno a este tipo de
preguntas.
Como premisa importante hay que tener en cuenta que la adaptación a la
legislación en materia de Protección de Datos de Carácter Personal no es, en ningún
caso, un problema del departamento de Informática o de Sistemas. Para que una
empresa tenga éxito en dicha adaptación debe implicar a todos los departamentos
de la compañía, y si este proceso se afronta únicamente como un problema
informático, el fracaso está asegurado.
Las cinco principales causas por las que una empresa debe adaptarse a la
legislación en materia de Protección de Datos de Carácter Personal son:
XVIII
21. Introducción
1. Cumplir con la legislación vigente: la adecuación a la realidad normativa
es cada vez más un requisito del mercado para llevar a buen fin nuestros
negocios. Las administraciones públicas y nuestros clientes demandan el
cumplimiento de la legislación vigente, y el cumplimiento en materia de
Protección de Datos se está ya exigiendo como un requisito indispensable
en grandes áreas de negocio (informática, publicidad, sanidad, etc.).
2. Evitar sanciones de la Agencia Española de Protección de Datos (AEPD):
éstas, las más elevadas de la Unión Europea, varían desde los 601,01 a los
601.012,10 €, como analizaremos más adelante en este libro.
3. Evitar el deterioro de la imagen pública: la publicación en prensa de
noticias relacionadas con de la aparición en la vía pública de expedientes
médicos abandonados o de currículos con anotaciones xenófobas como
resultado de la selección de personal de un supermercado, causan un
enorme perjuicio para los responsables de esos ficheros, que en muchas
ocasiones es mayor que la sanción impuesta posteriormente por la AEPD.
4. Gestionar la información en la empresa: la adaptación a la normativa en
materia de Protección de Datos ayuda a iniciar una gestión moderna de la
información dentro de la empresa. La empresa española tiene en la gestión
de la información una asignatura pendiente y la implementación de las
normas a que nos obliga la protección de datos es, en la mayoría de los
casos, el inicio de la concienciación y de la toma de medidas destinadas a
la salvaguarda de uno de los mayores activos de la empresa moderna: la
información.
5. Mejorar la gestión de la calidad: la integración de las medidas a
implementar en materia de protección de datos en todos los departamen-
tos de la empresa, debe realizarse como un proceso de mejora de nuestros
sistemas de trabajo, y nunca como una traba o impedimento. Concebir la
protección de datos como un proceso más dentro de la calidad de la
empresa es vital para el éxito de nuestra adaptación a la LOPD y es por
ello que debemos implicar a las fuerzas vivas de la empresa (Dirección,
Administración, Recursos Humanos, Marketing, Informática, Comercial,
Calidad, etc.), y en especial debemos tener en cuenta el factor humano,
donde la formación debe tener un papel muy relevante.
XIX
23. Parte I
Legal
1. Breve historia de la protección de datos de carácter personal 3
2. Legislación vigente 7
3. Datos de carácter personal 11
4. Obligaciones básicas 17
5. Los derechos de los titulares de los datos 65
6. Tratamientos especiales 73
7. La autorregulación: los códigos tipo 81
8. Infracciones y sanciones 95
9. Los órganos de control 105
24. La protección de datos personales: Soluciones en entornos Microsoft
2
25. 1
Breve historia de la
protección de datos
de carácter personal
La evolución de la informática, que ha facilitado la gestión masiva de la
información relativa a las personas, ha supuesto que se genere un nuevo derecho de
las personas a la protección de los datos de carácter personal, que se ha desarrollado
en un tiempo récord.
Antes de adentrarnos en la evolución de la protección de datos en nuestro país,
debemos hacer referencia a tres importantes declaraciones internacionales en las
que se ha reconocido el derecho a la intimidad y a la protección de datos de carácter
personal.
Como punto de partida, el artículo 12 de la Declaración Universal de Derechos
Humanos1 establece lo siguiente:
“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su
domicilio o su correspondencia, ni de ataques a su honra o reputación. Toda persona
tiene derecho a la protección de la ley contra tales injerencias o ataques”.
Dos años después, el Convenio Europeo para la Protección de los Derechos
Humanos y Libertades Fundamentales del Consejo de Europa 2 establece en su
artículo 8:
“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio
y de su correspondencia”.
1. Proclamada por la Asamblea General de las Naciones Unidas el 10 de septiembre de 1948.
2. Firmado en Roma por el Consejo de Europa el 4 de noviembre de 1950.
3
26. La protección de datos personales: Soluciones en entornos Microsoft
En tercer lugar, el Convenio 108 del Consejo de Europa3 establece en su artículo 1:
“…garantizar… a cualquier persona física… el respeto de sus derechos y libertades
fundamentales, concretamente su derecho a la vida privada, con respecto al trata-
miento automatizado de los datos de carácter personal correspondientes a dicha
persona”.
En España, la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), desarrolla
lo recogido en el artículo 18 de la Constitución Española de 1978 y establece, por
primera vez, la limitación del uso de la informática para garantizar la intimidad
personal.
Posteriormente, la Directiva 95/46/CE del Parlamento Europeo y del Consejo
de 24 de octubre de 1995 relativa a la Protección de las Personas Físicas en lo que
respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos
(Directiva 95/46/CE), establece el marco jurídico en el que se desarrolla la actual
legislación española en Protección de Datos de Carácter Personal.
La LORTAD tardó siete años en disponer de su desarrollo reglamentario, que
llegó con el Real Decreto 994/1999, de 11 de junio: Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Perso-
nal (RMS).
Pocos meses después de la aprobación de dicho reglamento se promulgó la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD), vigente en la actualidad, y que adapta la legislación española a la
Directiva europea, desarrollando la protección de datos más allá de los datos
informatizados, incluyendo dentro de su ámbito de aplicación los datos de carácter
personal registrados en soporte físico, que los haga susceptibles de tratamiento
automatizado o no, y toda modalidad de uso de los mismos.
Por fin, la LOPD, tras un periodo de ocho años conviviendo con el RMS, ha
visto cómo su desarrollo reglamentario ha sido plasmado mediante el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo
de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (RLOPD).
1.1. La protección de datos personales, un derecho
fundamental
Si bien durante muchos años ha habido muchas y enfrentadas fuentes doctrinales
que discutían si el derecho a la protección de datos es un derecho independiente o se
encuentra enmarcado dentro de la esfera del derecho a la intimidad, la Sentencia del
Tribunal Constitucional 292/2000 expone en su fundamento jurídico 7:
3. Firmado en Estrasburgo el 28 de enero de 1981.
4
27. Breve historia de la protección de datos de carácter personal
“…el contenido del derecho fundamental a la protección de datos consiste en un
poder de disposición y de control sobre los datos personales que faculta a la persona
para decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o un
particular, o cuáles puede este tercero recabar, y que también permite al individuo
saber quién posee esos datos personales y para qué, pudiendo oponerse a esa
posesión o uso…”.
Así mismo, expone que este derecho se concreta en:
“…la facultad de consentir la recogida, la obtención y el acceso a los datos persona-
les, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por
un tercero, sea el Estado o un particular…”
y considera indispensable para hacer efectivo este derecho:
“…el reconocimiento del derecho a ser informado de quién posee sus datos persona-
les y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a
quien corresponda que ponga fin a la posesión y empleo de los datos”.
Por tanto, el derecho a la protección de datos es un derecho independiente
porque se protege cualquier dato de carácter personal que identifique a la persona,
y no sólo los datos de su esfera íntima.
5
28. La protección de datos personales: Soluciones en entornos Microsoft
6
29. 2
Legislación vigente
2.1. Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (LOPD)
Es la Ley vigente en la actualidad y que adapta la legislación española a la
Directiva europea. Su ámbito de aplicación comprende todos los ficheros que
contengan datos de carácter personal, con independencia de que se trate de ficheros
automatizados o en formato papel. Incluye como otras novedades principales la
definición del Encargado del Tratamiento, la regulación de los tratamientos de datos
y las relaciones entre Responsable del Fichero y Encargado del Tratamiento, la
definición de fuentes accesibles al público, el censo promocional e incorpora el
nuevo derecho de oposición.
2.2. Real Decreto 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de Desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (RLOPD)
El RLOPD (que entró en vigor el día 19 de abril de 2008) desarrolla la LOPD y
consolida la doctrina reguladora establecida por la AEPD en sus instrucciones y
expedientes sancionadores, así como la interpretación que de la LOPD han efectua-
do los Tribunales a través de la jurisprudencia.
El RLOPD incrementa la protección ofrecida a los datos de carácter personal,
pero, por otra parte, establece ciertas especialidades para facilitar la implantación
de medidas de seguridad, que inciden sobre todo en el ámbito de las PYMES.
Este nuevo Reglamento, que sustituye al RMS 994/99, establece, entre otras
cosas, las medidas de seguridad para los ficheros no automatizados, regula las
7
30. La protección de datos personales: Soluciones en entornos Microsoft
relaciones entre el Responsable del Fichero y el Encargado del Tratamiento (permi-
tiendo además la subcontratación), introduce novedades importantes con respecto a
los ficheros sobre solvencia patrimonial y crédito y respecto al ejercicio de derechos,
así como otras novedades que se desarrollan en detalle en este libro más adelante.
Las infracciones, sanciones o cuantía de las multas no se han modificado, pero sí
se ha introducido, con respecto a las actuaciones previas al Procedimiento Sancionador
de la AEPD, un límite temporal de doce meses a contar desde la fecha de la denuncia.
El vencimiento del plazo sin que se haya dictado y notificado el acuerdo de inicio de
procedimiento sancionador producirá la caducidad de las actuaciones previas.
2.2.1. Plazos de adaptación
La Disposición transitoria segunda del RLOPD recoge los plazos de implanta-
ción de las medidas de seguridad con arreglo a las siguientes reglas:
2.2.1.1. Respecto de los ficheros automatizados que existieran en la fecha de
entrada en vigor del RLOPD (19 abril 2008):
a) En el plazo de un año desde su entrada en vigor (19 de abril de 2009),
deberán implantarse las medidas de seguridad de nivel medio exigibles a
los siguientes ficheros:
Aquéllos de los que sean responsables las Entidades Gestoras y
Servicios Comunes de la Seguridad Social y se relacionen con el
ejercicio de sus competencias.
Aquéllos de los que sean responsables las mutuas de accidentes de
trabajo y enfermedades profesionales de la Seguridad Social.
Aquéllos que contengan un conjunto de datos de carácter personal
que ofrezcan una definición de las características o de la personalidad
de los ciudadanos y que permitan evaluar determinados aspectos de
la personalidad o del comportamiento de los mismos.
b) En el plazo de un año (19 de abril de 2009) deberán implantarse las
medidas de seguridad de nivel medio a aquéllos de los que sean responsa-
bles los operadores que presten servicios de comunicaciones electrónicas
disponibles al público o exploten redes públicas de comunicaciones
electrónicas respecto a los datos de tráfico y a los datos de localización.
c) En el plazo de dieciocho meses (19 de octubre de 2009) las de nivel alto
exigibles a los ficheros que contengan datos derivados de actos de violen-
cia de género.
d) En los demás supuestos, cuando el RLOPD exija la implantación de una
medida adicional no prevista en el RMS. Dicha medida deberá implantar-
se en el plazo de un año (19 de abril de 2009).
8
31. Legislación vigente
2.2.1.2. Respecto de los ficheros no automatizados que existieran en la fecha
de entrada en vigor del RLOPD:
a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo
de un año desde su entrada en vigor (19 de abril de 2009).
b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo
de dieciocho meses desde su entrada en vigor (19 de octubre de 2009).
c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo
de dos años desde su entrada en vigor (19 de abril de 2010).
2.2.1.3. Respecto de los ficheros creados con posterioridad a la fecha de
entrada en vigor del RLOPD:
Los ficheros, tanto automatizados como no automatizados, creados con poste-
rioridad a la fecha de entrada en vigor del RLOPD deberán tener implantadas,
desde el momento de su creación, la totalidad de las medidas de seguridad regula-
das en el mismo.
9
32. La protección de datos personales: Soluciones en entornos Microsoft
10
33. 3
Datos de carácter personal
El artículo 2.a de la Directiva 95/46/CE, relativa a la protección de las perso-
nas físicas en lo que respecta al tratamiento de datos personales y a la libre circula-
ción de esos datos, define el dato personal del siguiente modo:
“ toda información sobre una persona identificada o identificable (...) se considerará
identificable toda persona, directa o indirectamente, en particular mediante un
número de identificación o uno o varios elementos específicos, característicos de su
identidad física, fisiológica, psíquica, económica, cultural o social”.
El artículo 3 de la LOPD utiliza una definición muy genérica de Datos de
Carácter Personal:
“cualquier información concerniente a personas físicas identificadas o
identificables”.
Esta definición ha sido ampliada por el artículo 5 del RLOPD al referirse a los
mismos como:
“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
Asimismo, el RLOPD ha incluido en el Glosario de Términos la definición de
persona identificable, entendiendo como tal:
“toda persona cuya identidad pueda determinarse, directa o indirectamente,
mediante cualquier información referida a su identidad física, fisiológica, psíquica,
económica, cultural o social. Una persona física no se considerará identificable si
dicha identificación requiere plazos o actividades desproporcionados”.
Aun así, el término sigue siendo poco preciso.
11
34. La protección de datos personales: Soluciones en entornos Microsoft
3.1. Tipos de datos personales
Una vez que la organización ha comprobado que tiene datos personales, hay
que clasificarlos en función de su tipología, pues no es lo mismo tratar datos mera-
mente identificativos (nombre y apellidos, teléfono, dirección...), que tratar datos
que puedan comprometer a la persona (enfermedades, deudas, orientación
sexual...). Esta clasificación determinará el nivel de medidas de seguridad que
posteriormente tenemos que aplicar a los ficheros.
Legalmente, hay varios tipos de datos personales y la clasificación se puede
llevar a cabo según dos criterios:
1. Según su importancia: clasifica a los datos personales en función de la
relación que tienen esos datos personales con el derecho a la intimidad.
Hay datos personales especialmente protegidos que están recogidos en los
artículos 7 y 8 de la LOPD: los referidos a la ideología, religión, creencias,
afiliación sindical, origen racial o étnico, salud, vida sexual, y comisión de
infracciones penales o administrativas. El RLOPD (Art. 81.3.c) considera
que también deben aplicarse medidas de seguridad de nivel Alto a los
datos derivados de actos de violencia de género. Al resto de datos perso-
nales no se les concede una protección especial.
2. Según su seguridad: la clasificación se realiza basándose en las medidas
de seguridad que se deben cumplir cuando se posean datos personales, y
existen tres niveles (Art. 81 RLOPD):
Datos de nivel Básico: Son aquellos datos personales que no se
clasifican como de nivel Medio o de nivel Alto.
Datos de nivel Medio:
Los relativos a la comisión de infracciones administrativas o
penales.
Los relativos a prestación de servicios de información sobre
solvencia patrimonial y crédito.
Aquellos de los que sean responsables Administraciones
tributarias y se relacionen con el ejercicio de sus potestades
tributarias.
Aquellos de los que sean responsables las entidades financieras
para finalidades relacionadas con la prestación de servicios
financieros.
Aquellos de los que sean responsables las Entidades Gestoras y
Servicios Comunes de la Seguridad Social y se relacionen con el
ejercicio de sus competencias. De igual modo, aquellos de los que
sean responsables las mutuas de accidentes de trabajo y enferme-
dades profesionales de la Seguridad Social.
12
35. Datos de carácter personal
Aquellos que contengan un conjunto de datos de carácter perso-
nal que ofrezcan una definición de las características o de la
personalidad de los ciudadanos y que permitan evaluar determi-
nados aspectos de la personalidad o del comportamiento de los
mismos.
Datos de nivel Alto:
Los que se refieran a datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines
policiales sin consentimiento de las personas afectadas.
Aquellos que contengan datos derivados de actos de violencia de
género.
Datos de nivel Básico Datos de nivel Medio Datos de nivel Alto
Identificativos. Hacienda Pública. Salud.
Características persona- Los de las Administracio- Vida sexual.
les. nes tributarias relaciona-
Ideología.
dos con el ejercicio de sus
Circunstancias sociales.
potestades tributarias.
Creencias.
Académicos y profesiona- Los de las Entidades
les.
Afiliación sindical.
Gestoras y Servicios
Comunes de la Seguridad Religión.
Empleo y puestos de
trabajo. Social y se relacionen con Violencia de género.
el ejercicio de sus
Información comercial. competencia s.
Económico-financieros. Los de las mutuas de
Transacciones. accidentes de trabajo y
enfermedades profesiona-
les de la Seguridad Social.
Servicios financieros.
Solvencia patrimonial y
crédito.
Infracciones penales y
administrativas.
Los que permitan evaluar
determinados aspectos de
la personalidad o del
comportamiento de los
mismos.
13
36. La protección de datos personales: Soluciones en entornos Microsoft
3.2. Novedades RLOPD en la aplicación de algunas
medidas de seguridad (Artículo 81.5 y 81.6)
Los departamentos de RR.HH suelen tener ficheros a los que hay que aplicar
las medidas de seguridad de nivel alto ya que se pueden recoger datos de Nivel
Alto, como Afiliación sindical (por ejemplo, para cómputos de horas sindicales,
pago de la cuota en el sindicato correspondiente, etc.) o de Salud (por ejemplo,
datos de minusvalías a efectos de practicar las retenciones en el IRPF, reconocimien-
tos médicos, etc.).
Ahora bien, en algunos casos puntuales, aunque esos datos se sigan conside-
rando de Nivel Alto, pueden concurrir determinadas circunstancias que permiten
adoptar las medidas de Nivel Básico:
Los ficheros o tratamientos de datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual cuando:
a) los datos se utilicen con la única finalidad de realizar una transferen-
cia dineraria a las entidades de las que los afectados sean asociados o
miembros.
b) se trate de ficheros o tratamientos no automatizados en los que de
forma incidental o accesoria se contengan aquellos datos sin guardar
relación con su finalidad.
Los ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple declara-
ción de la condición de discapacidad o invalidez del afectado, con motivo
del cumplimiento de deberes públicos.
Datos de salud
Como consecuencia de ello, los datos relativos a una minusvalía siguen siendo
datos relativos a la salud (es decir, datos de nivel alto), pero se permite adoptar
medidas de seguridad de Nivel Básico cuando su uso se encuentre afectado o
vinculado al cumplimiento de deberes públicos.
Los supuestos más habituales en relación con los ficheros de nóminas son:
Cuando aparece un porcentaje de minusvalía para calcular el nivel de
retención aplicable en nómina.
Cuando contienen información relativa a apto/no apto de un reconocimien-
to médico, discapacidad (sí o no), invalidez, incapacidad laboral (sí o no y
fecha), enfermedad común, accidente laboral o enfermedad profesional.
Si, por el contrario, se describe, por ejemplo, la enfermedad o situación de
salud concreta que la causa, o se incluye un código numérico que permita estable-
cerla, hay que aplicar el Nivel Alto.
14
37. Datos de carácter personal
Datos relativos a la afiliación sindical
Aunque siguen siendo datos de Nivel Alto, se pueden proteger únicamente
con medidas de seguridad de Nivel Básico cuando se utilicen exclusivamente para
realizar la detracción de la cuota sindical o la domiciliación bancaria.
Por el contrario, si contiene, por ejemplo, datos de aquellos afiliados a un
sindicato que han disfrutado de las llamadas “horas sindicales”, hay que aplicar el
Nivel Alto.
3.3. Otros datos personales
La AEPD a través de sus Resoluciones ha ido concretando qué debe entenderse
por Datos de Carácter Personal, disipando dudas y ampliando los conceptos, por lo
que también deberemos considerar Datos Personales los siguientes:
La imagen (fija o grabación de vídeo): “…la grabación de la imagen de una
persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el
criterio de la Agencia Española de Protección de Datos…” (Resolución R/
00035/2006, Cuestiones Generales sobre Videovigilancia).
Datos biométricos (huella, iris, etc.): “los datos biométricos tenían la condición
de datos de carácter personal y que, dado que los mismos no contienen ningún
aspecto concreto de la personalidad, limitando su función a identificar a un sujeto
cuando la información se vincula con éste, su tratamiento no tendrá mayor
trascendencia que el de los datos relativos a un número de identificación personal,
a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos”.
(Tratamiento de la huella digital de los trabajadores. Informe AEPD 1/
1999.)
La dirección de correo electrónico: “…no existe duda de que la dirección de
correo electrónico identifica, incluso de forma directa, al titular de la cuenta, por
lo que en todo caso dicha dirección ha de ser considerada como dato de carácter
personal”. (Cribado de correo electrónico. Informe Jurídico 0391/2007.)
La dirección IP: “…las direcciones IP tanto fijas como dinámicas, con indepen-
dencia del tipo de acceso, se consideran datos de carácter personal resultando de
aplicación la normativa sobre protección de datos”. (Carácter de dato personal
de la dirección IP. Informe AEPD 327/2003.)
El artículo 5 del RLOPD también define como Persona Identificable a toda
persona cuya identidad pueda determinarse, directa o indirectamente, mediante
cualquier información referida a su identidad física, fisiológica, psíquica, económi-
ca, cultural o social. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados. Por ello, cualquier
dato que permita identificar a una persona deberá considerarse Dato Personal, y su
nivel se establecerá en cada caso dependiendo de la tipología del dato y de la
finalidad del fichero.
15
38. La protección de datos personales: Soluciones en entornos Microsoft
Por otra parte, el RLOPD no se aplica a:
1. Tratamientos de datos referidos a personas jurídicas.
2. Ficheros que se limiten a incorporar datos de personas físicas que presten
sus servicios en aquéllas (nombre y apellidos, las funciones o puestos
desempeñados, dirección postal o electrónica, teléfono y número de fax
profesionales).
3. Datos relativos a empresarios individuales, cuando hagan referencia a
ellos en su calidad de comerciantes, industriales o navieros.
4. Datos referidos a personas fallecidas.
16
39. 4
Obligaciones básicas
En este apartado haremos una exposición de las obligaciones principales que
la normativa de protección de datos impone a los responsables de los ficheros de
datos de carácter personal y demás personas que intervienen en algún momento en
el tratamiento de los mismos.
Para ello, y con el objetivo de aportar una visión práctica en su desarrollo,
hemos dividido el transcurso del tratamiento de los datos en tres momentos princi-
pales:
con carácter previo a la recogida de los datos,
durante el tratamiento de los datos y
una vez finalizado el tratamiento.
De este modo, analizaremos cada una de las obligaciones, ubicándolas en el
momento en el que deben ser tenidas en cuenta para una correcta aplicación de la
normativa de protección de datos, ya que la propia LOPD establece en qué punto
del tratamiento deben ser apreciadas unas y otras.
4.1. Con carácter previo a la recogida de los datos
4.1.1. La creación y notificación de ficheros
¿Qué es un fichero de datos de carácter personal?
Debemos comenzar analizando qué es un fichero de datos de carácter personal
y qué se entiende como tal a efectos de notificación.
La definición legal de fichero se encuentra recogida en el artículo 3.b) de la
LOPD que se expresa en los siguientes términos:
17
40. La protección de datos personales: Soluciones en entornos Microsoft
“todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso”,
definición que ha sido desarrollada por el RLOPD, en su artículo 5.1.k), quedando
finalmente como:
“todo conjunto organizado de datos de carácter personal, que permita el acceso a los
datos con arreglo a criterios determinados, cualquiera que fuere la forma o modali-
dad de su creación, almacenamiento, organización y acceso”.
Nos encontramos ante una definición de carácter genérico y que puede resul-
tar tan amplia que en la práctica no ha sido de gran ayuda, creando incluso confu-
sión en numerosas ocasiones en las que, atendiendo a la misma, no queda claro si
nos encontramos ante un fichero protegido por la normativa de protección de datos
personales y que, por consiguiente, debe ser declarado ante la AEPD para su ins-
cripción en el RGPD o, por el contrario, podríamos estar ante varios ficheros cuya
declaración debe hacerse de forma independiente. Dentro de esta definición pode-
mos englobar muchos términos utilizados habitualmente, tales como base de datos,
aplicación, programa, tabla, fichero... -en relación con el tratamiento informatizado-,
o cajonera, armario, archivo... -si nos referimos a tratamientos no informatizados,
sino manuales-. Estos términos vienen a identificar los denominados ficheros
físicos.
Frente a estos, existen los llamados ficheros lógicos, que podemos definir como
ficheros o conjunto de ficheros físicos que contienen el mismo tipo de datos y son
tratados para la misma finalidad.
La AEPD ha considerado que sólo los ficheros lógicos son objeto de declara-
ción. Esto significa que, una vez identificados los ficheros físicos, el responsable de
los mismos podrá agruparlos en ficheros lógicos atendiendo a los criterios indica-
dos. Así por ejemplo, en una empresa pueden existir diversos ficheros físicos con
datos de clientes (datos bancarios, gestión de la relación comercial, marketing,
gestión de impagados). Todos estos tienen datos de clientes y comparten la finali-
dad consistente en gestionar la relación con los mismos, de manera que se pueden
agrupar en un único fichero lógico y declararse ante la AEPD, por ejemplo, bajo el
nombre de clientes.
El concepto anteriormente indicado puede matizarse aún más teniendo en
cuenta lo establecido en el artículo 2.c) de la Directiva 95/46/CE, dado que el
mismo aclara la referencia a la forma de creación, almacenamiento, organización y
acceso del fichero al indicar que el conjunto de datos tendrá esa consideración “ya
sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
En cuanto al reparto geográfico, podemos afirmar que el concepto de fichero
no va directamente vinculado a la exigencia de que el mismo se encuentre en una
única ubicación. Es posible la existencia de ficheros distribuidos en lugares geográfi-
cos remotos entre sí, siempre y cuando la organización y sistematización de los
datos responda a un conjunto organizado y uniformado de datos, sometido a algún
tipo de gestión centralizada.
18
41. Obligaciones básicas
La AEPD se ha pronunciado en este sentido a través de un informe jurídico4
emitido en respuesta a una consulta planteada por una entidad que disponía de
diversos centros, ubicados en distintos lugares y carentes de personalidad jurídica
propia, disponiendo de información sometida a tratamiento similar repartida en
ficheros idénticos y alojada en servidores diferentes, dada su ubicación en los
distintos centros, pero administrados y gestionados de forma centralizada.
En relación con este tema, el RLOPD -artículo 56- viene a aclarar que:
“la notificación de un fichero de datos de carácter personal es independiente del
sistema de tratamiento empleado en su organización y del soporte o soportes emplea-
dos para el tratamiento de los datos” y que “cuando los datos de carácter personal
objeto de tratamiento estén almacenados en diferentes soportes, automatizados y no
automatizados, o exista una copia en soporte no automatizado de un fichero automati-
zado, sólo será preciso una sola notificación, referida a dicho fichero”.
La creación de ficheros de datos de carácter personal.
Lo primero que debemos pensar si deseamos crear un fichero que contenga
datos personales, es que tenemos que enfrentarnos a un requisito, establecido en el
artículo 25 de la LOPD, en virtud del cual es imprescindible que el fichero “resulte
necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad
titular y se respeten las garantías que esta Ley establece para la protección de las personas”.
Si bien, del respeto de las garantías establecidas en la LOPD iremos hablando a
lo largo de todo este apartado, debemos analizar antes de seguir adelante el signifi-
cado de la expresión “[...] resulte necesario para el logro de la actividad u objeto legítimos
[...]”. Dicha “necesidad”, con frecuencia viene establecida o se deriva del cumpli-
miento de la legislación aplicable a la actividad u objeto desarrollados por el res-
ponsable, tanto en términos generales como fruto de alguna norma sectorial. De ahí
que algunos ficheros resultan imprescindibles para el desarrollo de cualquier
actividad u objeto legitimo (ya sea empresarial, comercial, profesional...) y otros
resultan específicos de cada sector. Incluso, al margen de los ficheros creados por
imposición, cualquier persona, empresa o entidad, puede sentir la necesidad de
crear ficheros con distintas finalidades, pero para su creación siempre ha de haber
una justificación directamente vinculada a la actividad u objeto legítimos, sin existir
limitación alguna en relación con el número de ficheros inscribibles.
En este orden de cosas, podemos poner como ejemplos más claros en los que
se cumple este primer requisito para la creación de ficheros, aquellos en los que la
necesidad de su creación es consecuencia directa del cumplimiento de una Norma
que el titular debe aplicar para el desarrollo de su actividad u objeto legítimos, de lo
que no cabe duda en ficheros como los que se describen a continuación:
A. Los ficheros tradicionalmente denominados personal, empleados, gestión
laboral..., permiten llevar a cabo la gestión laboral de la actividad desarro-
4. Vid. AEPD, Informe Jurídico 368/2003 Inscripción de ficheros situados en múltiples ubicacio-nes, https://
www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/inscripcion_ficheros/common/pdfs/2003-
0368_Inscripci-oo-n-de-ficheros-situados-en-m-uu-ltiples-ubicaciones.pdf.
19
42. La protección de datos personales: Soluciones en entornos Microsoft
llada por el responsable del fichero, así como un control detallado de las
cuestiones relativas al personal laboral. En este sentido, la Ley 42/1997, de
14 de noviembre, Ordenadora de la Inspección de Trabajo y Seguridad
Social, hace referencia a la conservación de información del personal
laboral por parte del empleador, al disponer en su artículo 11 que “toda
persona natural o jurídica estará obligada a proporcionar a la Inspección de
Trabajo y Seguridad Social toda clase de datos, antecedentes o información con
trascendencia en los cometidos inspectores, siempre que se deduzcan de sus
relaciones económicas, profesionales, empresariales o financieras con terceros
sujetos a la acción inspectora, cuando a ello sea requerida en forma”.
B. Otros de los ficheros más habitualmente declarados por los responsables
son los denominados gestión fiscal y contable, gestión económica, factura-
ción... No cabe duda de la necesidad de estos ficheros para el logro de la
actividad legítima de cualquier actividad económica. En este sentido, el
artículo 142 de la Ley 58/2003, de 17 de diciembre, General Tributaria,
que se expresa en los siguientes términos:
“Las actuaciones inspectoras se realizarán mediante el examen de documen-
tos, libros, contabilidad principal y auxiliar, ficheros, facturas, justificantes,
correspondencia con trascendencia tributaria, bases de datos informatizadas,
programas, registros y archivos informáticos relativos a actividades económi-
cas, así como mediante la inspección de bienes, elementos, explotaciones y
cualquier otro antecedente o información que debe de facilitarse a la Adminis-
tración o que sea necesario para la exigencia de las obligaciones tributarias”,
justifica la creación de dichos ficheros.
C. Poniendo como ejemplo el sector sanitario, en el que los derechos a la
intimidad y a la protección de datos tienen una relevancia especial,
cualquier centro sanitario, desde las clínicas en las que un único profesio-
nal desarrolla su actividad de forma autónoma hasta los grandes hospita-
les, tienen la obligación de disponer de un fichero con las historias clínicas
de sus pacientes, cuya finalidad es la gestión de la prestación sanitaria
prestada a los mismos. Fruto de la obligación de conservación de la
documentación clínica, establecida en el artículo 17.1 de la Ley 41/2002,
de 14 de noviembre, reguladora básica de la autonomía del paciente y de
derechos y obligaciones en materia de información y documentación
clínica, se especifica que:
“los centros sanitarios tienen la obligación de conservar la documentación
clínica en condiciones que garanticen su correcto mantenimiento y seguridad,
aunque no necesariamente en el soporte original, para la debida asistencia al
paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años
contados desde la fecha del alta de cada proceso asistencial”.
De lo anteriormente expuesto, podemos concluir que cualquiera de estos
ficheros cumple con el requisito de necesariedad para el logro de la actividad u
objeto legítimos de sus responsables. A pesar de que no siempre tiene que ser así, ni
20
43. Obligaciones básicas
es la única justificación para que un fichero cumpla el requisito de necesariedad que
venimos analizando, los más habituales surgen de la necesidad de cumplir con
requisitos impuestos por diferentes legislaciones. No podemos olvidar que, fuera de
estos supuestos, cualquier persona, empresa o entidad, puede necesitar crear fiche-
ros con distintas finalidades, lo que no supondrá ningún problema siempre que
exista una justificación directamente vinculada a su actividad u objeto legítimos.
4.1.1.1. Ficheros de titularidad privada
Los ficheros de titularidad privada son definidos en el artículo 5.1.l) del
RLOPD como aquellos de los que son responsables las personas, empresas o entida-
des de derecho privado, independientemente de quien ostente la titularidad de su
capital o de la procedencia de sus recursos económicos, así como los ficheros de los
que sean responsables las corporaciones de derecho público, pero no se encuentran
estrictamente vinculados al ejercicio de potestades de derecho público atribuida por
su normativa específica.
Para la creación de estos ficheros hay que cumplir un procedimiento formal
establecido en el artículo 27 de la LOPD, siguiendo los pasos que se describen a
continuación:
A. Notificación previa a la AEPD, cumplimentando los modelos o formula-
rios electrónicos aprobados al efecto por la AEPD en resolución de 12 de
julio de 2006 y publicados en el Boletín Oficial del Estado de 31 de julio
2006, en los que se detallará necesariamente la identificación del responsa-
ble del fichero, el nombre del fichero, sus finalidades y los usos previstos,
el sistema de tratamiento empleado, el colectivo de personas sobre el que
se obtienen los datos, el procedimiento y la procedencia de los datos, las
categorías de datos, el servicio o unidad de acceso, la identificación del
nivel de medidas de seguridad básico, medio o alto exigible y, en su caso
la identificación del encargado de tratamiento donde se encuentre ubicado
el fichero y los destinatarios de cesiones y transferencias internacionales de
datos. Además, se declarará un domicilio a efectos de notificación. En
función de lo establecido en el RLOPD, esta notificación podrá realizarse
en diferentes soportes, tal y como se explica a continuación:
En soporte electrónico -mediante comunicación electrónica o en
soporte informático-, utilizando el programa NOTA (Notificaciones
Telemáticas a la Agencia) para la generación de notificaciones que la
AEPD ha puesto a disposición de todos los ciudadanos.
En soporte papel, utilizando igualmente los modelos aprobados por la
AEPD.
Estos formularios se pueden obtener gratuitamente en la página web de la
AEPD (www.agpd.es).
B. Si la notificación se ajusta a los requisitos exigibles, el Director de la AEPD,
a propuesta del Registro General de Protección de Datos (en adelante,
RGPD), acordará la inscripción del fichero asignándole el correspondiente
21
44. La protección de datos personales: Soluciones en entornos Microsoft
código de inscripción. En caso contrario, dictará resolución denegando la
inscripción, debidamente motivada y con indicación expresa de las causas
que impiden la inscripción.
El art. 59.3 del RLOPD, introduce como novedad la posibilidad del Director de
la AEPD de establecer procedimientos simplificados de notificación en atención a
las circunstancias que concurran en el tratamiento o el tipo de fichero al que se
refiere la notificación.
La notificación de la creación de ficheros de datos de carácter personal ante la
AEPD es una obligación que corresponde al responsable de los mismos, de manera
que cuando se tenga previsto crear un fichero del que resulten responsables varias
personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin de
proceder a su inscripción en el RGPD, la creación del correspondiente fichero.
Además, esta obligación no conlleva coste económico alguno.
Es importante destacar que la inscripción de los ficheros debe encontrarse
actualizada en todo momento y es meramente declarativa, sin calificar que se estén
cumpliendo las restantes obligaciones derivadas de la LOPD. Como consecuencia,
que el RGPD acepte la inscripción de un fichero no conlleva, en ningún caso, un
reconocimiento por parte de la AEPD de cumplimiento de ninguna otra obligación
establecida en la normativa vigente en materia de protección de datos. Tal y como
se expresa la propia AEPD en sus notificaciones:
“La inscripción de un fichero en el Registro General de Protección de Datos,
únicamente acredita que se ha cumplido con la obligación de notificación dispuesta
en la Ley Orgánica 15/1999, sin que se esta inscripción se pueda desprender el
cumplimiento por parte del responsable del fichero del resto de las obligaciones
previstas en dicha Ley y demás disposiciones reglamentarias.”
No por ello, debemos restar importancia al cumplimiento de la obligación de
notificar los ficheros ya que permite dar publicidad de su existencia, poniendo a
disposición de todos los ciudadanos, los ficheros en los que podrían encontrarse sus
datos personales, facilitándoles de este modo el conocimiento de lo siguiente:
La totalidad de ficheros en los que podrían encontrarse sus datos personales.
La identificación del fichero, sus finalidades y los usos previstos, el sistema
de tratamiento empleado, el colectivo de personas sobre el que se obtienen
los datos, el procedimiento y procedencia de los datos, las categorías de
datos, el servicio o unidad de acceso, la identificación del nivel de medidas
de seguridad básico, medio o alto exigible y, en su caso, la identificación del
encargado de tratamiento donde se encuentre ubicado el fichero y los
destinatarios de cesiones y transferencias internacionales de datos.
Los responsables ante los que pueden ejercitar los derechos de acceso,
rectificación, cancelación u oposición.
Pero las ventajas de la inscripción registral no alcanzan únicamente a los
ciudadanos, sino que se extienden tanto a la AEPD como a los propios responsables
de los ficheros.
22
45. Obligaciones básicas
En relación con la AEPD, podemos destacar que la inscripción de los ficheros le
permite disponer de una relación actualizada de los ficheros inscritos, facilitándole:
el cumplimiento de la obligación de velar por la publicidad de la existen-
cia de los ficheros de datos con carácter personal5,
el conocimiento de todos los ficheros que deben cumplir con las obligacio-
nes establecidas en la LOPD y su normativa de desarrollo,
el ejercicio de las actividades que la normativa le encomienda como
Autoridad de Control y
el ejercicio del derecho de consulta de los ciudadanos.
Desde la perspectiva del responsable de los ficheros, podemos apreciar las
siguientes ventajas respecto de la inscripción de ficheros en el RGPD:
Evitar la imposición de sanciones.
Mostrar el compromiso o la intención de cumplir con la normativa de
protección de datos.
Facilitar a los titulares de los datos contenidos en sus ficheros el ejercicio
de los derechos de acceso, rectificación, cancelación y oposición.
Como resumen de lo expuesto hasta el momento, podemos hacernos eco de los
principios que rigen la inscripción de ficheros, recogidos en la Memoria de la AEPD
del año 2000:
El responsable del fichero deberá efectuar una notificación de un trata-
miento o de un conjunto de tratamientos.
La inscripción de un fichero de datos no prejuzga que se hayan cumplido
el resto de las obligaciones derivadas de la Ley.
La notificación de ficheros implica el compromiso por parte del responsa-
ble de que el tratamiento de datos personales declarados para su inscrip-
ción cumple con todas las exigencias legales.
La notificación de los ficheros al Registro supone una obligación de los
responsables del tratamiento, sin coste económico alguno para ellos, y
facilita que las personas afectadas puedan conocer quiénes son los titula-
res de los ficheros ante los que deben ejercitar directamente los derechos
de acceso, rectificación, cancelación y oposición.
Toda persona o entidad que proceda a la creación de ficheros de datos de
carácter personal lo notificará previamente a la AEPD.
En la notificación deberán figurar necesariamente el responsable del
fichero, la finalidad del mismo, las medidas de seguridad, con indicación
del nivel básico, medio o alto exigible y las cesiones de datos de carácter
5. Artículo 37.1. j) LOPD.
23