1. Seminario LOPD
4 de Julio de 2011
Miguel Valdés
Luis Mª Latasa
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

2. Indice
I. Introducción
A. Legislación aplicable
B. Objeto y ámbito de aplicación
C. Fuentes accesibles al público
II. Principales obligaciones a cumplir en el tratamiento de datos de carácter personal
A. Inscripción de ficheros
B. Medidas de Seguridad
C. Calidad de datos
D. Deber de información al interesado
E. Consentimiento y legitimación del tratamiento
F. Deber de secreto
G. Encargado del tratamiento
III. Derechos de los interesados
IV. Transferencias internacionales de datos
V. Régimen sancionador
2

3. Indice
VI. Tratamiento de Datos con fines de publicidad y de marketing
A. Principios Generales
B. Campañas
C. Depuración de datos
D. Ficheros de Exclusión
E. Especialidades derechos ARCO
F. Comunicaciones Comerciales
G. Recomendaciones
H. Ejemplos
VII. Servicios de la Sociedad de la Información:
A. Buscadores
B. Servicios en la nube
C. Redes Sociales
D. Foros, comentarios, etc.
E. Publicidad
F. Cookies
G. Comercio Electrónico
3

4. Indice
VIII. Control empresarial y protección de datos
A. Control de la utilización de medios de la Empresa:
• Equipos informáticos
• Dispositivos Móviles
• Correo electrónico
• Carpetas personales
B. Videovigilancia
4

5. I. Introducción
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

6. Legislación aplicable
 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la LOPD
 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (comunicaciones
comerciales por medios electrónicos y cookies)
 Ley 32/2003, de 3 de noviembre, de General de Telecomunicaciones
 Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones
para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección
de los usuarios (llamadas no solicitadas con fines de venta directa, tratamiento de datos de tráfico,
identificación de línea llamante, facturación detallada, guías telefónicas, datos de localización,
llamadas etc.)
 Instrucciones AEPD (videovigilancia, acceso a edificios, etc.)
6

7. Objeto y ámbito de aplicación
 Objeto: garantizar y proteger, en lo que concierne al tratamiento de datos de
carácter personal, las libertades públicas y derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar.
Ámbito objetivo de aplicación:
– Incluidos en el ámbito de aplicación tanto tratamientos automatizados como
ficheros en soporte papel.
– NO se aplica a información sobre personas jurídicas.
– No se aplica a personas de contacto de personas jurídicas ni a empresarios
individuales.
– Se aplica tanto a ficheros de titularidad pública como a ficheros privados.
7

8. Objeto y ámbito de aplicación
 Concepto de dato de carácter personal:
– Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referida a personas físicas
– Relativa a una persona identificada o identificable
– Persona identificable “Una persona física no se considerará identificable si dicha identificación requiere plazos o
actividades desproporcionados”.
 SAN DE 20 DE FEBRERO DE 2008
– “una primera consideración jurídica elemental: el número del DNI es un dato de carácter personal , y por tanto
protegido por la Ley.”
 INFORME JURÍDICO AEPD 425/2006
– La matrícula de los vehículos tiene la consideración de dato de carácter personal.
 INFORME JURÍDICO AEPD 213/2004
– “La posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones
IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter
personal resultando de aplicación la normativa sobre protección de datos”.
 SAN DE 17 DE SEPTIEMBRE DE 2008
– “Un número de teléfono ayuno de otras circunstancias que identifiquen al titular del mismo impide que pueda
identificarse en la definición legal de datos de carácter personal.”
8

9. Objeto y ámbito de aplicación
 Ejemplos de tratamientos automatizados
• Sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003 (“Caso
Lindqvist”):
– “Es preciso observar que difundir información en una página web implica, de acuerdo
con los procedimientos técnicos e informáticos que se aplican actualmente, publicar
dicha página en un servidor, así como realizar las operaciones necesarias para que
resulte accesible a las personas que están conectadas a Internet. Estas operaciones se
efectúan, al menos en parte, de manera automatizada.”
• SAN de 24 de febrero de 2003 (“Webcam Diario Marca”):
– “La transmisión de imágenes a través de Internet mediante sucesión de fotos fijas que
cambian cada 15 segundos y no se conservan en archivo alguno implica un tratamiento
de datos.”
• Resolución R/01800/2008 de la AEPD (YouTube):
– “La captación y reproducción de imágenes de los transeúntes en la calle, que
constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para
cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares,
de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.”
• Resolución E/00116/2006 de la AEPD:
– “ha de destacarse, en primer lugar, que el tratamiento de datos personales en una
exposición realizada en “Power Point” constituye un tratamiento automatizado de datos
de carácter personal”.
9

10. Objeto y ámbito de aplicación
 Fichero no automatizado “todo conjunto de datos de carácter personal organizado de forma no
automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan
acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado,
descentralizado o repartido de forma funcional o geográfica.” (Artículo 5.1.n) RLOPD):
– Sentencia del Tribunal Supremo de 19 de septiembre de 2008
• Los libros de bautismo no son un conjunto organizado de datos personales.
• Son una pura acumulación de datos personales que comparta una difícil búsqueda, acceso e
identificación:
– No están ordenados alfabéticamente
– Es absolutamente necesario el conocimiento previo de la Parroquia donde tuvo lugar
– No son accesibles por terceros distintos del bautizado, que no podrían solicitar partidas de bautismo
ajenas.
– Sentencia de la Audiencia Nacional de 22 de abril de 2009 (”Caso SGAE”)
• Cualquier recogida o uso de datos personales realizado de forma no automatizada no constituye
tratamiento de datos en el sentido legal del término.
• El tratamiento no automatizado de datos requiere que los citados datos estén contenidos o
destinados a ser incluidos en un fichero para poder aplicar la normativa en materia de protección de
datos.
• La imagen contenida en el CD no fue incorporada a ningún fichero, conservándola la recurrente con
el conjunto de la documentación aportada a un procedimiento judicial, conservación que no supone
su inclusión en un archivo estructurado según criterios específicos relativos a la persona identificable
que permitan acceder fácilmente a sus datos personales.
10

11. Objeto y ámbito de aplicación
Ámbito territorial de aplicación:
– Cuando el tratamiento sea efectuado en un establecimiento del
responsable del tratamiento situado en España.
– Cuando el responsable no esté establecido en territorio de la UE y utilice
en el tratamiento medios situados en España, salvo que tales medios se
utilicen exclusivamente con fines de tránsito (art. 5.1 Designación de un
representante en España)
– Cuando se aplicable la legislación española en aplicación de normas de
Derecho Internacional Público.
11

12. Fuentes accesibles al público
 Fuentes accesibles al público
– Art. 3.j) de la LOPD: “Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona , no impedida por una norma
limitativa (…)”
– Tienen la consideración de fuentes accesibles al público,
exclusivamente:
 Censo promocional
 Guías telefónicas
 Listas de profesionales y guías de colegios profesionales
 Diarios y boletines oficiales
 Medios de comunicación
12

13. Fuentes accesibles al público
Guías telefónicas: únicamente figurarán los datos de los abonados que hayan otorgado
expresamente su consentimiento al operador.
Salvo que se obtenga el consentimiento para publicar datos adicionales, únicamente
figurarán datos estrictamente necesarios:
– Guías telefónicas: nombre y apellidos, número de abonado y dirección postal, exceptuando piso, letra y
escalera.
– Guías Colegios profesionales: direcciones profesionales (domicilio, número telefónico, fax y dirección de e-
mail) y nº de colegiado, fecha de incorporación y situación de ejercicio profesional
Posibilidad de indicación gratuita de prohibición de utilización con fines comerciales.
El interesado tiene derecho a que se cancelen o excluyan sus datos:
– 10 días si es información on-line
– Siguiente edición si es en papel.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte
físico, perderán el carácter de fuente accesible con la nueva edición que se publique.
En el caso de que se obtenga telemáticamente una copia de la lista en formato
electrónico, ésta perderá el carácter público en el plazo de un año a contar desde su
obtención.
13

14. II. Principales obligaciones a cumplir en
el tratamiento de datos de carácter
personal
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

15. Inscripción de ficheros en el RGPD
La LOPD obliga a los responsables de ficheros a que notifiquen los ficheros a la AEPD con
anterioridad a su creación.
– Fichero de nóminas – recursos humanos.
– Ficheros de clientes y/o proveedores.
– Ficheros de usuarios de página web.
– Fichero de videovigilancia
– Etc.
Los extremos a declarar, afectan a la finalidad, tipología, sistemas de tratamiento, encargados
de tratamiento, cesionarios, transferencias internacionales e identidad del responsable entre
otros.
 La inscripción de ficheros tiene efectos meramente declarativos
 El Registro General de Protección de Datos es un registro público (puede consultarse a través
de la página web de la AEPD)
La inscripción debe mantenerse permanentemente actualizada (cambios en los
sistemas de tratamiento, ubicación física de ficheros, categorías de datos objeto de
tratamiento, etc.).
15

16. Inscripción de ficheros en el RGPD
Fuente: Memoria AEPD 2010
16

17. Inscripción de ficheros en el RGPD
17

18. Medidas de seguridad
 Los Responsables y Encargados del Tratamiento deberán implantar las medidas de seguridad, tanto
en tratamientos automatizados como en ficheros en soporte papel.
 Si el Encargado del Tratamiento presta sus servicios en los locales del Responsable, deberá cumplir
el Documento de Seguridad de éste último.
 En caso de que el Encargado del Tratamiento preste sus servicios en sus propios locales, deberá
elaborar un Documento de Seguridad al efecto o completar el que ya hubiere elaborado con
anterioridad identificando los ficheros y tratamientos e incorporando las medidas de seguridad a
implantar en relación con el mismo.
 Nivel básico:
– Todos los ficheros que contengan datos de carácter personal.
– Se consideran de nivel básico los ficheros que contengan datos relativos a ideología, afiliación
sindical, religión, creencias o salud cuando:
• Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las
entidades de las que los afectados sean asociados o miembros.
• Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se
contengan aquellos datos sin guardar relación con su finalidad.
• Datos relativos exclusivamente al grado de discapacidad o invalidez del afectado con
motivo del cumplimiento de deberes públicos.
18

19. Medidas de seguridad
 Nivel medio:
– Los relativos a la comisión de infracciones administrativas o penales;
– Datos sobre solvencia patrimonial o cumplimiento/incumplimiento de obligaciones dinerarias;
– Datos de los que sean responsables Administraciones Tributarias;
– Datos de los que sean responsables las entidades financieras para finalidades relacionadas con
la prestación de servicios financieros;
– Datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la
Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de
recaudación, y
– Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición
de las características o de la personalidad de los ciudadanos.
 Nivel alto:
– Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual:
– Datos recabados para fines policiales sin consentimiento de las personas afectadas;
– Datos derivados de actos de violencia de género; y
– Datos de tráfico y localización.
19

20. Medidas de seguridad
 Nivel básico (ficheros automatizados):
– El responsable del fichero elaborará e implantará la normativa de seguridad mediante
un DOCUMENTO de obligado cumplimiento. Estructura del Documento de Medidas de
Seguridad:
• Ámbito de aplicación con especificación detallada de los recursos protegidos.
• Estructura de los ficheros y descripción de los sistemas de información que los tratan.
• Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de
seguridad (gestión de soportes, copias de seguridad, identificación y autenticación, etc.).
• Funciones y obligaciones del personal.
• Procedimientos de gestión de incidencias.
• Procedimientos de copias de seguridad.
– El documento de seguridad deberá mantenerse en todo momento actualizado y será
revisado cada vez que se produzcan cambios relevantes en los sistemas de información.
20

21. Medidas de seguridad
 Nivel medio (ficheros automatizados):
– Nombramiento de uno o varios responsables de seguridad.
– Auditoría de seguridad externa o interna cada dos años o con anterioridad si
se realizan modificaciones sustanciales en el sistema de información.
– Control de acceso físico: exclusivamente el personal autorizado en el
documento de seguridad podrá tener acceso a los locales donde se
encuentren ubicados los sistemas de información.
– Registro de entrada y salida de soportes y documentos: tipo de soportes o
documentos, fecha y hora, número de soportes o documentos, tipo de
información que contienen, etc.
21

22. Medidas de seguridad
 Nivel alto (ficheros automatizados):
– Cifrado de información:
Distribución de soportes
Dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones del
Responsable.
.
Transmisión a través de redes públicas de telecomunicaciones
– Registro de accesos:
Identificación de usuarios
Fecha y hora del acceso
Autorización o denegación del acceso.
Identificación del registro accedido
Conservación durante dos años.
22

23. Medidas de seguridad
23

24. Calidad de datos
 Principio de pertinencia: los datos deben ser adecuados, pertinentes y no excesivos para el
ámbito y las finalidades del fichero.
 Principio de finalidad: no se pueden utilizar datos con finalidades diferentes para las que se
han recabado.
 Principio de veracidad: los datos deben ser siempre exactos y puestos al día de forma que
respondan con veracidad a la situación real del afectado.
– Si los datos fueran recogidos directamente del interesado, se considerarán exactos los
facilitados por éste.
 Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la que se recabaron.
– Podrán mantenerse bloqueados para la atención de las posibles responsabilidades
nacidas del tratamiento, durante los plazos de prescripción de éstas.
24

25. Deber de información al interesado
 El Responsable debe facilitar información sobre el tratamiento de los datos de
carácter personal: (i) Existencia del fichero o tratamiento, finalidad del tratamiento y
destinatarios de la información; (ii) carácter obligatorio o facultativo de la respuesta:
(iii) consecuencias de la obtención de datos o la negativa a suministrarlos; (iv)
identidad y dirección del responsable; (v) la posibilidad de ejercer los derechos de
acceso, rectificación, cancelación y oposición.
– Previa: siempre que los datos sean recogidos del propio interesado (formularios, cupones,
encuestas, páginas web, call-centers, etc.)
– En el plazo máximo de tres meses cuando los datos no hayan sido recabados del
interesado.
– En cada una de las comunicaciones que se le dirija: cuando (i) los datos hayan sido
obtenidos de fuentes accesibles al público y (ii) se utilicen con fines publicitarios o de
prospección comercial. En este caso, debe informarse únicamente de origen de los datos;
de la identidad del responsable y de los derechos que le asisten en cada una de las
comunicaciones que se le dirijan al titular.
25

26. Consentimiento y legitimación del tratamiento
 Es necesario el consentimiento del afectado para el tratamiento y comunicación de
los datos. Dicho consentimiento no será necesario cuando:
– Los datos obtenidos se refieran a las partes de un contrato o precontrato y sean necesarios
para el mantenimiento o cumplimiento de esa relación.
– Los datos hayan sido obtenidos de fuentes accesibles al público.
 Principios generales
– La solicitud del consentimiento deberá ir referida a tratamientos concretos, con delimitación
de la finalidad para los que se recaba, así como de las restantes condiciones que concurran
en los tratamientos.
– Será nulo el consentimiento que se recabe para la cesión de datos sin que el afectado
conozca la finalidad a las que se destinarán sus datos y la actividad del cesionario.
• Es válido: sector de “telecomunicaciones”, “financiero”, “ocio”, “formación”, “gran consumo”,
“automoción”, “energía y agua”, “ONG”
• No es válido: “actividad comercial”; “actividad publicitaria”; “cesiones a otras empresas del grupo”
– Corresponde al Responsable la prueba de la existencia del consentimiento.
26

27. Consentimiento y legitimación del tratamiento
 Formas de recabar el consentimiento:
– Consentimiento expreso: es necesario para el tratamiento de datos especialmente
protegidos
• Ideología, religión y creencias: consentimiento expreso y por escrito
• Origen racial, salud y vida sexual: consentimiento expreso.
– Tratamiento para fines no relacionados directamente con la relación contractual
• En el supuesto que se utilicen los datos más allá del propio fin contractual será necesario recabar el
consentimiento y permitir al afectado que manifieste expresamente su negativa al tratamiento o
comunicación de datos durante el proceso de formación del contrato.
• En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una
casilla visible y no se encuentre marcada (“□”) o que se establezca un procedimiento equivalente que
permita su negativa al tratamiento.
– Consentimiento tácito
• Solicitud de consentimiento al interesado mediante el envío de una comunicación, concediéndole un
plazo de treinta días para manifestar su negativa al tratamiento mediante un procedimiento sencillo y
gratuito (envío prefranqueado, numero de teléfono gratuito, etc.).
• El envío deberá realizarse a través de un medio que permita al Responsable conocer si la
comunicación ha sido objeto de devolución por cualquier causa.
27

28. Deber de secreto
 El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento están obligados al secreto profesional respecto de los mismos.
 El deber de secreto subsistirá aún después de finalizar las relaciones con el
responsable del fichero.
 El responsable responde de las infracciones del deber de secreto por parte
de sus empleados.
28

29. Encargado del Tratamiento
 Prestaciones de servicios al Responsable impliquen el acceso a datos de carácter
personal:
– Obligación de formalizar un contrato escrito, en el que se contenga expresamente:
• Prohibición de utilizar los datos para fines distintos de la prestación del servicio.
• No se pueden ceder los datos a ningún tercero, ni siquiera para su conservación.
• Cumplida la prestación contractual, los datos tratados deberán ser destruidos o devueltos.
• Medidas de seguridad que deba adoptar el encargado del tratamiento.
– Prohibición general de subcontratación por parte del Encargado de la realización de ningún
tratamiento que le hubiera encomendado el Responsable, SALVO
• Autorización del Responsable para que el Encargado lleve a cabo la subcontratación actuando en
nombre y por cuenta de éste; o
• Se especifique en el contrato los servicios que puedan ser objeto de subcontratación y la empresa
con la que se vaya a subcontratar; y
• El Encargado del tratamiento formalice con la empresa subcontratista un contrato que contenga las
menciones indicadas anteriormente.
29

30. III. Derechos de los interesados
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

31. Derechos de los interesados
 Derecho de acceso: el afectado tiene derecho a solicitar y obtener gratuitamente
información sobre si sus datos están siendo objeto del tratamiento, la finalidad del
mismo, así como sobre el origen de los datos y las comunicaciones realizadas.
 Derecho de rectificación y cancelación: serán rectificados o, en su caso, cancelados
cuando resulten inexactos o incompletos o los datos resulten ser inadecuados o
excesivos.
 Derecho de oposición:
– Cuando no sea necesario el consentimiento para el tratamiento, el afectado podrá oponerse a
su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación
personal.
– Cuando el tratamiento tenga por finalidad la realización de actividades de publicidad, los datos
serán cancelados a la simple solicitud del interesado.
31

32. Derechos de los interesados
 Son derechos personalísimos: se debe acreditar la identidad del interesado (fotocopia
del D.N.I., etc.) o representación.
 Es necesario contestar la solicitud, con independencia de que existan o no datos del
afectado en el fichero o sea necesario subsanar la solicitud.
 Plazos:
– Derecho de acceso: 1 mes
– Derechos de rectificación, cancelación y oposición: 10 días.
 Gratuidad: no puede suponer ingreso adicional para el responsable del fichero. No se
puede exigir que se ejerciten a través de los siguientes medios:
– Cartas certificadas o semejantes;
– Servicios de telecomunicaciones que implique una tarificación adicional;
– Otros medios que impliquen un coste excesivo para el interesado.
32

33. Derechos de los interesados
 Procedimiento de Tutela de Derechos: procedimiento ante la AEPD para ejercitar los
derechos de acceso, rectificación, cancelación y oposición cuando hayan sido
indebidamente denegados por el responsable del fichero.
– Recibida la reclamación se traslada al responsable del fichero para que alegue (15
días)
– Resolución del Director (NO sancionadora)
Fuente: Memoria AEPD 2010
33

34. IV. Transferencias internacionales de
datos
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

35. Transferencias internacionales de datos
 Concepto de transferencia internacional de datos
– Aquellas transferencias de datos fuera del territorio del Espacio Económico Europeo.
 Autorización :
– La transferencia internacional de datos requiere autorización del Director de la AEPD, salvo
que:
• El exportador se encuentre en un país de protección equiparable declarado por la
Comisión Europea o por la AEPD (Argentina, Suiza, Estados Unidos –Puerto Seguro-,
Canadá, Andorra e Israel)
• La transferencia se encuentre entre las excepciones previstas en el artículo 34 de la
LOPD:
– Cuando el afectado haya dado su consentimiento a la transferencia.
– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado y el responsable del fichero.
– Transferencias para la prevención de diagnósticos médicos, las prestación de
asistencia sanitaria o tratamientos médicos.
35

36. Transferencias internacionales de datos
 Notificación de transferencias internacionales a países que no requieran autorización
– La transferencia internacional deberá ser notificada a fin de proceder a la inscripción en el
Registro General de Protección de Datos, conforme al procedimiento previsto en el propio
para la inscripción, modificación o cancelación de ficheros.
 Autorización de transferencias internacionales:
– La autorización solo podrá otorgarse si se obtienen las garantías adecuadas:
• Decisión de la Comisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas
contractuales tipo para la transferencia de datos personales a un tercer país (modificada
por la Decisión 2004/915/CE, de 27 de diciembre de 2004)
• Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas
contractuales tipo para la transferencia de datos personales a los encargados del
tratamiento establecidos en terceros países
• Binding Corporate Rules: también podrá otorgarse la autorización para la transferencia
internacional de datos en el seno de grupos multinacionales de empresas cuando
hubiesen sido adoptados por los mismos normas o reglas internas en que consten las
garantías necesarias de respecto a la protección de la vida privada y el derecho
fundamental a la protección de datos de los afectados.
36

37. Transferencias internacionales de datos
 Procedimiento de autorización de transferencias internacionales de datos
– El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la
transferencia.
– Será necesaria aportar:
• Copia del contrato entre el exportador e importador que contenga las cláusulas
contractuales tipo aprobadas por la Comisión Europea.
• Binding Corporate Rules:
– Documentación que pruebe su carácter vinculante y eficacia dentro del grupo.
– Documentación que acredite la posibilidad de que el afectado o la AEPD
puedan exigir la responsabilidad que corresponda en caso de perjuicio del
afectado o vulneración de las normas por parte de la empresa importadora.
– El plazo máximo para dictar resolución será de tres meses a contar desde la fecha de
entrada en la AEPD de la solicitud.
– Se dará traslado de la resolución al Registro General de Protección de Datos para que éste
inscriba de oficio la autorización.
37

38. Transferencias internacionales de datos
Fuente: Memoria AEPD 2010
38

39. V. Régimen Sancionador
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

40. Régimen sancionador
 Tipos de infracciones:
– Leves
• No solicitar la inscripción de ficheros En el Registro General de Protección de Datos.
• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos sean recabados del propio interesado.
• La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes
formales establecidos en el artículo 12 de la LOPD.
– Graves
• Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el
mismo sea necesario.
• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos no hayan sido recabados del propio interesado.
• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad.
– Muy Graves
• La recogida de datos en forma engañosa o fraudulenta.
• Tratar o ceder los datos especialmente protegidos salvo en los supuestos en que la ley lo autoriza.
• La transferencia internacional de datos de carácter personal sin autorización del Director de la
Agencia Española de Protección de Datos salvo en los supuestos en los que dicha autorización no
resulta necesaria.
40

41. Régimen sancionador
 Cuantía de las sanciones:
– Leves: multas de 900 a 40.000 euros.
– Graves: de 40.001 a 300.000 euros.
– Muy graves: de 300.001 a 600.000 euros.
 Se establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que
preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de
que se trate, en los siguientes supuestos:
– Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del
hecho.
– Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
– Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
– Cuando el infractor haya reconocido espontáneamente su culpabilidad.
 Excepcionalmente la AEPD no acordar la apertura del procedimiento sancionador y, en su lugar,
apercibir al infractor a fin de que acredite la adopción de las medidas correctoras que en cada
caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
– Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
– Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
41

42. Régimen sancionador
 Actuaciones Previas
– Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con
objeto de determinar si concurren circunstancias que justifiquen tal iniciación
– Los inspectores podrán requerir el envío de información o realizar visitas de inspección a los locales donde
se encuentren almacenados los documentos o ubicados los ficheros.
– Finalizadas las actuaciones previas, éstas se someterán a la decisión de la AEPD.
 Procedimiento sancionador
– Se inicia mediante acuerdo de apertura dictado por el Director de la AEPD.
– El procedimiento se rige por lo dispuesto en el Real Decreto 1398/1993, por el que se aprueba el
Reglamento para el ejercicio de la potestad sancionadora.
– Publicación de las resoluciones dictadas por la AEPD.
42

43. Régimen sancionador
Fuente: Memoria AEPD 2010
43

44. Régimen sancionador
Fuente: Memoria AEPD 2010
44

45. VI. Tratamiento de Datos con fines de
publicidad y marketing
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

46. Publicidad y Marketing
Principios Generales
 Marco Jurídico:
– Artículo 30 de la LOPD y 45-51 del Reglamento.
– Artículo 19-22 de la LSSI.
– Art. 38 de la LGT.
– Artículo 29 de la Ley de Competencia Desleal.
 Legitimación:
– Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia,
prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de
comercializar, sus propios productos o servicios o los de terceros, solo podrán utilizar nombres y direcciones u
otros datos cuando se encuentren en uno de los dos siguientes casos:
• Provengan de Fuentes Accesibles al Público; o
• Sean facilitados por el interesado u obtenidos con su consentimiento (…) habiéndose informado sobre
los sectores específicos y concretos de actividad respecto de los que podría recibir información o
publicidad.
 Si proceden de FAP, habrá que informar en cada comunicación: (5.5 LOPD):
– Origen de los datos.
– Identidad del responsable; y
– Derechos que le asisten y ante quien podrán ejercerse.
46

47. Publicidad y Marketing
Campañas
 Campañas publicitarias:
– Por la propia empresa. Debe ampararse en el artículo 6 de la LOPD.
– Campañas por cuenta de terceros. Será responsable del tratamiento
quien determine los parámetros identificativos de los destinatarios de la
campaña. En el caso de que fueran ambas entidades, ambas serían
responsables.
• Se consideran parámetros identificativos de los destinatarios las variables
utilizadas para identificar el público objetivo.
– La entidad contratante deberá adoptar las medidas necesarias para
asegurarse de que la entidad contratada ha recabado los datos
cumpliendo las medidas necesarias.
47

48. Publicidad y Marketing
Depuración de Datos Personales
 Cuando dos o más responsables por sí mismos o mediante encargo a
terceros pretendieran constatar sin consentimiento de los afectados,
con fines de promoción de sus productos o servicios y mediante un
tratamiento cruzado de sus ficheros, quiénes ostentan la condición de
clientes de una u otra o de varios de ellos, será considerado una
cesión de datos.
48

49. Publicidad y de Marketing
Ficheros de Exclusión
 Ficheros de exclusión de envío de publicidad.
– De la propia empresa.
– Comunes (generales o sectoriales): Se permite la creación de ficheros comunes de carácter
general o sectorial para evitar el envío de comunicaciones comerciales.
En ambos casos se permite conservar los mínimos datos imprescindibles para identificar a los
destinatarios.
Cuando se manifieste oposición ante un responsable concreto, deberá informarse al afectado de la
existencia de los ficheros comunes así como de la identidad de su responsable y la finalidad.
 El responsable del fichero común deberá cumplir el resto de obligaciones de la LOPD.
 Obligatoriedad de consultar ficheros comunes (art. 49.4):
“Quienes pretendan efectuar un tratamiento relacionado con la actividad de publicidad y
prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a
su actuación”.
 Debe consultarse únicamente en los casos en los que usen datos provenientes de fuentes
accesibles al público.
49

50. Publicidad y Marketing
Derechos ARCO
 Especialidades de los derechos ARCO:
– Ejercicio ante entidad contratante de una campaña de publicidad:
• Estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de
derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo otorgue su
derecho en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado.
– Derecho de oposición al tratamiento de datos con fines publicitarios:
• Derecho a oponerse al uso de sus datos y a ser dados de baja, cancelándose las informaciones que
existan sobre él.
• Independiente de la revocación del consentimiento.
• Medios sencillos y gratuitos. Se considerará cumplido cuando pueda ejercitarse mediante llamada a un
número telefónico gratuito o mediante la remisión de un correo electrónico. No es válido la exigencia de
cartas certificadas o de tarificación adicional. En ningún caso podrá suponer un ingreso adicional.
• Deber de reconocer el ejercicio a través de los servicios de atención al cliente y de reclamaciones.
• En la contestación. Deberá informarse de la existencia de Ficheros Comunes de Excluidos.
• Ejercicio ante contratante de una campaña de publicidad que no fuera responsable del fichero: igual que
para el resto de derechos.
– Cuando los datos hubieran sido obtenidos de Fuentes Accesibles al Público, en cada
comunicación que se dirija al interesado se le informará del origen de los datos y de la
identidad del responsable del tratamiento, así como de los derechos que le asisten.
50

51. Publicidad y Marketing
Comunicaciones Comerciales
 Comunicaciones comerciales
– Telefónicas:
• Llamadas
• Llamadas automáticas
• Fax
– Electrónicas
• SMS
• Email
• Equivalentes: mensajes directos en twitter, mensajes a través de
redes sociales, etc.
51

52. Publicidad y Marketing
Telefonía
 Derechos de los abonados de servicios de
telecomunicaciones:
– A no recibir llamadas automáticas sin intervención humana o
mensajes de fax, con fines de venta directa sin haber prestado su
consentimiento previo e informado para ello.
– A que los datos de tráfico solo puedan ser utilizados con fines
comerciales cuando el cliente haya dado su consentimiento para
ello. Se acepta el consentimiento tácito (artículo 65 del RLGT).
– A no figurar en las guías de abonados.
52

53. Publicidad y Marketing
Telefonía
 Actividades frecuentes:
– Grabación de llamadas:
• Voz es un dato de carácter personal.
• Requiere de consentimiento.
– Llamadas a recomendados:
• Requieren consentimiento.
– Llamadas aleatorias:
• Campañas dirigidas a rangos de numeración asignados a otros
operadores.
• La utilización de números de teléfonos sin estar asociados a una
persona se encuentra fuera del ámbito de la LOPD (en la actualidad).
53

54. Publicidad y Marketing
Telefonía
 Proyecto de Ley modificación LGT.
 Transposición Directiva 2009/136/CE y 2009/140/CE.
– Dos nuevos derechos:
• A no recibir llamadas aleatorias, con o sin intervención humana, con
fines de venta directa en caso de que hubieran ejercido su derecho a
no figurar en las guías de abonado.
• A oponerse a recibir llamadas y comunicaciones aleatorias con fines
de venta directa y a ser informado de este derecho.
54

55. Publicidad y Marketing
Competencia Desleal
 Cambios introducidos por la Ley 29/2009:
Prácticas agresivas por acoso: telefónicas, electrónicas y presenciales
1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o
usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no
vuelva a personarse en ella.
2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax,
correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la
medida en que esté justificado legalmente para hacer cumplir una obligación contractual.
 El empresario o profesional deberá utilizar en estas comunicaciones
sistemas que le permitan al consumidor dejar constancia de su
oposición a seguir recibiendo propuestas comerciales de dicho
empresario o profesional.
 Para que el consumidor o usuario pueda ejercer su derecho las
llamadas deberán realizarse desde un número de teléfono
identificable.
55

56. Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
 Electrónicas
– SMS
– Email
– Equivalentes: mensajes directos en twitter, mensajes a través de redes sociales,
etc.
 Concepto: “toda forma de comunicación dirigida a la promoción, directa o
indirecta, de la imagen o de los bienes o servicios de una empresa,
organización o persona que realice una actividad comercial, industrial,
artesanal o profesional.
No tendrá consideración de comunicación comercial los datos que permitan
acceder directamente a la actividad de una persona, empresa u organización,
tales como nombre de dominio o la dirección de correo electrónico”.
• Ciertos sistemas de marketing viral (v. gr. “envía a un amigo”) se equiparan al
envío de comunicaciones comerciales electrónicas.
56

57. Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
 Información exigida:
– Deben ser identificables como comunicaciones comerciales.
– Indicarán la persona física o jurídica en nombre de la cual se
realizan.
– Incluirán al comienzo del mensaje la palabra “publicidad” o a la
abreviatura “publi”.
 Prohibición de comunicaciones comerciales electrónicas
si:
– No han sido solicitadas; y
– No han sido consentidas expresamente.
57

58. Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
 Excepción. Se pueden enviar comunicaciones comerciales electrónicas sin
consentimiento cuando se cumplan los siguientes requisitos:
– Exista una relación jurídica previa;
– Se hayan obtenido los datos lícitamente;
– Se envíen en relación con productos o servicios de su propia empresa que sean similares a los
ya contratados; y
– Se haya reconocido la posibilidad de oponerse en el momento de la recogida. Sistema opt-out.
 Proyecto de modificación de la LSSI.
– Se prohíbe el envío de comunicaciones comerciales en que se disimule u oculte la identidad
del remitente.
– También se prohíben aquellas comunicaciones en las que se invite a visitar páginas de
Internet que contravengan lo dispuesto en la norma para las comunicaciones comerciales.
– Los medios sencillos y gratuitos para oponerse cuando se envíen comunicaciones comerciales
por correo electrónico, deberán consistir en la inclusión de una dirección electrónica válida.
– Se prohíbe el envío de comunicaciones sin esta dirección.
58

59. Publicidad y Marketing
Recomendaciones
 Información:
– Identificar el mayor número de sectores específicos y concretos de actividad en la recogida.
– Identificar otros tratamientos de marketing y publicidad que se vayan a realizar: segmentación, personalización
de productos, encuestas de satisfacción.
 Consentimiento:
– Actividades que no guardan relación directa con el contrato: sistema opt-in u opt-out. Asegurarse de que los
sistemas de información permiten discriminación.
– Envío de comunicaciones comerciales electrónicas. Incluir una casilla opt-in.
– Caso especial: formularios de suscripción a boletines, newsletters o específicos para esos envíos.
– En caso de recogida on-line, incluir sistema de confirmación desde cuenta de correo electrónico.
 Derechos ARCO:
– Comunicaciones comerciales electrónicas:
• Informar de la posibilidad de oponerte en la Web.
• Aceptar solicitudes a través de los sistemas de atención al cliente.
– Contestación:
• Informar de las listas comunes de excluidos.
59

60. Publicidad y Marketing
Recomendaciones
 Prueba:
– Recogida off-line: Pedir copia de DNI en la medida en que sea posible.
– Valorar coste/beneficio de adoptar medidas de aumento de la confianza
probatoria.
 Regularizaciones Bases de Datos:
– Las regularizaciones no extinguen la responsabilidad. Únicamente
inician el periodo de cómputo de los periodos de prescripción.
– Una acción de regularización puede pre-constituir prueba en contra por el
reconocimiento que se puede hacer en el documento enviado.
– Estudiar los riesgos legales en cada caso.
60

61. Publicidad y de Marketing
Caso
 Una empresa decide usar una guía de abonados
telefónica para realizar una campaña comercial.
– ¿Debe informar dentro de los tres meses de que ha incorporado
los datos a un fichero de conformidad con lo exigido por el artículo
5.4 de la LOPD?
– ¿Puede llevar a cabo campañas por cuenta de terceros?
– ¿Deben consultar ficheros comunes de exclusión?
– Si el resultado de la consulta fuera negativo, ¿podría remitirle
comunicaciones comerciales electrónicas?
– En caso de que solicite la oposición, ¿debe remitírsele
contestación? ¿Debe informarse de algo más?
– ¿Qué medio de prueba utilizo para la contestación?
61

62. VII. Servicios de la Sociedad de la
Información
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

63. Servicios de la Sociedad de la Información
Buscadores
 Buscadores tratan datos de carácter personal de:
– Usuarios: pueden ampararse en la existencia de una relación
jurídica.
– No Usuarios: casos en los que la información sobre dichas
personas está disponible en sitios Web posibilitando su captación
por los motores de búsqueda.
• Legitimidad variada:
– Al amparo de la libertad de información (sin embargo la relevancia informativa se
desnaturaliza con el paso del tiempo).
– Obligación de difusión de la información (v. gr. boletines oficiales).
• Se considera un servicio de intermediación.
• Conservación: “Aunque pueda estar justificada en origen, su
mantenimiento universal y secular en Internet puede resultar
desproporcionado”.
63

64. Servicios de la Sociedad de la Información
Buscadores
 Derecho de Oposición frente a los buscadores se
reconoce en ciertos casos:
– Cuando no se pueda solicitar el borrador en la fuente por existir
un derecho u obligación a mantener los datos.
– Motivo legítimo (información desactualizada, falsa, desmentida,
etc.).
 Conservación ilimitada de la información en los medios de
comunicación que luego son indexados:
– Se amparan en el derecho de información.
– Opinan que si aparecen datos de carácter personal es porque es
un hecho noticiable.
64

65. Servicios de la Sociedad de la Información
Servicios en la Nube
 Deslocalización de los servicios.
 Normativa de la LOPD se basa en criterios de establecimiento.
 Transferencias Internacionales:
– Flexibilización a partir de la Decisión 2010/87/CE.
– Posibilidad de que un Encargado de Tratamiento solicite una única
autorización de transferencia internacional a partir de los acuerdos que
tiene con subcontratistas.
– El cliente/responsable del fichero solamente notificaría.
 Recomendaciones:
– Cliente: Pedir garantías de territorialidad al proveedor de servicios.
– Prestador de servicios: Tener en cuenta las ubicaciones físicas finales
de las empresas subcontratadas.
65

66. Servicios de la Sociedad de la Información
Redes Sociales
 Redes Sociales: Es conveniente seguir ciertas buenas
prácticas.
– Información y asesoramiento.
– Fotos.
– Restricción de la visibilidad abierta de los perfiles.
– No indexación por defecto.
– Posibilidad de eliminar el perfil.
– Prohibición de recogida de datos de menores de edad sin
consentimiento paterno:
• Sistemas de verificación de identidad.
• Menores de edad.
66

67. Servicios de la Sociedad de la Información
Redes Sociales
 Campañas de marketing y promociones dentro de las redes sociales:
 Responsabilidad del fichero. Responsabilidad de la red social que es
quien decide sobre el contenido y uso de los datos.
 Responsabilidad de los tratamientos realizados dentro de las redes
sociales: grupos y aplicaciones.
67

68. Servicios de la Sociedad de la Información
Foros, comentarios
 No hay obligación de revisar los comentarios o las
entradas. Principio general de no supervisión establecido
por la Directiva de Comercio Electrónico.
 Habilitar un sistema de denuncia de contenidos ilícitos
para los casos en los que exista tratamiento de datos de
carácter personal.
 Recomendación: registro de usuarios o utilización de
identidades de otros servicios.
68

69. Servicios de la Sociedad de la Información
Cookies
 Cuando los prestadores de servicios empleen dispositivos de almacenamiento y de
recuperación de datos en equipos terminales, informarán a los destinatarios de
manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad
de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.
Lo anterior no impedirá la posibilidad de realizar el almacenamiento o acceso con el
fin de facilitar técnicamente la transmisión de una comunicación en la medida en que
resulte estrictamente necesario para la prestación de un servicio.
 Directiva 2009/136 (en trámite de transposición).
– Principio General: Almacenamiento de información o acceso a la información ya almacenada.
• Información clara y completa.
• Consentimiento.
• Cuando sea técnicamente posible, el consentimiento del usuario puede facilitarse mediante el uso de
parámetros adecuados.
– Excepciones:
• Juicio de estricta necesidad técnica para lograr el fin legítimo de permitir la prestación de un servicio
solicitado.
• Posible almacenamiento de índole técnica a los solos fines de lograr la transmisión de una
comunicación.
69

70. Servicios de la Sociedad de la Información
Contratos de Publicidad
 Modelos de negocio publicitarios se basan en la
redirección del usuario hacia la compra o consumo de
otros productos y servicios.
 Los sistemas retributivos se basan en el “click” (pay per
click) o incluso en la transacción (pay per buy).
 El reconocimiento de estas comisiones exige la
comunicación e intercambio de datos entre anunciante y
editor.
 Debe tenerse claro quien recoge los datos. Si la
comunicación de datos se realiza mediante cookies,
deberá ser el responsable de éstas quien informe a los
usuarios.
70

71. Servicios de la Sociedad de la Información
Correo Electrónico
 Correo electrónico:
– Problema: escaneo de correo electrónico para finalidades:
• Prevención de Spam.
• Prevención de virus.
• Publicidad personalizada.
– Grupo del artículo 29. Dictamen 2/2006 solo es posible escanear
correo para búsqueda de virus y de spam.
– Deben informar y ofrecer el filtrado para prevenir spam.
– Directiva 2009/136 reconoce derechos a los prestadores de
servicios de correo electrónico para iniciar acciones contra los
remitentes de SPAM.
71

72. Servicios de la Sociedad de la Información
Comercio Electrónico
 Información y consentimiento:
– Política de Privacidad con toda la información del artículo 5 de la LOPD. En especial:
• Finalidades: ejecución del contrato y otros tratamientos y cesiones derivados de su cumplimiento.
• Publicidad y prospección comercial: identificar sectores (vincular a casilla opt-out u opt-in del
formulario)
• Comunicaciones comerciales electrónicas (vinculado a casilla opt-in del formulario).
– Enlace desde el formulario. Aceptación expresa de la Política mediante casilla o visualización
directa.
– Casilla opt-in para comunicaciones comerciales electrónicas.
– Posibilidad de casillas opt-out para tratamientos que no guardan relación directa con el
contrato. Los sistemas de información tendrán que poder discriminar a los usuarios por
finalidades.
– Marcar campos obligatorios en los formularios (*).
 Derechos ARCO:
– Mediante certificado electrónico para las empresas obligadas a adoptar los medios de
interlocución telemática del artículo 2 de la LISI (servicios al público en general + 100
trabajadores o facturación > a 6.010.121,4 euros).
– Obligación de aceptar solicitudes a través de los servicios de atención al cliente.
72

73. VIII. Controles del empresario sobre
equipos informáticos e instalaciones
Trebia Abogados
www.trebiaabogados.com
Telf.- 91.000.47.83
Fax.- 91.001.02.75
Cta. Fuencarral 44 (Campus Tribeca)
Edif. 3-L12
28108 Alcobendas (Madrid)

74. Control de herramientas de trabajo
 Determinadas formas de control empresarial pueden ser
lesivas de la intimida de los trabajadores.
– Correo electrónico.
– Navegación por Internet.
– Archivos o carpetas personales.
 Son medios propiedad de la empresa que se facilitan al
trabajador para utilizarlos en cumplimiento de la relación
laboral.
 Generación de cierta tolerancia hacia el uso de estos
medios.
74

75. Control de herramientas de trabajo
 STS 26 de septiembre de 2007:
– Art. 20.3 del ET: El empresario podrá adoptar las medidas que estime más
oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de
sus obligaciones y deberes laborales, aunque ese control debe respetar la
consideración debida" a la "dignidad" del trabajador.
– No aplica el artículo 18 del ET que se refiere a registros en la persona del
trabajador, su taquilla o sus efectos. Este control que se atribuye al empresario
excede de su posición en el Contrato de Trabajo (actuación excepcional).
– Límites al control: la tolerancia existente genera una expectativa que no puede ser
desconocida. Pero eso no puede derivar en un absoluto. La empresa debe
establecer de forma previa (v. gr. mediante una política) las reglas de uso de esos
medios con aplicaciones de prohibiciones absolutas o parciales e informar a los
trabajadores de que va a existir el control y de los medios que van a para
comprobar la corrección de uso y ello sin perjuicio de otras medidas preventivas
(exclusión de determinadas conexiones o servicios).
75

76. Control de herramientas de trabajo
 Recomendación: aprobación de políticas con las prohibiciones de uso
(totales o parciales) de los medios de la empresa para uso personal.
Ámbitos:
– Carpetas personales.
– Internet.
– Dispositivos móviles.
– Correo electrónico.
– Llamadas personales.
 Información sobre medidas de control preventivas.
 Controles:
– Respetuosos con la intimidad personal.
– Establecer controles de rendimiento no intrusivos.
76

77. Videovigilancia
 Marco Jurídico: Instrucción 1/2006
– Ámbito de aplicación: tratamiento de datos personales de imágenes de
personas físicas identificadas o identificables, con fines vigilancia a través
de sistemas de cámaras y videocámaras.
– Objeto: grabación, captación, transmisión, conservación y
almacenamiento, incluida su reproducción o emisión en tiempo real.
– Una persona es identificable cuando pueda determinarse su identidad sin
que ello requiera plazos o actividades desproporcionados.
– Excluidos: uso de cámaras y videocámaras por las Fuerzas y Cuerpos de
Seguridad.
– Legitimación:
• Consentimiento.
• Sea necesario para mantenimiento o cumplimiento de un contrato.
• Una ley lo autorice: Ley de Vigilancia Privada.
77

78. Videovigilancia
 Información:
– Distintivo informativo ubicado en lugar suficientemente visible.
– Tener a disposición impresos con la información exigida por el artículo 5.1 de la LOPD.
78

79. Videovigilancia
 Calidad:
– Juicio de Proporcionalidad de los medios empleados respecto de los
fines determinados, legítimos y explícitos.
• Idoneidad: sirve para conseguir el objetivo propuesto.
• Estricta necesidad: no existe una medida más moderada o menos intrusiva
que permita alcanzar la misma finalidad.
• Ponderación de bienes: se derivan más beneficios o ventajas que perjuicios.
 Derechos ARCO:
– La solicitud deberá acompañarse de una imagen actualizada.
– Contestación a derecho de Acceso: Escrito certificado en el que con precisión y
sin afectar a derechos de terceros, se especifiquen los datos que han sido objetos
de tratamiento.
 Cancelación: Cancelación al mes.
 Ficheros: En el caso de que se conserven las imágenes.
79

80. Muchas gracias por su atención
info@trebiaabogados.com
@trebia_Aboga2
www.trebiaabogados.com
80