IMPLANTACIÓN
L.O.P.D. EN LA
EMPRESA
GUÍA PRÁCTICA

• Qué hacer para implantar la LOPD
• Pasos a seguir
IMPLANTACIÓN DE LA
LOPD EN LA EMPRESA
• Como inscribir un fichero en la AEPD
• Cumplimentar el formulario
INSCRIPCIÓN DE
FICHEROS
• Contenido del documento
• Apartados (5)
• Anexos (9)
ELABORACIÓN DEL
MANUAL DE SEGURIDAD
• Nivel alto
• Nivel medio
• Nivel básico
IDENTIFICAR LOS
NIVELES DE SEGURIDAD
•Derechos de los ciudadanos
•Tutela de derechos
GARANTIZAR LOS
DERECHOS DE LOS
CIUDADANOS
ÍNDICE

Con este curso se pretende, una vez alcanzados los conocimientos
teóricos, adquirir las habilidades prácticas para poder realizar la
implantación de las medidas de seguridad, técnicas y organizativas,
necesarias para garantizar los principales aspectos que han de tener en
cuenta las empresas a la hora de tratar los datos de carácter personal de
sus clientes, proveedores, personal, etc., respetando, en todo caso:
INTRODUCCIÓN
Los derechos de los
usuarios respecto a sus
propios datos
Las obligaciones, que como
responsable de los ficheros
han de tener en cuenta

IMPLANTACIÓN DE LA LOPD EN
LA EMPRESA
1. QUE HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
2. PASOS A SEGUIR
2.1. Determinar que ficheros contienen datos de carácter personal
2.2. Registrar todos los ficheros con datos personales en la AEPD
2.3. Elaborar el documento de seguridad
2.4. Identificar los niveles de seguridad que corresponden a los ficheros
2.5. Garantizar los derechos a los usuarios

1. QUÉ HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
Cumplir con la Ley de Protección de
Datos es obligatorio para cualquier
empresa o profesional
Desde el momento que se faciliten o
recopilen datos personales, deben
ser tratados y guardados con el mayor
rigor posible
La Agencia Española de Protección
de Datos es el Órgano competente
para velar por este derecho
fundamental

2. PASOS A SEGUIR
2. REGISTRAR TODOS
LOS FICHEROS CON
DATOS PERSONALES EN
LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE
DATOS
3. ELABORAR EL
DOCUMENTO DE
SEGURIDAD PARA
ESOS FICHEROS
4. IDENTIFICAR LOS
NIVELES DE
SEGURIDAD QUE
CORRESPONDEN A
LOS FICHEROS
5. GARANTIZAR LOS
DERECHOS A LOS
USUARIOS
1. DETERMINAR QUE
FICHEROS CONTIENEN
DATOS DE CARÁCTER
PERSONAL

Analizar qué tipo de datos personales se manipulan en el desarrollo
de su actividad
Identificar aquellos archivos susceptibles de ser inscritos en la
Agencia de Protección de Datos.
2.1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE
CARÁCTER PERSONAL
Dependiendo de la actividad de su empresa, deben:
LAS
EMPRESAS
LOS
AUTÓNOMOS

PERSONALYNÓMINAS En el momento
en el que se
contrate a un
trabajador
CLIENTES
Cuando haya
clientes, tanto
en soporte
papel como en
ordenador
PROVEEDORES
Sólo en el caso
de tratarse de
personas
físicas, es decir,
autónomos
CONTACTOS
Sólo de personas
físicas
CURRICULUM
En el caso de
recibir
curriculum,
entregados en
mano, por correo
electrónico, etc.
VIDEOVIGILANCIA
En el caso de
tener instaladas
cámaras de
videovigilancia
EJEMPLOS DE FICHEROS DE TITULARIDAD PRIVADA

2.2. REGISTRAR TODOS LOS FICHEROS CON DATOS
PERSONALES EN LA A.E.P.D
Identidad del responsable del fichero.
Nombre y descripción del fichero que tenga datos de carácter personal.
Ubicación donde se guarda el fichero.
Sistema de tratamiento de la información personal.
Medidas de seguridad para preservar la privacidad de los datos.
Estructura básica del fichero, es decir, tipos de datos que se contienen en el
fichero.
Finalidad del fichero y los usos previstos del mismo.
Procedencia de los datos y el procedimiento de recogida de los mismos.
Departamento ante el que los usuarios pueden ejercer sus derechos sobre
los datos.
El Formulario de Notificación de Ficheros (NOTA) con la siguiente
información
A través de internet

Una vez ha sido completada la información requerida, puede
enviarse la notificación a la Agencia Española de Protección de Datos
a través de internet
El proceso se puede
desarrollar totalmente online
La hoja de solicitud que se
genera al completar el
formulario hay que enviarla
(con el correspondiente
código de envío) firmada a la
AEPD
CON certificado
de firma
electrónica
SIN certificado
de firma
electrónica

Una vez inscrito el Fichero en
el Registro, la Agencia
Española de Protección de
Datos, lo comunicará
indicando el código de
inscripción (necesario para
posteriores modificaciones o
cancelación del fichero) que
se le ha asignado al Fichero.
Una vez reciban la
notificación del fichero y la
solicitud de inscripción en la
Agencia Española de
Protección de Datos,
evaluarán la información. Si
es correcta procederán a la
inscripción del Fichero, y si
por el contrario contiene
errores solicitarán al
Responsable del Fichero la
corrección de los mismos.
Si es correcta
proceden a la
inscripción del
Fichero
SOLICITUD DE
INSCRIPCIÓN
FICHERO
FICHERO
NOTIFICACIÓN A.E.P.D.
Evaluación de la
información recibida Si no es correcta
el responsable de
fichero procederá
a su corrección
Comunicación del código de inscripción que
se le ha asignado al Fichero

2.3. ELABORAR EL DOCUMENTO DE SEGURIDAD
El responsable del fichero elaborará y establecerá la normativa de
seguridad mediante un documento de obligado cumplimiento para el
personal de acceso a los datos automatizados de carácter personal y los
sistemas de información
Ámbito de aplicación del documento
con especificación detallada de los
recursos protegidos. Medidas, normas,
procedimientos, y reglas orientados a
garantizar el nivel de seguridad exigido
en el Reglamento de la LOPD
Funciones y obligaciones del personal
Estructura de los ficheros con datos de
carácter personal y descripción de los
sistemas de información que los tratan
Procedimiento de notificación, gestión
y respuesta ante las incidencias.
Los procedimientos de elaboración de
copias de seguridad y de recuperación
de datos
CONTENIDO DEL
DOCUMENTO DE
SEGURIDAD

Este documento será el que establezca la
normativa de seguridad de la empresa.
Deberá conocer y cumplir todo el personal con
acceso a los datos y a los sistemas de
información.
La Agencia de Protección de Datos dispone de un modelo de
Documento de seguridad editable y disponible para descargar en su
página web

Hay que señalar que la responsabilidad por las infracciones que se
cometan, será siempre del responsable del fichero y nunca del
responsable de seguridad
Si el nivel de seguridad a adoptar es medio o alto, el responsable del
fichero designará a un responsable o responsables de seguridad
Estos serán los encargados de velar por el
cumplimiento de las medidas, normas y
reglas de seguridad establecidas por el
Responsable del Fichero en el documento
de seguridad

2.4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE
CORRESPONDEN A CADA FICHERO
Nivel Básico: si los ficheros que se guardan contienen
únicamente datos de identificación de las personas.
Nivel Medio: si se incluyen datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, sobre
Servicios Financieros, solvencia patrimonial y crédito...
Nivel Alto: si además de datos identificativos se guardan datos
con información médica, sobre creencias o religión, de
afiliaciones sindicales o políticas, origen racial…
La L.O.P.D., según los datos personales que se incluyan en el fichero,
contempla tres niveles de seguridad en función del carácter de la
información archivada y de su tratamiento

• Existencia de una lista actualizada de usuarios autorizados que tengan
acceso al sistema de información.
• Contraseñas: procedimiento de creación, asignación, conservación y
cambio periódico.
• Conocimiento por parte del personal de las normas y medidas de
seguridad que les son aplicables.
• Los usuarios tendrán únicamente acceso a los datos/recursos de
acuerdo a su puesto laboral y tareas definidas en el documento de
seguridad.
• Listado de personal con privilegios administrativos informáticos sobre
aplicaciones y ficheros.
• Deberán implantarse mecanismos que eviten el acceso no autorizado a
otros recursos: establecimiento de perfiles de usuario. Definición en el
Documento de Seguridad de las funciones y obligaciones de grupos de
usuarios y/o perfiles.
• Trabajo fuera de ubicación principal debe ser expresamente autorizado.
NIVEL BÁSICO

• Descripción y estructura informática del Fichero y del sistema
informático en el documento de seguridad.
• Identificación, inventariado y almacenamiento de los soportes.
Autorización necesaria para salida de soportes.
• Registro de incidencias. Contenido mínimo: tipo de incidencia,
momento en que se produce, efectos producidos, persona que
comunica, medidas adoptadas.
• Copias de Respaldo y Recuperación datos que garanticen la
restauración de los datos al momento anterior a producirse la pérdida.
• Realización de copias de Backup al menos con una frecuencia semanal.
• Revisión y actualización del Documento de Seguridad en función de
cambios relevantes en la Organización.
En caso de ficheros en soporte papel, además:
 Control de acceso a la documentación
 Medidas de conservación y almacenamiento
 Procedimientos y mecanismos de destrucción que impidan posterior
recuperación de la información que contienen.

NIVEL MEDIO
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la
de nivel básico, más las siguientes:
 Identificación de usuario, de manera inequívoca y personalizada.
 Limitación de acceso incorrecto reiterado.
 Control de acceso físico a servidores y al centro de procesamiento de datos.
 Listado de personas con acceso a los mismos.
 Identificación y funciones del/los Responsables de Seguridad.
 Cifrado de soportes en caso de operaciones externas de mantenimiento.
Medidas y procedimientos para la destrucción de soportes. Registro de Entrada
y salida de Soportes.
 Contenido adicional en el registro de incidencias: Procedimiento de
restauración de datos, datos restaurados y datos grabados manualmente.
 Necesaria autorización para la ejecución de procedimientos de restauración de
datos.
 Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a
disposición AEPD.

NIVEL ALTO
Las medidas mínimas de seguridad que se adoptarán serán las mismas
que la de nivel básico y nivel medio, más las siguientes:
• De cada acceso al fichero se guardarán: identificación usuario, fecha y
hora, fichero accedido, tipo de acceso y su autorización o denegación,
guardando la información que permita identificar registro accedido.
• Registro y conservación de accesos lógicos al fichero por un plazo no
inferior a 2 años.
• Los mecanismos de acceso estarán bajo el control directo del
Responsable de Seguridad, sin que pueda permitirse la desactivación.
• Distribución de soportes con mecanismos de cifrado de datos.
• Almacenamiento externo de copias de seguridad y procedimientos de
restauración de datos.
• Revisión periódica de la información de control de los accesos
informáticos a ficheros y aplicaciones.

5. GARANTIZAR LOS DERECHOS DE LOS USUARIOS
Derecho de Acceso. Todos los usuarios tienen derecho a conocer
qué datos se han almacenado sobre ellos. El plazo máximo para
dar respuesta tras la solicitud por parte del usuario: 30 días
Derecho de Rectificación. Cualquier usuario puede poder solicitar
que se modifiquen sus datos personales si no son correctos. El
plazo máximo para dar respuesta tras la solicitud por parte del
usuario: 10 días
Derecho de Cancelación. Todos los usuarios pueden solicitar la
cancelación de sus datos. El plazo máximo para dar respuesta tras
la solicitud por parte del usuario: 10 días
Derecho de Oposición. Cualquier usuario puede oponerse a que se
almacenen sus datos. El plazo máximo para dar respuesta tras la
solicitud por parte del usuario: 10 días
Los derechos que la LOPD contempla para los usuarios sobre la
recogida de datos de carácter personal, son:

INSCRIPCIÓN DE FICHEROS
1. INSCRIBIR UN FICHERO EN LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS
• Formulario NOTA

1. CÓMO INSCRIBIR UN FICHERO ANTE LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS (AEPD)
Para llevar a cabo la inscripción de ficheros la Agencia de Protección de
Datos proporciona una aplicación gratuita que se puede encontrar en su
página web www.agpd.es
Una de las obligaciones que marca la Ley 15/1999, de Protección de Datos
de Carácter Personal, es el declarar en el Registro General de la Agencia,
todos los ficheros que tenga en la empresa y que contengan datos de
carácter personal, tales como, empleados, clientes, proveedores,
videovigilancia, etc.

La aplicación está situada en la página principal, se llama NOTA y se
encuentra en la parte derecha de la página
Pinchar sobre él para acceder

El siguiente paso es seleccionar:
Obtención del formulario NOTA

Ojo!!! Hay que leer
El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la
instalación de Adobe Reader versión 7.0.8 o superior. En caso de utilizar versión anterior
de Adobe Reader se visualizará un mensaje que dice Archivo Dañado / File Damaged.
Si se utiliza la versión 8.1. de Adobe Reader, para cumplimentar los campos desplegados
(Actividad, Provincia, País, Países en el formulario de titularidad privada; Provincia,, País,
Diario Oficial de Publicación, Fecha de Publicación y Países en el formulario de titularidad
pública), se puede visualizar la lista de valores disponibles haciendo “click” con el ratón en
la parte derecha campo (donde en las versiones anteriores de Adobe se visualiza el botón
que realiza esa función), desplegándose la lista y permitiendo seleccionar un elemento de
la misma. También puede introducirse valores situando el cursor en uno de los campos
mencionados y utilizando las flechas arriba y abajo hasta encontrar el texto adecuado”.

AVISO IMPORTANTE PARA USUARIOS DE GOOGLE CHROME
Google Chrome ejecuta de forma predeterminada un complemento propio
(Chrome PDF Viewer) para visualizar documentos PDF, el cual no reconoce
las funcionalidades de dinamismo del formulario NOTA de forma que
únicamente muestra la primera pregunta y no permite avanzar en la
cumplimentación del mismo. Para poder usar adecuadamente el
formulario NOTA puede:
Configurar Google Chrome para que muestre los documentos PDF
ejecutando el complemento de Adobe Reader en lugar del complemento
Chrome PDF Viewer, para lo cual puede seguir estas instrucciones:
Ojo!!! Hay que leer
Continuación

• Pulsar el botón de Personalizar y configurar Google Chrome.
• Seleccionar "Mostrar opciones avanzadas..." al final de la página.
• Pulsar el botón "Configuración de contenido..." del apartado
"Privacidad".
• En el apartado "Complementos", seleccionar el enlace "Inhabilitar
complementos de forma individual"
• En el complemento Chrome PDF Viewer y seleccionar el enlace
"Inhabilitar"
• En el complemento Adobe Reader y seleccionar el enlace "Habilitar"
Usar otro navegador que tenga configurado el complemento de Adobe
Reader como predeterminado.
Descargar el formulario en su equipo pulsando el botón derecho del ratón
sobre el enlace y en el menú contextual seleccionar "Guardar enlace
como...". A continuación ejecutar la aplicación Adobe Reader y desde el
menú "Archivo / Abrir..." seleccionar el formulario guardado.
Ojo!!! Hay que leer

Ojo!!! Hay que leer
AVISO IMPORTANTE SOBRE COMPLEMENTO DE NAVEGADORES
Algunos navegadores pueden tener configurado por defecto un
complemento para visualizar documentos PDF que no es el complemento
de Adobe Reader, y que no reconoce las funcionalidades de dinamismo del
formulario NOTA. En ese caso, únicamente se muestra la primera pregunta
y al seleccionar una de las casillas no muestra la segunda pregunta y no
permite avanzar en la cumplimentación del formulario.
Para poder usar adecuadamente el formulario NOTA puede:
Usar otro navegador que tenga configurado el complemento de Adobe
Reader como predeterminado.
Continuación

Cambiar el complemento con el que el navegador abre el documento.
Así, por ejemplo:
 En Google Chrome se muestra un icono en la barra de direcciones
que al seleccionarlo ofrece la posibilidad de abrir el formulario con
Adobe Reader.
 En Mozilla Firefox se muestra la advertencia de que el documento
PDF podría no mostrarse correctamente junto con un botón "Abrir
con un visor diferente" que le permite seleccionar el complemento
de Adobe Reader para abrir el formulario.
Descargar el formulario en su equipo pulsando el botón derecho del
ratón sobre el enlace y en el menú contextual seleccionar "Guardar
enlace como...".
A continuación ejecutar la aplicación Adobe Reader y desde el menú
"Archivo / Abrir..." seleccionar el formulario guardado.
Ojo!!! Hay que leer

Una vez realizadas las configuraciones pertinentes bajar con el cursor
hasta la parte inferior de la página y seleccionar el enlace:
Formulario Nota de titularidad privada

Se accede al formulario disponible en formato PDF para comenzar la
declaración
La primera pregunta que se encuentra es, que tipo de solicitud queremos
realizar: un alta, una modificación de un fichero previamente declarado o
una supresión

En este caso marcaremos ALTA
A continuación aparece otro desplegable que pregunta que modelo de
declaración queremos realizar:
Normal o Tipo

En la declaración TIPO están los ficheros mas comunes
Al ser tipo parte de los formularios vienen ya rellenos
Si dentro de este desplegable no encontramos la opción que necesitamos,
elegiremos la opción NORMAL

La siguiente pregunta es como vamos a hacer la presentación del
formulario ante la Agencia.
Esta se puede hacer a través de:
- Correo postal
- Internet con firma digital
- Internet sin firma digital
Como ejemplo vamos a elegir la declaración TIPO y el fichero
CLIENTES/PROVEEDORES

Es la forma mas sencilla, para ello, hay que
rellenar un formulario, el cual debe ir firmado en
la última hoja de forma manuscrita y enviado por
fax o por correo postal a la Agencia Española de
Protección de datos
POR
Internet sin Firma
Electrónica
POR
Internet con Firma
Electrónica
Si se dispone de firma electrónica se puede
presentar directamente con medios electrónicos
sin necesidad de papel
Seleccionar Internet y cumplimentar

Se procede a cumplimentar el formulario
En el primer apartado se encuentran los datos del responsable del
fichero, es decir, de la empresa (nombre, dirección, CIF y actividad a la
que se dedica, que se selecciona mediante un desplegable).
En el segundo se debe indicar los datos de la empresa en los que un
usuario puede ejercer los derechos de acceso, rectificación,
cancelación y oposición.
Normalmente deben coincidir con el apartado uno

En el apartado cuatro se debe indicar los datos de la empresa que
realice el tratamiento de datos de carácter personal de este fichero,
en caso de que sea un tercero quien lo realice.

En el apartado quinto se indicará los datos del fichero que se va a
notificar.
Como se puede comprobar parte del fichero está relleno por haber
optado por la opción TIPO en el formulario
Aunque sea TIPO se puede modificar el nombre, la descripción o la
finalidad que aparece ya predeterminada.
En este supuesto se pueden elegir otras opciones de la izquierda si se
quiere ampliar la finalidad del fichero.

En el apartado sexto hay que marcar la casilla de la procedencia de los
datos, si es a través del propio interesado, de un registro público, etc., y
del colectivo al que pertenece, en este caso a CLIENTES que ya está
relleno por defecto,

En el caso que nos ocupa CLIENTES no hay datos de este tipo por lo que no se
selecciona ninguna casilla de estos apartados.
Si vienen mas abajo detalladas, al ser un fichero TIPO, las mas corrientes
(nombre, apellidos, teléfono, etc.)
Si se tuviera algún datos mas se seleccionaría la casilla correspondiente, o se
indicaría en otros de los de carácter identificativo
En el apartado siete se
seleccionan los datos
concretos que va a
incorporar el fichero que se
está notificando.
Si hay algún dato
especialmente protegido de
los que se especifican en el
formulario se debe marcar la
casilla correspondiente.

En el apartado sistema
de tratamiento se debe
indicar, si va a ser
manual, es decir, en
formato papel,
automatizado o mixto,
dependiendo de cómo
se gestionen los datos
de carácter personal
del fichero.
En el apartado medidas de seguridad viene marcado por defecto, NIVEL
BÁSICO, en función de los datos que se han introducido anteriormente.
En caso de que se hubiese marcado alguna de las casillas de datos
especialmente protegidos, seria de nivel alto

En el apartado nueve, se
indica si se va hacer alguna
cesión de datos de este
fichero, es decir, si se van a
ceder datos de los clientes a
algún Organismo o Entidad.
Si es así se seleccionan,
además, de los datos que
están predeterminados, los de
la columna de la izquierda.
Una vez cumplimentado el
formulario, hay varias
opciones: Guardar. Imprimir,
Limpiar, Validar, Volver a las
preguntas iníciales y
Cumplimentar hoja de
solicitud
CUMPLIMENTAR
HOJA DE SOLICITUD

CUMPLIMENTAR EL FORMULARIO
Una vez seleccionada CUMPLIMENTAR HOJA DE SOLICITUD para
terminar definitivamente (en este caso no se puede porque no se han
rellenado todos los campos correctamente, por ser un ejemplo) se debe
indicar los datos del responsable de seguridad, que es la persona
encargada dentro de la empresa de todo lo relativo a la protección de
datos. Así como, una dirección donde la Agencia pueda notificar la
inscripción de ese fichero y su código.
Una vez finalizada ésta última hoja, aparece una prescripción
cumplimentada con los datos de la empresa, el responsable de
seguridad, que deberá ser enviada a la Agencia mediante fax 914452529
o por correo postal a la dirección de la empresa

ELABORACIÓN DEL MANUAL DE
SEGURIDAD
1. INTRODUCCIÓN
2. ÁMBITO DE APLICACIÓN
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD
4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL
5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS
INCIDENCIAS
6. PROCEDIMIENTOS DE REVISIÓN
7. CONTENIDO DEL MANUAL DE SEGURIDAD

Las medidas de índole técnico y organizativo que los responsables de
los tratamiento o los ficheros y los encargados de tratamiento han de
implantar para garantizar la seguridad en los ficheros, los centros de
tratamiento, locales, equipos, sistemas, programas y las personas que
intervengan en el tratamiento de datos de carácter personal.
El artículo 9 de la LOPD establece que:
El “responsable del fichero”, y, en su caso, el “encargado del
tratamiento”, deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de
carácter personal.
El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD,
establece que:
1. INTRODUCCIÓN

Entre estas medidas que
se deben adoptar, se
encuentra el DOCUMENTO
DE SEGURIDAD, cuya
misión es recoger las
medidas de índole técnica
y organizativa acorde a la
normativa de seguridad
vigente que será de
obligado cumplimiento
para el personal con
acceso a los datos de
carácter personal.
Cuando la elaboración del documento sea realizada por el propio personal
de la empresa, la Agencia Española de Protección de Datos pone a
disposición del ciudadano un MANUAL QUE DESARROLLA EL DOCUMENTO
DE SEGURIDAD, el cual se puede utilizar y adaptar a las peculiaridades de la
empresa en cuestión.
DOCUMENTO DE
SEGURIDAD
•MISIÓN
Recoger las
medidas de índole
técnica y
organizativa
•DE OBLIGADO
CUMPLIMIENTO
Para el personal
con acceso a los
datos de carácter
personal.

Para disponer de este documento hay que entrar en la página web de la
Agencia: https//www.agpd.es
Una vez en la página principal pinchar en Canal del Responsable, y
dentro de este en “Guía documento de seguridad”

En la pantalla que se abre pinchar en Guía modelo del Documento de
Seguridad (formato editable).
Se abre un documento Word, en el cual se puede trabajar.

APARTADOS
• Ámbito de aplicación del
documento.
• Medidas, normas,
procedimientos, reglas y
estándares encaminados a
garantizar los niveles de
seguridad exigidos en este
documento.
• Información y obligaciones del
personal.
• Procedimientos de notificación,
gestión y respuestas ante las
incidencias.
• Procedimientos de revisión.
ANEXOS
• ANEXO I. Descripción de ficheros.
• ANEXO II. Nombramientos.
• ANEXO III. Autorizaciones de salida
o recuperación de datos.
• ANEXO IV. Delegación de
autorizaciones.
• ANEXO V. Inventario de soportes.
• ANEXO VI. Registro de Incidencias.
• ANEXO VII. Encargados de
tratamiento
• ANEXO VIII. Registro de entrada y
salida de soportes.
• ANEXO IX. Medidas alternativas
El contenido del documento está organizado en:
- Cinco apartados
- Nueve anexos

Todo lo que hay dentro de estos signos son comentarios explicativos que
deben ser sustituidos por el contenido que se adapte a la empresa que
estamos tratando.
En la Guía modelo del Documento de Seguridad (formato editable) hay
que tener en cuenta los signos < >.
Ejemplos de datos que
deben desarrollarse

ÁMBITO DE APLICACIÓN
CONTENIDODELDOCUMENTO
El nombre del responsable del/os ficheros, es decir a quien
pertenece (nombre de la empresa)
La relación de ficheros de los que dispone la empresa con datos
de carácter personal, es decir, aquellos a los que hay que aplicar
la LOPD. Estos ficheros deben coincidir con los que se han
inscrito en la Agencia Española de Protección de Datos
Formas del sistema en las que se realiza la inscripción,
automatizadas, manuales o mixtas
El nivel de seguridad, si el contenido del fichero es
básico, medio o alto
2. ÁMBITO DE APLICACIÓN

En este apartado se tratan las distintas medidas de seguridad que se
deben tomar para cumplir con la LOPD, es decir, como se van a tomar
estas medidas en función de la categoría del fichero y en según el tipo de
fichero el reglamento especifica los puntos que hay que cumplir,
pudiendo haber mas o menos en función del mismo.
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD
En el se definen, entre otros, los siguientes aspectos
Cuando se
hacen las
copias de
seguridad
Cómo se
garantiza que
los usuarios
que están en el
sistema son los
que deberían
entrar
Cómo garantiza
la empresa que
un intruso no
pueda entra en
el sistema

Por ello, es importante tener protocolizado un procedimiento de actuación
para que cuando entre personal nuevo en la empresa, tenga claras las
normas de actuación.
4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL
Este apartado trata como ha de ser la información y las obligaciones que
deben cumplir el personal de la empresa.
Se especifica el procedimiento que se ha de llevar a cabo para que
los trabajadores queden informados de cuales son las normas que
debe cumplir a nivel de la LOPD y como deben aplicarse, es decir, se
deben indicar las obligaciones que tienen con respecto a los datos
de carácter personal y las funciones propias de su puesto de trabajo.
Si un trabajador no tiene especificadas cuales son sus obligaciones,
no será responsable de cualquier acción incorrecta con los datos que
maneja, siendo responsable la empresa que ha sido quien no ha
notificado correctamente al personal.

5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA
ANTE LAS INCIDENCIAS
En este apartado
se explica como se
notifican las
distintas
incidencia que se
pueden presentar
y como han de
hacerse.
Una incidencia es una actuación de no
conformidad con respecto a los contenidos que la
LOPD propone, es decir, una actuación incorrecta o
que no responde a las exigencias de la ley.
El procedimiento a seguir es mediante una tabla
de registro donde se anoten todas las incidencias
explicando qué y cómo se ha hecho par
solventarlas y procurar que no vuelvan suceder.

Además, hay que definir una
metodología para revisar los cambios
que se produzcan
6. PROCEDIMIENTOS DE REVISIÓN
Cual es
el
Procedi
miento
•De revisión de
los contenidos
del Documento
de Seguridad
Cual es
el
criterio
•Para revisarlo
Como •Se revisa
Cuando •Se revisa
Cuales
•Son los puntos a
revisar
En este punto se tratan:

ANEXO I. DESCRIPCIÓN DE FICHEROS
Actualizado a: <fecha de la última actualización del anexo>.
<Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito del
documento de seguridad, podrían denominarse ANEXO I a, b, c, etc.>.
• Nombre del fichero o tratamiento: <rellenar con nombre del fichero>.
• Unidad/es con acceso al fichero o tratamiento: <especificar departamento
unidad con acceso al fichero, si aporta alguna información>.
• Identificador y nombre del fichero en el Registro General de Protección de
Datos de la Agencia Española de Protección de Datos: <rellenar los
siguientes campos con los datos relativos a la inscripción del fichero en el
Registro General de Protección de Datos (RPGD)>.
 Identificador: <código de inscripción>
 Nombre: <nombre inscrito>
 Descripción: <descripción inscrita>
 Nivel de medidas de seguridad a adoptar: <básico, medio o alto>
7. CONTENIDO DEL DOCUMENTO

• Administrador: <persona designada para conceder, alterar, o anular el
acceso autorizado a los datos>.
• Leyes o regulaciones aplicables que afectan al fichero o tratamiento <si
existen>.
• Código Tipo Aplicable: <se indicará aquí si el fichero está incluido en el
ámbito de alguno de los códigos tipo regulados por el articulo 32 de la
LOPD>.
• Estructura del fichero principal: <incluir los tipos de datos personales
contenidos en el fichero, especificando aquellos que, por su naturaleza,
afectan al nivel de medidas de seguridad a adoptar, según lo indicado en
el artículo 81 del Reglamento de desarrollo de la LOPD >.
INFORMACIÓN SOBRE EL FICHERO O TRATAMIENTO
- Finalidad y usos previstos.
- Personas o colectivos sobre los que se pretenda obtener o que resulten
obligados a suministrar los datos personales, y procedencia de los datos:
<indicar procedencia de los datos, quién suministra los datos>.
- Procedimiento de recogida: <encuestas, formularios en papel, Internet. ..>.
- Cesiones previstas: <relacionar los destinatarios de los datos previstos>.

- Transferencias Internacionales: <relacionar las transferencias internacionales, especificando si
ha sido necesaria la autorización del Director de la Agencia Española de Protección de Datos>.
- Sistema de tratamiento: <automatizado, manual o mixto>.
- Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación,
cancelación y oposición: <indicar la unidad y/o dirección. Deben preverse además, los
procedimientos internos para responder a las solicitudes de ejercicio de derechos de los
interesados>.
- Descripción detallada de las copias de respaldo y de los procedimientos de recuperación
<Especificar la periodicidad de las copias (que debe ser al menos semanal). Si se trata de
ficheros manuales y tienen prevista alguna medida en este sentido, detallarla>.
- Información sobre conexión con otros sistemas: <Describir las posibles relaciones con otros
ficheros del mismo responsable>.
- Funciones del personal con acceso a los datos personales: <Especificar las diferentes funciones
y obligaciones de cada una de las personas con acceso a los datos de carácter personal y
sistema de información específicos de este fichero>.
- Descripción de los procedimientos de control de acceso e identificación: <Cuando sean
específicos para el fichero>.
- Relación actualizada de usuarios con acceso autorizado: <Relacionar todos los usuarios que
acceden al fichero, con especificación del tipo o grupo de usuarios al que pertenecen, su clave
de identificación, nombre y apellidos, unidad, fecha de alta y fecha de baja>.
<Si la relación se mantiene de forma informatizada, indicar aquí cual es el sistema
utilizado y la forma de obtener el listado. No obstante, siempre que sea posible, es
conveniente imprimir la relación de usuarios y adjuntarla periódicamente a este Anexo>.

En su caso, personas en las que el responsable del fichero ha delegado
<Indicar las autorizaciones, tales como: salida de dispositivos portátiles,
la copia o reproducción de documentos en soporte papel,…>.
<Adjuntar original o copia de los nombramientos que afecten a los
diferentes perfiles incluidos en este documento, como el del responsable de
seguridad>.
ANEXO III
AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS
<Adjuntar las autorizaciones que el responsable del fichero ha firmado
para la salida de soportes que contengan datos de carácter personal,
incluyendo aquellas que se refieran a salidas que tengan un carácter
periódico o planificado. Incluir asimismo, las autorizaciones relativas a la
ejecución de los procedimientos de recuperación de datos>.
ANEXO II. NOMBRAMIENTOS
ANEXO IV
DELEGACIÓN DE AUTORIDADES

<Si el registro de incidencias no está informatizado, recoger en este
anexo la información al efecto, según lo indicado en el apartado de
"Procedimientos de notificación, gestión y respuesta ante las
incidencias" de este documento>.
<Si el registro de incidencias está informatizado, indicar la aplicación o
ruta de acceso del acceso del archivo de lo contiene>.
<Si el inventario de soportes no está informatizado, recoger en este
anexo la información al efecto, según lo indicado en el apartado de
“Gestión de soportes y Documentos” de este documento. Los soportes
deberán permitir identificar el tipo de información, que contienen, ser
inventariados y almacenarse en un lugar con acceso restringido al
personal autorizado para ello en este documento>.
<Si el inventario de soportes está informatizado, indicar la aplicación o
ruta de acceso del archivo que lo contiene>.
ANEXO VI
REGISTRO DE INCIDENCIAS
ANEXO V
INVENTARIO DE SOPORTES

<Cuando el acceso de un tercero a los datos del responsable del fichero
sea necesario para la prestación de un servicio a este último, no se
considera que exista comunicación de datos. Recoger aquí el contrato
que deberá constar por escrito o de alguna otra forma que permita
acreditar su celebración y contenido, y que establecerá expresamente
que el encargado de tratamiento tratará los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicará o
utilizará con fin distinto al que figure en dicho contrato, y que no los
comunicarán, ni siquiera para su conservación a otras personas.
El contrato estipulará las medidas de seguridad a que se refiere el
artículo 9 de la LOPD que el encargado del tratamiento está obligado a
implementar>.
ANEXO VII
ENCARGADOS DEL TRATAMIENTO

<En el caso de que no sea posible adoptar las medidas exigidas por el
RLOPD en relación con la identificación de los soportes, los dispositivos
de almacenamiento de los documentos o los sistemas de
almacenamiento de la información, indicar las causas que justifican que
ello no sea posible y las medias alternativas que se han adoptado>.
<Si el registro de entrada y salida de soportes al que se refiere el
apartado de "Gestión de soportes y documentos", y que es obligatorio a
partir del nivel medio, no está informatizado, recoger en este anexo la
información al efecto, según lo indicado el artículo 97 del RLOPD>.
<Si el registro de entrada y salida está informatizado, indicar la
aplicación o ruta de acceso del acceso del archivo de lo contiene>.
ANEXO VIII
REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
ANEXO IX
MEDIDAS ALTERNATIVAS

IDENTIFICAR LOS NIVELES DE
SEGURIDAD
1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
1.1. Nivel Alto
1.2. Nivel Medio
1.3. Nivel Básico

1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
El reglamento de desarrollo de la LOPD fija tres niveles de seguridad
atendiendo a la naturaleza de la información.
Los niveles de seguridad son acumulativos de modo que un fichero de
nivel alto deberá aplicar también las medidas previstas en los niveles
básico y medio.

1.1. NIVEL ALTO
Ficheros o tratamientos que se refieran a:
Datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual
Datos que contengan o se refieran a datos recabados
para fines policiales sin consentimiento de las
personas afectadas
Datos que contengan datos derivados de actos de
violencia de género

1.2. NIVEL MEDIO
Ficheros o tratamientos relativos a la comisión de infracciones
administrativas o penales
1
• Datos de carácter personal relativos a la comisión de infracciones penales
o administrativas incluidos en ficheros de las Administraciones pública
2
• Datos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias
3
• Datos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros
4
• Datos de servicios de información sobre la solvencia patrimonial y el
crédito
5
• Entidades Gestoras y Servicios Comunes de la Seguridad Social
6
• Mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social
7
• Datos de carácter personal que ofrezcan una definición de las
características o de la personalidad

1.3. NIVEL BÁSICO
Todos los ficheros que contengan datos de carácter personal
EXCEPCIONES
En caso de ficheros o tratamientos de datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual será suficiente
la implantación de las medidas de seguridad de nivel básico cuando:
Los datos se utilicen con la
única finalidad de realizar una
transferencia dineraria a las
entidades de las que los
afectados sean asociados o
miembros
Se trate de ficheros o
tratamientos no automatizados
en los que de forma incidental
o accesoria se contengan
aquellos datos sin guardar
relación con su finalidad
Se trate de ficheros o tratamientos que
contengan datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la
simple declaración de la condición de
discapacidad o invalidez del afectado, con
motivo del cumplimiento de deberes públicos

GARANTIZAR LOS DERECHOS DE
LOS CIUDADANOS
1. DERECHOS DE LOS CIUDADANOS
1.1. Derecho de Acceso
1.2. Derecho de Rectificación
1.3. Derecho de Cancelación
1.4. Derecho de Oposición
2. TUTELA DE LOS DERECHOS

La LOPD, permite a cualquier ciudadano dirigirse al Registro General de
Protección de Datos (RGPD) con el fin de obtener información sobre:
 La existencia de tratamientos de datos de carácter personal
 De sus finalidades
 De la identidad del responsable del mismo.
La consulta al RGPD es pública y gratuita, y su objeto es hacer posible a
todo ciudadano el ejercicio sus derechos como ciudadanos. Dichos
derechos son:
1. DERECHOS DE LOS CIUDADANOS
Derecho de acceso
Derecho de
rectificación
Derecho de
cancelación
Derecho de
oposición

La AEPD NO dispone de los datos personales de los ciudadanos
incluidos en los ficheros declarados, pero SÍ puede, previa
solicitud de la persona afectada o bien de su representante,
facilitar la dirección de la oficina o dependencia del responsable
del fichero o tratamiento ante la que se pueden ejercer los
derechos de acceso, rectificación, cancelación u oposición,
siendo el citado responsable quien debe atender la petición
efectuada por la persona titular de los datos.
La consulta al RGPD puede realizarse:
- Por escrito
- A través de la página web de la Agencia www.agpd.es, en la
que mensualmente se actualiza la información sobre los
ficheros y tratamientos inscritos.

1.1. DERECHO DE ACCESO
El ejercicio del derecho de acceso permite controlar la exactitud de los
datos, y en caso de ser necesario:
- Hacerlos rectificar o cancelar
Ejerciendo el derecho de acceso, la persona puede informase:
- De las finalidades del tratamiento.
- Del tipo de datos registrados.
- De su origen.
- De los destinatarios de los datos
- De las posibles transferencias de datos a otros países
Toda persona tiene derecho a dirigirse al responsable o encargado de
un fichero o tratamiento para:
- Conocer la totalidad de los datos personales que le afecten así
mismo.
- Recibir una copia inteligible de los mismos
- Cualquier otra información sobre su origen

El ciudadano puede solicitar y obtener gratuitamente información sobre:
- Sus datos de carácter personal sometidos a tratamiento.
- La información disponible sobre el origen de dichos datos
- De las comunicaciones realizadas o que se prevean realizar.
Esta información puede obtenerse bien mediante la mera consulta de
los datos por medio de:
- Su visualización en pantalla
- O bien a través de escrito, copia, telecopia o fotocopia, certificada o
no, realizada en forma inteligible, sin utilizar claves o códigos que
requieran para su comprensión el uso de dispositivos mecánicos
específicos.
El derecho de acceso respecto de los tratamiento realizados por una
determinada entidad, persona u órgano administrativo, sólo podrá
ejercitarse a intervalos no inferiores a doce meses, salvo que el
ciudadano acredite un interés legítimo que posibilite su ejercicio con
anterioridad al cumplimiento de dicho período.
Cómo obtener la información

Para ejercer este derecho el ciudadano tiene que dirigirse al
responsable del fichero o tratamiento, aportando:
- Fotocopia del DNI o documento que acredite la identidad y sea
admitido en Derecho.
- Documento acreditativo en caso de que lo realice el representante
- Indicar el domicilio a efectos de notificaciones.
- Fecha y firma del solicitante.
Los ciudadanos deben utilizar cualquier medio que permita acreditar
el envío y la recepción de la solicitud.
Cómo ejercer el derecho de acceso

El responsable del fichero o tratamiento tiene que resolver la solicitud
de acceso en el plazo máximo de un mes a contar desde la fecha en
que haya recibido la solicitud.
En caso de estimar la solicitud, el acceso debe hacerse efectivo en el
plazo de los diez días siguientes a la notificación
Cómo resolver
La obligación de contestar a dicha
solicitud ha de producirse con
independencia de que figuren o no
datos personales del ciudadano en
sus ficheros.
La contestación al derecho de acceso
ha de practicarse utilizando cualquier
medio que permita acreditar el envío
y la recepción de la misma.

Puede denegarse el derecho de acceso cuando:
- Pueda suponer un peligro para la defensa del Estado o la seguridad
pública.
- Proteja los derechos y libertades de terceros o las necesidades de
las investigaciones que se estén realizando, o en el caso de
ficheros de la Hacienda Pública.
- Este derecho obstaculiza las actuaciones administrativas tendentes
a asegurar el cumplimiento de las obligaciones tributarias.
- El afectado esté siendo objeto de actuaciones inspectoras.
Denegación derecho
MODELO PARA EJERCER EL DERECHO DE ACCESO
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derechos
/principales_derchos/acceso-ides-idphp.php

1.2. DERECHO DE RECTIFICACIÓN
La LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de
un fichero o tratamiento para que rectifique sus datos personales.
- Si un ciudadano contrasta que sus datos personales son inexactos
tiene derecho a solicitar su rectificación ante el responsable.
La solicitud de rectificación debe indicar:
- El dato que se estima erróneo
- La corrección que debe realizarse
Debe ir acompañada de la documentación justificativa de la rectificación
solicitada.
Este derecho puede ejercitarse cuando:
- El tratamiento contenga datos inexactos o incompletos.

El responsable del fichero o tratamiento tiene el deber de atender el
derecho de rectificación en el plazo de diez días hábiles.
Deberá contestar de forma motivada a la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar el
envío y la recepción de su respuesta.
Si los datos rectificados hubieran sido cedidos previamente a un
tercero, el responsable del fichero tiene la obligación de notificar al
cesionario la rectificación practicada.
Cómo resolver
MODELO PARA EJERCER EL DERECHO DE RECTIFICACIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/de
rechos/principales_derchos/rectificacion-ides-idphp.php

1.3. DERECHO DE CANCELACIÓN
Este derecho ofrece al ciudadano la posibilidad de dirigirse al
responsable para solicitar la cancelación de sus datos personales.
- Si un ciudadano verifica que sus datos personales son inexactos o se
han tratado ilegalmente, tiene derecho a solicitar su supresión.
Este derecho puede ejercerse cuando:
- El tratamiento no se ajuste a lo dispuesto en la LOPD
- Cuando los datos resulten inexactos o incompletos.
En la solicitud de cancelación, el interesado debe indicar la existencia del
dato erróneo o inexacto, en cuyo caso deberá acompañar la
documentación justificativa.
La cancelación dará lugar al bloqueo de los datos cuando:
- Sea preciso conservar éstos únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, de cara a posibles
responsabilidades.

El responsable del fichero o tratamiento tiene la obligación de hacer
efectivo el derecho de cancelación en el plazo de diez días naturales.
Si los datos cancelados hubieran sido cedidos previamente a un
tercero, el responsable del fichero deberá notificar al cesionario la
cancelación efectuada.
Cómo resolver
Deberá contestar de forma motivada a la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar
el envío y la recepción de su respuesta.

El responsable del fichero o tratamiento podrá denegar la cancelación,
tanto en el caso de ficheros privados como públicos, cuando:
- Exista un deber legal de conservación de los datos.
- Durante el plazo establecido en cada caso por la legislación aplicable.
Denegación derecho
Asimismo, podrá denegar la cancelación cuando:
- La conservación del dato sea necesaria para el cumplimiento de las
obligaciones contractuales que le vinculen con el interesado y
justifiquen el tratamiento de los datos.
- Su cancelación pudiese causar perjuicio al propio ciudadano titular
de los mismos o a terceros.
MODELO PARA EJERCER EL DERECHO DE CANCELACIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/dere
chos/principales_derchos/cancelacion-ides-idphp.php

1.4. DERECHO DE OPOSICIÓN
Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y
fundado, referido a una situación personal concreta:
- A figurar en un fichero o al tratamiento de sus datos personales,
siempre que una ley no disponga lo contrario.
El ciudadano puede oponerse mediante su simple solicitud, a que :
- Sus datos sean tratados con fines de publicidad y de prospección
comercial
En principio, el ciudadano tiene la facultad de disponer y decidir sobre:
- Los usos de los datos personales que le conciernen, y por lo tanto,
puede oponerse a aparecer en un determinado fichero o a que sus
datos sean comunicados a terceros.

En relación a los tratamientos de datos con fines de publicidad y de
prospección comercial, los ciudadanos pueden ejercer el derecho de
oposición y, a su simple solicitud, el responsable ha de dar de baja sus
datos personales en el tratamiento, cancelando de este modo las
informaciones que figuraban en el mismo.
El responsable del fichero o tratamiento tiene un plazo máximo de un
mes a contar desde la recepción de la petición, para resolver la solicitud
de oposición.
Si transcurrido este plazo no se ha recibido de forma expresa una
respuesta a la petición de acceso, ésta puede entenderse desestimada a
los efectos de presentar una reclamación de tutela de derechos ante la
AEPD.
En el caso de que sea procedente acceder a la oposición, el responsable
del fichero ha de excluir del tratamiento los datos del ciudadano
solicitante.
Cómo resolver

El derecho de oposición puede ejercitarse:
- Cuando no es obligatoria la recogida de los datos renunciando a otorgar el
consentimiento para el tratamiento de datos especialmente protegidos de
ideología, religión o creencias, solicitando la eliminación de datos
contenidos en ficheros comerciales
- Señalando, en su caso, con una x la casilla destinada a indicar que no está
de acuerdo con la cesión o comercialización de sus datos.
Cómo ejercer el derecho de oposición
Mediante una solicitud por escrito dirigida al responsable del fichero o
tratamiento.
- En la que se hagan constar los motivos fundados y legítimos relativos a una
concreta situación personal del afectado, que justifican el ejercicio de este
derecho.
Puede ejercerse en el momento de la recogida de la información o
posteriormente, dirigiéndose al responsable del fichero.
No puede ejercerse ante muchos ficheros de titularidad pública, como por
ejemplo, los de Hacienda Pública, los ficheros policiales, Seguridad Social, etc.

Para ello, se puede ejercer el derecho de consulta al Registro General de
Protección de Datos, así como los derechos de acceso, rectificación,
cancelación y/u oposición, según sea el caso.
Si no obtienes un resultado satisfactorio con este procedimiento puedes
acudir a la Agencia Española de Protección de Datos.
Procedimiento es caso de ser violados los derechos en materia de
protección de datos:
- Hay que intentar determinar la identidad del responsable del
tratamiento
Las actuaciones contrarias al derecho
fundamental a la protección de datos de
carácter personal pueden ser
denunciadas por los ciudadanos ante la
AEPD y, en su caso, posteriormente ante
la jurisdicción contencioso-
administrativa.

Además, si de dichas actuaciones se derivase un perjuicio para los
interesados, los mismos podrán reclamar la correspondiente
indemnización, bien ante la jurisdicción civil, bien ante el Órgano
administrativo responsable, a través, en este caso, del procedimiento
establecido al efecto en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común.
Al ponerte en contacto con la AEPD se debe describir el problema con los
suficientes pormenores, para ello, se debe utilizar los formularios
disponibles en la página web de la AEPD www.agpd.es.
MODELO PARA EJERCER EL DERECHO DE OPOSICIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/der
echos/principales_derchos/oposicion-ides-idphp.php

2. TUTELA DE DERECHOS
El procedimiento de tutela tiene por finalidad garantizar el ejercicio
efectivo por parte del ciudadano de los derechos de:
• Acceso
• Rectificación
• Cancelación
• Oposición
El ciudadano al que le haya sido denegado el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición puede ponerlo en
conocimiento de la AEPD, para que ésta constate la procedencia o
improcedencia de la denegación.
Para solicitar la tutela de derechos, el ciudadano tiene que presentar en
la AEPD un escrito, en el que se expresen con claridad sus datos, el
contenido de la reclamación y los preceptos de la LOPD que considere
vulnerados.

La Agencia, a continuación, da traslado de la reclamación al
responsable del fichero o tratamiento instándole para que, en el plazo
de quince días, formule las alegaciones que estime pertinentes
Las resoluciones del Director de la Agencia Española de Protección de
Datos son firmes en vía administrativa por lo que contra las mismas sólo
se podrá interponer recurso potestativo de reposición, o bien recurso
contencioso-administrativo ante la Audiencia Nacional.
Los procedimientos de tutela de derechos no tienen carácter
sancionador, limitándose a estimar o desestimar las reclamaciones
planteadas por los ciudadanos ante la Agencia.
Sin embargo, en algunas ocasiones, los hechos constatados en los
citados procedimientos pueden dar lugar a la iniciación de
procedimientos sancionadores.
La AEPD tramitará el correspondiente procedimiento administrativo y
resolverá el mismo en el plazo máximo de seis meses, dando traslado
de su resolución a las partes.