Conoce los aspectos legales de la Ley Orgánica de Protección de datos afectan a tu negocio, conoce las claves y requisitos para cumplir con la ley y mejorar la eficiencia de tu negocio.
Conoce los secretos de la Ley Orgánica de Protección de Datos LOPD
1. CURSO SOBRE LA LEY ORGANICA DE
PROTECCION DE DATOS DE
CARACTER PERSONAL
Harvey & Lluch Consultores S.L.
2. 1.-
INTRODUC-
CION
¿Qué es la ¿A quién obliga la ¿A quién protege
Protección de Protección de la Protección de
Datos? Datos? Datos?
2
Harvey & Lluch Consultores S.L.
3. ¿QUE ES LA PROTECCION DE DATOS?
Se entiende por Protección de Datos el garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertadas públicas y los
derechos fundamentales de las personas físicas y especialmente de su honor e
intimidad personal y familiar.
Para garantizar y proteger estos datos, se legisla la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Ley
que deroga la anterior Ley Orgánica 5/1992, de 29 de octubre, de
Regularización del Tratamiento Automatizado de los Datos de Carácter
Personal (LORTAD). La LOPD se complementa con el Real Decreto
1720/2007, de 21 diciembre, por el cual se aprueba El Reglamento de
Desarrollo de la LOPD.
Aplicando la normativa vigente el tratamiento de los datos puede ser
automatizado o no, siguiendo el mandato imperativo de la Normativa Europea.
3
Harvey & Lluch Consultores S.L.
4. ¿A QUIEN PROTEGE LA PROTECCION DE DATOS?
Una premisa que tenemos que tener claro, es que los datos no son de las
entidades son de sus titulares, de los interesados o afectados como los
denomina la LOPD.
Por lo tanto el tratamiento de los datos a de ser lícito y al ser datos de los
afectados, las entidades tienen que respetar todos los derechos y principios que
sobre ellos contempla la Ley Orgánica de Protección de Datos.
El afectado tiene que haber dado su consentimiento al tratamiento de sus datos:
art. 3.h, toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen.
Este consentimiento por parte del afectado, tiene su excepción en el supuesto
en que se refiera a las partes de un contrato o precontrato de una relación
negocial, cuando su finalidad sea proteger el interés vital del afectado y, por
último, cuando sus datos figuren en fuentes accesibles al público, siempre que
no se vulneren los derechos y libertades fundamentales del afectado.
4
Harvey & Lluch Consultores S.L.
5. ¿A QUIEN OBLIGA LA PROTECCION DE DATOS?
A todas las entidades seas pública o privadas y profesionales, que realicen en
su actividad, el tratamiento de datos de Carácter Personal.
Estos datos pueden ser generados por la actividad lógica de la
entidad, empleados, colaboradores, proveedores, clientes, etc., estos datos son
de tratamiento interno de la entidad y su vez por dicha actividad, estos datos
pueden salir fuera de la entidad para control de
distribución, postventa, subcontratación, cesión a terceros, etc.
Estos datos no son de la entidad, son de sus titulares, de los interesados o
afectados como los denomina la LOPD.
Por lo tanto, el tratamiento de los datos ha de ser lícito y al ser datos de los
afectados, las entidades tienen que respetar todos los derechos y principios que
sobre ellos contempla la Ley Orgánica de Protección de Datos.
5
Harvey & Lluch Consultores S.L.
6. 2.- NORMATIVA VIGENTE EN
PROTECCIÓN DE DATOS
LEY ORGANICA DE PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL
REAL DECRETO DE DESARRROLLO DEL
REGLAMENTO DE LA LOPD
6
Harvey & Lluch Consultores S.L.
7. LEY ORGANICA DE
PROTECCIÓN DE DATOS DE
CARACTER PERSONAL
La normativa vigente en tratamiento de datos de carácter personal es la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas y especialmente de su honor e
intimidad personal y familiar, (art. 1).
Por esta Ley, los afectados adquieren unos derechos en el tratamiento de sus datos
de carácter personal y que obliga a los titulares de los ficheros (cualquier empresa o
entidad, pública o privada que tenga datos de carácter personal en un soporte
automatizado o susceptible de tratamiento automatizado), a respetar los principios
de esta Ley.
El cumplimiento de esta normativa es imprescindible para cualquier entidad jurídica
(empresa o autónomo), ya sea pública o privada, que tenga tratamiento de datos de
carácter personal.
7
Harvey & Lluch Consultores S.L.
8. REAL DECRETO DE
DESARROLLO DEL
REGLAMENTO DE LA LOPD
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba El
Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. Este
Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgos
que para los derechos de la personalidad pueden suponer el acopio y tratamiento de
datos personales.
Hay que destacar que este Reglamento nace con la vocación de no reiterar los
contenidos de la Ley y de desarrollar, no solo los mandatos contenidos en dicha Ley
de acuerdo con los principios que emanan de la Directiva sino también aquellos que
estos años de vigencia de la Ley se ha demostrado que precisan de un mayor
desarrollo normativo.
8
Harvey & Lluch Consultores S.L.
9. 3.- CONCEPTOS DESTACABLES DE LA LOPD Y EL
REGLAMENTO
DEFINICIONES DE LA LOPD
DEFINICIONES DEL REGLAMENTO
• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD
• FUENTES ACCESIBLES AL PUBLICO
COMPARATIVA ENTRE LAS DEFINICIONES
DE LA LOPD Y EL REGLAMENTO
9
Harvey & Lluch Consultores S.L.
10. DEFINICIONES DE LA LOPD - I
Definiciones según el art. 3:
a) Datos de carácter personal; cualquier información concerniente a personas
físicas identificadas o identificables. Se habla de cualquier información
concerniente a las personas, incluido la video vigilancia.
b) Fichero; todo conjunto organizado de datos de carácter personal, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso. Se incluyen tanto los ficheros automatizados como los no
automatizados (normales).
c) Tratamiento de datos; operaciones y procedimientos técnicos de carácter
automatizados o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
d) Responsable del fichero o tratamiento; persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
e) Afectado o interesado; persona física titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente articulo.
10
Harvey & Lluch Consultores S.L.
11. DEFINICIONES DE LA LOPD - II
f) Procedimiento de disociación; todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona identificada o
identificables. No se puede asociar el número de teléfono al nombre de un
afectado, o el DNI con su propietario.
g) Encargado del tratamiento; la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, solo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento. El
encargado de tratamiento recibe por parte del responsable el encargo de tratar
los datos de carácter personal del otro, por ejemplo las asesoría fiscal o
laboral, abogados, etc.
h) Consentimiento del interesado; toda manifestación de
voluntad, libre, inequívoca, especifica e informada, mediante la que el
interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos; toda revelación de datos realizada a una
persona distinta del interesado. “Los interesados a los que se soliciten datos
personales deberán ser previamente informados de modo
expreso, preciso e inequívoco”, art.5.1.
11
Harvey & Lluch Consultores S.L.
12. DEFINICIONES DE LA LOPD - III
j) Fuentes accesibles al público; aquellos ficheros cuya consulta puede ser
realizada, por cualquier persona, no impedida por una norma limitativa o sin
más exigencia que, en su caso, el abono de una contraprestación. Tienen la
consideración de fuentes de acceso al público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupo de
profesionales que contengan únicamente los datos de
nombre, título, profesión, actividad, grado académico, dirección e indicación de
su pertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al
público los diarios y boletines oficiales y los medios de comunicación. La
Agencia Española de Protección de Datos dictaminó que internet no es un
medio fiable.
12
Harvey & Lluch Consultores S.L.
13. DEFINICIONES DEL REGLAMENTO - I
Definiciones según el art. 5:
a) Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
b) Cancelación; Procedimiento en virtud del cual el responsable cesa en el uso de
los datos. La cancelación implicará el bloque de los datos, consistente en la
identificación y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposición de las Administraciones públicas, Jueces y
tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la supresión de los datos.
c) Cesión o comunicación de datos; Tratamiento de datos que supone su
revelación a una persona distinta al interesado. Aquí El Reglamento hace
hincapié en tratamiento de datos, por lo tanto para que haya cesión es
necesario que haya dicho tratamiento de datos.
d) Consentimiento del interesado; Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
13
Harvey & Lluch Consultores S.L.
14. DEFINICIONES DEL REGLAMENTO - II
e) Dato disociado; aquél que no permite la identificación de un afectado o
interesado. Por medio de este dato, por ejemplo el número de móvil, no
identificamos al afectado.
f) Datos de carácter personal; cualquier información
numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables. Hay que hacer
diferencia entre persona física y persona jurídica, un empresario individual al
hacer referencia a su actividad comercial, queda excluido en el
tratamiento, pasa a ser persona jurídica y a su vez las personas que ocupando
cargos o funciones están asociadas a la persona jurídica que prestan sus
servicios. Están incluidos en este apartado las imágenes de personas físicas
tomadas en video vigilancia.
g) Datos de carácter personal relacionados con la salud; las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su información
genética.
14
Harvey & Lluch Consultores S.L.
15. DEFINICIONES DEL REGLAMENTO - III
h) Destinatario o cesionario; la persona física o jurídica, pública privada u órgano
administrativo, al que se revelen los datos. Podrán ser también destinatarios los
entes sin personalidad jurídica que actúen en el tráfico como sujetos
diferenciados. Añadiríamos en este apartado a las comunidades de propietarios.
i) Encargado del tratamiento; la persona física o jurídica, pública o privada, u
órgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito de relación para la prestación de un
servicio. Podrá ser también encargados del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
j) Exportador de datos personales; la persona física o jurídica, pública o
privada, u órgano administrativo situado en territorio español que
realice, conforme a lo dispuesto en el presente Reglamento, una transferencia
de datos de carácter personal a un país tercero. Este párrafo se refiere a datos
exportados fuera de la CEE.
15
Harvey & Lluch Consultores S.L.
16. DEFINICIONES DEL REGLAMENTO - IV
k) Fichero; todo conjunto organizado de datos de carácter personal, que permita
el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera
la forma o modalidad de su creación, almacenamiento, organización y acceso.
Quedan excluidos del tratamiento cualquier fichero mantenido por cualquier
persona física en el ejercicio de actividades personales o domésticas, los
sometidos a normativa sobre protección de materias clasificadas, y los
establecidos para la investigación del terrorismo y de formas graves de
delincuencia, están excluidos pero estos ficheros se comunicaran de su
existencia a la AEPD.
l) Ficheros de titularidad privada; los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de
quien ostenta la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que las
mismas atribuye su normativa específica. Se refiere a los ficheros de las
sociedades privadas y autónomos.
16
Harvey & Lluch Consultores S.L.
17. DEFINICIONES DEL REGLAMENTO - V
m) Ficheros de titularidad pública; los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones publicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho
público siempre que su finalidad sea el ejercicio de potestades de derecho
público. Se refiere entidades como los ayuntamientos, comunidades
autónomas, etc.
n) Fichero no automatizado; todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a criterios
específicos relativos a personas físicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aquél
centralizado, descentralizado o repartido de forma funcional o geográfica. Son
los ficheros manuales por ejemplo el clásico archivador.
ñ) Importador de datos personales; la persona física o jurídica, pública o
privada, u órgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o tercero. Se refiere al países fuera del
territorio de la Unión Europea.
17
Harvey & Lluch Consultores S.L.
18. DEFINICIONES DEL REGLAMENTO - VI
o) Persona identificable; toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información referida
a su identidad física, fisiológica, psíquica, económica, cultural o social. Una
persona física no se considerará identificable si dicha identificación requiere
plazos o actividades desproporcionados.
p) Procedimiento de disociación; todo tratamiento de datos personales que
permita la obtención de datos disociados. El resultado de este procedimiento
no pueda identificar o asociarse a persona alguna.
q) Responsable del fichero o del tratamiento; persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente
con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no
lo realizase materialmente. Podrán ser también responsables del fichero o del
tratamiento los entes sin personalidad jurídica que actúen en el tráfico como
sujetos diferenciados.
r) Tercero; la persona física o jurídica, pública o privada u órgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del
fichero, del encargado del tratamiento y de las personas autorizadas para tratar
bajo la autoridad directa del responsable del tratamiento o del encargado del
tratamiento. Podrá ser también terceros los entes sin personalidad jurídica que
actúen en el tráfico como sujetos diferenciados.
18
Harvey & Lluch Consultores S.L.
19. DEFINICIONES DEL REGLAMENTO - VII
s) Transferencia internacional de datos; tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico
Europeo, bien constituya una cesión o comunicación de datos, bien tenga por
objeto la realización de un tratamiento de datos por cuenta del responsable del
fichero establecido en territorio español.
t) Tratamiento de datos; cualquier operación o procedimiento técnico, sea o no
automatizado, que permita la
recogida, grabación, conservación, elaboración, modificación, consulta, utilizaci
ón, cancelación, bloqueo o supresión, así como las cesiones de datos que
resultan de comunicaciones, consultas interconexiones y transferencias. Hay
que recalcar, que al igual de los ficheros, el procedimiento puede ser
automatizado o no.
19
Harvey & Lluch Consultores S.L.
20. DEFINICIONES DEL
REGLAMENTO
• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - I
a) Accesos autorizados; autorizaciones concedidas a un usuario para la
utilización de los diversos recursos. En su caso, incluirán las autorizaciones o
funciones que tengan atribuidas un usuario por delegación del responsable del
fichero o tratamiento o del responsable de seguridad.
b) Autentificación; procedimiento de comprobación de la identidad de un usuario.
Con esta medida lo que se consigue es acreditar la identificación del usuario.
c) Contraseña; información confidencial, frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autentificación de un usuario
o en el acceso a un recurso. Recordemos que las contraseñas son tanto para
ficheros automatizados o no.
d) Control de acceso: mecanismo que en función de la identificación ya
autentificada permite acceder a datos o recursos.
e) Copia de respaldo; copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperación. En este párrafo se deja claro que no
tiene por que haber copia de respaldo en ficheros no automatizados o
manuales.
f) Documento; todo escrito, gráfico, sonido, imagen o cualquier otra clase de
información que pueda ser tratada en un sistema de información como unidad
diferenciada.
20
Harvey & Lluch Consultores S.L.
21. DEFINICIONES DEL
REGLAMENTO
• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - II
g) Ficheros temporales; ficheros de trabajo creados por usuarios o procesos que
son necesarios para un tratamiento ocasional o como paso intermedio durante
la realización de un tratamiento.
h) Identificación; procedimiento de reconocimiento de la identidad de un usuario.
i) Incidencia; cualquier anomalía que afecte o pudiera afectar a la seguridad de
los datos. Aclarar que puede tratarse de cualquier irregularidad física, lógica o
jurídica.
j) Perfil de usuario; accesos autorizados a un grupo de usuarios. Delimitar el
acceso a usuarios solamente a su perfil de trabajo, si se encargan de ficheros
de clientes no tienen acceso a ficheros de nóminas.
k) Recurso; cualquier parte componente de un sistema de información.
l) Responsable de seguridad; persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables. Sobre el responsable de seguridad no recae ninguna
responsabilidad en materia de protección de datos, ya que esta recae sobre el
responsable del fichero o tratamiento.
m) Sistema de información; conjunto de ficheros, tratamientos, programas,
soportes y en su caso, equipos empleados para el tratamiento de datos de
carácter personal. Recordamos que los ficheros pueden ser automatizados o
no.
21
Harvey & Lluch Consultores S.L.
22. DEFINICIONES DEL
REGLAMENTO
• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - III
n) Sistema de tratamiento; modo en que se organiza o utiliza un sistema de
información. Atendiendo al sistema de tratamiento, los sistemas de información
podrán ser automatizados, no automatizados o parcialmente automatizados.
Nos recuerda las formas de que pueden ser los sistemas empleados de
información.
ñ) Soporte; objeto físico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de información y sobre el cual se
puede grabar y recuperar datos.
o) Transmisión de documentos; cualquier traslado, comunicación, envío, entrega
o divulgación de la información contenida en el mismo.
p) Usuario; sujeto o proceso autorizado para acceder a datos o recursos. Tendrán
la consideración de usuarios los procesos que permitan acceder a datos o
recursos sin identificación de usuario físico.
22
Harvey & Lluch Consultores S.L.
23. DEFINICIONES DEL
REGLAMENTO
• FUENTES ACCESIBLES AL PUBLICO - I
Debido a su importancia dedicaremos un apartado especial a la Fuentes Accesibles al
Público.
Ya vimos el párrafo j), del art. 3 de la LOPD.
“Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una
contraprestación. Tienen la consideración de fuentes de acceso al
público, exclusivamente, el censo promocional, los repertorios telefónicos en los
términos previstos por su normativa específica y las listas de personas pertenecientes a
grupo de profesionales que contengan únicamente los datos de
nombre, título, profesión, actividad, grado académico, dirección e indicación de su
pertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al público los
diarios
y boletines oficiales y los medios de comunicación”.
En El Reglamento esta definición se amplia y en el art.7 dice;
1. A efectos del artículo 3, párrafo j) de la Ley orgánica 15/1999, se entenderá
que solo tendrán el carácter de fuentes accesibles al público:
a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos
por su normativa especifica. 23
Harvey & Lluch Consultores S.L.
24. DEFINICIONES DEL
REGLAMENTO
• FUENTES ACCESIBLES AL PUBLICO - II
c) Las listas de personas pertenecientes a grupos de profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección profesional e indicando de su pertenencia al grupo. La dirección profesional
podrá incluir los datos del domicilio postal completo, número de telefónico, número de
fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse
como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación
y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicación oficial.
2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan
ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin más
exigencia que, en su caso, el abono de una contraprestación.
Hay que advertir que para la Agencia Española de Protección de Datos, internet no
es un medio fiable de información. Y al referirnos a las guías telefónicas, hablamos de
las Páginas Amarillas y del año en curso.
24
Harvey & Lluch Consultores S.L.
25. 4.- LOS PRINCIPIOS DE LA PROTECCIÓN DE
DATOS
CONSENTIMIENTO LA CALIDAD DE
DEL INTERESADO O OBTENCION DE LOS
AFECTADO DATOS
DERECHO POR PARTE DATOS QUE DEBEN
DEL AFECTADO A LA SER ESPECIALMENTE
INFORMACIÓN A PROTEGIDOS DEL
RECABAR LOS DATOS AFECTADO
CESIÓN DE DATOS
25
Harvey & Lluch Consultores S.L.
26. CONSENTIMIENTO DEL INTERESADO O AFECTADO - I
La LOPD define el consentimiento como ( art. 3.h);
Toda manifestación de voluntad, libre, inequívoca, específica e informada,
mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen. (Art. 6); “Salvo que la Ley disponga otra
cosa”.
Dicho esto, debemos saber que al solicitar el consentimiento al afectado de la
cesión de sus datos, este deberá ser informado inequívocamente de la finalidad a la
que se destinará los datos. En el caso de menores de 14 años, se requerirá el
consentimiento de los padres o tutores y en ningún caso se podrá recabar datos del
menor que se refieran a actividades
profesionales, económicos, sociológicos, etc., de sus progenitores, sin el
consentimiento de los titulares (Art. 13) del Reglamento.
“Salvo que la Ley disponga de otra cosa” (art. 6), en dicho articulo se nos aclara que
no será preciso el consentimiento, cuando los datos de carácter personal se recojan
en ejercicio de las Administraciones Públicas, etc., tal como vimos explicado en el
párrafo dedicado a: ¿A quién protege la Protección de Datos?. En estos casos que
no es necesario el consentimiento del afectado, éste podrá oponerse a su
tratamiento cuando existan motivos fundados y legítimos relativos a una concreta
situación personal. En tal caso se excluirán del tratamiento los datos relativos al
afectado.
26
Harvey & Lluch Consultores S.L.
27. EL CONSENTIMIENTO DEL INTERESADO O AFECTADO
II
En el Reglamento 1720/2007, de fecha de 21 de diciembre, en su art. 14, se regula
el procedimiento para la obtención de consentimiento del titular de los datos:
• El solicitante se dirige al afectado en los términos que dicta el art. 5 de la LOPD y
el art. 12.2 del Reglamento.
1.- De la existencia de un fichero, de la finalidad del mismo y el destinatario de
la información. En caso contrario el consentimiento será nulo.
2.- El afectado tiene un plazo de treinta días para oponerse al tratamiento de los
datos.
3.- Facilitar un procedimiento sencillo y gratuito, par que el afectado haga uso a
su negativa al tratamiento de los datos.
27
Harvey & Lluch Consultores S.L.
28. LA CALIDAD DE OBTENCION DE LOS DATOS
Art. 4.1, “ Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido.
A lo largo de este articulo se especifica la calidad de obtención de los datos, esto
es, los datos que se inscriban en un fichero tienen que ser exactos, se tienen que
mantener actualizados y puestos al día, apropiados para el fin que se solicitan y no
serán obtenidos por tanto, por medios fraudulentos, desleales o ilícitos. Si estos
datos fuesen inexactos, serían cancelados y sustituidos de oficio una vez
rectificados, siendo cancelados cuando hayan dejado de ser necesarios o
pertinentes para la cual se recabaron. Siempre serán almacenados de forma que
permitan el ejercicio del derecho acceso, salvo que sean legalmente cancelados.
28
Harvey & Lluch Consultores S.L.
29. DERECHO POR PARTE DEL AFECTADO A LA
INFORMACION A RECABAR LOS DATOS
Empieza el art. 5, diciendo; “Los interesados a los que soliciten datos personales
deberán ser previamente informados de modo expresa, preciso e inequívoco. De la
existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad
de la recogida de éstos y de los destinatarios de la información. De la identidad y
dirección del responsable del tratamiento o, en su caso, de su representante”.
Por lo tanto esta premisa se tiene que tener siempre presente cuando se utilicen
cuestionarios u otros impresos para la recogida de datos personales directamente
del interesado. Cuando los datos no hayan sido recabados del interesado, éste
deberá ser informado de forma expresa, precisa e inequívoca en el plazo de tres
meses al registro de los datos.
Como excepción a esta norma, no se aplicará este concepto cuando expresamente
una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos y
científicos o cuando la información al interesado fuese imposible o exija esfuerzos
desproporcionados a criterio de la Agencia Española de Protección de Datos.
Asimismo cuando los datos procedan de fuentes accesibles al público y se destinen
a la actividad de publicidad o prospección comercial, se le comunicará al interesado
el origen de los datos y se le informará de sus derechos y de la identidad del
responsable del tratamiento.
29
Harvey & Lluch Consultores S.L.
30. DATOS QUE DEBEN SER EXPECIALMENTE
PROTEGIDOS DEL AFECTADO - I
En el art. 7, se especifica los datos del afectado que deben de ser especialmente
protegidos, denominados sensibles. Estos datos son:
a) Ideología, religión o creencias. El apartado 2 del art. 16 de la Constitución, dice;
nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Solo por consentimiento expreso y por escrito del afectado se podrá tratar
dichos datos, a excepción de los ficheros de los partidos
políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical. en cuanto a los datos relativos a sus
asociados o miembros, sin perjuicio que la cesión de dichos datos precisará
siempre el previo consentimiento del afectado.
b) Datos personales de tipo racial, salud y vida sexual, del afectado, solo podrán
ser recabados, tratados y cedidos cuando, por razones de interés general, así lo
disponga una ley o el afectado consienta expresamente.
c) Por lo tanto quedan prohibidos los ficheros creados con la finalidad de
almacenar datos de carácter personal mencionados en los párrafos anteriores.
d) Relativo a los datos de salud, respecto a su cesión el art. 8, dice; las
instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter
personal relativos a la salud de las personas que a ellos acudan o hayan de ser
tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o
autonómica sobre salud.
30
Harvey & Lluch Consultores S.L.
31. DATOS QUE DEBEN SER ESPECIALMENTE
PROTEGIDOS DEL AFECTADO - II
Solo no será necesario su autorización, como excepción, lo previsto en el
art.11.2.f, cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o para
realizar los estudios epidemiológicos en los términos establecido en la legislación
sobre sanidad estatal o autonómica.
- Podrán ser objeto de tratamiento los datos mencionados en los
párrafos, a) y b), para prevención o diagnósticos médicos o prestación de asistencia
sanitaria, siempre que lo realice personal sanitario sujeto al secreto profesional o
persona sujeta a una obligación de secreto equivalente.
31
Harvey & Lluch Consultores S.L.
32. CESION DE DATOS
Según el art. 11.1; los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.
No será necesario el consentimiento exigido en los siguientes casos:
I. Cuando la cesión esta autorizada por una ley.
II. Cuando son recogidos en fuentes de accesos público.
III. Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros. En este caso la
comunicación sólo será legítima en cuanto se limite a la finalidad que la
justifique.
IV. Cuando se deba efectuar al defensor del Pueblo, al Ministerio Fiscal o los
Jueces o Tribunales o el tribunal de Cuentas, ni administraciones e
instituciones autonómicas.
V. Entre Administraciones públicas, para el tratamiento posterior con fines
históricos, estadísticos o científicos.
VI. Para realizar una urgencia o un estudio epidemiológico .
El consentimiento será nulo cuando no se permita conocer la finalidad a que se
destinarán los datos. 32
Harvey & Lluch Consultores S.L.
33. 5.- TRATAMIENTO DE LOS DATOS
Art. 3.c; operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como
las cesiones de datos que resultan de comunicaciones, consultas, interconexiones y
transferencias. Podemos tratar cualquier dato pero cumpliendo con la normativa, teniendo el
consentimiento explicito e inequívoco del afectado.
El tratamiento de datos lo podemos resumir en tres fases:
RECABAR DATOS
TRATAMIENTO AUTOMATIZADO DE LOS
DATOS O NO
COMUNICACIÓN DE LOS DATOS
En cada uno de los pasos tenemos que garantizar la protección de los datos de carácter
personal y los derechos del afectado.
33
Harvey & Lluch Consultores S.L.
34. 6.- LOS DERECHO DE CONSULTA AL
DERECHOS REGISTRO GENERAL DE
PROTECCIÓN DE DATOS
DEL
INTERESADO
DERECHOS ARCO
(ACCESO, RECTIFICACIÓN, DERECHO DE
CANCELACIÓN Y INDEMNIZACIÓN
OPOSICIÓN)
TUTELA DE LOS DERECHOS
34
Harvey & Lluch Consultores S.L.
35. DERECHO DE CONSULTA AL
REGISTRO GENERAL DE
PROTECCIÓN DE DATOS
Según el art. 14; Cualquier persona podrá conocer, recabando a tal fin la
información oportuna del Registro General de Protección de Datos, la existencia de
tratamientos de datos de carácter personal, sus finalidades y la identidad del
responsable del tratamiento. El Registro General será de consulta pública y gratuita.
Este artículo, como podemos ver, es claro, corto y conciso. Recalcamos que:
“El Registro General será de consulta pública y gratuita.”
40
35
Harvey & Lluch Consultores S.L.
36. DERECHOS ARCO
Según el art. 24, del Reglamento, en sus diferentes apartados se explican las
condiciones generales para el uso de estos derechos, aún así, diremos que estos
derechos son independientes y por lo tanto el uso de uno no es requisito previo para
el uso del otro, para ejercitar su uso se deberá habilitar un medio sencillo y gratuito
al afectado por parte dl responsable del fichero. En ningún caso debe suponer un
ingreso adicional al responsable del fichero.
ACCESO
RECTIFICACIÓN Y CANCELACIÓN
OPOSICIÓN
41
36
Harvey & Lluch Consultores S.L.
37. DERECHO DE ACCESO
En el art. 28.1, del Reglamento, se dice; al ejercitar el derecho de acceso, el
afectado podrá optar por recibir la información a través de uno o varios de los
siguientes sistemas de consulta del fichero:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Telecopia.
d) Correo electrónico u otros sistemas de comunicaciones electrónicas.
e) Cualquier otro sistema que sea adecuado a la configuración o implantación
material del fichero o a la naturaleza del tratamiento, ofrecido por el
responsable.
Si el responsable ofrece un sistema para hacer posible el acceso y si el afectado lo
rechaza, aquél no responderá de los posibles riesgos que pudieran ocasionar en la
seguridad de la información. Al igual que si el afectado exigiese un procedimiento un
procedimiento que conlleve un coste desproporcionado, serán por cuenta del
afectado los gastos que conlleve. El responsable tiene el plazo máximo de un mes
para resolver la solicitud.
37
Harvey & Lluch Consultores S.L.
38. DERECHOS DE RECTIFICACIÓN Y
CANCELACIÓN
Artículo 31 del Reglamento;
1. El derecho de rectificación es el derecho del afectado a que se modifiquen los
datos que resultan ser inexactos o incompletos.
2. El ejercicio del derecho de cancelación dará a lugar a que se supriman los datos
que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo
conforme a este Reglamento.
Artículo 16 de la LOPD;
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho
rectificación o cancelación del interesado en el plazo de diez días.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones públicas, Jueces y Tribunales. Una vez que
hayan prescrito los datos se dará lugar a la supresión.
Se podrá denegar el derecho de rectificación o cancelación en los supuestos que así
lo prevea una ley o norma de derecho comunitario de aplicación directa. En todo
caso el responsable del fichero deberá informar al afectado de su derecho de
recabar la tutela de la Agencia Española de Protección de Datos.
38
Harvey & Lluch Consultores S.L.
39. DERECHO DE OPOSICIÓN
Art. 34 del Reglamento; el derecho de oposición es el derecho del afectado a que
no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el
mismo en los siguientes supuestos:
b) Cuando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial, cualquiera que sea la
empresa responsable de su creación.
Art. 6.4, de la LOPD; En los casos que no sea necesario el consentimiento del
afectado para el tratamiento de los datos de carácter personal, y siempre que una
ley no disponga de lo contrario, éste podrá oponerse a su tratamiento cuando
existan motivos fundados y legítimos relativos a una concreta situación personal. En
tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al
afectado.
El tiempo máximo de resolución de la solicitud es de diez días, se tengan o no
datos.
39
Harvey & Lluch Consultores S.L.
40. DERECHO A INDEMNIZACIÓN
En el art. 19 de la LOPD, se explican los derechos a indemnización que tienen los
afectados, como consecuencia del incumplimiento de la presente Ley, por parte del
responsable o encargado del tratamiento.
Cuando los ficheros son de titularidad pública, la responsabilidad se exigirá de
acuerdo con la legislación reguladora del régimen de responsabilidades de las
Administraciones públicas.
Cuando los ficheros son de titularidad privada, la acción se ejercitará en la
jurisdicción ordinaria.
40
Harvey & Lluch Consultores S.L.
41. TUTELA DE LOS DERECHOS
Al afectado que se la niegue total o parcial sus derechos Arco (Acceso,
Rectificación, Cancelación y Oposición), podrá ponerlo en conocimiento de la
Agencia Española de Protección de Datos (AEPD). El plazo de resolución
expresa de tutela de derechos es de seis meses.
En el caso de proceder contra la Agencia Española de Protección de Datos,
procederá recurso contencioso-administrativo.
41
Harvey & Lluch Consultores S.L.
42. 7.- RESPONSABLE DEL FICHERO O TRATAMIENTO
Y EL ENCARGADO DEL TRATAMIENTO
• La persona física o jurídica, de naturaleza pública o privada, que
decida sobre la finalidad, contenido y uso del tratamiento (operaciones
y procedimientos técnicos de carácter automatizado o no, que permita
RESPONSABLE la recogida, conservación, elaboración, modificación, bloqueo y
cancelación ………….. Art.3.c).
DEL
FICHERO
• La persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos
ENCARGADO
personales por cuenta del responsable del tratamiento.
DEL
TRATAMIENTO
Entre estas dos figuras se debe de guardar el Deber de Secreto, durante y después de finalizar
las relaciones. Art. 10 de la LOPD.
42
Harvey & Lluch Consultores S.L.
43. 8.- OBLIGACIONES DEL RESPONSABLE DEL
FICHERO DE LAS ENTIDADES JURIDICAS PÚBLICAS
O PRIVADAS
INSCRIPCIÓN DE
FICHEROS EN EL
TRATAMIENTO
REGISTRO
LEGAL Y LEAL
GENERAL DE LA
AEPD
OBLIGACIÓN DE
FACILITAR EL
DEBER DE EJERCICIO DE MEDIDAS DE
SECRETO LOS DERECHOS SEGURIDAD
ARCO
Documento de Seguridad
Niveles de Seguridad
43
Harvey & Lluch Consultores S.L.
44. INSCRIPCIÓN DE FICHEROS EN EL REGISTRO GENERAL DE LA
AGPD
Art. 55.1 del Reglamento; todo fichero de datos de carácter personal de titularidad
pública será notificado a la Agencia Española de Protección de Datos, para su
inscripción en el Registro General de Protección de Datos, en el plazo de treinta
días.
Esta inscripción la debe de realizar el responsable del fichero o
tratamiento, teniendo en cuenta que el soporte que se esté utilizando es
indiferente, volvemos a la frase de “automatizado o no”. Estamos hablando de datos
de carácter personal que tratan las entidades jurídicas, ya sean públicas o
privadas, esto quiere decir que los datos que son mantenidos por personas físicas
para uso exclusivo personal y domestico están excluidos de su inscripción, como los
clasificados en materia reservada, terrorismo y delincuencia organizada.
Recordemos que los ficheros tienen que estar actualizados y al día.
44
Harvey & Lluch Consultores S.L.
45. TRATAMIENTO LEGAL Y LEAL
Durante los diversos procesos de tratamiento de los datos de carácter
personal, debemos observar siempre un tratamiento legal y leal. En cada paso se
debe respetar los derechos del afectado y siguiendo lo dictado por la Ley Orgánica
de Protección de Datos, título II, arts. 4, 5, 6, 9, 10, 11 y 12:
• Debemos de guardar el principio de Calidad de los Datos.
• El Derecho de Información, del afectado, en la recogida de los datos.
• El principio de Consentimiento por parte del afectado.
• Principio de Seguridad de los Datos, implantación de medidas de seguridad por
parte del responsable y del encargado del tratamiento.
• Deber de Secreto.
• Comunicación de Datos a un tercero, para el cumplimiento de fines relacionados
con el cedente, previa autorización del afectado.
• Acceso a los datos por cuenta de terceros, lo cual deberá ser regulado por un
contrato por escrito, con lo que el encargado de tratamiento tratará los datos según
las instrucciones recibidas por el responsable de tratamiento o del fichero.
45
Harvey & Lluch Consultores S.L.
46. DEBER DE SECRETO
Art. 10 de la LOPD; El responsable del fichero y quienes intervengan en cualquier
fase del tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su
caso, con el responsable del mismo.
Por lo tanto las personas que accedan a estos datos se deben de regir por unas
normas de confidencialidad y respeto a la intimidad y el honor de los afectados. De
esta manera se evitará el mal uso de esta información.
46
Harvey & Lluch Consultores S.L.
47. OBLIGACIÓN DE FACILITAR EL EJERCICIO DE LOS DERECHOS
ARCO
En el art. 25.5 del Reglamento; El responsable del fichero o tratamiento deberá
atender la solicitud de acceso, rectificación, cancelación u oposición ejercida
por el afectado. Art.26 del Reglamento; cuando los afectados ejercitasen sus
derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho
ante el mismo, el encargado deberá dar traslado de la solicitud al responsable del
tratamiento, a fin de que por el mismo se resuelva. Como podemos ver tanto el
responsable como el encargado tienen que facilitar al afectado el uso de sus
derechos Arco. Y en el art. 25.6 del Reglamento; el responsable del fichero deberá
adoptar medidas oportunas para garantizar que las personas de su organización
que tienen acceso a datos de carácter personal puedan informar del procedimiento a
seguir por el afectado para el ejercicio de sus derechos.
47
Harvey & Lluch Consultores S.L.
48. MEDIDAS DE SEGURIDAD - I
Art. 9.1 de la LOPD; El responsable del fichero, y, en su caso el encargado del
tratamiento deberán adoptar las medidas de índole técnicas y organizativas
necesarias que garanticen la seguridad de los datos de carácter personal y evité, su
alteración, perdida,………… Y en su punto 2; no se registrarán datos de carácter
personal en ficheros que no reúnan las condiciones que se determinen por vía
reglamentaria con respecto a su integridad y seguridad y a la de los centros de
tratamiento, locales, equipos sistemas y programas.
Tenemos que la Ley y su Reglamento imponen unas normas de seguridad en
materia de protección de datos, pero no imponen unas herramientas tecnológicas en
seguridad, por lo tanto es muy importante que se adopten medidas complementarias
en seguridad de la información, complementarias a la normativa en protección de
datos.
48
Harvey & Lluch Consultores S.L.
49. MEDIDAS DE SEGURIDAD - II
DOCUMENTO DE SEGURIDAD
Art. 88.1 del Reglamento; El responsable del fichero o tratamiento elaborará un
documento de seguridad que recogerá las medidas de índole técnicas y
organizativas acordes a la normativa de seguridad vigente.
Este documento de seguridad deberá mantenerse en todo momento actualizado y
se revisará siempre que se produzcan cambios y deberá adecuarse en todo
momento a las disposiciones vigentes en materia de seguridad de protección de
datos.
49
Harvey & Lluch Consultores S.L.
50. MEDIDAS DE SEGURIDAD - III
NIVELES DE SEGURIDAD
Art. 79 del Reglamento; Los responsables de los tratamientos o los ficheros y los
encargados del tratamiento deberán implantar las medidas de seguridad con arreglo
a lo dispuesto en este Titulo, con independencia de cual sea su sistema de
tratamiento.
Art. 80 del Reglamento; Las medidas de seguridad exigibles a los ficheros y
tratamientos se clasifican en tres niveles: básico, medio y alto.
Art. 81.1 del Reglamento; Todos los ficheros o
tratamientos de datos de carácter personal deberán
adoptar las medidas de seguridad calificadas de nivel
básico.
50
Harvey & Lluch Consultores S.L.
51. MEDIDAS DE SEGURIDAD - IV
NIVELES DE
NIVEL MEDIO
SEGURIDAD
A demás de adoptar las medidas del nivel básico se implantarán las medidas de
nivel medio a:
a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el art. 29 de la LOPD (solvencia
patrimonial y crédito).
c) Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
d) Aquellos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros.
e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen y se relacionen con el ejercicio
de sus competencias. De igual modo, aquellos de que sean responsables las
mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad
Social.
f) Aquellos que contengan un conjunto de datos de carácter personal que
ofrezcan una definición de las características o de la personalidad de los
ciudadanos y que permitan evaluar determinados aspectos de la personalidad o
del comportamiento de los mismos.
51
Harvey & Lluch Consultores S.L.
52. MEDIDAS DE SEGURIDAD - V
NIVELES DE
NIVEL ALTO
SEGURIDAD
A demás de adoptar las medidas del nivel básico, más nivel medio, se implantarán
las medidas de nivel alto a:
a) Los que se refieren a datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de género.
Art. 81.5 del Reglamento; En caso de ficheros o tratamientos de datos del apartado
a), anterior, bastará la implantación de las medidas de seguridad de nivel básico
cuando:
a) Los datos se utilicen con la única finalidad de realizar transferencia dineraria a
las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan aquellos datos sin guardar relación con su
finalidad.
También es excepción los datos relativos a la salud referente al grado de
discapacidad o invalidez del afectado con motivo del cumplimiento de deberes
públicos. Y a efectos de subvenciones en la contratación laboral. 52
Harvey & Lluch Consultores S.L.
53. 9.- PROCEDIMIENTOS PARA LA TUTELA DE LOS
DERECHOS ARCO
Art. 117 del Reglamento, Instrucción del Procedimiento; dicho procedimiento se
inicia a instancia del afectado de acuerdo a la Ley, dándose traslado a la AEPD y
esta dará traslado al responsable del fichero, para que en el plazo de quinde días
presente las alegaciones pertinentes.
Art. 118 del Reglamento, Duración del procedimiento y efectos de la falta de
resolución expresa; seis meses es el plazo máximo, desde la entrada del
procedimiento, para dictar resolución. Pasado ese plazo se considerará estimada su
reclamación por silencio administrativo positivo.
Art. 119 del Reglamento, Ejecución de la Resolución; si la resolución de tutela
fuese estimatoria, se requerirá al responsable del fichero para que, en el plazo de
diez días siguientes a la notificación, haga efectivo el ejercicio de los derechos
objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a la
Agencia Española de Protección de Datos en idéntico plazo.
53
Harvey & Lluch Consultores S.L.
54. 10.-
INFRACCIONES
Y
SANCIONES
MUY
LEVES GRAVES
GRAVES
54
Harvey & Lluch Consultores S.L.
55. LEVES
Art. 44.2 de la LOPD;
a) No atender, por motivos formales, la solicitud del interesado de rectificación o
cancelación de los datos personales objeto del tratamiento cuando legalmente
proceda
b) No proporcionar la información que solicite la Agencia Española de
Protección de Datos en el ejercicio de las competencias que tiene legalmente
atribuidas, en relación con aspectos no sustantivos de la protección de datos.
c) No solicitar la inscripción del fichero de datos de carácter personal en el registro
General de Protección de Datos, cuando no sea constitutivo de infracción grave.
d) Proceder a la recogida de datos de carácter personal de los propios afectados
sin proporcionarles la información que señala el art. 5 de la presente Ley (los
interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco).
e) Incumplir el deber de secreto establecido en el art. 10 de esta Ley, salvo que
constituya infracción grave.
Art. 45.1 de la LOPD;
Las infracciones leves serán sancionadas con multa de 900,00 € a 40.000,00 €.
55
Harvey & Lluch Consultores S.L.
56. GRAVES
I
Art. 44.3 de la LOPD;
a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos, sin autorización de disposición
general, publicada en el “Boletín Oficial del Estado” o Diario oficial
correspondiente.
b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de
datos de carácter personal para los mismos con finalidades distintas de las que
constituyen el objeto legítimo de la empresa o entidad.
c) Proceder a la recogida de datos de carácter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos que este sea
exigible.
d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación
de los principios y garantías establecidos en la presente Ley o con
incumplimiento de los preceptos de protección que impongan las disposiciones
reglamentarias de desarrollo, cuando no constituya infracción muy grave.
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones
o cancelaciones de los mismos que legalmente procedan cuando resulten
afectados los derechos de las personas que la presente Ley ampara.
56
Harvey & Lluch Consultores S.L.
57. GRAVES
II
g) La vulneración del deber de guardar secreto sobre los datos de carácter
personal incorporados a ficheros que contengan datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, servicios
financieros, prestación de servicios de solvencia patrimonial y crédito, así como
aquellos otros ficheros que contengan un conjunto de datos de carácter
personal suficientes para obtener una evaluación de la personalidad del
individuo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen.
i) No remitir a la Agencia Española de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo, así como no
proporcionar en plazo a la misma cuantos documentos e informaciones deba de
recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
k) No inscribir el fichero de datos de carácter personal en el Registro General de
Protección de Datos, cuando haya sido requerido para ello por el Director de la
Agencia Española de Protección de Datos.
l) Incumplir el deber de información que se establece en los art. 5.28 y 29 de esta
Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Art. 45.2 de la LOPD; 57
Las infracciones graves serán sancionadas con multa de 60.101,21€ a 300.506,05€.
Harvey & Lluch Consultores S.L.
58. MUY
GRAVES
I
Art. 44.4 de la LOPD;
a) La recogida de datos de forma engañosa y fraudulenta.
b) La comunicación o cesión de datos de carácter personal, fuera de los casos en
que estén permitidas.
c) Recabar y tratar los datos de carácter personal a los que se refiere el art. 7.2
(datos especialmente protegidos) cuando no medie el consentimiento expreso
del afectado; recabar y tratar los datos referidos en el art. 7.3 cuando no lo
disponga una ley o el afectado no haya consentido expresamente, o violentar la
prohibición contenida en el art. 7.4.
d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal
cuando sea requerido para ello por el Director de la Agencia Española de
Protección de Datos o por las personas titulares del derecho de acceso.
e) Transferencia temporal o definitiva de datos de carácter personal que hayan
sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento, con destino a países que no proporcionen un nivel de protección
equiparable sin autorización del Director de la Agencia Española de
Protección de Datos.
58
Harvey & Lluch Consultores S.L.
59. MUY
GRAVES
II
f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de
los principios y garantías que les sean de aplicación, cuando con ello se impida
o se atente contra el ejercicio de los derechos fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos de carácter
personal a que hace referencia el art. 7.2 y 3, así como los que hayan sido
recabados para fines policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición.
i) No atender de forma sistemática el deber legal de notificación de la inclusión de
datos de carácter personal en un fichero.
Art. 45.3 de la LOPD;
Las infracciones muy graves serán sancionadas con multa de 300.506,05 € a
601.012,10 €.
59
Harvey & Lluch Consultores S.L.
60. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-I
Uno. Se da nueva redacción al apartado 2 del artículo 43, que queda redactado en
los siguientes términos:
«2. Cuando se trate de ficheros de titularidad pública se estará, en cuanto al
procedimiento y a las sanciones, a lo dispuesto en los artículos 46 y 48 de la
presente Ley.»
Dos. Se da nueva redacción a los apartados 2 a 4 del artículo 44, que quedan
redactados en los siguientes términos:
2. Son infracciones leves:
a) No remitir a la Agencia Española de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo.
b) b) No solicitar la inscripción del fichero de datos de carácter personal en el
Registro General de Protección de Datos.
c) c) El incumplimiento del deber de información al afectado acerca del tratamiento
de sus datos de carácter personal cuando los datos sean recabados del propio
interesado.
d) d) La transmisión de los datos a un encargado del tratamiento sin dar
cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
60
Harvey & Lluch Consultores S.L.
61. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE. -II
3. Son infracciones graves:
a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos, sin autorización de disposición
general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas
afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y
sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de
los principios y garantías establecidos en el artículo 4 de la presente Ley y las
disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy
grave.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos
de carácter personal al que se refiere el artículo 10 de la presente Ley.
e) El impedimento o la obstaculización del ejercicio de los derechos de
acceso, rectificación, cancelación y oposición.
f) El incumplimiento del deber de información al afectado acerca del tratamiento de
sus datos de carácter personal cuando los datos no hayan sido recabados del propio
interesado.
g) El incumplimiento de los restantes deberes de notificación o requerimiento al
afectado impuestos por esta Ley y sus disposiciones de desarrollo. 61
Harvey & Lluch Consultores S.L.
62. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-III
h) Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen.
i) No atender los requerimientos o apercibimientos de la Agencia Española de
Protección de Datos o no proporcionar a aquélla cuantos documentos e
informaciones sean solicitados por la misma.
j) La obstrucción al ejercicio de la función inspectora.
k) La comunicación o cesión de los datos de carácter personal sin contar con
legitimación para ello en los términos previstos en esta Ley y sus disposiciones
reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy
grave.
4. Son infracciones muy graves:
a) La recogida de datos en forma engañosa o fraudulenta.
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados
2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza
o violentar la prohibición contenida en el apartado 4 del artículo 7.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese
un previo requerimiento del Director de la Agencia Española de Protección de Datos
para ello. 62
Harvey & Lluch Consultores S.L.
63. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-IV
d) La transferencia internacional de datos de carácter personal con destino a países
que no proporcionen un nivel de protección equiparable sin autorización del Director
de la Agencia Española de Protección de Datos salvo en los supuestos en los que
conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta
necesaria.
Tres. Se modifican los apartados 1 a 5 del artículo 45, siendo la redacción resultante
la siguiente:
«1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
1. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
2. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000
euros.
3. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
63
Harvey & Lluch Consultores S.L.
64. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-V
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la
entidad imputada tenía implantados procedimientos adecuados de actuación en la
recogida y tratamiento de Ios datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los
siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o
de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de
varios de los criterios enunciados en el apartado 4 de este artículo.
64
Harvey & Lluch Consultores S.L.
65. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-VI
b) Cuando la entidad infractora haya regularizado la situación irregular de forma
diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción
fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»
Cuatro. Se añade un nuevo apartado 6 al artículo 45, pasando los actuales
apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el
siguiente:
«6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los
interesados y atendida la naturaleza de los hechos y la concurrencia significativa de
los criterios establecidos en el apartado anterior, no acordar la apertura del
procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de
que, en el plazo que el órgano sancionador determine, acredite la adopción de las
medidas correctoras que en cada caso resultasen pertinentes, siempre que
concurran los siguientes presupuestos:
65
Harvey & Lluch Consultores S.L.
66. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-VII
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado
o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera
determinado procederá la apertura del correspondiente procedimiento sancionador
por dicho incumplimiento.»
Cinco. Se da nueva redacción a los apartados 1 a 3 del artículo 46, pasando a ser
su redacción la siguiente:
«1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en
ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo
serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los
efectos de la infracción. Esta resolución se notificará al responsable del fichero, al
órgano del que dependa jerárquicamente y a los afectados si los hubiera.
1. El órgano sancionador podrá proponer también la iniciación de actuaciones
disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán
las establecidas en la legislación sobre régimen disciplinario de las
Administraciones Públicas.
2. Se deberán comunicar al órgano sancionador las resoluciones que recaigan
en relación con las medidas y actuaciones a que se refieren los apartados 66
anteriores.»
Harvey & Lluch Consultores S.L.
67. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-VIII
Seis. Se modifica el artículo 49 que pasa a tener la siguiente redacción:
«Artículo 49. Potestad de inmovilización de ficheros.
En los supuestos constitutivos de infracción grave
. o muy grave en que la persistencia en el tratamiento de los datos de carácter
personal o su comunicación
. o transferencia internacional posterior pudiera suponer un grave menoscabo de los
derechos fundamentales de los afectados y en particular de su derecho a la
protección de datos de carácter personal, el órgano sancionador podrá, además de
ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos
de carácter personal, tanto de titularidad pública como privada, la cesación en la
utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el
órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros
a los solos efectos de restaurar los derechos de las personas afectadas.»
67
Harvey & Lluch Consultores S.L.
68. 11.- AGENCIA
ESPAÑOLA DE
PROTECCIÓN
DE DATOS
¿QUE ES LA AEPD?
PÁGINA WEB DE LA
AGENCIA ¿CUALES SON SUS
FUNCIONES?
TRANSFERENCIA
CÓDIGOS TIPO INTERNACIONAL DE
DATOS
68
Harvey & Lluch Consultores S.L.
69. A.E.P.D.
¿QUE ES LA A.E.P.D.?
La Agencia se crea en el art. 34 de la antigua LORTAD, regulándose posteriormente a través
de los artículos 35 a 42 de la LOPD; La Agencia de Protección de Datos es un ente de
derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones públicas en el ejercicio de sus
funciones.
Art. 39; El Registro General de Protección de Datos es un órgano integrado en la Agencia de
Protección de Datos. En el cual se inscriben los ficheros públicos y privados.
Art. 36.1; El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su
representación.
69
Harvey & Lluch Consultores S.L.
70. A.E.P.D.
¿CUALES SON SUS FUNCIONES? - I
Art. 37 de la LOPD; Son funciones de la Agencia de Protección de Datos:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su
aplicación, en especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones
precisas para adecuar los tratamientos a los principios de la presente Ley.
d) Tender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de los datos de carácter personal.
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de
éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos
a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la
cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los términos previstos por el Titulo VII de la presente
Ley.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que
desarrollen esta ley.
70
Harvey & Lluch Consultores S.L.
71. A.E.P.D.
¿CUALES SON SUS FUNCIONES? - II
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime
necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a
cuyo efecto publicará periódicamente una relación de dichos ficheros con la información
adicional que el Director de la Agencia.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los
movimientos internacionales de datos, así como desempeñar las funciones de
cooperación internacional en materia de protección der datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística
Pública establece respecto a la recogida de datos estadísticos y al secreto
estadístico, así como distar las instrucciones precisas, dictaminar sobre las condiciones
de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer
la potestad a la que se refiere el artículo 46.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
71
Harvey & Lluch Consultores S.L.
72. TRANSFERENCIA INTERNACIONAL DE
DATOS
El art. 33 de la LOPD deja muy claro que no se deben hacer transferencia de datos de
carácter personal, a otros países que no proporcionen un nivel de protección equiparable al
que presta la presente Ley Orgánica de Protección de Datos, salvo que se obtenga una
autorización por parte del Director de la Agencia de Protección de Datos.
Claro está que estamos hablando de países no pertenecientes al ámbito de la Unión
Europea, los cuales se rigen por la normativa 95/46/CE, proporcionando a todos los miembros
el nivel de protección.
Las excepciones a este articulo se tipifican en el art. 34 y sus apartados; a) en tratados y
convenios en los que participe España, b) para prestar auxilio judicial internacional, c)
diagnósticos, prevención médicas o servicios sanitarios, d) transferencias dinerarias conforma
a su legislación específica, e) con el consentimiento inequívoco del afectado, f) en contratos y
precontratos entre el afectado y el responsable del fichero, g) contratos y precontratos entre el
afectado, responsable del fichero y un tercero, h) por interés público o solicitada por una
Administración fiscal o aduanera, i) procedimiento, ejercicio o defensa de un derecho en un
proceso judicial, j) a petición de una persona con interés legítimo, desde un Registro público y
aquella sea acorde con la finalidad del mismo, k) tenga como destino un Estado de la Unión
Europea, o un Estado que haya declarado la Comisión de las Comunidades Europeas, que
garantiza un nivel de protección adecuado.
72
Harvey & Lluch Consultores S.L.
73. CÓDIGOS TIPO
Mediante acuerdos sectoriales, convenios administrativos, agrupación de organizaciones, se
elaboran unos código tipo por los cuales, se establecen las condiciones de
organización, régimen de funcionamiento, procedimientos aplicables, normas de
seguridad, obligaciones de los implicados en el tratamiento, para el ejercicio de los derechos
de las personas con pleno respeto a los principios de esta Ley. Estos códigos tendrán carácter
de Códigos Deontológicos o de buena práctica profesional, debiendo ser depositados o
inscritos el Registro General de Protección de Datos y cuando corresponda, en los creados a
estos efectos por las Comunidades Autónomas.
A estos códigos tipo se les puede denegar la inscripción en el Registro General de Protección
de Datos, cuando se considere que no se ajustan a las disposiciones legales y reglamentarias
sobre la materia.
73
Harvey & Lluch Consultores S.L.
74. PÁGINA WEB DE LA AGENCIA
La página de la Agencia Española de Protección de Datos es: www.agpd.es.
En esta página podremos encontrar toda la información relativa a protección de
datos, sentencias, recursos, conferencias, legislación, recomendaciones, jornadas nacionales
e internacionales, modelos de quejas y sugerencias, registro, etc.
Todo un portal orientado al ciudadano en defensa y tutela de sus derechos.
74
Harvey & Lluch Consultores S.L.
75. 12.- LISTAS ROBINSON
El 30 de junio de 2009 la Agencia de Protección de Datos, presento el denominado Fichero de
Exclusión Publicitaria “Listas Robinson”. En el Reglamento de Desarrollo de la Ley Orgánica
de Protección de Datos, 1720/2007 de 21 de diciembre, se establece la posibilidad de crear
los denominados “ficheros de exclusión”, para la inscripción de cualquier persona para evitar
recibir publicidad no deseada y la obligatoriedad de las empresas a consultarlos.
El ciudadano podrá seleccionar medio o medios a través del cual no quiere recibir
publicidad (correo postal, llamadas telefónicas, correo electrónico, sms o mms) de las
entidades para el desarrollo de campañas publicitarias. Y de esta manera, además, el
ciudadano podrá seleccionar entidades con las que ha mantenido o mantienen una relación
contractual para no recibir publicidad telefónica.
Esta inscripción es gratuita y se puede hacer a través de la página web: www.listarobinson.es
75
Harvey & Lluch Consultores S.L.