MANUAL DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL€¦ · Deber de Secreto 4.2. Seguridad de los...
158
MANUAL DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Transcript of MANUAL DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL€¦ · Deber de Secreto 4.2. Seguridad de los...
MANUAL DE PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
ÍNDICE
1 EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES
1.1. Ámbito de aplicación
1.2. Fichero de Titularidad Pública. Diferenciación con los Ficheros de
Titularidad
Privada.
1.3. Creación e Inscripción de los Ficheros Públicos
1.4. Especial referencia a las Corporaciones de Derecho Público
2 CONCEPTOS FUNDAMENTALES
2.1. Datos de carácter personal
2.2. Fichero
2.3. Tratamiento de datos
2.4. Afectado o interesado
2.5. Consentimiento
2.6. Cesión de datos
2.7. Responsable del fichero
2.8. Encargado de tratamiento
2.9. Procedimiento de Disociación
2.10. Fuentes accesibles al público
2.11. Usuarios
3 PRINCIPIOS QUE RIGEN TODO TRATAMIENTO DE DATOS
PERSONALES
3.1. Principio de calidad
3.2. Principio de información en la recogida
3.3. Principio de consentimiento
3.4. Principio de datos especialmente protegidos
3.5. Principio de Comunicación o Cesión de datos
3.6. Principio de acceso a datos por cuenta de terceros. El encargado del
tratamiento.
4. OBLIGACIONES DEL TITULAR DEL FICHERO
4.1. Deber de Secreto
4.2. Seguridad de los Datos
5. DERECHOS DE LAS PERSONAS
5.1. Derecho de acceso
5.2. Derecho de oposición
5.3. Derecho de rectificación y cancelación
5.4. Derecho de impugnación de valoraciones
5.5. Derecho a indemnización
5.6. Derecho de consulta al Registro General de la Agencia de Protección de Datos.
6. ÓRGANOS DE CONTROL
7. PROCEDIMIENTOS TRAMITADOS POR LA AGENCIA
7.1. Tutela de
Derechos
7.1.1. Fases del Habeas Data
7.2. Sancionador
8. VIDEOVIGILANCIA
9. SOLVENCIA PATRIMONIAL
10. TRANSFERENCIA INTERNACIONAL DE DATOS
11. LSSI
12. PLAN DE ADECUACIÓN EMPRESARIAL A LA LOPD Y LSSI
© 2007 David Díaz Lima
2014 Rev. 7ª
1. EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES
El derecho a la protección de datos personales es un derecho fundamental de
cualquier individuo que se traduce en la potestad de control sobre el uso que se hace de
sus datos personales. Este control permite evitar que, a través del tratamiento de nuestros
datos, se pueda llegar a disponer de información sobre nosotros que afecte a
nuestra intimidad y demás derechos fundamentales y libertades públicas.
La protección de datos nace en nuestra legislación en cumplimiento del mandato
impuesto por el artículo 18 de la Constitución Española de 1978: “La Ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Será la Ley
Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal (LORTAD), la que inicie su
regulación en nuestro país, ajustándose tanto a las previsiones del Convenio
Europeo para la protección de los Derechos Fundamentales de la Persona
(Convenio de 4 de noviembre de 1950, ratificado por Instrumento de 26 de
noviembre de 1979), como al Convenio Europeo para la protección de las personas con
respecto al tratamiento automatizado de datos de carácter personal (Convenio 108 del
Consejo de Europa, de 28 de enero de 1981, ratificado por Instrumento de 27 de enero
de 1984).
La evolución en la regulación de este derecho llevará al Parlamento Europeo y al
Consejo de la Unión Europea en el año 1995, a adoptar la Directiva 95/46/CE, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos, cuya
transposición a la legislación española se realizará mediante la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),
actualmente en vigor y que deroga a la Ley Orgánica 5/1992.
De acuerdo con el artículo 1 de la LOPD, el objeto de esta Ley es: “garantizar y
proteger, en lo que concierne al tratamiento de datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas, y especialmente de
su honor e intimidad personal y familiar”, si bien es en la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, donde se define el derecho
fundamental a la Protección de Datos, separándolo del derecho a la intimidad:
“Este derecho fundamental a la protección de datos, a diferencia del derecho a la
intimidad del art. 18.1 C.E. con quien comparte el objetivo de ofrecer una eficaz
protección constitucional de la vida privada personal y familiar, atribuye a su
titular un haz de facultades que consiste en su mayor parte en el poder jurídico de
imponer a terceros la realización u omisión de determinados comportamientos
cuya concreta regulación debe establecer la Ley, .... La peculiaridad de este
derecho fundamental respecto de aquel derecho fundamental tan afín como es el de
la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que
también su objeto y contenido difieran”.
“De este modo, el objeto de protección del derecho fundamental a la
protección de datos no se reduce sólo a los datos íntimos de la persona, sino a
cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por
terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es
sólo la intimidad individual, ...”.
“... el contenido del derecho fundamental a la protección de datos consiste en un poder
de disposición y de control sobre los datos personales que faculta a la persona para
decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o un particular, o
cuáles puede este tercero recabar, y que también permite al individuo saber quién
posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”.
Su carácter de derecho fundamental, le otorga unas determinadas características,
como la de ser irrenunciable y el hecho de prevalecer sobre otros derechos no
fundamentales.
La Ley Orgánica 15/1999, para facilitar la aplicación efectiva de sus mandatos,
establece que “las funciones de la Agencia de Protección de Datos ... en relación con
sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de
carácter personal creados o gestionados por las Comunidades Autónomas y por la
Administración Local de su ámbito territorial, por los órganos correspondientes de
cada Comunidad, que tendrán la consideración de autoridades de control y a los que se
garantizará la plena independencia y objetividad en el ejercicio de su cometido”.
La AEPD tiene la competencia exclusiva de control de todos los ficheros de titularidad
privada en base al artículo 41 LOPD, corroborada por la STC 290/2000, es decir, los
correspondientes a la Administración del Estado, Administraciones Autonómicas y
Locales de las CCAA sin autoridad de control autonómica, sin embargo, existen tres
Comunidades Autónomas que han aprobado su normativa específica en la materia,
desarrollando la norma básica estatal:
La Comunidad de Madrid, mediante la Ley 13/1995, de 21 de abril, de
regulación del uso de la informática en el tratamiento de datos personales por
la Comunidad de Madrid, modificada por la Ley de la Comunidad de Madrid
13/1997, de 16 de junio, y hoy derogada por la Ley 8/2001, de 13 de julio, de
Protección de Datos de Carácter Personal en la Comunidad de Madrid.
Actualmente este Organismo se encuentra suspendido de sus funciones y
traspasadas las mismas a la Agencias Española.
La Comunidad Catalana, mediante Ley del Parlamento de Cataluña 5/2002,
de 19 de abril, de creación de la Agencia Catalana de Protección de Datos.
La APDCat tiene competencias de control de los ficheros de titularidad pública de
la Administración Pública Institucional, tanto Organismos Autónomos como
Entidades de Derecho Público o Consorcios con participación pública se
considera que son titulares de ficheros de titularidad pública. Las Entidades
Privadas de prestación de servicios públicos o Sociedades Mercantiles,
fundaciones, asociaciones, sociedades civiles con participación mayoritaria de
capital público son titulares de ficheros privados pero sería competente en base al
Estatuto de Autonomía de Cataluña.
El artículo 156.a) del Estatuto señala que será competente para inscribir los
ficheros de las entidades de derecho privado que dependan de las
administraciones territoriales anteriores o esto es lo más destacable, que presten
servicios o cumplan actividades por cuenta propia por medio de cualquier
gestión directa o indirecta (ej. Centros hospitalarios concertados), por las
universidades que integran el sistema universitario catalán y por persona físicas o
jurídicas para el ejercicio de funciones públicas con relación a materias que son
competencia de la Generalitat de Catalunya o de los entes locales.
El artículo 156.b) deja claro que corresponderá a la APDCat la inscripción y el
control de los ficheros o tratamientos de datos de carácter personal privados
creados o gestionados por personas físicas o jurídicas para el ejercicio de las
funciones públicas con relación a materias que son competencias de la Generalitat
o de los entes locales de Cataluña, si el tratamiento se realiza en Cataluña.
Por tanto deberemos observas el ámbito competencial y el ámbito territorial.
Las Corporaciones de Derecho Público como los Colegios Profesionales o las
Cámaras de Comercio cuando ejerzan sus funciones exclusivamente en el ámbito
territorial de Cataluña serán inscritas y controladas por la APDCat.
La Comunidad Vasca, mediante Ley 2/2004, de 25 de febrero, de Ficheros de
Datos de Carácter Personal de Titularidad Pública y de creación de la
Agencia Vasca de Protección de Datos.
1.1. Ámbito de aplicación
“La presente Ley Orgánica será de aplicación a los datos de carácter
personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos datos por los sectores público y privado” (art.
2 de la LOPD).
Del ámbito general de aplicación que establece la Ley Orgánica 15/1999, deben
destacarse dos conceptos fundamentales: por una parte, su aplicación a los datos
registrados en cualquier soporte físico susceptible de tratamiento y, por otra, su
aplicación tanto al sector público como al privado.
Por lo que se refiere al primero, la Ley debe entenderse aplicable no sólo a datos
albergados en soportes electrónicos o informáticos, sino también a los recogidos en
papel, microfichas, o cualquier otro que pueda ser objeto de utilización.
En lo que respecta al segundo concepto fundamental, la aplicación de la ley tanto al
sector público como al privado, decir que los principios de la protección de datos
en cuanto al tratamiento de los datos personales, así como los derechos específicos
que concede la ley a los ciudadanos, son de obligado cumplimiento para
cualquier persona que trate datos de carácter personal, con independencia de su
naturaleza pública o privada. Las diferencias que se establecen en la Ley Orgánica
15/1999, son básicamente procedimentales, en cuanto a cómo debe realizarse
determinada actuación o gestión, dependiendo de que el responsable del tratamiento
sea uno u otro tipo de entidad.
Por ejemplo:
Cuando una Administración/organismo/entidad pública pretenda crear un fichero que
vaya a contener datos de carácter personal, deberá aprobar una disposición de
carácter general que se publicará en el Boletín o Diario Oficial correspondiente.
Las empresas privadas podrán crear un fichero siempre que sea necesario para la
consecución de sus objetivos legítimos, si bien deberán notificarlo previamente a la
Agencia Española de Protección de Datos.
Uno de los rasgos más destacados en la evolución de la legislación en materia de
protección de datos es la ampliación del ámbito de aplicación. Inicialmente el objeto de
la Ley era: “limitar el uso de la informática en el tratamiento de datos
personales”, por el peligro que implica el uso de esta herramienta como posible vía para
facilitar la vulneración del derecho a la intimidad. Sin embargo, desde la
Directiva 95/46/CE y la Ley Orgánica 15/1999, el derecho a la protección de datos no
se limita a los tratamientos automatizados, es decir, a aquellos que se realizan
utilizando técnicas y herramientas informáticas, sino que se aplica a cualquier
tratamiento, con independencia de su soporte.
En lo que respecta al primer concepto, la Directiva 95/46/CE, en su considerando
número
15 indica que “los tratamientos que afectan a dichos datos sólo quedan
amparados por la presente Directiva cuando están automatizados o cuando los datos a
que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un
archivo estructurado según criterios específicos relativos a las personas, a fin de que
se pueda acceder fácilmente a los datos de carácter personal de que se trata”. En su
considerando número 27 reitera el mismo criterio: “...la protección de las personas debe
aplicarse tanto al tratamiento automático de datos como a su tratamiento manual;
... el alcance de dicha protección no debe depender, en efecto, de las técnicas utilizadas,
pues lo contrario daría lugar a riesgos graves de elusión; ...”
Por lo tanto, la Ley Orgánica 15/1999 es aplicable a todos los
ficheros informatizados que contengan datos de carácter personal y a aquellos
ficheros manuales que contengan datos de carácter personal, siempre que la
información almacenada se organice según algún criterio relativo a las personas, de
forma que permita acceder fácilmente a los datos de una persona en concreto.
Por ejemplo:
Cuando las instancias (en formato papel) presentadas por los interesados en participar
en un proceso selectivo se almacenen por orden alfabético, por DNI o número
de opositor, estaremos ante un tratamiento de datos personales sometido a la
aplicación de la legislación sobre protección de datos, por tratarse de un conjunto de
información estructurado por un criterio relativo a las personas que permite acceder
fácilmente a los datos de un interesado concreto.
Si esas mismas instancias se almacenan por el orden cronológico de recepción,
también estamos ante un tratamiento de datos personales, pero quedaría excluido de
la aplicación de la legislación en materia de protección de datos al no
almacenarse los datos según un criterio relativo a las personas.
En cuanto al régimen objetivo de delimitación del ámbito de aplicación de la Ley
Orgánica 15/1999, ésta regirá todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las
actividades de un establecimiento del responsable del mismo.
b) Cuando al responsable del tratamiento no establecido en territorio español,
le sea de aplicación la legislación española en aplicación de normas
de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la
Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, salvo que tales medios se utilicen únicamente con fines de
tránsito.
El régimen de protección de datos de carácter personal que se establece en la Ley
Orgánica 15/1999 no será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas. Sólo se considerarán los tratamientos
relativos a las actividades que se inscriben en el marco de la vida privada o
familiar de los particulares.
b) A los ficheros sometidos a la normativa sobre protección de
materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada. No obstante, en estos supuestos el
responsable del fichero comunicará previamente la existencia del mismo, sus
características generales y su finalidad a la Agencia de Protección de Datos.
Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su
caso, por la Ley Orgánica 15/1999 los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen
electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la
legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos
en los informes personales de calificación a que se refiere la legislación del
régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y
rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con
la legislación sobre la materia.
El artículo 2.2 y 2.3 del RGPD señala dos excepciones al ámbito objetivo de aplicación
por un lado lo relativo a empresarios individuales “Los datos relativos a empresarios
individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales
o navieros” y las personas de contacto.
En cuanto a los empresarios individuales cabe indicar dos conclusiones:
La LOPD no es aplicable en los supuestos en los que los datos de
comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su
condición de comerciante, industrial o naviero, es decir, a su actividad
empresarial.
El uso de los datos deberá quedar limitado a las actividades empresariales, es
decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la
empresa constituida por el comerciante industrial o naviero y no el
empresario mismo que la hubiese constituido. Si la utilización de dichos datos
se produjera en relación con un ámbito distinto quedaría plenamente sometida a
las disposiciones de la LOPD.
Ejemplo: Resolución de 27 de Febrero de 2001; Sentencia del Tribunal Supremo de
20 de Febrero de 2007
En cuanto a los ficheros de contactos la fundamentación es similar a la que se acaba de
indicar. La Agencia ha venido señalando que en los supuestos en que el tratamiento
del dato de la persona de contacto es meramente accidental en relación con la
finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto
presta sus servicios, no resulta de aplicación la LOPD.
Es necesario que el tratamiento del dato de la persona de contacto sea accesorio en
relación con la finalidad perseguida cumpliendo dos requisitos:
Los datos se deben referir a los meramente necesarios para identificar al sujeto en
la persona jurídica a la que presta sus servicios. Por ello no se encontrarían
excluidos cuando se necesite el DNI/NIF, al no ser necesario para el
mantenimiento del contacto empresarial.
La inclusión debe ser meramente accidental o incidental respecto de la
verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en
el sujeto sino en la entidad en la que el mismo desarrolla su actividad o a la que
aquél representa en sus relaciones con quienes tratan los datos.
Así sucedería en las relaciones business to business, no en las relaciones business to
consumer.
Ejemplo: Resolución de 19 y 20 de Julio de 2005, 24 de Agosto de 2005, 9 de Mayo de
2006, 31 de Enero de 2007 y 1 de Octubre de 2007.
1.2. Fichero de Titularidad Pública. Diferenciación con los Ficheros de
Titularidad Privada.
La Ley 15/99 no define de forma expresa los criterios delimitadores de la titularidad
pública o privada de los distintos ficheros, si bien en el articulado del Capítulo I del
Título IV viene a identificar los ficheros de titularidad pública como aquéllos cuya
responsabilidad corresponde a las Administraciones Públicas (artículos 20 y 21),
estableciendo ciertas especialidades en su régimen jurídico en las restantes disposiciones
de este capítulo y en el artículo 46, en lo que se refiere al régimen sancionador. A partir
de estos preceptos, deberá determinarse cuál es la interpretación que deba darse al
término "titularidad pública", contenido en las citadas disposiciones, planteándose dos
posibles criterios: por un lado el meramente subjetivo, que atiende a la naturaleza
pública o privada del responsable del fichero; por otro, el criterio planteado por la
consulta que atiende a la función desempeñada por dicho responsable.
Como punto de partida, entendemos que, tal y como se desprende de las disposiciones
de la LOPD, el criterio que ha de prevalecer en este punto es el relativo a la naturaleza
pública o privada del responsable, ya que la Ley no diferencia ambas categorías de
ficheros con base en criterios relacionados con la actividad llevada a cabo por el
responsable, sino con el criterio de la "titularidad" del fichero. Así se desprende, no sólo
de las rúbricas de los Capítulos I y II del Título IV de la Ley, sino de lo dispuesto en el
artículo 46, que establece una especialidad en materia sancionadora para los supuestos de
ficheros de titularidad pública, refiriéndose a los mismos como "ficheros de los que
sean responsables las Administraciones Públicas", añadiendo, en su apartado segundo
la posible imposición de las sanciones "establecidas en la legislación sobre régimen
disciplinario de las Administraciones Públicas".
1.3. Creación e Inscripción de los Ficheros Públicos
Aprobación: Mediante Ordenanza municipal o cualquier otra disposición de
carácter general que será publicada en el Boletín Oficial de la Comunidad
(Decretos de Alcaldía –normalmente este será el instrumento normativo de
aprobación-, Acuerdos de Plenos o de Comisión).
El artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal, establece que la creación, modificación o supresión de los cheros
de las Administraciones públicas sólo podrán hacerse por medio de Disposición General,
publicada en el Boletín Oficial del Estado o Diario Oficial correspondiente. El artículo
53.3º del Real Decreto 1.720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de Ley Orgánica 15/1999, de 13 de diciembre, en cuanto a la
forma de la disposición o acuerdo, establece en relación con los ficheros de los que sean
responsables las entidades locales, que se estará a su legislación específica.
Asimismo, el contenido necesario de esta disposición o acuerdo deberá cumplir
con los requisitos del artículo 54 del citado Reglamento.
A continuación acompañamos un texto modelo de Disposición General:
“A estos efectos, el (Órgano Responsable) reunido, en sesión ordinaria celebrada el día
( ), ha adoptado el siguiente Acuerdo por el que se crean los cheros públicos de datos
de carácter personal responsabilidad del (Órgano Responsable), siguiendo como modelo
de declaración el establecido en la resolución de 12 de julio de 2006, de la Agencia
Española de Protección de Datos (A.E.P.D.), (B.O.E. 181 de 31 de julio de 2006) por la
que se aprueban los formularios electrónicos a través de los que deberán efectuarse las
solicitudes de inscripción de cheros en el Registro General de Protección de Datos
(sistema NOTA), así como formatos y requerimientos a los que deben ajustarse las
notificaciones remitidas en soporte informático o telemático.
Apartado primero. Se crean los siguientes Ficheros Públicos de Datos de Carácter
Personal existentes en el (Órgano Responsable).
Fichero:
1. Órgano responsable del Fichero: (Órgano Responsable).
2. Órgano de acceso, rectificación, cancelación y oposición: (Órgano Responsable)
3. Medidas de seguridad:
4. Estructura básica y descripción de los tipos de datos de carácter personal
a) Datos especialmente protegidos:
b) Datos de carácter identificativo: Ej. Nombre, apellidos, dirección, D.N.I./N.I.F.,
teléfono de la persona de contacto, nombre, apellidos, dirección, D.N.I./N.I.F., teléfono
del denunciante.
c) Datos de características personales:
d) Datos de circunstancias sociales:
e) Datos académicos y profesionales:
f) Datos de detalle de empleo: Puesto de trabajo de la persona de contacto
g) Datos de información comercial:
h) Datos económico-financiero y de seguros:
i) Datos de transacciones:
j) Datos relativos a la comisión de infracciones:
k) Sistema de tratamiento:
5. Finalidad del fichero y usos previstos
a) Finalidad y usos previstos:
b) Tipificación correspondiente a la finalidad y usos previstos:
6. Personas o colectivos sobre los que se pretende obtener datos de carácter
personal o que resulten obligados a suministrarlos:
7. Procedencia de los datos:
8. Cesión de datos:
9. Cesión de datos, transferencias internacionales:
En ------------------, a ----------------------------.
(Persona firmante)
1.4. Especial referencia a las Corporaciones de Derecho Público.
En su informe de 8 de abril de 2003 la Agencia Española de Protección de Datos
indicaba lo siguiente:
“Si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de
titularidad pública y privada, no establece un concepto de los mismos. Por esta
razón, la delimitación deberá fundarse en los criterios que determinan la naturaleza
jurídico-pública o jurídico-privada del responsable del fichero.
Esta conclusión se alcanza atendiendo a las peculiaridades establecidas para el régimen
de los ficheros de titularidad pública, toda vez que los mismos únicamente podrían ser
constituidos en caso de que se desarrollen como consecuencia del ejercicio de una
competencia administrativa, tal y como se desprende del artículo 21.1 de la Ley
Orgánica 15/1999, que permite la cesión entre Administraciones Públicas cuando la
misma se funde en el ejercicio de unas mismas competencias. En este mismo sentido, el
artículo 20 de la Ley exige que los ficheros se encuentren sometidos a la tutela de una
Administración con potestad para dictar la correspondiente Disposición de carácter
general de creación del fichero.
Por tanto, considera esta Agencia de Protección de Datos que la delimitación del
régimen aplicable a los ficheros de titularidad pública y privada deberá fundarse en un
doble criterio: por una parte el responsable del fichero deberá ser una Administración
Pública y por otra, en los supuestos que pudieran plantear una mayor complejidad,
sería necesario que el fichero sea creado como consecuencia del ejercicio de
potestades públicas.
Atendidos estos criterios, sería preciso delimitar el concepto de Administración
Pública como responsable de los ficheros de titularidad pública”.
Los Colegios Profesionales son Corporaciones de derecho público, amparadas por la Ley
y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para el
cumplimiento de sus fines.
Se rigen por la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales, por sus
Estatutos Particulares, Reglamentos de Régimen Interior, y demás disposiciones estatales
o autonómicas.
Son fines esenciales de estas Corporaciones la ordenación del ejercicio de las
profesiones, la representación exclusiva de las mismas y la defensa de los intereses
profesionales de los colegiados así como ejercer cuantas funciones le sean encomendadas
por la Administración.
Junto al ejercicio de estas potestades públicas sometidas al derecho administrativo,
realizan otras actividades íntegramente sometidas al derecho privado.
Para el ejercicio de su actividad tienen necesidad de mantener datos personales, por lo
que dependiendo de la actividad que desarrollen, administrativa o privada, tendrán
ficheros de dos naturalezas, públicos o privados.
A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de carácter personal (LOPD), se podrán considerar ficheros de titularidad
pública los ficheros propios de los Colegios Profesionales, que contengan los datos de
carácter personal correspondientes al ejercicio de las funciones públicas de ordenación y
control de la actividad profesional que dichas entidades tienen asignadas legal o
estatutariamente o que les sean encomendadas por las Administraciones Públicas
competentes.
Es recomendable que se haga una clara distinción entre aquellos ficheros cuya única
finalidad es la de llevar a cabo la gestión interna del colegio, que no implica el ejercicio
de potestades jurídico-públicas, de aquellos ficheros que contienen los datos de carácter
personal correspondientes a la incorporación de los colegiados al ejercicio de las
funciones públicas de ordenación y control de la actividad profesional que dichas
entidades tienen asignadas legal o estatutariamente, así como el ejercicio de la potestad
sancionadora.
FICHEROS PÚBLICOS: Contienen los datos de carácter personal correspondientes a la
incorporación de los colegiados y al ejercicio de las funciones públicas de ordenación y
control de la actividad profesional que dichas entidades tienen asignadas legal o
estatutariamente o que les sean encomendadas por las Administraciones Públicas
competentes.
En cuanto a la declaración de los ficheros de titularidad pública, se informa que de
conformidad con el artículo 20 de la LOPD, así como en el artículo 53.4 del Reglamento
de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 de 21 de
diciembre, BOE de 19 de enero de 2008, (RDLOPD), la creación, modificación o
supresión de los ficheros de los que sean responsables las corporaciones de derecho
público y que se encuentren relacionados con el ejercicio por aquéllas de potestades de
derecho público deberá efectuarse a través de acuerdo de sus órganos de gobierno,
debiendo ser igualmente objeto de publicación en el «Boletín Oficial del Estado» o
diario oficial correspondiente.
De conformidad con el artículo 54 del RDLOPD, la disposición reguladora deberá
recoger la Identificación del fichero y su finalidad, el Origen de los datos y colectivos
sobre los que se pretenda obtener datos o que resulten obligados a suministrarlos,
Estructura básica del fichero y el sistema de tratamiento, en su caso las Comunicaciones
de datos y/o transferencias internacionales previstas, el órgano de la Administración
responsable del fichero, los servicios o unidades ante los que pueden ejercitarse los
derechos, y el nivel de seguridad exigible según el Título VIII del RDLOPD.
En este mismo sentido, el artículo 55.1 del RDLOPD, establece que todo fichero de
titularidad pública debe ser notificado a la Agencia Española de Protección de Datos, por
el órgano competente de la Administración responsable del fichero para su inscripción
en el Registro General de Protección de Datos, en el plazo de treinta días desde la
publicación de su norma o acuerdo de creación en el diario oficial correspondiente.
Para notificar los ficheros de titularidad pública, deberán cumplimentar el formulario
NOTA de titularidad pública , que se encuentra disponible en la página web de la
Agencia (www.agpd.es).
La AEPD y la Unión Profesional, en el desarrollo del “Protocolo de Colaboración”,
formalizado el 15 de junio de 2000, han mantenido diferentes reuniones de trabajo,
en las que se ha elaborado el Proyecto de Disposición de carácter general , por la que
se crean los ficheros de titularidad pública comunes a todos los Consejos Generales y
Colegios Profesionales, así como ficheros específicos para determinados colectivos.
Por último, tras la entrada en vigor de la Ley 2/2007, de 15 de marzo, de
sociedades profesionales (BOE nº 65 de 16/03/2007), se crea el fichero de titularidad
pública de nombre “SOCIEDADES PROFESIONALES”, que será común para todos los
Consejos Generales y Colegios Profesionales.
FICHEROS PRIVADOS: Son ficheros creados con la única finalidad de llevar a
cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que faciliten el
desempeño de la profesión colegiada cuando la adopción no implique el ejercicio de
potestades administrativas ni lleve aparejada la existencia de un acto
administrativo. Dentro de los ficheros privados comunes a todos los colegios
profesionales se podrían enumeran a modo de ejemplo:
Relativos a la gestión de recursos humanos del personal que presta sus
servicios en el colegio: “NOMINAS”, “PERSONAL”, “LABORAL”.
Relativos a la gestión contable del colegio: “FACTURACIÓN”,
“CLIENTES”, “PROVEEDORES”, “CONTABILIDAD”, “SUMINISTROS”.
El artículo 26 de la LOPD, y el art. 55.2 del RDLOPD, establece que los ficheros de
datos de carácter personal de titularidad privada serán notificados a la Agencia
Española de Protección de Datos por la persona o entidad que pretenda crearlos, con
carácter previo a su creación.
Por último, en el caso de que el Colegio Profesional elabore una lista de
Colegiados, de conformidad con los artículos 3j) y 28 de la LOPD, y 7 c) del RDLOPD
el tratamiento que se realice y el fichero que se cree, en su caso, para obtener los listados
de los Colegios Profesionales, se encuadrará bajo el régimen de los ficheros y
tratamientos de Titularidad Privada de conformidad con lo previsto en el Título IV
Capítulo II Ficheros de Titularidad Privada, a excepción de los registros previstos en el
artículo 5.2 de la Ley 44/2003, de Ordenación de Profesiones Sanitarias.
EJERCICIO PRÁCTICO AVANZADO Nº 1
ÁMBITO DE APLICACIÓN La secretaria del Presidente de una importante compañía eléctrica decide utilizar la
agenda de contactos para enviar un regalo de navidad a los amigos y conocidos del
presidente, enviando los presentes al domicilio personal de cada uno de ellos. Una de
estas personas le solicita ejercitar un derecho de acceso para ver qué información
particular tiene de él y por qué. La secretaria responde a su solicitud señalando que los
ficheros de agenda de contacto están excluidos del ámbito de aplicación de la Ley y que
por tanto no hay fichero tal y como lo define la LOPD.
¿Es correcta la respuesta dada por la Secretaría o podría interponer una denuncia el
afectado ante la Agencia Española de Protección de Datos?
2. CONCEPTOS FUNDAMENTALES
Son conceptos que debemos conocer para el cumplimiento de los deberes que
establece la normativa vigente en materia de protección de datos y el disfrute de
los derechos que garantizan el respeto a la protección de los datos personales.
2.1. DATOS DE CARÁCTER PERSONAL
“Cualquier información concerniente a personas físicas identificadas o
identificables”. (Art. 3.a LOPD).
El Reglamento de desarrollo de la Ley señala que es “Cualquier información numérica,
alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas
físicas identificables o identificables”. (Art. 5.1. f RLOPD)
Esta información, referida siempre a personas físicas, puede ser muy diversa, desde
nombre y apellidos, hasta número de cuenta bancaria. El elemento fundamental para
determinar que se trata de un “dato personal” es que la información, combinada o por sí
misma, permita conocer datos de una persona concreta, bien por estar directamente
identificada a través de algún dato, o porque pueda llegar a ser identificable por otro medio.
La Sentencia del Tribunal Constitucional 292/2000 establece que “el derecho a la
protección de datos no se reduce sólo a los datos íntimos de la persona, sino a
cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por
terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es
sólo la intimidad individual”.
De acuerdo con la definición que establece la Directiva 95/46/CE, “se
considerará identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un número de
identificación o uno o varios elementos específicos, característicos de su identidad
física, fisiológica, psíquica, económica, cultural o social”.
También la Directiva 95/46/CE, indica en su considerando 26 que: “... para
determinar si una persona es identificable, hay que considerar el conjunto de los
medios que puedan ser razonablemente utilizados por el responsable del tratamiento o
por cualquier otra persona, para identificar a dicha persona; que los principios de la
protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya
no sea posible identificar al interesado; que los códigos de conducta ... pueden
constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a
los cuales los datos pueden hacerse anónimos y conservarse de forma tal que
impida identificar al interesado”.
En conclusión:
Se considerará dato de carácter personal, como objeto de la protección de datos,
cualquier información referente a una persona física de quien conste o podamos
llegar a saber quién es su titular, por intrascendente que pueda parecernos el dato
almacenado.
Una persona estará identificada cuando conste en el fichero algún dato que
tenga por finalidad diferenciarla del resto del colectivo cuyos datos se hayan
recabado. Da igual que se la identifique por el nombre, el DNI, el número de
empleado u opositor, o el más complejo código alfanumérico generado por
cualquier algoritmo, siempre que su finalidad sea identificar al interesado.
2.2. FICHERO
“Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso”. (Art. 3.b
LOPD).
El artículo 5.1.l RLOPD introduce la matización de que ese conjunto de datos
organizados deben permitir el acceso a los datos con arreglo a criterios determinados.
Como ya hemos comentado al analizar el ámbito de aplicación de la Ley Orgánica
15/1999, no se trata solamente de ficheros integrados en sistemas informáticos o
telemáticos, sino también de ficheros manuales que pueden estar archivados
en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados
(organizados) por algún criterio que permita acceder fácilmente a los referidos a una
determinada persona.
Una matización importante en cuanto a qué se considera un fichero es la establecida
por la Directiva 95/46/CE al definir el concepto de fichero de datos personales como:
“todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional
o geográfica”.
Ejemplos típicos de tratamientos no automatizados de datos:
• El fichero manual, organizado en carpetas, que recoge toda la
información clínica de un proceso asistencial a un paciente en un centro
sanitario.
•El archivador existente en todos los departamentos de personal en el que se
recogen los datos relevantes que se han generado a lo largo de la relación laboral
entre el empleado y el empleador, y que afectan a su desarrollo.
• Atendiendo a los criterios de la Directiva 95/46/CE, podría considerarse un
único fichero el conjunto de historias clínicas existentes en un centro, bajo
una única responsabilidad, aunque físicamente el fichero esté constituido
por varios ficheros independientes (un archivo de historias clínicas en
cada servicio o por cada especialidad sanitaria). También podría
considerarse un único fichero aunque sus diferentes partes estuvieran
distribuidas en puntos separados geográficamente, siempre que los datos, la
finalidad y el responsable sea el mismo.
Los ficheros de titularidad pública son aquellos creados por una disposición de carácter
general por las Administraciones Públicas en el cumplimiento de las funciones públicas
que tengan encomendadas por la Constitución y las Leyes.
El artículo 20 LOPD exige que la creación, modificación o supresión sólo pueda hacerse
por medio de una disposición publicada en el BOE o Diario Oficial
El artículo 5.1.m define los ficheros de titularidad pública en función de quienes sean los
sujetos responsables y siempre que tengan por finalidad el ejercicio de las
potestades de derecho público.
2.3. TRATAMIENTO DE DATOS
“Operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias”. (Art. 3.c LOPD).
El Reglamento en su Art. 5.1.t ha venido a introducir, junto a las anteriores, las
operaciones y procedimientos técnicos que permitan la consulta, utilización y supresión.
Prácticamente cualquier actuación vinculada al trabajo habitual que conlleve el
manejo de datos personales, supone la realización de un tratamiento de datos.
Ejemplos:
La recogida de instancias de participantes en un proceso selectivo,
siempre que se almacenen por un criterio relativo a las personas.
La grabación en una aplicación informática de la cita concertada por un
ciudadano para acudir a la consulta de su médico.
La clasificación y archivo de la documentación recabada
en el procedimiento de recogida de los datos (las instancias utilizadas en
un proceso.
La obtención de nuevos datos a partir de la información recabada
(el establecimiento de un diagnóstico o un determinado tratamiento en
función de los datos obtenidos de un paciente en su exploración).
La actualización de la información existente en un fichero a partir de los nuevos
datos recabados o de los obtenidos en un proceso de elaboración.
El almacenamiento de los datos de forma diferenciada, excluyéndolos de otros
tratamientos de datos que se realicen con el solo objeto de disponer de los
mismos cuando sean demandados por las Administraciones públicas,
Jueces o Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el período de
prescripción de éstas (el almacenamiento de las instancias utilizadas en un
proceso selectivo una vez concluido éste o el historial clínico de un paciente
relativo a un episodio asistencial que se ha dado por concluido).
La supresión física de los datos existentes en el fichero.
Facilitar el acceso a los datos de una persona por parte de un tercero,
mediante cualquier tipo de comunicación, consulta, interconexión o
transferencia (envío a una entidad financiera de los datos de nómina de los
empleados para que se proceda al abono de las mismas).
2.4. AFECTADO O INTERESADO
“Persona física titular de los datos que sean objeto del tratamiento a que se
refiere la definición anterior”. (Art. 3.e LOPD).
Es preciso tener muy en cuenta que sólo pueden ser afectados las personas
físicas, una persona jurídica no puede nunca identificarse con el afectado o interesado
titular de datos personales.
Resumen: La protección de datos tiene como objeto una serie de derechos que se
configuran como personalísimos, por lo que sólo podrán ser ejercidos por el propio
titular, salvo que nos encontremos en el supuesto de un menor o un incapacitado, en
cuyo caso podrán ejercerse por medio o valiéndose de su representante legal.
2.5. CONSENTIMIENTO
“Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales que le conciernen”. (Art.
3.h LOPD).
Para que el consentimiento sea válido no es siempre necesario que se preste de forma
expresa, la Ley admite también, en determinados casos, el consentimiento tácito o
presunto.
Una de las formas más usuales de prestar el consentimiento para el tratamiento de
datos en ficheros de titularidad pública, es a través de la cumplimentación de
impresos, en los que el consentimiento viene prestado por la simple declaración de
los datos personales que se reflejan en el cuestionario por el propio interesado.
Cuando los datos se recaben directamente del interesado por medio de una entrevista
personal, se puede entender que éste da su consentimiento de forma tácita, al ser él
mismo el que nos facilita la información, siempre que se hayan cumplido los
principios que establece la Ley Orgánica 15/1999 para el tratamiento de los
datos (información previa y adecuación de los datos, por ejemplo).
2.6. CESIÓN O COMUNICACIÓN DE DATOS
“Toda revelación de datos realizada a una persona distinta del interesado”. (Art. 3.i
LOPD).
El artículo 5.1.c acota el concepto de “toda revelación…” al “Tratamiento de datos que
supone su revelación a una persona distinta del interesado”. Esto supone delimitar la
revelación a las operaciones o procedimientos técnicos que permitan realizar las
actuaciones que taxativamente se recogen en el apartado t) del mismo artículo.
La cesión de datos es uno de los puntos conflictivos de la normativa sobre
protección de datos. Como regla general, los datos personales sólo pueden ser
revelados a persona o entidad distinta del interesado con el consentimiento
inequívoco de éste.
Otros dos conceptos estrechamente relacionados con la cesión son los de tercero
y destinatario, que son definidos en el artículo 5.1. h y r del Reglamento de la siguiente
forma:
“Tercero: la persona física o jurídica, pública o privada u órgano administrativo
distinto del afectado o interesado, del responsable del tratamiento del encargado del
tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa
del responsable del tratamiento o del encargado del tratamiento”.
“Destinatario: la persona física o jurídica, pública o privada, u órgano administrativo
al que revelen los datos”.
Ejemplos de cesiones de datos:
Se produce una cesión cuando los datos que se han obtenido para una
determinada finalidad se ceden a un tercero para el ejercicio de otra finalidad
distinta de aquella para la que se recogieron.
La simple visualización por un tercero o la comunicación de cualquier dato al
mismo, por ejemplo al realizar una consulta telefónica, constituye una cesión de datos.
2.7. RESPONSABLE DEL FICHERO
“Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que
decide sobre la finalidad, contenido y uso del tratamiento”. (Art. 3.d LOPD).
El Reglamento en su art. 5.1.q amplia la interpretación a toda persona que pueda tomar
la decisión sóla o conjuntamente.
Dentro del ámbito de los ficheros de titularidad pública, el responsable del fichero
siempre es un órgano administrativo.
El responsable del fichero es quien decide la creación del fichero, para qué se va a
utilizar y qué uso se va a dar a éste.
El responsable del fichero es la entidad obligada a dar respuesta a los ciudadanos ante el
ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.
El responsable del fichero, en el supuesto de ser un órgano de la Administración
pública, es el sujeto pasivo contra quien se dirigirá el procedimiento por infracción de
Administración pública. Por ejemplo, en el caso de los Ayuntamientos el responsable
será una Concejalía o un área determinada, que decida sobre la finalidad, contenido y uso
del tratamiento.
2.8. RESPONSABLE DEL FICHERO
“Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
que, solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento”. Art. 3.g LOPD.
El Reglamento en su art. 5.1.i vuelve a concretar mucho más lo manifestado por la
LOPD y actualizándolo al tiempo transcurrido desde su creación señalando que el
encargado será “La persona física o jurídica, pública o privada u órgano administrativo
que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable
del tratamiento o del responsable del fichero, como consecuencia de la existencia de
una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación
para la prestación de un servicio”.
El encargado de tratamiento tiene una especial importancia cuando hablamos
de tratamiento de datos por parte de organismos públicos. En múltiples ocasiones las
Administraciones contratan servicios de mantenimiento de equipos informáticos,
servicios de recogida de datos a través de encuestas, etc. El encargado de la
realización de estos servicios se constituye normalmente en encargado de
tratamiento.
El encargado de tratamiento está legitimado para acceder a los datos personales
obrantes en el fichero sin el requisito del consentimiento previo del afectado, siempre
que la relación entre el primero y el responsable del fichero esté formalizada en un
contrato que obedezca a fines lícitos y legítimos y se especifiquen las condiciones en
que se va a llevar a cabo el tratamiento y que la utilización de los datos será
únicamente para los fines establecidos por el responsable del fichero.
Un ejemplo típico de encargado del tratamiento es la empresa con la que podemos
establecer una relación contractual para que se encargue de la destrucción de los
documentos que contienen datos de carácter personal sin tener por tanto por qué
mantener en mis archivos.
Otro supuesto es cuando encargo a una empresa u otro organismo de la
Administración que almacene, custodie y me facilite la gestión de un archivo
documental para cuya explotación yo no cuento con recursos directos
suficientes (el supuesto típico de “externalización” de la gestión del fichero de historias
clínicas de un centro hospitalario).
También constituirá un tratamiento de datos el encargo a un tercero para que realice
una campaña de correo personalizado (mailing) a las personas que están
contenidas en un fichero determinado y que previamente no se han opuesto al
envío publicitario, salvo que los datos los hubiera obtenido el responsable del fichero
de fuentes accesibles al público (por Ej. Guías telefónicas).
2.9. PROCEDIMIENTO DE DISOCIACIÓN
“Todo tratamiento de datos personales de modo que la información que se obtenga no
pueda asociarse a persona identificada o identificable”. (Art. 3.f LOPD y art. 5.1.e
RLOPD).
Cuando los datos personales no permiten la identificación de una persona concreta
pierden el carácter de personales, quedando al margen de la normativa sobre
protección de datos.
Un ejemplo típico de disociación es el realizado para el desarrollo de funciones
de estadística.
La utilización de este procedimiento, con carácter previo al acceso y tratamiento
de los datos, permite eximir al mismo del cumplimiento de las obligaciones que
establece la Ley Orgánica 15/1999, por ejemplo de requerir el consentimiento
del interesado para poder utilizar esos datos en el tratamiento previsto.
2.10. FUENTES ACCESIBLES AL PÚBLICO
“Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no
impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una
contraprestación”. Art. 3.j LOPD.
Las fuentes de acceso público están enumeradas y tasadas por la LOPD y
desarrolladas por el RLOPD. Así, únicamente son consideradas como fuentes de acceso
público:
El censo promocional (todavía sin regular) y que estará formado con los
datos del nombre, apellidos y domicilio que constan en el censo electoral.
Las guías de servicios de comunicaciones electrónicas que c onten ga n:
No mbre, título, profes ión, acti vidad, perten e ncia al grupo ,
grado acadé mic o y dirección p rofesional (d o micilio, te léfono, fa
x, e mail)
Las listas de personas pertenecientes a grupos de profesionales,
Los diarios y boletines oficiales
Los medios de comunicación.
Siempre que una norma reguladora en materia de protección de datos haga referencia a
que los datos se hayan obtenido de una fuente accesible al público, debe tenerse en
cuenta la enumeración con carácter exhaustivo que hace la Ley, no pudiendo
considerar fuente accesible al público (en materia de protección de datos) ninguna
otra fuente, aun cuando al crear un fichero se indique en su propia disposición de
creación que tendrá carácter de acceso público.
2.11. DEFINICIONES A EFECTOS DE LO DISPUESTO EN EL
REGLAMENTO DE MEDIDAS DE SEGURIDAD
Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. También
los procesos que permitan acceder a datos r recursos sin identificación de
un usuario físico.
Por Ej. en un Ayuntamiento un usuario puede ser un procedimiento lógico
que se asigna a todos los concejales y que mediante el mismo pueden acceder a
unos datos determinados que quedarán perfectamente contemplados en la
definición de ese usuario como proceso.
El personal al servicio del responsable del fichero o encargado del
tratamiento que tengan acceso a los datos de carácter personal como
consecuencia de tener encomendadas tareas de utilización material de los
datos almacenados o que se almacenarán en los ficheros.
Los usuarios están obligados al cumplimiento de las medidas de
seguridad establecidas para el tratamiento de los datos y están sujetos al deber
de secreto.
Aunque los usuarios no tienen capacidad de decisión en la gestión del tratamiento de
datos, es de vital importancia que éstos conozcan y se atengan fielmente a
las disposiciones establecidas en la Ley Orgánica 15/1999. Los usuarios son los que
mantienen un contacto directo con los datos personales, y en muchas ocasiones,
directamente con las personas titulares de los datos.
Sistema de Información: Conjunto de ficheros, tratamientos, programas,
soportes y en su caso, equipos empleados para el tratamiento de datos de carácter
personal.
Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de
información.
Atendiendo al sistema de tratamiento, los sistemas de información
podrán ser automatizados o no, o solo parcialmente.
Control de acceso: mecanismo que en función de la identificación ya
autenticada permite acceder a datos o recursos.
Identificación: procedimiento de reconocimiento.
Autenticación: procedimiento de comprobación. Esto se puede
realizar mediante contraseña.
Responsable de Seguridad: persona/s a las que el Responsable del Fichero ha
asignado formalmente la función de coordinar y controlar las medidas de
seguridad aplicables.
Ej. Designación dentro de una Concejalía –Responsable del Fichero-
controlar y coordinar las medidas de seguridad.
EJERCICIO PRÁCTICO AVANZADO
Nº 2
CONCEPTO DE TRATAMIENTO.
Un Agente de Mapfre le indica a la consultora de LOPD que pretende realizarle la
adaptación que no maneja ningún dato de carácter personal puesto que toda la
información que recoge se graba por un lado en una aplicación y un ordenador propiedad
de Mapfre y por otro lado la información en papel se envía a la central de Mapfre.
¿Debería adaptarse a la LOPD o no trata ningún dato de carácter personal por ser
Mapfre la Responsable del Fichero?
3. PRINCIPIOS QUE RIGEN TODO TRATAMIENTO DE DATOS
PERSONALES
Estos principios de obligado cumplimiento, que la Ley Orgánica 15/1999 agrupa en el
título II, son la base de todo tratamiento de datos personales. El responsable del
fichero o el encargado del tratamiento de los datos, entre otras muchas
obligaciones, debe asegurarse que cualquier tratamiento de los datos se adapte al
cumplimiento de estos principios. Su incumplimiento puede ser motivo de sanción,
aplicándose el procedimiento correspondiente, en función de la naturaleza pública o
privada del responsable del fichero, de acuerdo con el régimen sancionador que establece
la Ley Orgánica 15/1999.
3.1. El principio de CALIDAD de los datos
La aplicación de este principio supone que los datos de carácter personal sólo podrán
recogerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos para
el cumplimiento de las finalidades determinadas, explícitas y legitimas para las que se
hayan obtenido.
La Ley Orgánica 15/1999, a través del establecimiento de este principio, trata de
introducir un criterio de racionalidad y proporcionalidad en el tratamiento de los datos
personales.
Las finalidades del fichero deben estar determinadas, ser explícitas y
legítimas. No podrán además ser utilizados los datos para finalidades incompatibles con
las que motivaron su recogida. No se considerará incompatible el tratamiento posterior
de éstos con fines históricos, estadísticos o científicos.
Toda actividad de recogida de datos personales debe estar fundamentada en una
finalidad explícita. No es posible recopilar datos para su uso de forma generalizada y
determinada a posteriori.
Las Administraciones públicas deberán respetar ese principio de relación entre los
datos recabados y las finalidades que tengan encomendadas, pero además, el
procedimiento para poder crear un fichero con el que posteriormente abordar
el tratamiento de los datos, requiere que se haga mediante disposición de carácter
general publicada en el boletín o diario oficial correspondiente.
Un posible uso que contempla la Ley Orgánica 15/1999 como legítimo, aun cuando los
datos se hayan recabado para otra finalidad concreta, es su uso con fines
históricos, estadísticos o científicos, si bien habrá que analizar otras posibles normas que
incidan sobre la forma de realizar esos tratamientos.
Por ejemplo, la legislación sanitaria establece que el tratamiento de los datos
contenidos en la documentación o historia clínica de los pacientes con fines de
investigación o docencia se realizará siempre con datos disociados o con
consentimiento previo del afectado.
Los datos personales deben ser exactos y mantenerse al día para que respondan con
veracidad a la situación actual del afectado. Por tanto, si resultan ser inexactos o
incompletos, deberán ser cancelados y sustituidos de oficio por los correspondientes
datos rectificados o completados y todo ello en el plazo de diez días desde que se
tuvieran conocimiento, salvo que la legislación aplicable establezca procedimiento o
plazo distinto (art. 8.5 RLOPD)
Ej. El art. 16 LRBRL determina los datos que pueden ser incluidos en el Padrón
municipal, esto es determina los datos que son pertinentes, adecuados y no
excesivos de acuerdo con la finalidad. El art. 17 de la misma Ley señala que la
obligación de mantener actualizado el Padrón, si no se llevaran a cabo las actuaciones
y operaciones necesarias para mantener actualizados el Padrón el INE, previo informe
del Consejo de Empadronamiento, podrá requerirle la actividad pudiendo incluso
ejecutar sustitutoriamente.
Desde el punto de vista de la protección de datos, es preferible no disponer de
un determinado dato de una persona, antes que tenerlo erróneo. Es
preferible que el responsable del fichero no pueda enviar por correo determinada
información a una persona, por no disponer de su dirección, que enviarla a un lugar
equivocado y perder el control de quien acaba recibiendo esos datos.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser
necesarios o pertinentes, y no se conservarán en forma que permitan la identificación del
interesado durante un período superior al necesario para la finalidad en base a la
que fueron recabados o registrados (art. 8.6 RLOPD).
Una vez cumplida la finalidad para la que se recabaron los datos, o cuando
cambien las circunstancias de las personas contenidas en los ficheros haciendo
no pertinente el mantenimiento de los datos, éstos deberán ser cancelados.
La cancelación, como borrado físico de los datos, en muchas ocasiones no es
posible, pudiendo existir una norma que obligue al mantenimiento de los datos
durante un período determinado de tiempo, o las posibles responsabilidades que se
generen en el tratamiento hacen que los datos deban conservarse hasta la
prescripción de las mismas. En estos supuestos, los datos deben bloquearse,
quedando almacenados de forma diferenciada del resto de los datos sometidos al
tratamiento y asegurando que quedan excluidos de éste, estando sólo a
disposición de las Administración públicas, Jueces y Tribunales, para la atención
de las posibles responsabilidades nacidas del tratamiento.
Si la conservación de los datos más allá de la consecución de la finalidad para
que se recabaron es por fines históricos, estadísticos o científicos, los datos deberán
conservarse, siempre que sea posible, disociados, aunque esta previsión está
pendiente de desarrollo reglamentario.
Los datos de carácter personal serán almacenados de forma que permitan el
ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
No es posible alegar como causa para denegar el ejercicio del derecho de acceso la
imposibilidad de su realización como consecuencia del modo en que los datos
están almacenados puesto que todas las normas han establecido plazos para la
adaptación de los tratamientos de datos a estos principios.
EJERCICIO PRÁCTICO AVANZADO Nº 3
CALIDAD
Una empresa de la construcción va a contratar a un trabajador como jefe de obra. A la
hora de realizar la ficha de empleado le exigen que rellene un amplio cuestionario de
salud. El trabajador se niega alegando que ha pasado el reconocimiento médico y ha sido
Certificado como apto. ¿Podría el trabajador negarse al cumplimiento de esos datos o la
empresa le puede obligar por ser necesario para el desarrollo de su puesto de trabajo y
como exigencia de la Ley de Prevención de Riesgos Laborales?
3.2. Principio de INFORMACIÓN en la recogida de datos
El responsable del fichero debe arbitrar la fórmula que permita informar a los
afectados de determinados extremos en el momento de la recogida de los datos, de
modo que esta información sea conocida por el afectado antes de prestar su
consentimiento.
Sólo cuando el ciudadano ha sido informado de forma expresa, precisa e inequívoca de
la finalidad de la recogida de sus datos, podrá decidir si quiere que éstos
estén, o no, almacenados en un fichero y que se utilicen, o no, para una determinada
finalidad.
Los usuarios del fichero tienen en esta fase de recogida de datos una
labor muy importante, la de procurar que esta información sea conocida por el
interesado en el momento de recabar sus datos. La información que se debe facilitar
a los ciudadanos será expresa, precisa e inequívoca. No es admisible una información
genérica que no permita saber quién y para qué se están recabando los datos.
La información que debe llegar al ciudadano que va a prestar sus datos
personales es la siguiente:
a) Conocimiento de que sus datos van a ser almacenados en un fichero, la
finalidad para la que se recogen y los destinatarios de la información.
b) Si es obligatoria o no su respuesta a las distintas preguntas que se le planteen.
c) Las consecuencias de la obtención de los datos o de su negativa a
suministrarlos.
d) La posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y
oposición.
e) La identidad y dirección del responsable del fichero.
Esta información se podrá facilitar al afectado o interesado por cualquier medio que
permita asegurar que ha recibido la información que contempla este principio: de
palabra, por escrito en el propio formulario, impreso o encuesta en la que se recojan sus
datos, o en documento aparte, mediante carteles o anuncios situados en el lugar donde
vayan a recabarse los datos que completen aquella información que no se facilite
de palabra o en el impreso en que se recaben los datos, etc.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los
mismos, en forma claramente legible, las advertencias que se han indicado anteriormente.
Cuando se recaban datos directamente del interesado utilizando un
cuestionario que él cumplimenta, parte de la información que se debe facilitar está ya
recogida en el propio impreso, por lo que no es necesario en ese caso un esfuerzo
adicional para cumplir con este principio de información.
Por ejemplo: normalmente el responsable del fichero figurará en el
encabezado del impreso y la finalidad para la que se recaben los datos será el título
del formulario.
No será necesaria la información a que se refieren las letras b), c) y d), si su
contenido se deduce claramente de la naturaleza de los datos personales que se
solicitan o de las circunstancias en que se recaban.
Muchas veces resulta obvio si es necesario o no facilitar el dato que se está
demandando, atendiendo a la naturaleza de la relación entre el responsable del
fichero y el interesado, así como las consecuencias de no facilitar determinada
información, sobre todo en los supuestos de relaciones con las Administraciones
Públicas.
Si solicito por ejemplo una pensión no contributiva cuya concesión puede depender,
entre otros datos, de mi nivel de rentas, es obvio que deberé facilitar estos datos
al responsable del fichero para que pueda valorar si tengo derecho a la misma o no.
También es obvio que si no facilito esos datos, difícilmente se podrá realizar la
valoración y reconocerme mi derecho.
En el caso de que los datos de carácter personal no hayan sido recabados del
interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por
el responsable del fichero o su representante, dentro de los tres meses siguientes al
momento del registro de los datos, salvo que ya hubiera sido informado con
anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de
lo previsto en las letras a), d) y e).
Ej. Es habitual que en el cuestionario sobre el Padrón Municipal se incluya una
cláusula donde se le informe de lo previsto en el Art. 5 de la LOPD
No es preciso cumplir con el requisito de informar a posteriori al interesado, cuando
los datos no se hayan recabado directamente de él, en los siguientes supuestos:
• Cuando una ley lo prevea.
• Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
• Cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de Protección de Datos, en
consideración al número de interesados, a la antigüedad de los datos y a las posibles
medidas compensatorias.
EJERCICIO PRÁCTICO AVANZADO Nº 4
INFORMACIÓN
Una empresa de mudanzas manda una oferta de servicios a unos guardias civiles para
realizar la mudanza. Dicha empresa se ha enterado de que los guardias civiles
tienen cambio de destino a través del Boletín Oficial de la Guardia Civil y conocedores
de que disponen de una cantidad para mudanzas ofrecen este servicio aprovechando esta
coyuntura. Uno de los guardias civiles denuncia esta situación ante la Agencia porque no
hay ninguna cláusula donde se informe quien es el Responsable del Fichero ni la
posibilidad de ejercicio de los derechos ARCO. La empresa argumenta que los datos
son extraídos de una fuente de acceso público y que por tanto están tratados de acuerdo
a la normativa de LOPD. ¿Podría ser sancionada en algún caso la Empresa?
3.3. Principio de CONSENTIMIENTO
Conforme a este principio, legitimador de todo tratamiento, el titular de los datos
es el único que puede decidir cómo, cuándo, dónde y por quién s on tratados sus datos
El consentimiento puede ser tácito, salvo cuando la LOPD exige que sea expreso o
expreso y por escrito. Si el interesado en el plazo de 30 días no manifiesta su
negativa al tratamiento se entenderá que consiente. En todo caso corresponde al
responsable del tratamiento la prueba de la existencia del consentimiento del
afectado por cualquier medio de prueba (art.12.3. RLOPD)
El consentimiento permite al afectado ejercer el control del uso de sus datos personales,
lo que se viene denominando como derecho de autodeterminación informativa.
La Ley Orgánica 15/1999 exige la prestación del consentimiento previo e
inequívoco del afectado para el tratamiento de sus datos, pero establece una serie de
excepciones, de manera que no es necesario prestar consentimiento:
1. Cuando una ley así lo dispone.
Obsérvese que se hace referencia a una norma con rango de Ley, no
bastando cualquier otro tipo de norma. Estamos ante un claro supuesto de
reserva legal.
2. Cuando los datos son recogidos para el ejercicio de las funciones propias
de las Administraciones públicas en el ámbito de sus competencias.
Ej. Padrón Municipal o la concesión de una licencia de obras constituye un
ejemplo claro de función propia de una Administración pública, pues sólo un
Ayuntamiento está.
3. Cuando se refieren a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y los datos personales son
necesarios para el mantenimiento y cumplimiento de ésta.
En este supuesto podría considerarse que no es necesario
el consentimiento del afectado, sino que éste está incluido
en el consentimiento en virtud del cual se establece y perfecciona la
relación negocial, laboral o administrativa.
Cuando firmo un contrato de trabajo en un departamento de
personal, está implícito mi consentimiento para el tratamiento de mis datos
de carácter personal, pero, ¿qué datos podrá tratar el departamento de
personal?. Sólo los adecuados, pertinentes y no excesivos para la relación que
se está estableciendo, para el ejercicio de la relación laboral.
4. Cuando el tratamiento tenga como finalidad proteger un interés
vital del interesado y éste se encuentre física o jurídicamente incapacitado
para dar su consentimiento.
Esta excepción es específica para el tratamiento de los datos en la
actividad de prestación sanitaria asistencial y el afectado está
incapacitado para dar su consentimiento. Se permite el tratamiento de datos
personales sin consentimiento del interesado en este caso pues existe una
colisión entre el derecho a la vida o a la integridad física y el derecho a la
intimidad y a la protección de datos.
Parece obvio que debe primar el derecho a la vida sobre el derecho a la
protección de datos, pero esta excepción a la necesidad de consentimiento debe
ser matizada. Se podrán tratar los datos del interesado, sin su
consentimiento, en el ejercicio de la actividad asistencial, pero para
cualquier otra finalidad a la que se pretendan destinar esos mismos datos
(investigación, docencia, etc.) se requerirá consentimiento del mismo,
siempre que no exista una ley específica que diga lo contrario.
5. Cuando los datos figuren en fuentes accesibles al público. Recordando
que las fuentes están enumeradas de forma limitativa en la Ley Orgánica
15/1999, tal como se indicó al exponer la definición de que es una fuente
accesible al público.
Sin embargo la excepción del consentimiento no exime de la obligación de
informar en los términos que hemos visto en el punto anterior, relativo al
principio de información, ni permite el tratamiento de cualquier dato, sino
únicamente aquellos que cumplan el principio de calidad (datos adecuados,
pertinentes y no excesivos).
La revocación del consentimiento podrá realizarse cuando exista causa justificada para
ello y no se le atribuyan efectos retroactivos. El plazo para cesar en el tratamiento será de
10 días desde la solicitud debiendo confirmar el cese cuando así sea solicitado por el
interesado.
EJERCICIO PRÁCTICO AVANZADO Nº 5
CONSENTIMIENTO
Un menor de una escuela denuncia al colegio porque ha mandado las notas a sus padres
sin su consentimiento, ya que es mayor de 14 años y es a él a quien corresponde dar el
consentimiento para la cesión de datos personales como son su expediente académico.
¿Sería sancionable la actitud del colegio ya que debió haber obtenido el consentimiento
previo del menor o existe alguna excepción al consentimiento?
3.4. DATOS ESPECIALMENTE PROTEGIDOS
El tratamiento especial de determinados datos, aquellos relativos a la ideología, la
afiliación sindical, la religión o creencias, el origen racial, la salud y la vida sexual, se
constituye en un principio más del tratamiento de datos personales.
La Ley Orgánica 15/1999 prevé la necesidad de proteger especialmente unos datos que,
por la información a la que se refieren, pueden generar con mayor facilidad
lesiones en otros derechos fundamentales, además del propio derecho a la protección de
datos.
Podemos pensar que un tratamiento inadecuado de datos relativos al origen racial o a la
salud, puede vulnerar el derecho a la igualdad y a la no discriminación. El derecho a
la libertad de pensamiento o a la libertad religiosa, puede ser lesionado por el
tratamiento de datos relativos a la ideología o las creencias sin las debidas
garantías, etc. Precisamente para evitar estos peligros, la Ley establece una serie de
refuerzos, con el fin de que se preste un especial cuidado en el tratamiento de estos
datos, de manera que:
Reitera el mandato Constitucional de que nadie puede ser obligado a declarar
sobre su ideología, religión o creencias; lo que afecta al modo específico de
cumplimiento del principio de información que se ha analizado anteriormente
(obligación de informar de qué datos son obligatorios o no, y de las
consecuencias de que no se suministren los datos que se soliciten).
Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar
datos especialmente protegidos.
Exige el consentimiento expreso y por escrito del afectado si los datos son de
ideología, afiliación sindical, religión o creencias; y consentimiento expreso cuando los
datos se refieran al origen racial, la salud o la vida sexual.
Debe recomendarse que siempre que se traten datos especialmente protegidos,
con independencia de cuáles sean, se procure obtener constancia del
consentimiento expreso en forma escrita, puesto que recae sobre el responsable del
tratamiento la carga de la prueba de demostrar que se disponía del consentimiento,
con ese especial atributo de expreso.
En el caso de comisión de infracciones en materia de protección de datos, la gravedad
de las mismas aumenta en un grado cuando el fichero contiene datos especialmente
protegidos.
Exige el establecimiento de medidas de seguridad de nivel alto para los ficheros que
contienen datos especialmente protegidos, también llamados sensibles.
Establece que los datos personales relativos a la comisión de infracciones penales
o administrativas sólo pueden ser incluidos en ficheros de titularidad de las
Administraciones públicas competentes en los supuestos previstos en las respectivas
normas reguladoras.
No obstante todo lo anterior, la propia Ley Orgánica 15/1999 establece una
excepción al consentimiento expreso y por escrito del afectado para el tratamiento de
datos especialmente protegidos: cuando dicho tratamiento resulte necesario para la
prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o
tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho
tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por
otra persona sujeta asimismo a una obligación equivalente de secreto.
En este supuesto concreto (atención asistencial por un profesional
sanitario), el tratamiento de los datos especialmente protegidos puede
realizarse amparado en un consentimiento tácito e implícito en la propia relación
asistencial.
La misma situación analizada en el párrafo anterior se produce cuando el tratamiento
de los datos especialmente protegidos sea necesario para salvaguardar el interés vital
del afectado o de otra persona, en el supuesto de que el afectado esté física o
jurídicamente incapacitado para dar tal consentimiento. Esta circunstancia deriva de lo
ya indicado anteriormente sobre la primacía del derecho a la vida sobre la
protección de datos, aunque sean especialmente protegidos.
Debe tomarse en consideración la ambigüedad con que se enumeran los que la Ley
considera datos especialmente protegidos. En el caso concreto de los datos referentes a
la salud, deben considerarse incluidos los datos que hagan referencia a un diagnóstico
médico concreto, pero también aquellos otros que, aun de forma indirecta, hagan
referencia a la salud de una persona.
El dato que indica que una determinada persona se encuentra en la
situación de Incapacidad Laboral Transitoria es un dato de salud, incluso si se
desconoce la causa última (que como regla general no deberá ser conocida) de tal
situación.
Incluso el hecho de que no conste que una persona se encuentra en la situación de ILT,
también puede considerarse un dato de salud (de buena salud).
Si los datos (aun cuando sólo sea el nombre) de una persona figuran en un
fichero de damnificados por determinada enfermedad, para gestionar la concesión
de ayudas, debe considerarse como que contiene datos de salud.
En particular no será necesario el consentimiento para la comunicación de datos entre
organismos, centros y servicios del Sistema Nacional de Salud cuando se realice
para la atención sanitaria (Art. 10.5 RLOPD).
3.5. CESIÓN O COMUNICACIÓN DE DATOS
La Ley permite la cesión de los datos para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario. Es decir para que
pueda llevarse a cabo la cesión deberán coincidir varios elementos fundamentales:
o Una premisa, que la cesión se realice para el cumplimiento
de fines directamente relacionados con las funciones legítimas
del cedente y del cesionario.
o Una condición general, que exista previo consentimiento del interesado.
o Una información necesaria, que el interesado o afectado tenga
conocimiento de la identidad del cesionario y de la finalidad para la que se
van a ceder los datos.
El consentimiento, elemento fundamental para todo tratamiento de datos, no será
necesario para la cesión en algunos casos:
1. Cuando la cesión esté autorizada por una ley.
Debe tratarse de una ley, no siendo suficiente cualquier otro tipo de norma o
disposición.
2. Cuando se traten datos recogidos de fuentes accesibles al público (de alguna
de las fuentes que enumera la LOPD y concreta el RLOPD).
Sólo tienen la consideración de fuentes accesibles al público, a efectos
de protección de datos: el censo promocional, guías de servicios de
comunicaciones electrónicas, las listas de personas pertenecientes a grupos
de profesionales, los diarios y boletines oficiales y los medios de
comunicación.
Las Administraciones sólo podrán comunicar a responsables de ficheros de
titularidad privada cuando se encuentren autorizadas por una Ley.
3. Cuando el tratamiento responda a la libre y legítima aceptación
de una relación jurídica cuyo desarrollo, cumplimiento y control
implique necesariamente la conexión de dicho tratamiento con ficheros
de terceros, siempre que se limite a la finalidad que la justifique.
Solo es legítima cuando se limite a la finalidad que lo justifique.
4. Cuando la comunicación tenga por destinatarios al Defensor del
Pueblo, Ministerio Fiscal, Jueces o Tribunales o Tribunal de Cuentas, en
el ejercicio de las funciones que tiene atribuidas. Igualmente a
Instituciones autonómicas con funciones análogas al Defensor del Pueblo o
al Tribunal de Cuentas.
5. Cuando la cesión de datos relativos a la salud sea necesaria para solucionar
una urgencia que requiera acceder a un fichero, o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación sobre
sanidad estatal o autonómica.
En el supuesto de que la finalidad sea la realización de estudios
epidemiológicos, con el objeto de velar por la salud desde un punto
de vista preventivo, la cesión de datos para estos fines podrá hacerse sin
consentimiento del interesado, siempre que el estudio epidemiológico se
realice en los términos que establezca la legislación específica sobre
sanidad.
6. Cuando la cesión se produzca entre Administraciones públicas
para el ejercicio de las mismas competencias.
Atendiendo al principio de cooperación y asistencia activa entre las
administraciones que promueve la Ley 30/1992, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo
Común, podrá realizarse la cesión de datos entre dos administraciones
cuando ambas tengan encomendado el ejercicio de la misma
competencia para la que se recabaron los datos del interesado.
7. Cuando la cesión se produzca entre Administraciones públicas y tenga
por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos.
La excepción que contempla este supuesto está delimitada, desde un punto de
vista subjetivo: cuando la cesión se produzca entre Administraciones
públicas y, desde un punto de vista objetivo: cuando el tratamiento de
los datos cedidos sea exclusivamente con fines históricos, estadísticos
o científicos.
8. Cuando los datos sean obtenidos o elaborados por una Administración
pública con destino a otra.
Atendiendo también al mismo principio de cooperación y asistencia, se
podrán ceder los datos sin consentimiento del interesado cuando éstos
sean recabados por un órgano de la Administración en el ejercicio de una
labor de asistencia, con destino a otra Administración que es la
efectivamente competente para el ejercicio de la función para la que se
recaba la información.
En estos dos últimos supuestos de excepción a la regla general
de consentimiento, debe considerarse la necesidad establecida por el
principio de información, de que el interesado pueda saber en el
momento previo a la recogida de los datos, cuál va a ser el destino
de los mismos, debiendo ser informado de forma expresa, precisa e
inequívoca.
EJERCICIO PRÁCTICO AVANZADO Nº 6
CESIÓN Un deportista de judo perteneciente a la federación madrileña recibe una invitación de la
federación española para participar en los campeonatos estatales. En dicha carta le
requieren información para ampliar la ficha que poseen con sus datos personales. El
deportista que no ha sido informado de esta cesión plantea una denuncia ante la Agencia
Española por utilizar información personal suya sin haber dado su consentimiento.
¿Puede la Federación Española utilizar esta información cedida por la Federación de
Madrid sin el previo consentimiento del afectado?
3.6. ACCESO A DATOS POR CUENTA DE TERCEROS. EL
ENCARGADO DEL TRATAMIENTO.
Es el acceso permitido a terceros que no tienen la condición de responsable del fichero,
usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos.
Se trata de la posibilidad de que los datos personales puedan ser tratados por personas
distintas de los usuarios de la propia organización del responsable del fichero, por
encargo de éste. Esta tercera persona se convierte en este caso en Encargado del
Tratamiento, y presta servicios al responsable del fichero, siempre que dichos
servicios tengan como objeto una finalidad lícita y legítima
Por ejemplo, si un Ayuntamiento encarga la gestión informática del padrón
a una empresa privada, dicho encargo sería contrario a la Ley de Bases de
Régimen Local, que en su artículo 17 únicamente habilita a las Diputaciones
provinciales, Cabildos y Consejos insulares a asumir la gestión informática
del padrón en los supuestos que los Ayuntamientos no dispongan de capacidad
económica para ello.
La relación que se establece para el tratamiento de los datos personales debe
regularse en un contrato que deberá constar por escrito o en alguna otra forma que
permita acreditar su celebración y contenido, en el que conste:
Que el encargado únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento.
Las medidas de seguridad que el encargado del tratamiento está
obligado a implementar.
Que el encargado del tratamiento no utilizará los datos con fines distintos a
los que figuren en el contrato.
Que el encargado del tratamiento no cederá los datos a otras personas, ni
siquiera para su conservación.
Este punto de las estipulaciones que debe contener el contrato es muy
importante, ya que trata de evitar que se puedan producir una serie de
encargos en cadena. Sólo el responsable del fichero podrá encargar a un tercero
el tratamiento de los datos.
Que una vez cumplida la prestación, los datos serán destruidos o devueltos
al responsable, al igual que cualquier soporte o documentos en que
consten datos objeto del tratamiento.
El encargado del tratamiento responderá de las infracciones en las que hubiera
incurrido personalmente, equiparándose en tal caso su figura, en materia de
responsabilidad, a la del responsable del tratamiento, con independencia de
las posibles y concretas responsabilidades propias del responsable del tratamiento.
El artículo 21 del RLOPD ha introducido una reclamación solicitada hace tiempo por
parte de la Doctrina cual es la posibilidad de Subcontratación de los servicios. El
principio general es que no se podrá subcontratar con un tercero salvo que el
responsable del tratamiento autorice a ello realizándose esta en nombre y por cuenta del
responsable.
Sin embargo el apartado segundo de este artículo ha articulado una serie de excepciones
siempre y cuando se cumplan los requisitos siguientes:
Se especifiquen en contrato los servicios que puedan ser objeto de subcontratación.
El tratamiento de datos se ajuste a las instrucciones del Responsable del Fichero.
Exista contrato entre el Encargado del tratamiento y la empresa subcontratista. En
estos casos el Subcontratista será considerado Encargado del tratamiento.
EJERCICIO PRÁCTICO AVANZADO Nº 7
ENCARGADO DEL TRATAMIENTO
Un empresario tiene dos empresas familiares con 2 trabajadores en cada empresa que
realizan tareas administrativas en ambas, comparten la misma oficina y utilizan los
mismos medios logísticos. ¿Deberían tener firmados contratos de encargados del
tratamiento entre ambas sociedades o como tienen el mismo Responsable del Fichero y
comparten todo son usuarios todos?
4. OBLIGACIONES DEL TITULAR DEL FICHERO
4.1. DEBER DE SECRETO
El deber de secreto, respecto a los datos personales tratados, es una obligación
que corresponde al responsable del fichero, al encargado de tratamiento, si lo hubiera, y
a todos aquellos que intervengan en cualquier fase del tratamiento de datos de
carácter personal. Esta obligación se mantiene incluso finalizada la relación que
permitió el acceso al fichero.
No es necesario que exista una dependencia laboral, funcionarial o administrativa
indefinida para que el usuario con acceso al fichero esté sometido a este deber
de secreto, el desempeño de cualquier prestación o trabajo que permita el
acceso a datos personales, genera automáticamente la obligación de cumplir con
este principio.
No debe confundirse este deber de secreto con el secreto profesional al que están
sometidas determinadas personas, en función de la profesión que ejercen. Este deber de
secreto es un deber genérico que alcanza a cualquier persona que intervenga en el
tratamiento de los datos.
4.2. PRINCIPIO DE SEGURIDAD DE LOS DATOS
El responsable del fichero deberá adoptar las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos personales integrados en los
ficheros, evitando que éstos puedan perderse, alterarse, usarse o ser accesibles por
personas no autorizadas.
En el supuesto de ficheros informatizados que contienen datos de carácter personal,
se ha producido un desarrollo reglamentario de este principio mediante el
Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD.
De acuerdo con este Reglamento:
No se podrán registrar datos de carácter personal en los ficheros que no
reúnan las condiciones que se determinan por vía reglamentaria.
Las medidas de seguridad a adoptar se deben recoger en el documento
de seguridad y se deberán dar a conocer a todos los usuarios del
sistema de información, quedando obligados a su cumplimiento.
Se prevé el establecimiento de distintos niveles de medidas de
seguridad dependiendo de los datos que contenga el fichero, de manera que:
Serán de nivel básico para todos los ficheros que contengan
datos personales.
Serán de nivel medio cuando, además, contengan datos
relativos a infracciones administrativas o penales, Hacienda Pública,
entidades financieras, información sobre solvencia patrimonial y
crédito, entidades Gestoras d e la S eguridad Social, Mutuas así
como aquellos ficheros contengan un conjunto de datos de carácter
personal que ofrezcan una definición de las características o de la
personalidad de los ciudadanos y que permitan evaluar determinados
aspectos de la personalidad o del comportamiento de los mismos.
Serán de nivel alto cuando en el fichero se traten datos sobre ideología,
afiliación sindical, religión o creencias, origen racial, salud o vida
sexual. También aquellos que contengan o se refieran a datos recabados
para fines policiales y los que contengan datos derivados de actos de
violencia de género.
Excepciones:
Bastarán las medidas de seguridad básicas cuando se utilicen datos
de nivel alto siempre que la finalidad sea realizar una transferencia
dineraria a las entidades de las que sean asociados o miembros.
Ficheros no automatizados en los que incidental o accesoriamente se
guarden los datos anteriores sin relación con su finalidad.
Cuando se contengan datos de salud referentes a grados de minusvalía
o simple declaración de la condición con motivo del cumplimiento de
deberes públicos.
El documento de seguridad deberá reflejar el nivel de seguridad que debe
cumplir el fichero, siendo así distintas las medidas de seguridad a adoptar en cada uno
de ellos.
CUADRO RESUMEN MEDIDAS DE SEGURIDAD FICHEROS
AUTOMATIZADOS
NIVEL BÁSICO
NIVEL MEDIO NIVEL ALTO
- Ámbito de aplicación.
- Medidas, normas, procedimientos reglas y
estándares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripción de ficheros y sistemas
de información.
- Procedimiento de notificación, gestión y
respuesta ante incidencias.
- Proced. realización copias de respaldo y
recuperación de datos.
- Identificación del responsable
de seguridad.
- Control periódico del cumplimiento
del documento.
- Medidas a adoptar en caso de
reutilización o desecho de
soportes.
- Funciones y obligaciones claramente definidas
y documentadas.
- Difusión entre el personal, de las normas que
les afecten y de las consecuencias por
incumplimiento.
- Registrar tipo de incidencia, momento en
que se ha producido, persona que la
notifica, persona a la que se comunica y
efectos derivados.
- Registrar realización de
procedimientos de recuperación de
los datos, persona que lo ejecuta,
datos restaurados y grabados
manualmente.
- Autorización por escrito del
responsable del fichero para su
recuperación.
- Relación actualizada de usuarios y
accesos autorizados.
- Procedimientos de identificación y
autenticación.
- Criterios de accesos.
- Procedimientos de asignación y
gestión de contraseñas y periodicidad
con que se cambian.
- Almacenamiento ininteligible de contraseñas
activas.
- Se establecerá el mecanismo que
permita la identificación de forma
inequívoca y personalizada de
todo usuario y la verificación de
que está autorizado.
- Límite de intentos reiterados de
acceso no autorizado.
- Cada usuario accederá únicamente a
los datos y recursos necesarios para el
desarrollo de sus funciones.
- Mecanismos que eviten el acceso a datos o
recursos con derechos distintos de los
autorizados.
- Concesión de permisos de acceso sólo
por personal autorizado.
- Control de acceso físico a los
locales donde se encuentren
ubicados los sistemas de
información.
- Identificar el tipo de información que contienen.
- Inventario.
- Almacenamiento con acceso restringido.
- Salida de soportes autorizada por el responsable
del fichero.
- Registro de entrada y salida de
soportes.
- Medidas para impedir la
recuperación posterior de
información de un soporte que vaya
ha ser desechado o reutilizado.
- Medidas que impidan la recuperación
indebida de la información
almacenada en un soporte que vaya
a salir como consecuencia de
operaciones de mantenimiento.
- Cifrado de datos en
la distribución de
soportes.
- Verificar la definición y aplicación de los
procedimientos de copias y recuperación.
- Garantizar la reconstrucción de los datos en el
estado en que se encontraban en el momento
de producirse la pérdida o destrucción.
- Copia de respaldo, al menos semanal.
- Copia de respaldo y
procedimientos de
recuperación en lugar
diferente del que se
encuentren los equipos.
- Responsable de Seguridad: uno
o varios nombrados por el
responsable del fichero.
Encargado de coordinar y controlar
las medidas del documento.
No supone delegación de
responsabilidad del responsable
del fichero.
- Prueba con datos reales: Solo se realizarán si se
asegura el nivel de seguridad correspondiente al
tipo de fichero tratado.
- Auditoría al menos cada dos años,
interna o externa.
Adecuación de las medidas y
controles.
Deficiencias y propuestas correctoras.
Análisis del responsable de
seguridad y conclusiones al
responsable del fichero,
Adopción de las medidas correctoras
adecuadas.
- Registrar usuario, hora,
fichero, tipo acceso y
registro accedido.
- Control del responsable
de seguridad. Informe
mensual.
- Conservación 2 años.
- Transmisión de datos
cifrada.
Los niveles son acumulativos y tienen la condición de mínimos exigibles.
Los accesos a través de redes de telecomunicaciones deben garantizar un
nivel de seguridad equivalente al de los accesos en modo local.
La ejecución de trabajos fuera de los locales de la ubicación del fichero
debe ser expresamente autorizada por el responsable del fichero y garantizar el
nivel de seguridad.
Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y
serán borrados una vez que hayan dejado de ser necesarios.
CUADRO RESUMEN MEDIDAS DE SEGURIDAD DE FICHEROS NO
AUTOMATIZADOS
NIVEL BÁSICO NIVEL MEDIO
NIVEL ALTO
- Ámbito de aplicación.
- Medidas, normas, procedimientos reglas y
estándares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripción de ficheros y sistemas
de información.
- Procedimiento de notificación, gestión y
respuesta ante incidencias.
- Procede realización copias de respaldo y
recuperación de datos.
- Identificación del responsable de
seguridad.
- Control periódico del cumplimiento
del documento.
- Medidas a adoptar en caso de
reutilización o desecho de
soportes.
- Funciones y obligaciones claramente definidas
y documentadas.
- Registrar tipo de incidencia, momento en
que se ha producido, persona que la
notifica, persona a la que se comunica y
efectos derivados.
- Registrar realización de
procedimientos de recuperación de
los datos, persona que lo ejecuta,
datos restaurados y grabados
manualmente.
- Autorización por escrito del
responsable del fichero para su
recuperación.
- Relación actualizada de usuarios y
accesos autorizados.
- Procedimientos de identificación y
autenticación.
- Criterios de accesos.
- Procedimientos de asignación y
gestión de contraseñas y periodicidad
con que se cambian.
- Almacenamiento ininteligible de contraseñas
activas.
- Se establecerá el mecanismo que
permita la identificación de forma
inequívoca y personalizada de
todo usuario y la verificación de
que está autorizado.
- Límite de intentos reiterados de
acceso no autorizado.
- Elementos de archivo
en aéreas restringidas con
acceso protegidos con
puerta bajo llave o medidas
alternativas.
- Cada usuario accederá únicamente a
los datos y recursos necesarios para el
desarrollo de sus funciones.
- Mecanismos que eviten el acceso a datos o
recursos con derechos distintos de los
autorizados.
- Concesión de permisos de acceso sólo
por personal autorizado.
- Control de acceso físico a los
locales donde se encuentren
ubicados los sistemas de
información.
- Acceso restringido
- Mecanismos de
identificación
- Identificar el tipo de información que contienen.
- Inventario.
- Almacenamiento con acceso restringido.
- Salida de soportes autorizada por el responsable
del fichero.
- Mecanismos que obstaculicen la apertura
o medidas que impidan el
acceso
- Registro de entrada y salida de
soportes.
- Medidas para impedir la
recuperación posterior de
información de un soporte que vaya
a ser desechado o reutilizado.
- Medidas que impidan la
recuperación indebida de la
información almacenada en un
soporte que vaya a salir como
consecuencia de operaciones de
mantenimiento.
- Cifrado de datos en
la distribución de
soportes.
- Verificar la definición y aplicación de los
procedimientos de copias y recuperación.
- Garantizar la reconstrucción de los datos en el
estado en que se encontraban en el momento
de producirse la pérdida o destrucción.
- Copia de respaldo, al menos semanal.
- Copia de respaldo y
procedimientos de
recuperación en lugar
diferente del que se
encuentren los equipos.
- Copias con autorización
- Destrucción de lo
desechado
- Responsable de Seguridad: Uno o
varios nombrados por el responsable
del fichero.
Encargado de coordinar y controlar
las medidas del documento.
No supone delegación de
responsabilidad del responsable
del fichero.
- Solo se realizarán si se asegura el nivel de
seguridad correspondiente al tipo de fichero
tratado.
- Al menos cada dos años, interna o
externa.
- Adecuación de las medidas y
controles.
- Deficiencias y propuestas
correctoras.
- Análisis del responsable de
seguridad y conclusiones al
responsable del fichero,
- Adopción de las medidas correctoras
adecuadas.
- Registrar usuario, hora,
fichero, tipo acceso y
registro accedido.
- Control del responsable
de seguridad. Informe
mensual.
- Conservación 2 años.
- Transmisión de datos
cifrada.
Los niveles son acumulativos y tienen la condición de mínimos exigibles.
Los accesos a través de redes de telecomunicaciones deben garantizar un
nivel de seguridad equivalente al de los accesos en modo local.
La ejecución de trabajos fuera de los locales debe ser expresamente autorizada
por el responsable del fichero y garantizar el nivel de seguridad.
Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y
serán borrados una vez que hayan dejado de ser necesarios.
Los ficheros de nivel básico que contengan datos que permitan obtener una
evaluación de la personalidad del individuo deberán garantizar, además de las
medidas de nivel básico, las de nivel medio relativas a auditoria, identificación y
autenticación, control de acceso físico y gestión de soportes.
5. DERECHOS DE LAS PERSONAS
Junto al cumplimiento de las obligaciones que la Ley impone a los que
participan en el tratamiento de datos personales, están los derechos que asisten al
ciudadano en este mismo proceso de tratamiento de sus datos. Es importante que los
derechos sean conocidos por el ciudadano, pero casi aún más importante es que sean
conocidos por aquellos que participan en el tratamiento, y una parte muy estimable de esa
participación la conforman los usuarios.
El órgano competente en el Ayuntamiento que sea titular del fichero o del tratamiento
no cumple solamente con tratar los datos de carácter personal respetando todos los
principios recogidos en la norma sino que es necesario que permita y facilite el
ejercicio d e los derechos por el interesado.
Antes de abordar la exposición individualizada de los derechos, es necesario
hacer una distinción de ellos en dos grupos:
• Los derechos que forman parte esencial del contenido del derecho
fundamental a la protección de datos, que son:
1. Derecho de acceso,
2. Derecho de oposición,
3. Derecho de rectificación y cancelación.
• Los otros derechos reconocidos por la Ley Orgánica 15/1999:
4. Derecho de impugnación de valoraciones,
5. Derecho a la consulta al Registro General de Protección de Datos, y
6. Derecho a indemnización.
5.1. El derecho de ACCESO
Es el derecho a conocer si sobre sus propios datos de carácter personal están siendo
objeto de tratamiento, cuál ha sido el origen de éstos, f i n a l i da d y qué cesiones se
han realizado o se prevén realizar.
Para el ejercicio de este derecho, el ciudadano se dirigirá directamente al responsable del
fichero mediante solicitud, por cualquier medio que garantice la identificación del
afectado, haciendo constar el fichero o ficheros que se quieren consultar. Al
tratarse de un derecho personalísimo, sólo podrá ser ejercitado por el propio
interesado, excepto en el caso de menores o incapacitados, en que la solicitud la
presentará el correspondiente representante legal.
El responsable del fichero deberá responder en el plazo máximo de un
mes, contestando a los extremos solicitados, y facilitando la información en la
forma elegida por el afectado, ya sea por medio de visualización en pantalla,
mediante escrito, copia, fotocopia, certificada o no, o por cualquier otro
procedimiento adecuado, en forma legible e inteligible, sin utilizar claves o códigos que
requieran el uso de dispositivos mecánicos específicos.
Este derecho sólo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo que
el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.
Existe obligación de contestar aunque no existan datos de la persona por el responsable
del fichero, en el plazo de un mes desde la solicitud, transcurrido el cual, sin respuesta,
se entenderá denegado el acceso pudiendo interponer a la reclamación prevista en la
LOPD. Si la resolución fuese estimatoria el acceso se hará efectivo en los diez días
siguientes a la notificación.
Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos:
a. En ficheros de Fuerzas y Cuerpos de Seguridad en función de los peligros
que pudieran derivarse para la defensa del Estado o la seguridad
pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando.
b. En ficheros de la Hacienda Pública cuando obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento de
las obligaciones tributarias y, en todo caso, cuando estén siendo
objeto de actuaciones inspectoras.
Por último, en cuanto al ejercicio de este derecho en algunos supuestos específicos,
habrá que estar a lo que establezca la legislación especial existente, como sería
el caso de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y documentación
clínica, que regula alguna característica especial para el acceso a los archivos de
documentación clínica por parte de los pacientes, o la Ley 30/1992, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común, que regula el acceso a los expedientes administrativos.
5.2. El derecho de OPOSICIÓN
Este derecho no ha tenido su desarrollo hasta el RD 1720/07 de Reglamento de
Desarrollo de la LOPD, así en su art. 34 se señala que es el derecho del afectado a que
no se lleve a cabo el tratamiento de los datos cuando no resulte necesario el
consentimiento y siempre que una Ley no disponga lo contrario, éste podrá oponerse al
tratamiento de sus datos o al cese cuando:
.
Existan motivos fundados y legítimos relativos a una concreta
situación personal.
Ficheros que tengan por finalidad la actividad de publicidad y
prospección comercial.
El tratamiento tenga por finalidad adoptar una decisión referida al afectado
que se base en un tratamiento automatizado de sus datos destinado a evaluar
aspectos de su personalidad.
Es obvio que para que el ejercicio de este derecho sea efectivo es necesario haber
cumplido previamente con el principio de información.
5.3. El derecho de RECTIFICACIÓN Y CANCELACIÓN
Cuando el afectado tuviera constancia de que sus datos son inexactos o incompletos
podrá solicitar del responsable del fichero la rectificación de los mismos.
La cancelación dará lugar al bloqueo de los datos cuando estos hayan dejado
de ser necesarios o pertinentes, que no tiene que consistir necesariamente en el
borrado físico de de la información. Dichos datos deberán conservarse a
disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de
las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción
de éstas. Cumplido el citado plazo, deberá procederse a la supresión.
Este derecho se ejercita ante el responsable del fichero por el titular de los datos o
afectado, es un derecho personalísimo que no puede ejercitarse por persona distinta
de su titular, a excepción de menores e incapacitados.
El derecho de rectificación se ejerce mediante solicitud dirigida al responsable del
fichero indicando el dato al que se refiere y la corrección a realizar junto a la documentación
justificativa; en la cancelación se sigue el mismo procedimiento a excepción de la corrección
que no existe.
El responsable deberá atender a la petición, previa comprobación de los
documentos justificativos de la misma presentados por el interesado, en el plazo de diez
días.
También el responsable podrá modificar por propia iniciativa los datos que resulten
inexactos o incompletos. El silencio se considerará negativo a efectos de interponer
las reclamaciones correspondientes.
Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos:
1. En ficheros de Fuerzas y Cuerpos de Seguridad en función de los peligros
que pudieran derivarse para la defensa del Estado o la seguridad
pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando.
2. En ficheros de la Hacienda Pública cuando obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento de
las obligaciones tributarias y, en todo caso, cuando estén siendo
objeto de actuaciones inspectoras.
5.4. Derecho a indemnización
El afectado o interesado tendrá derecho a solicitar una indemnización económica
cuando, a consecuencia del incumplimiento por el responsable de fichero de lo
dispuesto en la Ley Orgánica 15/1999 sufra daño o lesión en sus bienes o derechos.
La indemnización se exigirá de acuerdo a la legislación reguladora del régimen de
responsabilidad de las Administraciones Públicas cuando la lesión
provenga de organismos públicos.
Cuando la lesión provenga de entidades privadas se solicitará ante la jurisdicción
ordinaria.
5.5. Derecho de consulta al Registro General de Protección de Datos
El derecho de consulta a los registros de ficheros que existen en la Agencia de
Protección de Datos Española (o de las Comunidades Autónomas en que existen)
es el derecho de los interesados o afectados a recabar información d e f o r ma g r a t
u i t a sobre la existencia de ficheros de datos de carácter personal inscritos en los
referidos Registros, la finalidad de éstos y la identidad del responsable del
fichero.
Esta información se puede solicitar ante la Agencia de Protección de Datos
correspondiente, si bien se señala que los Registros de las Agencias Autonómicas son
complementarios del Registro General de Protección de Datos de la Agencia
Española de Protección de Datos que es el que, de conformidad con la LOPD, da
publicidad de los ficheros inscritos.
La información existente en el Registro se refiere a determinadas características
de los ficheros, tales como, identificación, quién es el responsable del mismo, dónde se
ubican, el tipo de datos que tratan, y los colectivos de los que se recabaron los datos,
entre otras.
La solicitud del afectado no puede expresarse de forma genérica, es decir, no se
puede solicitar la identificación de todos los ficheros donde se esté tratando
nuestro nombre, apellidos, fecha de nacimiento, ...etc. Los Registros antes
mencionados no recogen el contenido de los ficheros, sino las características de los
mismos.
Derecho de acceso Facultad del interesado para:
solicitar y obtener información sobre:
sus datos, origen y comunicaciones
realizadas o previstas
de forma gratuita
ejercicio en intervalos de 12 meses salvo
acreditación de interés
Derecho de rectificación
y cancelación
Facultad del interesado para:
instar al responsable a:
1. rectificar o cancelar
2. los datos inexactos o incompletos
plazo de 10 días
Derecho de oposición Facultad del interesado para:
oponerse al tratamiento
cuando no sea necesario su consentimiento
para el tratamiento
existan motivos fundados y legítimos para ello
y una Ley no disponga lo contrario
Características de los
derechos
Derechos Personalísimos
cabe representación legal para incapaces, menores
o imposibilitados para el ejercicio personal de
los mismo
Ejercicio ejercicio ante el Responsable del fichero
mediante solicitud dirigida al mismo con el
contenido legalmente determinado
son derechos independientes
EJERCICIO PRÁCTICO AVANZADO Nº 8
EJERCICIO DE DERECHOS
Un cliente de una compañía telefónica remite una carta a la misma solicitando que no se
le envíen más sms de publicidad a pesar de tener contratado con la compañía el servicio
de telefonía móvil. ¿Se puede oponer el usuario al envío de esta publicidad o como dio
su consentimiento y tiene un contrato no podría oponerse a la publicidad a menos que
se diera de baja en todos los servicios?
6. ÓRGANOS DE CONTROL
Vistos los principios que deben regir el tratamiento de datos personales y los
derechos que amparan a las personas para hacer efectivo su derecho fundamental a
la protección de datos, es necesario ver ahora las garantías que la legislación prevé
para asegurar la aplicación de los principios y el ejercicio de los derechos.
Las Agencias de Protección de Datos se constituyen en este punto en el garante de la
aplicación de lo dispuesto en la Ley Orgánica 15/1999, o Ley Autonómica
correspondiente, respecto del ámbito de aplicación determinado por la misma.
Tanto la Agencia Española de Protección de Datos, como las autonómicas, cada una
en su ámbito competencial (en el caso de las segundas, se circunscribe a los ficheros
de datos de carácter personal creados o gestionados por las Administraciones
Públicas de su ámbito territorial, mientras que todos los tratamientos de datos
realizados por entidades privadas son siempre responsabilidad de la primera), tienen
como función el control de la aplicación de la Legislación sobre protección de datos y
la defensa de los derechos de los ciudadanos para el efectivo cumplimiento del
derecho fundamental a la protección de datos personales.
Entre las funciones de las Agencias de Protección de Datos es de destacar la atención
de peticiones y reclamaciones de los ciudadanos, la información sobre sus derechos, y
el ejercicio de la potestad inspectora y sancionadora.
Las Agencias de Protección de Datos tienen competencias para inspeccionar de
oficio, o a instancia de parte, los ficheros de datos personales de lo que
genéricamente hemos denominado Administración pública.
El objeto de las inspecciones es comprobar el cumplimiento de los principios de
protección de datos en el desarrollo del tratamiento de los datos personales, y el
respeto a los derechos de los ciudadanos. En caso de detectar una posible comisión de
infracción a la normativa de protección de datos, se podrá abrir el correspondiente
procedimiento, para determinar la existencia o no de la infracción y el
responsable o responsables de la misma. Los procedimientos abiertos contra
responsables de ficheros de titularidad pública podrán finalizar con la declaración de la
existencia o no de la infracción, pudiendo proponer en que se inicie expediente
disciplinario a la persona que ha resultado responsable de la infracción cometida.
Aparte de las funciones de control que competen a las Agencias de Protección de
Datos, éstas pueden ejercer también una labor consultora, fundamental para procurar el
efectivo cumplimiento de la normativa sobre protección de datos. En este sentido,
la labor de información y asesoramiento se lleva a cabo tanto de forma individual,
asesorando sobre el procedimiento de inscripción de ficheros y resolviendo las
consultas puntuales planteadas por los responsables de los respectivos ficheros, como
de forma colectiva, a través de la celebración de jornadas informativas organizadas
por sectores de actividad, a fin de tratar en profundidad las cuestiones particulares que
pueden plantearse en los distintos ámbitos de la actuación de la Administración.
7. PROCEDIMIENTOS TRAMITADOS POR LA AGENCIA
7.1. TUTELA DE DERECHOS
La Agencia Española de Protección de Datos y, en lo que san competentes las
Agencias autonómicas de Protección de Datos, tienen potestad para iniciar
procedimientos de tutela de derechos y sancionadores. El procedimiento de tutela de
derechos tiene por objeto determinar si la actuación de un responsable del tratamiento no
atendiendo el ejercicio de derecho ha sido, o no, correcta.
7.1.1. FASES DEL HABEAS DATA.
Instrucción: Escrito de Reclamación por el afectado presentado ante la Agencia de
Protección de Datos de la Comunidad de Madrid, expresando qué es lo que se
reclama y los preceptos de la LOPD vulnerados. Traslado por 15 días al
responsable para que formule alegaciones.
Resolución de la Agencia. 6 meses máximo tras instrucción, audiencia, etc., el
silencio de la Agencia se considerará silencio administrativo positivo.
Ejecución: 10 días para hacer efectivo el ejercicio de los derechos reconocidos
debiendo dar traslado a la agencia del cumplimiento en el mismo plazo.
Recurso: La resolución es objeto de recurso contencioso-administrativo ante la
Audiencia Nacional.
7.2. PROCEDIMIENTO SANCIONADOR
Se inicia de oficio por acuerdo del Director de la Agencia de Madrid, bien por: denuncia
del afectado o tercero o por otros motivos o actos como puede ser la actividad
inspectora, que deberá contener:
a. Identificación presuntamente responsable.
b. Descripción sucinta de los hechos, posible calificación y
sanciones c. Órgano competente para resolver
d. Designación Instructor
e. Indicación de derechos del
responsable
f. Medidas provisionales
Con carácter previo a la iniciación se podrán realizar actuaciones previas con objeto de
determinar si concurren circunstancias que justifiquen la iniciación. Tendrán una
duración máxima de 12 meses transcurridos los cuales sin haberse dictado y notificado
inicio de procedimiento producirá la caducidad de las actuaciones previas.
En el caso de infracciones cometidas por las Administraciones Públicas se dictará
resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan
los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al
órgano del que dependan jerárquicamente y a los afectados si los hubiera.
INFRACCIONES
1. Son infracciones leves: sanciones entre 900 € y 40.000 €
No remitir a la Agencia Española de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo.
No solicitar la inscripción del fichero en el Registro General de Protección de
Datos
Recopilar datos personales sin informar previamente
No atender a las solicitudes de rectificación o cancelación
Transmitir datos a un encargado de tratamiento sin cumplir las obligaciones
formales.
2. Son infracciones graves: sanciones entre 40.001 € y 300.000 €
No inscribir los ficheros en la AEPD.
Utilizar los ficheros con finalidad distinta con la se crearon.
No tener el consentimiento del interesado para recabar sus datos personales.
No permitir el acceso a los ficheros.
Mantener datos inexactos o no efectuar las modificaciones solicitadas.
No seguir los principios y garantías de la LOPD.
Tratar datos especialmente protegidos sin la autorización del afectado
No remitir a la AGPD las notificaciones previstas en la LOPD.
Mantener los ficheros sin las debidas condiciones de seguridad.
3. Son infracciones muy graves: sanciones entre 300.001 € y 600.000 €
Crear ficheros para almacenar datos especialmente protegidos.
Recogida de datos con engañoso o fraudulentamente.
Recabar datos especialmente protegidos sin la autorización del afectado.
No atender u obstaculizar de forma sistemática las solicitudes de cancelación o
rectificación.
Vulnerar el secreto sobre datos especialmente protegidos.
La comunicación o cesión de datos cuando ésta no esté permitida.
No cesar en el uso ilegítimo a petición de la AEPD.
Tratar los datos de forma ilegítima o con menosprecio de principios y garantías
que le sean de aplicación.
No atender de forma sistemática los requerimientos de la AEPD.
La transferencia temporal o definitiva de datos de carácter. personal con
destino a países sin nivel de protección equiparable o sin autorización.
8. VIDEOVIGILANCIA
La Instrucción 1/ 2006, de 8 de noviembre de 2006, de la Agencia Española de
Protección de Datos regula la captación y el tratamiento de imágenes mediante
videovigilancia:
Las imágenes se consideran por LOPD como un dato de carácter personal.
La Instrucción se aplica al tratamiento de datos personales de imágenes de
personas físicas identificadas o identificables, con fines de vigilancia a través de
sistemas de cámaras y videocámaras.
Se deberán colocar, en las zonas videovigiladas, al menos un distintivo
informativo ubicado en lugar suficientemente visible. En el primer hueco se
colocaría el nombre del Responsable del Fichero y en el segundo apartado la
dirección a efecto de notificaciones para el ejercicio de los derechos ARCO.
El objeto de la Instrucción comprende la grabación, captación, transmisión,
conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en
tiempo real, así como el tratamiento que resulte de los datos personales relacionados con
ellas. Por el contrario, se excluyen de la Instrucción los datos personales grabados para
uso doméstica y el tratamiento de imágenes por parte de las Fuerzas y Cuerpos de
Seguridad, que está regulado por la Ley Orgánica 4/97, de 4 de agosto.
Los responsables que cuenten con sistemas de videovigilancia deberán cumplir
con el deber de información previsto en la LOPD. A tal fin deberán colocar, en
las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar
suficientemente visible, tanto en espacios abiertos como cerrados.
Según se establece en la Instrucción el contenido y el diseño del distintivo
informativo deberá de incluir una referencia a la “LEY ORGANICA 15/1999,
DE PROTECCIÓN DE DATOS”, incluirá una mención a la finalidad para
la que se tratan los datos (“ZONA VIDEOVIGILADA”), y una mención
expresa a la identificación del responsable ante quien puedan ejercitarse los
derechos de las personas en materia de Protección de Datos.
La AGPD, hasta la entrada en vigor de la Ley 25/2009, venía estableciendo, en
concordancia con lo dispuesto en el artículo 6.1 y 6.2 de la Ley 15/1999, de
Protección de Datos de carácter personal que:
“El mencionado artículo 6 debe de conectarse con lo dispuesto en la Ley
23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), que establece
en su artículo 1.1: “Esta Ley tiene por objeto la prestación por personas, físicas o
jurídicas privadas, de servicios de vigilancia y seguridad de personas o de bienes,
que tendrán la consideración de actividades complementarias y subordinadas
respecto a las de seguridad pública.
Asimismo, el artículo 1.2 añade que:” A los efectos de esta Ley, únicamente
pueden realizar actividades de seguridad privada y prestar servicios de esta
naturaleza las empresas de seguridad y el personal de seguridad privada, que
estará integrado por los vigilantes de seguridad, los vigilantes de explosivos,
los jefes de seguridad, los directores de seguridad, los escoltas privados, los
guardas particulares del campo, los guardas de caza, los guardapescas marítimos
y los detectives privados.
El artículo 5.1 e) de la LSP dispone que: “Con sujeción a lo dispuesto en la
presente Ley y en las normas reglamentarias que la desarrollan, las empresas
de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y
actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas
de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de
Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre. De
este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación
puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las
cámaras, siempre con la finalidad descrita en el citado artículo 1.1.
En consecuencia, cuando se hayan cumplido los requisitos formales establecidos
(inscripción en el Registro de la empresa y comunicación del contrato al
Ministerios del Interior), las empresas de seguridad homologadas y habilitadas
por la autoridad competente podrán instalar dispositivos de seguridad, con fines
de videovigilancia. En conclusión, hasta la entrada en vigor de la Ley
25/2009, de 22 de diciembre era necesario que quien quisiera instalar
dichas cámaras, cumplieran con todos los requisitos antes expuestos.”
La Ley 25/2009 de 22 de diciembre (LEY OMNIBUS) ha establecido
en su Disposición Adicional Sexta que:
“Los prestadores de servicios o las filiales de las empresas de seguridad privada
que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad,
siempre que no incluyan la prestación de servicios de conexión con centrales de
alarma, quedan excluidos de la legislación de seguridad privada siempre y
cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin
perjuicio de otras legislaciones específicas que pudieran resultarles de
aplicación.”
Esto quiere decir que desde el 27 de diciembre de 2009 es posible la instalación
de cámaras de vigilancia que no estén conectadas a centrales de alarma sin
sujeción a la legislación sobre seguridad privada, es decir, sin que se
aplique la LSP. Esta es una modificación legislativa para adaptar nuestra
legislación en esta materia a lo estipulado por la Directiva 2006/123/CE.
Con esta disposición nos encontramos con numerosas cámaras de vigilancia que
están funcionando y captando nuestra imagen sin cobertura legal y sin nuestro
consentimiento
La Agencia Española de protección de datos en su Informe Jurídico 0650/2009,
ha venido a aclarar que dado que la ley 25/2009 permite la instalación y
mantenimiento de dichos equipos por empresas distintas a las de seguridad
privada, legitima a quienes adquieran estos dispositivos para tratar los datos
personales derivados de la captación de las imágenes sin necesidad de acudir a
empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto
en la Ley Orgánica de Protección de Datos de Carácter Personal. Es decir que la
Ley 25/2009 eximiría del pedir el consentimiento previo. No obstante, la
instalación de un sistema de videovigilancia conectado a una central de alarma, sí
seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora, es
decir en estos casos la Ley 23/1992 sería la que eximiría de obtener dicho
consentimiento. En todo caso, el tratamiento de las imágenes deberá
cumplir los restantes requisitos exigibles en materia de protección de datos de
Carácter Personal, recogidos en la Ley Orgánica y, en particular, en la
instrucción 1/2006 de la Agencia Española de Protección de Datos, como
son, entre otros, los relativos a que las imágenes que se capten sean las
necesarias y no excesivas para la finalidad perseguida; el deber de informar a los
interesados, tanto a través de la colocación de carteles informativos como
mediante la puesta a disposición de aquéllos de impresos en que se detalle la
información; la notificación de la existencia de los ficheros a la Agencia
Española de Protección de Datos; o la implantación de medidas de seguridad.
Sólo se considerará admisible la instalación de cámaras o videocámaras cuando
la finalidad de vigilancia no pueda obtenerse mediante otros medios que,
sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la
intimidad de las personas y para su derecho a la protección de datos de carácter
personal.
Las cámaras y videocámaras instaladas en espacios privados no podrán
obtener imágenes de espacios públicos salvo que resulte imprescindible para la
finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de
la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de
datos innecesario para la finalidad perseguida.
Las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no
excesivas en relación con el ámbito y las finalidades determinadas, legítimas y
explícitas, que hayan justificado la instalación de las cámaras o videocámaras.
La creación de un fichero de imágenes de videovigilancia exige su previa
notificación a la Agencia Española de Protección de Datos, para la inscripción en
su Registro General.
EJERCICIO PRÁCTICO AVANZADO Nº 9
VIDEOVIGILANCIA
Tras una llamada telefónica a la policía por los ruidos producidos en un bar de copas la
policía se persona en el establecimiento y dentro de su inspección observa que hay
cámaras de videovigilancia en el establecimiento sin conexión a empresa de seguridad,
concretamente una enfocando únicamente a la entrada, sin identificación de los
transeúntes que pasan por el exterior, y otra dirigida a la caja registradora. El local
cuenta con carteles informativos y con cláusula informativa disponible para los clientes.
Las cámaras han sido instaladas por el propio dueño del establecimiento sin embargo los
agentes levantan Acta, con envío a la Agencia Española para que inicie Procedimiento
Sancionador, por no haber sido instaladas las cámaras por una empresa
homologada. ¿Le podrá multar la Agencia o ganará el Procedimiento sancionador?
9. SOLVENCIA PATRIMONIAL
El artículo 38.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de datos de Carácter Personal, aprobado por Real decreto
1720/2007, de 21 de diciembre en su apartado a) que “sólo será posible la inclusión en
estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la
solvencia económica del afectado, siempre que concurran los siguientes requisitos (…)
existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y
respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o
tratándose de servicios financieros, no se haya planteado una reclamación en los
términos previstos en el Reglamento de los Comisionados para la defensa del cliente
de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.
El artículo 29 de la Ley Orgánica 15/1999 regula este tipo de ficheros, disponiendo en
los sus primeros apartados lo siguiente:
1. Quienes se dediquen a la prestación de servicios de información sobre la
solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal
obtenidos de los registros y las fuentes accesibles al público establecidos al
efecto o procedentes de informaciones facilitadas por el interesado o con su
consentimiento.
2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien
actúe por su cuenta o interés. En estos casos se notificará a los interesados
respecto de los que hayan registrado datos de carácter personal en ficheros, en el
plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido
incluidos y se les informará de su derecho a recabar información de la totalidad
de ellos, en los términos establecidos por la presente Ley.”
El Reglamento diferencia claramente dos tipos de ficheros quedando los regulados
por el artículo 29.1 de la Ley Orgánica 15/1999 sometidos al régimen general
establecido en las normas de protección de datos y siendo de aplicación las
especialidades de la Sección Segunda del Capítulo I del Título IV del reglamento
únicamente a los ficheros regulados por el artículo 29.2 de la Ley Orgánica.
10. TRANSFERENCIA INTERNACIONAL DE DATOS
La transferencia internacional de datos, es un tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo, que
puede constituir una cesión o comunicación de datos o tener por objeto la realización de
un tratamiento de datos por cuenta del responsable del fichero establecido en territorio
español.
Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica
de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007,
de 21 de diciembre.
El exportador de datos es la persona física o jurídica, pública o privada, u órgano
administrativo situado en territorio español que realiza una transferencia de datos de
carácter personal a un país tercero.
El importador de datos es la persona física o jurídica, pública o privada, u órgano
administrativo receptor de los datos, en caso de transferencia internacional de los
mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o
tercero.
Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la
aplicación de la LOPD.
Una transferencia internacional de datos no excluye en ningún caso la aplicación de las
disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia
internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas,
será necesario:
Autorización del Director de la Agencia Española de Protección de Datos, salvo:
Que los datos se transfieran a un país que ofrezca un nivel
adecuado de protección.
Que se trate de supuestos legalmente excepcionados de la
autorización del Director.
El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será
necesaria la autorización previa del Director de la Agencia Española de Protección de
Datos:
Cuando la transferencia internacional de datos de carácter personal resulte
de la aplicación de tratados o convenios en los que sea parte España.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio
judicial internacional
Cuando la transferencia sea necesaria para la prevención o para el diagnóstico
médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de
servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado y el responsable del fichero o para la adopción de medidas
recontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del afectado, por el responsable del
fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de
un interés público. Tendrá esta consideración la transferencia solicitada por una
Administración fiscal o aduanera para el cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo,
desde un Registro público y aquélla sea acorde con la finalidad del mismo.
En aquéllos supuestos en los que sea necesaria la autorización del Director de la Agencia
Española de Protección de Datos para transmisiones de datos fuera del territorio del
Espacio Económico Europeo, la autorización podrá ser otorgada en caso de que el
exportador aporte las garantías de respeto a la protección de la vida privada de los
afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus
respectivos derechos.
También se podrán autorizar transferencias internacionales de datos entre sociedades de
un mismo grupo multinacional de empresas, cuando hubieran sido adoptadas normas o
reglas internas vinculantes para las empresas del Grupo y exigibles conforme al
ordenamiento jurídico español. Los artículos 70.4 y el Título IX, Capítulo V del
RLOPD establecen el régimen jurídico aplicable a las transferencias internacionales en
el seno de una multinacional.
En cuanto al régimen sancionador constituye una falta muy grave, de acuerdo con lo
dispuesto en el artículo 44.4.e) de la LOPD, " La transferencia temporal o definitiva de
datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos
para someterlos a dicho tratamiento, con destino a países que no proporcionen un
nivel de protección equiparable sin autorización del Director de la Agencia Española de
Protección de Datos".
EJERCICIO PRÁCTICO AVANZADO Nº 10
TRANSFERENCIA INTERNACIONAL
Una empresa situada en París tiene una oficina en Madrid, la cual únicamente recoge y
tramita documentación administrativa de la sociedad que remite nuevamente a las
oficinas de Roma.
¿Debería comunicarse dicha transmisión de datos al Director de la Agencia? ¿Está
considerada como Transferencia Internacional de Datos o es Cesión?
PLAN DE ADECUACIÓN EMPRESARIAL A LA LOPD
1. INTRODUCCIÓN
Para realizar correctamente un Plan de Adecuación a la LOPD se debería:
a) Formar a un equipo de trabajo interno, debidamente cualificado.
b) Organizar las funciones que cada miembro debe realizar.
c) Comprobar el grado de cumplimiento de la normativa por nuestra entidad. d) Tener
clara la estructura organizacional de la entidad:
- Departamentos de la empresa
- Sector de la actividad
- Estructura informática
- Tipo de relación con los clientes, proveedores, distribuidores,
colaboradores y empleados.
- Flujos de información con terceros (cesiones, prestaciones de servicio con
acceso a datos)
- Flujos de información interna en función de la estructura organizacional
de la empresa.
Ya que los datos personales son el principal objeto del Plan de Adecuación, para
comenzar a localizar la información correspondiente debemos estudiar los aspectos que
se citan a continuación:
- Procedencia de los Datos
- Tratamiento al que se someten dichos datos
- Comunicación de datos a terceros (cesiones, encargados del tratamiento)
- Medidas de seguridad a adoptar en función del nivel de seguridad aplicable
- Cumplimiento del deber de información a los interesados
- Obtención del consentimiento en todos aquellos supuestos establecidos en la
LOPD y en el RD 1720/2007 tanto para el tratamiento como para la cesión de
datos de carácter personal.
Es necesario revisar toda la documentación que esté relacionada con la protección de
datos, o que contengan datos de carácter personal, de modo que comprobemos el grado
de adecuación de nuestra empresa a la LOPD. Debemos asegurarnos de que toda la
información que se detecte en la entidad, relacionada con el tratamiento de datos
personales sea identificada, valorada y analizada.
Las personas encargadas de su desarrollo y aplicación deberán organizarse tanto para
identificar como para clasificar la documentación que sea necesaria para lograr los
objetivos de auditoría previstos:
- Contratos con empleados, clientes, colaboradores, distribuidores, proveedores,
trabajadores autónomos o procedentes de una ETT, con el Encargado
del Tratamiento de Datos de Carácter Personal
- Cláusulas de información y consentimiento
- Políticas de Privacidad
- Aviso Legal
- Notificaciones ya realizadas al RGPD
- Sistemas
- Procedimientos de Seguridad
- Comprobar la existencia de un Documento de Seguridad
- Informes de Auditoría
Una vez recopilada toda la información, se tendrán en cuenta sólo aquellos documentos
que incidan en la protección de datos, o que contenga datos de carácter personal.
El siguiente paso sería clasificar toda la documentación obtenida tras el análisis con el
propósito de facilitar la identificación de los ficheros que deberán notificarse para su
inscripción en la AEPD.
Finalmente debemos tener presente el nivel de seguridad de los ficheros, para poner en
funcionamiento las medidas de seguridad que corresponda, los procedimientos que se
deban llevar a cabo y todos los aspectos concretos del tratamiento.
2. IDENTIFICACIÓN DE FICHEROS
2.1 CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS
El artículo 25 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal, establece que “podrán crearse ficheros de titularidad privada que
contengan datos de carácter personal cuando resulte necesario para el logro de la
actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las
garantías que esta Ley establece para la protección de las personas”.
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia de Protección de Datos (artículo 26.1
LOPD).
2.2 FICHEROS AUTOMATIZADOS
Podemos considerar como ficheros automatizados, aquellos cuyo soporte físico no
permite su lectura, o escritura directa, sino que se requiere la utilización de un ordenador
o dispositivo electrónico intermediario que permita la extracción/introducción, y
posterior lectura/escritura de los mismos, a través de un periférico como monitor,
impresora, teclado, etc. Dentro de este grupo, se encuentran los ficheros incluidos en
una base de datos contenida en el disco duro de un ordenador, los ficheros contenidos e
un CD, DVD, etc.
Los ficheros automatizados, son ficheros de datos que se han creado utilizando un
soporte informático. Podemos distinguir dos tipos:
- Los creados utilizando una herramienta informática determinada para el
almacenamiento de datos personales como, por ejemplo, una base de datos.
- Los creados utilizando cualquier soporte que contenga los datos personales,
de un modo organizado permitiendo el acceso, o localización de los clientes
como, por ejemplo, una hoja de cálculo.
Una vez que tengamos claro que contamos con un fichero de datos automatizado,
debemos notificarlo para su inscripción en el RGPD. Asimismo, tendremos que
implantar las medidas de seguridad pertinentes en los sistemas, equipos y locales donde
se realice el tratamiento de datos.
Las medidas de seguridad aplicables a los ficheros automatizados serán las siguientes:
a) NIVEL BÁSICO:
- Descripción del Sistema Informático de acceso al fichero
El Responsable del fichero debe establecer un mecanismo que permita la
identificación de forma inequívoca y personalizada de todo aquel usuario
que intente acceder al sistema de información y la verificación de que está
autorizado.
El mecanismo de autenticación está basado en un sistema de contraseñas, esto
debe comprender un procedimiento de asignación, distribución y almacenamiento
que garantice su confidencialidad e integridad.
La periodicidad para cambiar las contraseñas en ningún caso debe ser superior a
un año. La empresa debe almacenarlas de forma ininteligible para el resto de la
gente.
- Personal Autorizado para Acceder al Fichero
El Responsable del fichero debe elaborar una relación actualizada de los usuarios
y perfiles de los usuarios donde se detalle; Nombre y apellido, DNI y Cargo que
ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos.
- Procedimientos de Control de Acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Es función del Responsable del fichero establecer mecanismos para evitar
que un usuario pueda acceder a recursos con derechos distintos de los
autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios
sobre los recursos de la empresa relativos a los datos de carácter personal,
conforme a los criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los
datos de carácter personal gestionados por ésta misma, debe estar sometido a las
mismas condiciones y obligaciones de seguridad que el resto del personal de la
empresa.
- Copias de Respaldo y Recuperación
La empresa debe llevar a cabo las copias de respaldo, semanalmente, con la única
excepción que se hayan producido modificaciones, salvo que en dicho periodo no
se hubiera producido una actualización de los datos. El Responsable del Fichero
se encargará de verificar cada seis meses la correcta definición,
funcionabilidad y aplicación de los procedimientos de realización de copias de
respaldo y recuperación de los datos.
- Gestión de Soportes-Inventario de Soportes
Los soportes y documentos que contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen, ser inventariados y sólo
deberán ser accesibles por el personal indicado para ello.
La salida de soportes y documentos que contengan datos de carácter personal,
incluidos los comprendidos en un correo electrónico, fuera de la empresa,
deberá ser autorizada por el Responsable del Fichero. En el traslado de la
documentación, se deberán adoptar las medidas dirigidas a evitar la sustracción,
pérdida o acceso indebido a la información durante su transporte.
Cuando se proceda a desechar cualquier documento o soporte que contenga datos
de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de las medidas dirigidas a evitar el acceso a la información contenida
en el mismo o su recuperación posterior.
La identificación de los soportes que contengan datos de carácter personal
que la empresa considere especialmente delicados dentro del nivel de
seguridad básico, deberán ser etiquetados de forma comprensible y con
significado que permita a los usuarios con acceso a estos soportes y documentos
identificar su contenido, de tal forma que no sea comprensible para el resto.
- Funciones y Obligaciones del Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que
afecten al desarrollo de sus funciones, así como, debe informar, al personal, a
cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del Fichero debe rellenar en este apartado los siguientes
aspectos comprendidos dentro del Documento de Seguridad:
El procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal,
Hacer constar el tipo de incidencia; el momento en que se ha producido, o
en su caso,
La persona que realiza la notificación,
A quien se le comunica,
Los efectos que se hubieran derivado de la misma y
Las medidas correctoras.
- Encargado del Tratamiento
El Encargado del Tratamiento contratado por la empresa debe cumplir con las
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal.
CIF
Dirección
Código Postal
Localidad.
Ciudad.
pág. 91
b) NIVEL MEDIO
- Descripción del Sistema Informático de Acceso al Fichero
El Responsable del fichero de la empresa debe establecer un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
Exclusivamente, el personal autorizado en el presente documento de seguridad
podrá tener acceso a los lugares donde se hallen instalados los equipos físicos
que den soporte a los sistemas de información.
El mecanismo de autenticación basado en un sistema de contraseñas, debe
comprender un procedimiento de asignación, distribución y almacenamiento que
garantice su confidencialidad e integridad. El Responsable del Fichero debe
establecer, para este nivel de seguridad un mecanismo que limite la posibilidad
de intentar reiteradamente el acceso no autorizado a los sistemas de información.
La periodicidad para cambiar las contraseñas en ningún caso debe ser superior a
un año, mientras estén vigentes, éstas se almacenarán de forma ininteligible.
- Personal Autorizado para Acceder al Fichero
El Responsable del fichero debe elaborar una relación actualizada de los que
ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos.
- Procedimientos de Control de Acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y
salida de soportes con la siguiente información:
Tipo de documento o soporte.
La fecha y hora
El emisor.
pág. 92
El número de documentos o soportes incluidos en el envío.
El tipo de información.
La forma de envío.
Personal responsable de la recepción que deberá estar debidamente
autorizada.
Es función del Responsable del fichero establecer mecanismos para evitar
que un usuario pueda acceder a recursos con derechos distintos de los
autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios
sobre los recursos de la empresa relativos a los datos de carácter personal,
conforme a los criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los
datos de carácter personal gestionados por ésta misma, debe estar sometido a las
mismas condiciones y obligaciones de seguridad que el resto del personal de la
empresa.
- Copias de Respaldo y Recuperación
La empresa debe llevar a cabo las copias de respaldo, semanalmente, salvo que
en dicho periodo no se hubiera producido una actualización de los datos. El
Responsable del Fichero se encargará de verificar cada seis meses la correcta
definición, funcionabilidad y aplicación de los procedimientos de realización de
copias de respaldo y recuperación de los datos.
- Gestión de Soportes-Inventario de Soportes
Los soportes y documentos que contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen, ser inventariados y sólo
deberán ser accesibles por el personal indicado para ello.
La salida de soportes y documentos que contengan datos de carácter personal,
incluidos los comprendidos en un correo electrónico, fuera de la empresa,
deberá ser autorizada por el Responsable del Fichero. En el traslado de la
documentación, se deberán adoptar las medidas dirigidas a evitar la sustracción,
pág. 93
pérdida o acceso indebido a la información durante su transporte.
Cuando se proceda a desechar cualquier documento o soporte que contenga datos
de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de las medidas dirigidas a evitar el acceso a la información contenida
en el mismo o su recuperación posterior.
La identificación de los soportes que contengan datos de carácter personal
que la empresa considere especialmente delicados dentro del nivel de
seguridad básico, deberán ser etiquetados de forma comprensible y con
significado que permita a los usuarios con acceso a estos soportes y documentos
identificar su contenido, de tal forma que no sea comprensible para el resto.
- Funciones y Obligaciones del Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que
afecten al desarrollo de sus funciones, así como debe informar, al personal, a
cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento.
En el nivel que nos encontramos deberán designarse uno o varios responsables de
seguridad encargados de desempeñar las siguientes funciones; coordinar y
controlar las medidas definidas en el mismo. En el Documento de Seguridad
debemos hacer constar si existen varios Responsables de Seguridad para una
misma materia o según existan materias distintas.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del fichero debe rellenar en este apartado:
El procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal,
Constar el tipo de incidencia, el momento en que se ha producido, o en su
caso,
La persona que realiza la notificación,
A quien se le comunica,
Efectos que se hubieran derivado de la misma,
pág. 94
Medidas correctoras,
Procedimientos realizados de recuperación de los datos,
Indicación de la persona que ejecutó el proceso,
Los datos restaurados, y en los casos oportunos cuales son los datos
que han sido necesarios grabar manualmente en el procedimiento de
recuperación.
Autorización del Responsable del Fichero para la ejecución
de los procedimientos de recuperación de los datos.
- Encargado del Tratamiento
El encargado del tratamiento contratado por la empresa debe cumplir con las
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal.
CIF
Dirección
Código Postal
Localidad.
Ciudad.
c) NIVEL ALTO:
- Descripción del Sistema Informático
El Responsable del fichero debe establecer un mecanismo que permita la
identificación de forma inequívoca y personalizada de todo aquel usuario
que intente acceder al sistema de información y la verificación de que está
autorizado.
De cada intento de acceso se guardarán, como mínimo los siguientes datos:
Identificación del usuario,
La fecha y hora en que se realizó.
El fichero accedido,
El tipo de acceso,
pág. 95
Si el acceso ha sido autorizado o denegado.
El periodo mínimo de conservación de los datos será de dos años, de tal manera
que el Responsable de Seguridad designado por la empresa se encargará de
resolver, al menos una vez al mes la información de control registrada y
elaborar un informe de las revisiones realizadas y los problemas detectados.
- Entorno del Sistema Operativo y de las Comunicaciones
Las medidas de seguridad que deben implantarse para la transmisión de los datos
de carácter personal a través de redes públicas o redes inalámbricas de
comunicaciones electrónicas se realizará cifrando dichos datos o bien
utilizando cualquier otro mecanismo que garantice que la información no sea
inteligible ni manipulada por terceros.
- Personal Autorizado para Acceder al Fichero
El Responsable del fichero debe elaborar una relación actualizada de los usuarios
y perfiles de los usuarios donde se detalle; Nombre y apellido, DNI y Cargo que
ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos.
- Procedimientos de Control de Acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y
salida de soportes con la siguiente información:
Tipo de documento o soporte.
La fecha y hora
El emisor.
El número de documentos o soportes incluidos en el envío.
El tipo de información.
La forma de envío.
Personal responsable de la recepción que deberá estar debidamente
autorizada.
pág. 96
Es función del Responsable del fichero establecer mecanismos para evitar
que un usuario pueda acceder a recursos con derechos distintos de los
autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios
sobre los recursos de la empresa relativos a los datos de carácter personal,
conforme a los criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los
datos de carácter personal gestionados por ésta misma, debe estar sometido a las
mismas condiciones y obligaciones de seguridad que el resto del personal de la
empresa.
- Copias de Respaldo y Recuperación
Los soportes y documentos que contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen, utilizando sistemas de
etiquetado comprensibles y con significado que permitan a los usuarios con
acceso autorizado a los citados soportes y documentos identificar su contenido,
y dificulten la identificación para el resto de las personas.
La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice
que dicha información no sea accesible o manipulada durante su transporte. Se
cifrarán los datos que contengan los dispositivos portátiles cuando éstos se
encuentren fuera de las instalaciones que están bajo el control del responsable del
fichero.
- Gestión de Soportes-Inventario de Soportes
La empresa Responsable del fichero debe realizar una copia de respaldo de los
datos y de los procedimientos de recuperación de los datos y de los
procedimientos de recuperación de los mismos en lugar diferente de aquel en que
se encuentren los equipos informáticos que los tratan, utilizando elementos que
garanticen la integridad y recuperación de la información, de forma que sea
posible su recuperación.
pág. 97
- Funciones y Obligaciones del Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que
afecten al desarrollo de sus funciones, así como debe informar, al personal, a
cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento.
En el nivel que nos encontramos deberán designarse uno o varios responsables de
seguridad encargados de desempeñar las siguientes funciones; coordinar y
controlar las medidas definidas en el mismo. En el Documento de Seguridad
debemos hacer constar si existen varios Responsables de Seguridad para una
misma materia o según existan materias distintas.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del fichero debe rellenar en este apartado:
El procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal
Constar el tipo de incidencia, el momento en que se ha producido, o en su
caso
La persona que realiza la notificación
A quien se le comunica
Efectos que se hubieran derivado de la misma
Medidas correctoras
Procedimientos realizados de recuperación de los datos
Indicación de la persona que ejecutó el proceso
Los datos restaurados, y en los casos oportunos cuales son los datos
que han sido necesarios grabar manualmente en el procedimiento de
recuperación
Autorización del Responsable del Fichero para la ejecución
de los procedimientos de recuperación de los datos
- Encargado del Tratamiento
El encargado del tratamiento contratado por la empresa debe cumplir con las
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
pág. 98
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal
CIF
Dirección
Código Postal
Localidad
Ciudad
2.3 FICHEROS NO AUTOMATIZADOS
Son ficheros no automatizados aquellos cuyo soporte físico permite la lectura y escritura
directa, sin necesidad de utilizar un dispositivo electrónico intermediario. Aquí
podríamos incluir, los datos contenidos en soporte papel u otro material imprimible, y
que podemos tener ordenados en una carpeta, cuaderno, fichero, etc.
En el momento de la inscripción del fichero habrá que tener en cuenta los
siguientes datos:
- Nombre y descripción del fichero
- Finalidad y usos del fichero
- Estructura del fichero
- Procedencia de los datos
- Nivel de seguridad del fichero
- Consentimiento de los afectados
- Previsión de cesiones de datos
Finalmente, no será necesario aplicar las medidas de seguridad de carácter organizativo
o jurídico, informando a los afectados y garantizando que sus derechos están protegidos.
Las medidas de seguridad aplicables a los ficheros no automatizados son las siguientes:
a) NIVEL BÁSICO
- Locales y Equipamientos
Los datos de carácter personal recogidos en soporte papel deberá ser archivado por
la empresa, de acuerdo con los criterios de archivo que se encuentre protocolizados
por la empresa, en caso de que no existan tendrá que ser establecido por el
Responsable del Fichero.
pág. 99
Es necesario que los dispositivos de almacenamiento dispongan de mecanismos que
obstaculicen su apertura, en caso de que no se disponga de éstas el Responsable del
Fichero adoptará las medidas que impidan el acceso de personan no autorizadas.
La persona que disponga de los documentos que contienen datos de carácter
personal, en el desempeño de sus funciones, al encontrarse esta información en
proceso de revisión o tramitación, la persona que se encuentre a cargo de la misma
deberá custodiarla e impedir en todo momento que pueda ser accedida por persona
no autorizada.
- Procedimientos de control de acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Es función del Responsable del fichero establecer mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre
los recursos de la empresa relativos a los datos de carácter personal, conforme a los
criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los
datos de carácter personal gestionados por ésta misma, debe estar sometido a las
mismas condiciones y obligaciones de seguridad que el resto del personal de la
empresa.
- Gestión de Soportes-Inventario de Soportes
Los soportes y documentos que contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen, ser inventariados y sólo
deberán ser accesibles por el personal indicado para ello.
La salida de soportes y documentos que contengan datos de carácter personal,
incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser
autorizada por el Responsable del Fichero. En el traslado de la documentación,
pág. 100
se deberán adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso
indebido a la información durante su transporte.
Cuando se proceda a desechar cualquier documento o soporte que contenga
datos de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de las medidas dirigidas a evitar el acceso a la información contenida
en el mismo o su recuperación posterior.
La identificación de los soportes que contengan datos de carácter personal que la
empresa considere especialmente delicados dentro del nivel de seguridad básico,
deberán ser etiquetados de forma comprensible y con significado que permita a los
usuarios con acceso a estos soportes y documentos identificar su contenido, de
tal forma que no sea comprensible para el resto.
- Funciones y Obligaciones el Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que afecten
al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las
consecuencias en que pudiere incurrir en caso de incumplimiento.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del fichero debe rellenar en este apartado:
el procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal,
constar el tipo de incidencia, el momento en que se ha producido, o en su
caso,
la persona que realiza la notificación,
a quien se le comunica,
los efectos que se hubieran derivado de la misma y
las medidas correctoras.
- Encargado del Tratamiento
El encargado del tratamiento contratado por la empresa debe cumplir con las
pág. 101
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal
CIF
Dirección
Código Postal
Localidad
Ciudad
b) NIVEL MEDIO
- Locales y Equipamientos
Los datos de carácter personal recogidos en soporte papel deberá ser archivado por la
empresa, de acuerdo con los criterios de archivo que se encuentre protocolizados por
la empresa, en caso de que no existan tendrá que ser establecido por el
Responsable del Fichero.
Es necesario que los dispositivos de almacenamiento dispongan de mecanismos que
obstaculicen su apertura, en caso de que no se disponga de éstas el Responsable del
Fichero adoptará las medidas que impidan el acceso de personan no autorizadas.
La persona que disponga de los documentos que contienen datos de carácter
personal, en el desempeño de sus funciones, al encontrarse esta información en
proceso de revisión o tramitación, la persona que se encuentre a cargo de la misma
deberá custodiarla e impedir en todo momento que pueda ser accedida por persona
no autorizada.
- Procedimientos de Control de Acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Es función del Responsable del fichero establecer mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
pág. 102
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre
los recursos de la empresa relativos a los datos de carácter personal, conforme a los
criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos
de carácter personal gestionados por ésta misma, debe estar sometido a las mismas
condiciones y obligaciones de seguridad que el resto del personal de la empresa.
Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y
salida de soportes con la siguiente información:
Tipo de documento o soporte.
La fecha y hora
El emisor.
El número de documentos o soportes incluidos en el envío.
El tipo de información.
La forma de envío.
Personal responsable de la recepción que deberá estar debidamente
autorizada.
Es función del Responsable del fichero establecer mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
Únicamente, las personas que hayan sido designadas en este documento de seguridad
podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los
recursos de la empresa relativos a los datos de carácter personal, conforme a los
criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos
de carácter personal gestionados por ésta misma, debe estar sometido a las mismas
condiciones y obligaciones de seguridad que el resto del personal de la empresa.
- Gestión de Soportes-Inventario de Soportes
Los soportes y documentos que contengan datos de carácter personal deberán
pág. 103
permitir identificar el tipo de información que contienen, ser inventariados y sólo
deberán ser accesibles por el personal indicado para ello.
La salida de soportes y documentos que contengan datos de carácter personal,
incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser
autorizada por el Responsable del Fichero. En el traslado de la documentación,
se deberán adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso
indebido a la información durante su transporte.
Cuando se proceda a desechar cualquier documento o soporte que contenga
datos de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de las medidas dirigidas a evitar el acceso a la información contenida
en el mismo o su recuperación posterior.
La identificación de los soportes que contengan datos de carácter personal que la
empresa considere especialmente delicados dentro del nivel de seguridad básico,
deberán ser etiquetados de forma comprensible y con significado que permita a los
usuarios con acceso a estos soportes y documentos identificar su contenido, de
tal forma que no sea comprensible para el resto.
- Funciones y Obligaciones del Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que afecten
al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las
consecuencias en que pudiere incurrir en caso de incumplimiento.
En el nivel que nos encontramos deberán designarse uno o varios responsables de
seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar
las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer
constar si existen varios Responsables de Seguridad para una misma materia o
según existan materias distintas.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del fichero debe rellenar en este
apartado:
pág. 104
El procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal,
Constar el tipo de incidencia, el momento en que se ha producido, o en su
caso,
La persona que realiza la notificación,
A quien se le comunica,
Efectos que se hubieran derivado de la misma,
Medidas correctoras,
Procedimientos realizados de recuperación de los datos,
Indicación de la persona que ejecutó el proceso,
Los datos restaurados, y en los casos oportunos cuales son los datos que
han sido necesarios grabar manualmente en el procedimiento de
recuperación.
Autorización del Responsable del Fichero para la ejecución de los
procedimientos de recuperación de los datos.
- Encargado del Tratamiento
El encargado del tratamiento contratado por la empresa debe cumplir con las
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal.
CIF
Dirección
Código Postal
Localidad.
Ciudad.
c) NIVEL ALTO
Los armarios, archivadores u otros elementos en los que se almacenan los ficheros no
pág. 105
automatizados con datos de carácter personal deben encontrarse en áreas
dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Estas
áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos
incluidos en el fichero.
- Personal Autorizado para Acceder al Fichero
El acceso a la documentación se limitará exclusivamente al personal autorizado, se
establecerán mecanismos que permitan identificar los accesos realizados en el caso
de documentos que puedan ser utilizados por múltiple usuarios.
- Procedimiento de Control de Acceso
Debe implantarse un control de acceso que permita a los usuarios tener acceso,
únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones.
Es función del Responsable del Fichero establecer mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre
los recursos de la empresa relativos a los datos de carácter personal, conforme a los
criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos
de carácter personal gestionados por ésta misma, debe estar sometido a las mismas
condiciones y obligaciones de seguridad que el resto del personal de la empresa.
Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y
salida de soportes con la siguiente información:
Tipo de documento o soporte
La fecha y hora
El emisor
El número de documentos o soportes incluidos en el envío
El tipo de información
La forma de envío
pág. 106
Personal responsable de la recepción que deberá estar debidamente autorizada
Es función del Responsable del fichero establecer mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
Únicamente, las personas que hayan sido designadas en este documento de
seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios
sobre los recursos de la empresa relativos a los datos de carácter personal, conforme
a los criterios establecidos por el Responsable del fichero.
En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos
de carácter personal gestionados por ésta misma, debe estar sometido a las mismas
condiciones y obligaciones de seguridad que el resto del personal de la empresa.
- Copia o Reproducción
La realización de copias o reproducción de los documentos únicamente podrá ser
realizada bajo el control del personal autorizado en el documento de seguridad.
Deberá procederse a la destrucción de las copias o reproducciones desechadas de
forma que evite el acceso a la información contenida en las mismas o su recuperación
posterior.
- Gestión de Soportes-Inventario de Soportes
Los soportes y documentos que contengan datos de carácter personal deberán
permitir identificar el tipo de información que contienen, utilizando sistemas de
etiquetado comprensibles y con significado que permitan a los usuarios con acceso
autorizado a los citados soportes y documentos identificar su contenido, y dificulten
la identificación para el resto de las personas.
La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice
que dicha información no sea accesible o manipulada durante su transporte. Se
cifrarán los datos que contengan los dispositivos portátiles cuando éstos se
encuentren fuera de las instalaciones que están bajo el control del responsable del
fichero.
pág. 107
La empresa Responsable del Fichero debe realizar una copia de respaldo de los
datos y de los procedimientos de recuperación de los datos y de los procedimientos
de recuperación de los mismos en lugar diferente de aquel en que se encuentren los
equipos informáticos que los tratan, utilizando elementos que garanticen la
integridad y recuperación de la información, de forma que sea posible su
recuperación.
- Funciones y Obligaciones del Personal
El Responsable del Fichero debe adoptar las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que afecten
al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las
consecuencias en que pudiere incurrir en caso de incumplimiento.
En el nivel que nos encontramos deberán designarse uno o varios responsables de
seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar
las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer
constar si existen varios Responsables de Seguridad para una misma materia o
según existan materias distintas.
- Procedimientos de Notificación y Registro de Incidencias
La empresa Responsable del fichero debe rellenar en este
apartado:
El procedimiento de notificación y gestión de las incidencias que afecten
a los datos de carácter personal,
Constar el tipo de incidencia, el momento en que se ha producido, o en su
caso,
La persona que realiza la notificación,
A quien se le comunica,
Efectos que se hubieran derivado de la misma,
Medidas correctoras,
Procedimientos realizados de recuperación de los datos,
Indicación de la persona que ejecutó el proceso,
Los datos restaurados, y en los casos oportunos cuales son los datos que
pág. 108
han sido necesarios grabar manualmente en el procedimiento de
recuperación.
Autorización del Responsable del Fichero para la ejecución de los
procedimientos de recuperación de los datos.
- Encargado del Tratamiento
El encargado del tratamiento contratado por la empresa debe cumplir con las
medidas de seguridad que observa la Ley, a este respecto. En el Documento de
seguridad deben quedar recogidos los datos identificativos del mismo:
Nombre fiscal.
CIF
Dirección
Código Postal
Localidad.
Ciudad.
3. NOTIFICACIÓN DE CREACIÓN, MODIFICACIÓN Y
SUPRESIÓN DE FICHEROS DE TITULARIDAD PRIVADA A LA
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
a) Creación de Ficheros Privados
Los ficheros privados son aquellos, de los que son responsables las personas, empresas o
entidades de derecho privado, con independencia de quién ostente la titularidad de su
capital o de la procedencia de sus recursos económicos, así como los ficheros de los que
sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se
encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a
las mismas atribuye su normativa específica.
Existe la posibilidad de crearlos sólo con el requisito de que su existencia sea necesaria
para el logro de la actividad u objeto legítimo de la personal, empresa o entidad que sean
titulares del fichero. Se tiene que justificar que la creación del fichero es una necesidad,
pág. 109
si no, se puede denegar la inscripción en el Registro General. Se obliga a los ficheros que
una vez creados, respeten las garantías de la LOPD y las establecidas en el Reglamento.
Todo esto significa que la inscripción del fichero en el Registro es un paso previo para su
funcionamiento, que, cualquiera que sea, debe cumplir con la LOPD y su reglamento.
Los ficheros de datos de carácter personal de titularidad privada, serán notificados a la
Agencia Española de Protección de Datos, por la persona o entidad privada que pretenda
crearlos, con carácter previo a su creación.
La notificación previa a la inscripción de los ficheros en la Agencia Española de
Protección de Datos ha de contener:
- Identificación del Responsable del Fichero
- Identificación del Fichero
- Finalidades y usos previstos
- El sistema de tratamiento empleado para su organización
- El colectivo de personas sobre las que se obtienen datos
- El procedimiento y procedencia de los datos
- Las categorías de datos
- El servicio o unidad de acceso
- La indicación del nivel de medidas de seguridad básico, medio o
alto exigible
- Identificación en su caso, del encargado del tratamiento donde se
encuentra ubicado el fichero
- Los destinatarios de cesiones y transferencias
internacionales de datos
La notificación se realizará conforme al siguiente procedimiento establecido en el
Capítulo IV del Título VIII del reglamento.
b) Procedimiento de Inscripción o Cancelación de los Ficheros
El procedimiento de inscripción de los ficheros, se iniciará con la notificación de
la creación, modificación o supresión de los ficheros por el interesado o en su caso.
pág. 110
La notificación se efectuará cumplimentando los modelos o formularios electrónicos de
la notificación de creación, modificación o supresión de ficheros, publicados por la
Agencia Española de Protección de Datos, que permitan su presentación a través de
medios telemáticos o en soporte papel.
Estos modelos o formularios se podrán obtener gratuitamente en la página web de
la Agencia Española de Protección de Datos. El Director de la Agencia, podrá establecer
procedimientos simplificados de notificación en atención a las circunstancias que
concurran en el tipo de fichero al que se refiera la notificación.
La notificación se podrá efectuar tanto en soporte electrónico como en un soporte papel,
la notificación en soporte electrónico podrá realizarse mediante:
- Comunicación electrónica a través de Internet
- Firma electrónica
- Soporte informático
La Agencia pondrá a disposición de los interesados de forma gratuita, un programa
de ayuda para la generación de las notificaciones.
La notificación efectuada en soporte papel será válida cuando, para su cumplimentación,
hayan sido utilizados los modelos o formularios publicados por la Agencia.
En la notificación, Responsable del Fichero deberá declarar un domicilio a efectos de
notificaciones en el procedimiento.
Una vez recibida la notificación, si la misma no contuviera la información preceptiva o
se advirtieran defectos formales, el Registro Central de Protección de Datos,
requerirá al Responsable del Fichero que complete o subsane la notificación,
deberá subsanarse o mejorar la solicitud en el plazo de tres meses, en el caso de que sea
necesario modificar la norma o acuerdo de creación del fichero.
El director de la Agencia Española de Protección de Datos dictará resolución denegando
la inscripción, modificación, y/o cancelación cuando, de los documentos aportados, se
desprenda que la notificación no está conforme a la LOPD. La resolución deberá estar
motivada, es decir, deberán indicarse las causas que dieron lugar a que no se inscribiera,
modificara o cancelara el fichero.
pág. 111
Si la notificación referida a la creación, modificación o supresión de ficheros contuviera
la información preceptiva y se cumplieran todas las exigencias legales se procederá
a la inscripción de los ficheros en el Registro General de Protección de Datos. La
inscripción contendrá:
o El código asignado en el Registro
o La identificación del Responsable del Fichero
o La identificación del fichero o tratamiento
o La descripción de su finalidad y usos previstos
o El sistema de tratamiento empleado en su organización
o El Colectivo de personas sobre el que se obtienen los datos
o El Procedimiento y procedencia de los datos
o Las categorías de los datos
o El servicio o unidad de acceso
o Nivel de medidas de seguridad exigible conforme a lo establecido en el
art. 81 del reglamento
o Así como, en su caso, la identificación del encargado de tratamiento en
donde se encuentre ubicado el fichero
o Los destinatarios de cesiones y transferencias internacionales
La inscripción del fichero deberá encontrarse en todo momento actualizada.
Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá
ser notificada a la agencia Española de Protección de datos o a las autoridades de
control autonómicas competentes, conforme a lo que hemos mencionado anteriormente.
En el caso de que el responsable del fichero decida la supresión, también deberá
notificarse a la AEPD para que se proceda a la cancelación de la inscripción en el
registro correspondiente. En la notificación de la modificación o supresión de ficheros,
deberá indicarse en la misma el código de inscripción del fichero en el Registro General
de Protección de Datos.
El Director de la Agencia de Protección de datos podrá acordar de oficio la cancelación
de la inscripción de un fichero cuando concurran circunstancias que acrediten la
pág. 112
imposibilidad de su existencia, bien por propia iniciativa, o en virtud de denuncia, previa
tramitación del procedimiento establecido en el Título XI en su Capítulo IV del
reglamento.
Pasos a seguir para la correcta cumplimentación de los formularios nota de titularidad
privada en soporte papel a través del Sitio Web de la Agencia Española de Protección de
datos www.agpd.es:
pág. 113
Paso 1: El primer paso, es entrar en la página principal de la AEPD (www.agpd.es)
Arriba aparecen varias opciones, una de éstas es “Responsable de Ficheros”. Hacemos
doble clic y aparece una lista desplegable, en la que aparece “Inscripción de ficheros”
como se muestra en la siguiente imagen.
Cuadro
1
pág. 114
Paso 2: El segundo paso, es hacer un doble clic en inscripción de ficheros, y aparece
Obtención del Formulario Nota (NOTA), como se indica en la imagen siguiente.
Cuadro 2
pág. 115
Paso 3: Una vez dentro de “Obtención del Formulario Nota” seleccionamos el
campo
“Formulario Nota de titularidad Privada”
Cuadro 3
pág. 116
Paso 4: Dentro del “Formulario Nota de Titularidad Privada” podremos dar de alta,
modificar o suprimir ficheros seleccionando “Alta”, “Modificación”, “Supresión” en
función de la acción que queramos llevar a cabo, tal y como viene reflejado en el Cuadro
4.
Paso 5: Una vez seleccionada el “Alta”, “Modificación” o “Supresión” tendremos la
opción de utilizar alguno de los formularios TIPO que se facilitan a través de la página
web de la AEPD. En caso de que, el fichero que queramos inscribir no se
encuentre, seleccionaremos el formulario nota NORMAL (Formulario en Papel,
Internet, Internet firmado con certificado digital) tal y como se establece en el siguiente
cuadro.
Cuadro
4
pág. 117
Paso 6: Cumplimentar el formulario en papel TIPO o NORMAL.
1. Introducimos los datos del Responsable del Fichero como entidad que decide
sobre el contenido, finalidad y uso del tratamiento. En este punto son campos
obligatorios la Denominación Social, CIF/NIF, Dirección, Código Postal,
Localidad y Provincia. El teléfono, fax y e-mail no son obligatorios.
2. Cumplimentamos la dirección a efectos de notificaciones donde los interesados
puedan ejercitar sus derechos ARCO ante el Responsable del Fichero (Acceso,
Rectificación, Cancelación y Oposición) siempre y cuando no coincida con el
domicilio social.
3. En este apartado cumplimentaremos la dirección del Responsable del Fichero a
efectos de notificaciones en el supuesto de que sea distinta a la establecida en los
dos puntos anteriores.
Cuadro 5
pág. 118
4. Cumplimentamos los datos de contacto del Encargado del Tratamiento como
prestador de servicios con acceso a datos del Responsable del Fichero.
Son de obligada cumplimentación la Razón Social de la empresa, su Domicilio
y CIF. El teléfono, fax y e-mail no son obligatorios.
Cuadro 6
pág. 119
5. Identificamos el fichero a registrar en el AEPD así como las finalidades y usos
previstos por el Responsable.
Cuadro7
pág. 120
6. Haremos referencia al origen de la información personal tratada así como el
colectivo o categoría de interesados (entendidos como personas físicas de las que
tratamos información personal).
Cuadro 8
pág. 121
7. En el punto 7 identificaremos el tipo de datos recabados incluidos en el
fichero de referencia así como el sistema de tratamiento ya sea automatizado,
manual o mixto.
Cuadro9
pág. 122
8. El siguiente paso será identificar el nivel de seguridad aplicable en función
de la tipología de datos recabados de los interesados (nivel básico, nivel medio,
nivel algo).
Cuadro 10
9. Aparece un listado de entidades a las que el responsable del fichero está
autorizado a comunicar sus datos. Marcaremos cada una en los siguientes casos:
Organizaciones o Personas directamente relacionadas con el
responsable: Cuando se le comunican los datos del fichero a alguna
empresa o persona vinculada al Responsable del Fichero.
Organismos de la Seguridad Social: Para ficheros de Nóminas y Personal
donde se comunican los datos de trabajadores de la empresa.
Registros Públicos: Para el caso de que se comuniquen datos a Registros
Públicos.
Ej. Registro Mercantil, Registro de la Propiedad, Registro de la
Propiedad
Intelectual.
Otros Órganos de la Administración Pública: Cuando se ceden datos de
los ficheros a cualquier otro órgano que no esté previsto en el listado de
opciones.
Comisión Nacional del Mercado de Valores
Comisión Nacional de Juego
Notarios y Procuradores
pág. 123
Fuerzas y Cuerpos de Seguridad: Para el fichero de Videovigilancia o
algún otro fichero que recoja datos con interés policial o judicial.
Organismos de la Unión Europea
pág. 124
Entidades dedicadas al cumplimiento/ incumplimiento de
Obligaciones
Dinerarias
Bancos/ Cajas de Ahorro y Cajas Rurales: Para ficheros que contengan
datos económicos o financieros (Nominas y Personal, Clientes y
Proveedores).
Entidades Aseguradoras
Otras Entidades Financieras
Entidades Sanitarias: Cuando se ceden datos contenidos en ficheros de
Pacientes, o algún otro dato relacionado con la salud de una personal.
Prestaciones de Servicios de Telecomunicaciones
Empresas dedicadas a Publicidad o Marketing Directo
Asociaciones y Organizaciones sin ánimo de lucro
Sindicatos y Juntas de Personal: Para ficheros de Nominas y Personal de
los trabajadores de la empresa, en caso de que se cedieran sus datos a alguna
organización sindical.
Administración Pública con competencia en la materia: Fundamental
en muchos tipos de ficheros. Ej. Videovigilancia con sesión de datos a la
Administración de Justicia.
Cuadro 11
pág. 125
10. Este último apartado lo cumplimentaremos única y exclusivamente en el
supuesto de que el Responsable del Fichero comunique algún dato, incluido
en el fichero, a una persona física y/o jurídica que esté ubicada fuera del
Espacio Económico Europea. Seleccionaremos el País de Destino y la categoría
de destinatarios de la cesión realizada.
Cuadro 12
pág. 126
Paso 7: Validaremos el formulario nota “Validar” para ver si hemos completado
todos los campos obligatorios, y una vez validado seleccionaremos “Cumplimentar hoja
de solicitud”.
Cuadro 13
pág. 127
c) Notificaciones Telemáticas a la AEPD
El sistema de Notificaciones Telemáticas a la AEPD (NOTA), aprobado mediante
Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006,
permite a los Responsables de Ficheros con datos de carácter personal de titularidad
pública y de titularidad privada:
o Cumplir con la obligación que la LOPD establece de notificar sus
ficheros a la AEPD a través de una herramienta que le informa y
asesora acerca de los requerimientos de la notificación.
o Presentar sus notificaciones a través de Internet con y sin firma
electrónica
o Presentar sus notificaciones en otros soportes: soportes informático o
papel.
o Realizar notificaciones pre cumplimentadas de forma simplificada.
o Conocer el estado de tramitación de las notificaciones remitidas a
través de Internet, mediante certificado de firma electrónica o
mediante el código de envío generado por el formulario electrónico.
o Consultar el contenido completo de la inscripción de sus ficheros
en la web de la Agencia.
Además, para los responsables que utilicen sus propios programas informáticos o los
desarrolladores de aplicativos de protección de datos, se encuentran disponibles
los formatos y especificaciones que deben cumplir sus aplicaciones para enviar
notificaciones a la AEPD.
El Responsable del Fichero podrá realizar las notificaciones referidas en párrafos
anteriores a través de los siguientes formatos:
1. Telemático, a través de Internet, incorporando la posibilidad de utilizar
firma electrónica.
2. En formato papel, cumplimentada mediante el formulario NOTA, incluyendo un
código óptico de lectura para agilizar su inscripción tal y como ha sido descrito
en el apartado b) anterior.
3. Para aquellos responsables de ficheros, que requieran de un sistema más ágil de
pág. 128
intercambio de información, y quieran cumplir con sus obligaciones
mediante sus propias aplicaciones informáticas, así como para aquellos
desarrolladores de programas de protección de datos que quieran ofreciendo a sus
clientes la posibilidad de presentar las notificaciones de sus ficheros, se ha
previsto un sistema de comunicación con la AEPD en formato XML a través de
Internet, con y sin certificado de firma electrónica reconocido.
Las notificaciones cumplimentadas mediante el programa de generación de
notificaciones de ficheros de titularidad pública y privada, aprobado mediante
Resolución de la Agencia Española de Protección de Datos de 30 de mayo de 2000
(programa de ayuda) continuarán siendo válidas siempre que las mismas tengan entrada
en la Agencia antes del 1 de octubre de 2007 (Resolución de la AEPD de 12 de febrero
de 2007, B.O.E. nº 54 de 3 de marzo de 2007).
El Registro General de Protección de Datos, adecuará de oficio las notificaciones
efectuadas mediante los modelos del año 2000, a la nueva estructura definida en el
sistema Nota.
Las notificaciones realizadas a través de Internet con certificado de firma electrónica, se
remiten al Registro Telemático de la AEPD, creado mediante Resolución de la Agencia
española de Protección de Datos de 12 de julio de 2006. Una vez cumplimentada la
notificación y la hoja de solicitud de forma correcta (Cuadros 14 y 15) será necesario
indicar al formulario que no se van a realizar más cambios mediante el botón “Finalizar
Formulario” (Cuadro 16) antes de proceder a la firma de la notificación. De esta manera
el formulario establecerá el control de la integridad de la notificación que se va a
enviar. En este momento aparecerá un icono en el lugar previsto para la firma de la
personal que efectúa la notificación (Cuadro 17).
pág. 129
Cuadro 14
Cuadro15
pág. 130
Cuadro 16
pág. 131
Cuadro17
Pulsando el icono que aparece, se firmará la notificación con el certificado de firma
reconocido correspondiente a la persona que, con representación suficiente del
responsable del fichero, formula la notificación. Su sistema le informará de los
certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta
criptográfica. Una vez firmada, se enviará la notificación mediante el formulario
electrónico al Registro Telemático de la AEPD mediante el botón “Generar/Enviar”.
Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el
mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos
proporcionados por el interesado, junto con la acreditación de la fecha y hora en
que produjo la recepción y una clave de identificación de la transmisión. El mensaje de
confirmación se configurará de forma que pueda ser impreso o archivado
informáticamente por el interesado, y que garantizará la identidad del registro y tendrá el
valor recibido de presentación a efectos de lo dispuesto en el artículo 6.3 del Real
Decreto 772/1999.
pág. 132
Las notificaciones realizadas a través de internet sin firma electrónica, una vez
cumplimentada la notificación y la hoja de solicitud de forma correcta, deberán ser
enviadas mediante el formulario electrónico pulsando el botón “Generar/Enviar” que se
encuentra en la hoja de solicitud de conformidad con lo establecido en los cuadros
anteriores. El formulario le indicará que se está conectando con el servidor de la AEPD
y, acto seguido, el sistema le enviará la Hoja de Solicitud (en formato PDF) que
confirma que la notificación ha sido enviada correctamente. Dicha hoja de solicitud,
firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD.
Las notificaciones en soporte papel y en soporte informático (disquete, CDROM) deben
enviarse a la dirección de la AEPD.
Están obligados a notificar la creación, modificación o supresión de ficheros para su
inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas
o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan
a la creación de ficheros que contengan datos de carácter personal.
Los ficheros de datos de carácter personal de titularidad pública serán notificados a la
Agencia Española de Protección de Datos por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro General de
Protección de Datos, en el plazo de treinta días desde la publicación de su norma o
acuerdo de creación en el Diario Oficial correspondiente.
Los ficheros de datos de carácter personal de titularidad privada serán notificados a la
Agencia Española de Protección de Datos, por la persona o entidad privada que pretenda
crearlos, con carácter previo a su creación. El RGPD inscribirá el fichero, si la
notificación se ajusta a los requisitos exigibles, La inscripción del fichero en el RGPD es
totalmente gratuita.
No se encuentran dentro del ámbito de aplicación de la LOPD, y por tanto no deben
notificarse, los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten
únicamente a incorporar los datos de las personas físicas que presten sus servicios en
aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos
desempeñados, así como la dirección postal o electrónica, teléfono y número de fax
profesionales. Tampoco deberán notificarse los ficheros con datos relativos a
empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes,
industriales o navieros.
pág. 133
La inscripción de un fichero deberá mantenerse actualizada en todo momento, cualquier
modificación que afecte al contenido de la inscripción deberá ser previamente
notificada a la Agencia Española de Protección de datos o a las autoridades de control
autonómicas competentes, a fin de proceder a su inscripción en el registro
correspondiente.
Cuando el responsable de un fichero decida su supresión, deberá notificarla a efectos de
que se proceda a la cancelación de la inscripción.
En el supuesto de que no se notificase la existencia de un fichero podría incurrirse en una
falta leve o grave, tal y como señala el artículo 44 de la Ley Orgánica 15/1999,
quedando sujeto al régimen sancionador previsto en la Ley.
d) Inscripción del Fichero por el RGPD
El RGPD inscribe el fichero, si la notificación se ajusta a los requisitos exigibles. En
caso contrario podrá pedir que se completen los datos que falten o se proceda a su
subsanación.
Una vez inscrito el fichero en el RGPD, la AEPD notificará la resolución de inscripción
del Director de la Agencia española de Protección de Datos, en la que se comunicará el
código de inscripción asignado, a la dirección que a esos efectos se ha hecho constar en
el apartado correspondiente de la hoja de solicitud.
Igualmente, cuando los interesados así lo manifieste expresamente en el formulario de
notificación, podrán recibir por medios telemáticos la notificación de la resolución
de inscripción, la comunicación de la necesidad de subsanar su solicitud, o
cualquier otro escrito relacionada con la solicitud de inscripción de ficheros en el RGPD,
para lo que deberán disponer de una dirección electrónica o efectos de notificaciones del
servicio de Notificaciones Telemáticas Seguras.
A través del Servicio de Notificaciones Telemáticas Seguras
https://www.notificaciones.administracion.es/portalciudadano/inicio.asp), el Ministerio
de Administraciones Públicas en colaboración con Correos pone a disposición de
cualquier persona física o jurídica, que lo solicite la posibilidad de recibir de forma
alternativa por vía telemática las notificaciones que actualmente reciben en papel.
La suscripción a este servicio es voluntaria y tiene carácter gratuito.
pág. 134
En todo caso, la inscripción de un fichero en el RGPD, únicamente acredita que se ha
cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin
que de esta inscripción se pueda desprender el cumplimiento por parte del
responsable del fichero del resto de obligaciones previstas en LOPD, sin que de esta se
pueda desprender el cumplimiento por parte del responsable del fichero del resto de las
obligaciones previstas en la Ley y demás disposiciones reglamentarias.
La existencia de un fichero al RGPD se notifica mediante el formulario electrónico de
Notificaciones Telemáticas a la AEPD (NOTA), que puede obtenerse de forma gratuita
en la página web de la AEPD.
Puede optar por utilizar una de las notificaciones tipo pre-cumplimentadas o bien
por utilizar el formulario electrónico vacío para ser cumplimentado de forma completa
por Vd.
Para recibir de forma telemática la notificación de inscripción de ficheros en el
RGPD necesitará previamente y por una sola vez:
Disponer de una Dirección Electrónica Única del Servicio de
Notificaciones
Telemáticas Seguras (MAP-Correos).
Una vez que disponga de la Dirección Electrónica Única, suscribirse al
procedimiento de la Agencia Española de Protección de Datos. Para ello, en el
apartado “Suscripción a Procedimientos” de la web del Servicio de Notificaciones
Telemáticas Seguras seleccione “AEPD” como organismo emisor, la categoría
“Todas”, y la casilla “actualizar”.
Además, en cada notificación de ficheros a través del formulario NOTA, es preciso
señalar expresamente DEU-SNTS (Dirección Electrónica Única del Servicio de
Notificaciones Telemáticas Seguras), como medio de notificación en la casilla “Medio
de notificación” de la hoja de solicitud del formulario de inscripción NOTA.
Esta opción sólo estará disponible para usuarios que hayan realizado su notificación de
ficheros NOTA, a través de Internet con certificado de firma electrónica reconocido
pág. 135
e) Presentación de notificaciones de un fichero mediante el FORMULARIO
NOTA
Las notificaciones de ficheros a través del Formulario Nota se podrán realizar:
o A través de Internet con certificado de firma electrónica reconocido
o A través de Internet sin certificado de firma electrónica reconocido
o En soporte papel impreso con código de barras bidimensional PDF 417
f) Notificación de la Modificación o Supresión de la Inscripción
La notificación de las modificaciones o supresiones de inscripción se realizan mediante
el formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA) que puede
obtenerse de forma gratuita en la página web de la AEPD.
Para modificar la inscripción de un fichero, previamente inscrito en el RGPD,
deberá cumplimentar el formulario electrónico, la hoja de solicitud, e apartado de
Modificación de la inscripción del fichero, indicando el código de inscripción asignado
por la Agencia y señalando aquellos apartados que se modifican respecto a la
notificación anterior, según las instrucciones que acompañan al modelo.
Los apartados señalados que pretendan modificar deben cumplimentarse por completo,
indicando todos los datos y no sólo los modificados respecto a notificaciones previas,
ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Asimismo,
únicamente se cumplimentarán los apartados que hayan sido señalados para su
modificación en el apartado Modificación de la inscripción del en caso que notifique la
supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de
solicitud y el apartado de Supresión, indicando el código de inscripción del fichero
asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto
correspondiente, y el destino de la infracción en el siguiente campo. Si va a proceder a
destruir el fichero, deberá indicar las previsiones adoptadas para ello.
La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una
inscripción previa. Si no se notifica una solicitud de supresión de la inscripción
anterior se produciría un duplicado de la inscripción anterior se produciría un
duplicado de la inscripción.
pág. 136
Cuadro 18
g) Notificación de un cambio de responsable
Deberá indicar en el apartado Modificación de la inscripción, los datos
correspondientes al responsable del fichero (Razón Social y CIF), que figuran en la
inscripción del fichero.
Los datos correspondientes a la nueva denominación del responsable del fichero
(razón social y NIF/CIF), se introducirán en el apartado 1. Responsable del Fichero.
Además de la notificación se deberá adjuntar la documentación que justifique el
cambio de titular.
Si el cambio se debe a un error en la consignación de los datos del responsable
durante la inscripción inicial del fichero, será suficiente con enviar un escrito firmado
por la persona con representación suficiente del responsable del fichero indicando la
subsanación correspondiente.
pág. 136
Cuadro 19
h) Notificación de una supresión de la inscripción por responsable distinto
del que figura inscrito en el RGPD
Deberá indicar en el apartado de Supresión de la inscripción, los datos
correspondientes al responsable del fichero (Razón Social y CIF) que figuran en la
inscripción del fichero.
Cuando se notifique la supresión de la inscripción de un fichero, por responsable
distinto del que figura inscrito en el RGPD, deberá acompañar documentación que
justifique el cambio de titular.
i) Inscripción del Encargado del Tratamiento
A efectos de inscripción, el Encargado del Tratamiento (artículo 12 LOPD) no
deberá figurar inscrito en el RGPD como entidad responsable de los ficheros o
tratamientos. Únicamente el Responsable del Fichero deberá hacer constar los datos
identificativos del Encargado del Tratamiento en el apartado 4 de la notificación de
conformidad con lo establecido en el Cuadro 6.
pág. 137
Cuando la prestación de servicio implique que el fichero se encuentre ubicado en los
locales del encargado del tratamiento, se podrá indicar este extremo cumplimentado el
apartado de Encargado del Tratamiento.
Únicamente se consignarán en dicho apartado los datos de uno de los encargados del
tratamiento. Se recomienda que se haga constar la denominación del encargado que
realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o
riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los
encargados del tratamiento, se podrán comunicar mediante un escrito adjunto a la
notificación para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscrito más de un encargado, se podrán notificar
tantas inscripciones como encargados diferentes existan. Estas notificaciones se
diferenciarían en los datos consignados en el apartado 4 y, en su caso, en los
apartados 5. Identificación y finalidad del fichero, y 7, Tipos de Datos, estructura y
organización del fichero.
A.- CUESTIONES SOBRE LA CUMPLIMENTACIÓN DEL FORMULARIO
ELECTRÓNICO NOTA
El formulario interactivo NOTA, en formato PDF permite la cumplimentación del
formulario electrónico NOTA de titularidad pública y titularidad privada, con
información detallada sobre la forma de cumplimentar el formulario electrónico.
El formulario interactivo NOTA, en formato PDF permite la presentación de
notificaciones a través de Internet, con y sin certificado de firma electrónica, así como en
soporte papel. Puede obtenerse de forma gratuita en la página web de la Agencia
(www.apgd.es)
El formulario electrónico no requiere una instalación previa en su equipo por lo que
puede ser cumplimentado desde la página web de la AEPD. También puede optar por
guardarlo en su equipo y cumplimentarlo desde el propio PDF. En ambos casos, la
notificación se enviará cifrada a través de un canal seguro mediante protocolo SSL
(Secure Sockete Layer).
En el caso de que su ordenador se conecte a Internet mediante, un servidor proxy, deberá
pág. 138
enviar la notificación a través del formulario electrónico NOTA abierto en su navegador.
Para abrir el formulario NOTA, desde su navegador existen varias opciones que difieren
en función del navegador y sistema operativo utilizado. Una de las más comunes es abrir
el formulario PDF mediante la opción “Archivo/abrir” de su navegador. No obstante, si
no se conecta a Internet mediante un servidor proxy, y no puede enviar su notificación
desde el propio PDF, puede enviarla a través del formulario electrónico NOTA abierto
en su navegador, tal y como se ha indicado anteriormente.
El formulario electrónico presente el mismo aspecto visual de un formulario en soporte
papel, y puede ser cumplimentado desplazándose a través de las distintas páginas por
medio de la barra de desplazamiento lateral.
También puede acceder a una página concreta del formulario, a través del acceso directo
que le proporciona la pestaña denominada “Páginas”, donde aparecerán las hojas que
configuran el formulario en cada fase de cumplimentación.
Se recomienda, mantener actualizada la versión del formulario NOTA con el fin de
asegurarse que utiliza la versión que incorpora los últimos cambios. No
obstante, al presentar la notificación a través de Internet el sistema, le informará en
caso que deba proceder a descargar una nueva versión del formulario.
El formulario electrónico NOTA, incorpora funcionalidades de dinamismo que
requieren la instalación de Adobe Reader versión 7 o superior.
Los pasos para la cumplimentación del Formulario son los siguientes:
o Responder a las preguntas iniciales del asistente dependiendo del tipo de
solicitud y forma de presentación elegido.
o Cumplimentar los apartados de la notificación. Se recomienda guardar la
notificación antes de pasar a la siguiente fase de cumplimentación, ya que
una vez que se haya optado por cumplimentar la hoja de solicitud no se
podrán realizar nuevos cambios en la notificación.
o Cumplimentar la hoja de solicitud
o Generar nube de puntos/Enviar la notificación: En el caso de presentación a
través de Internet con certificado de firma electrónica, deberá antes Finalizar y
Firmar la notificación con su certificado de firma electrónica reconocido. En el
caso de presentación de formulario en papel, se generará el código de barras
pág. 139
bidimensional PDF 417 (nube de puntos), así como el correspondiente código
de envío.
En las presentaciones a través de Internet, deberá recibir el acuse de recibo de
la AEPD del envío realizado. La no recepción del mensaje de confirmación, o
en su caso, la recepción de un mensaje de indicación de error implica que no
se ha producido la recepción del mismo, debiendo realizarse la presentación en
otro momento o utilizando otros medios.
Enviar la hoja de solicitud firmada a la AEPD. En el caso de presentación a
través de Internet con certificado de firma electrónica no será necesario
remitir la hoja de solicitud. En el caso de presentación en formulario en
papel, se presentará la hoja de solicitud con el código bidimensional
correctamente impreso, así como las dos páginas con el contenido de la
notificación en las que deberá figurar el código de envío generado por el
formulario electrónico.
Dependiendo de la forma de presentación elegida, la notificación podrá ser presentada
través de los siguientes medios:
a) Presentación a través de Internet con Certificado de Firma Reconocido
Una vez cumplimentada la notificación y la hoja de solicitud de forma
correcta, será necesario indicar que no se van a realizar más cambios mediante el
botón “Finalizar formulario” para proceder a la firma de la notificación, de
conformidad con lo establecido en el Cuadro 16. De esta manera el formulario
establecerá el control de la integridad de la notificación que se va enviar.
En ese momento aparecerá un icono en el lugar previsto para la firma de la personal
que efectúa la notificación (Cuadro 17). Pulsando el icono que aparece, se
firmará la notificación con el certificado de firma reconocido correspondiente a la
personal que, con representación suficiente del responsable del fichero, formula la
notificación. Su sistema le informará de los certificados de firma de los que dispone,
ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se
enviará la notificación mediante el formulario electrónico al Registro Telemático de la
AEPD.
Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por
pág. 140
el mismo medio, un mensaje de confirmación de la solicitud en el que constarán los
datos proporcionados por el interesado, junto con la acreditación de la fecha y
hora en que produjo la recepción y una clave de identificación de la transmisión. La
no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje
de indicación de error implica que no se ha producido la recepción del mismo,
debiendo realizarse la presentación en otro momento o utilizando otros medios.
La presentación de solicitudes, escritos y comunicaciones al Registro Telemático
podrá realizarse durante las 24 horas de todos los días de años. A efectos del cómputo
del plazo, la recepción en un día inhábil se entenderá efectuada el primer día hábil
siguiente. En este caso, en el asiento de entrada se inscribirán como fecha y hora de
presentación aquéllas en que se produjo efectivamente la recepción, constando como
fecha y hora de entrada las cero horas y un segundo del primer día hábil siguiente.
El calendario de días inhábiles, a efectos de este Registro Telemático será el
que se determine en la resolución anual publicada en el Boletín Oficial del Estado
para todo el territorio nacional por el Ministerio de Administraciones Públicas, según
lo dispuesto en el artículo 48.7 de la Ley 30/1992.
b) A través de Internet sin Certificado de Firma electrónica Reconocido
Una vez cumplimentada la notificación y la hoja de solicitud e forma correcta, deberá
enviar la notificación mediante el formulario electrónico pulsando el botón
“Generar/Enviar” que se encuentra en la hoja de solicitud (Cuadro 17). El formulario
le indicará que se está conectando con el servidor de la AEPD y, acto seguido, el
sistema le enviará la hoja de solicitud (en formato PDF) que confirma que la
notificación ha sido enviada correctamente. Dicha hoja de solicitud, firmada por la
persona que efectúa la notificación, es la que deberá remitir a la AGPD.
Cuando la notificación se envíe a través de Internet sin certificado de firma
reconocido, no se considerará recibida la notificación efectuada por Internet, sino la
fecha en la que tenga entrada en la Agencia española de Protección de Datos la hoja
de solicitud firmada de forma manual, careciendo de efecto alguno las notificaciones
enviadas por Internet sin certificado de firma reconocido, si la hoja de solicitud de
inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la
Agencia Española de Protección de Datos, o en alguno de los Registros y oficinas a
los que se refiere el artículo 38.4 de la Ley 30/1992.
pág. 141
c) Mediante formulario en papel con código de barras bidimensional
Una vez que haya cumplimentado la hoja de solicitud para obtener el modelo que
puede ser presentado en la AEPD, deberá pulsar el botón “Finalizar formulario” que
se encuentra al final de la hoja de solicitud (Cuadro 16).
En el caso de la presentación en papel, se generará el código de barras
bidimensional PDF 417 (nube de puntos), así como el correspondiente código de
envío que establece la correspondencia entre el contenido que figura en cada una de
las páginas que componen el modelo de notificación y la nube de puntos generada.
Este sistema garantizará que la notificación haya sido cumplimentada de forma
correcta, y que se inscribirá en el RGPD de forma ágil, rápida y segura.
Tal y como le informará la siguiente pantalla, asegúrese de que la nube de puntos
aparece bien impresa y que no se relazan marcas sobre ella. En el caso de que tenga
que realizar cambios en la notificación, deberá cumplimentar una nueva notificación
y generar la correspóndete nube de puntos y código de envío.
Una vez cumplimentada la notificación y la Hoja de solicitud de forma
correcta, se imprimirá la correspondiente notificación en la que figurará el código de
barras bidimensional PDF 417 (nube de puntos).
Una vez firmada la hoja de solicitud por la persona que, con representación
suficiente del responsable del fichero, formula la notificación, se presentará en la
AEPD o en alguno de los registros y oficinas a los que se refiere el artículo 38.4 de la
Ley 30/1992.
d) Notificaciones Simplificadas o Notificaciones Tipo
Mediante esta opción del formulario electrónico se pueden notificar de forma
simplificada una serie de ficheros tales como: la gestión de comunidades de
propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión
escolar, videovigilancia, nóminas y recursos humanos de titularidad privada, gestión
del padrón, gestión económica o control de acceso, en el caso de ficheros de
titularidad pública.
pág. 142
Cuadro 20
El formulario electrónico le mostrará una notificación pre-cumplimentada en
la que, además de añadir los datos específicos de su notificación, puede
realizar algunos cambios. Una vez revisada la notificación, deberá firmarla y
enviarla a la AEPD en cualquier de las formas de presentación establecidas.
En caso que la notificación tipo prevista por la AEPD no se adapte al
pág. 143
fichero que pretende notificar, deberá optar por realizar una notificación
normal.
De forma complementaria a la notificación mediante el formulario
electrónico NOTA, la Agencia ha querido poner a disposición de los
responsables de ficheros, un sistema de notificación basado en un formato
estándar, que permita el intercambio de información entre diferentes
plataformas (formato XML).
De esta forma, tanto los responsables que desarrollen sus propios programas
como los desarrolladores de paquetes ofimáticos de protección de datos
para las Pymes, podrán comunicarse con la AEPD para notificar sus
ficheros, pudiendo presentar sus solicitudes con y sin certificado de firma
electrónica. Para ello se pueden consultar las normas que deberán cumplir
las aplicaciones desarrolladas por terceros, para que puedan presentar
válidamente las notificaciones al RGPD. Estos mensajes en formato XML,
pueden ser presentados con y sin certificado electrónico de firma
reconocido.
En caso que se presenten firmados electrónicamente deberán utilizar el estándar de
firma XML Digital Signature. En este caso, una vez enviadas las notificaciones
al Registro Telemático de la AEPD, éste devolverá un mensaje confirmando la
recepción del envío incluyendo, a su vez, los datos necesarios para que el programa
desarrollado por terceros configure el acuse de recibo de acuerdo con el formato
establecido en la Resolución de la Agencia española de Protección de Datos, de 12 de
julio de 2006 por la que se aprueban los formularios electrónicos a través de los que
deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de
Protección de datos, así como los formatos y requerimientos a los que deben ajustarse
las notificaciones remitidas en soporte informático o telemático.
En caso que las notificaciones se presenten mediante formato XML, sin certificado de
firma electrónica, el servidor web de la AEPD devolverá un mensaje confirmando la
recepción del envío e incluyendo, a su vez, los datos necesarios para que el programa
desarrollado por terceros configure la hoja de solicitud de acuerdo con el formato
establecido en la citada Resolución.
En todo caso, carecerán de efecto alguno las notificaciones cuya hoja de solicitud,
pág. 144
debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia
Española de Protección de Datos o en alguno de los Registros y oficinas a los que se
refiere el artículo 38.4 de la Ley 30/1992, en el plazo de los diez días siguientes al
envío de las notificaciones a través de Internet mediante formato XML sin certificado
de firma electrónica reconocido.
B.- CONSULTA DE FICHEROS INSCRITOS Y SEGUIMIENTO DEL
ESTADO DE TRAMITACIÓN
En la web de la AEPD se encuentra disponible el Catálogo de ficheros inscritos
en el RGPD con el objetivo de difundir y dar publicidad a la existencia de ficheros
con datos de carácter personal.
Según el artículo 14 de la LOPD, cualquier persona podrá conocer, de forma pública
y gratuita la existencia de tratamientos de datos de carácter personal, sus finalidades
y la identidad del responsable del fichero.
Hasta este momento la información disponible en la webs refería a los datos
del responsable, la dirección de acceso, el nombre, la descripción y la finalidad del
fichero.
Ahora, teniendo en cuenta los cambios acometidos en el formato de la notificación,
se ha ampliado la información que se facilita de forma pública sobre el contenido de
la inscripción.
Se han adoptado los procedimientos para facilitar el acceso al contenido completo
de la inscripción a aquellas personas autorizadas a realizar estas consultas dentro del
portal del tramitador mediante certificado de firma electrónico de la persona que
presentase en su día la notificación. En caso de no disponer de un certificado
de firma electrónico, puede realizar la consulta identificándose mediante el DNI y
el código de inscripción.
Además, se podrá realizar el seguimiento del estado de tramitación de las
notificaciones remitidas a la AEPD a través de Internet, mediante certificado de
firma electrónica de la persona que presentase en su día la notificación.
pág. 145
En caso de no disponer de un certificado de firma electrónico, puede realizar la
consulta identificándose mediante el DNI y el código de envío facilitado por el
formulario electrónico.
pág. 146
PROTECCIÓN JURÍDICA DE LAS PÁGINAS WEB
Para la protección jurídica de las páginas web debemos tener en cuenta las obligaciones
establecidas en la normativa de protección de datos de carácter
personal, la Ley de Servicios de la Sociedad de la Información (LSSI) y otras
disposiciones complementarias.
La LSSI se aplica a todas aquellas personas que realicen actividades económicas por
Internet u otros medios telemáticos como el correo electrónico, televisión digital
interactiva, etc., siempre que:
o La dirección y gestión de sus negocios esté centralizada en España o,
o Posea una sucursal, oficina o cualquier otro tipo de establecimiento
permanente situado en territorio español, desde el que se dirija la prestación
de servicios de la sociedad de la información.
La LSSI presume que están establecidos en España y, por tanto, sujetos a la Ley, los
prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro
Registro público español en el que fuera necesaria la inscripción para la adquisición de
personalidad jurídica.
La utilización de un servidor situado en otro país no será motivo suficiente para
descartar la sujeción a la Ley del prestador de servicios. Si las decisiones empresariales
sobre el contenido o servicios ofrecidos a través de ese servidor se toman en
territorio español, el prestador se reputará establecido en España.
Para el caso del comercio electrónico, la normativa española se aplicará a los contratos
que los consumidores celebren con prestadores establecidos en España. El lugar de
establecimiento en España de un prestador de servicios debe estar indicado en su página
web y puede comprobarse mediante consulta al Registro Mercantil u otro en que el
prestador esté inscrito.
También se aplicará la Ley española a las compras que efectúen a prestadores de
servicios establecidos en otro Estado de la Unión europea o del Espacio Económico
europeo (países de la Unión Europea más Noruega, Islandia y Liechtenstein), siempre
pág. 147
que la normativa española sea más beneficiosa para el consumidor que la legislación del
país en que resida el prestador de servicios.
Si la compra o la contratación del servicio se realiza a un prestador de servicios
establecido en un país que no pertenezca al Espacio Económico Europeo, la legislación
española sólo será aplicable si los consumidores españoles compran en tiendas virtuales
que dirijan su actividad al mercado español o se hayan puesto en contacto con el
consumidor a través de correo electrónico.
1. LEGISLACIÓN APLICABLE
Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información
y de
Comercio Electrónico (LSSI).
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad
de la
Información.
Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter
Personal.
Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto
refundido de la Ley de Propiedad Intelectual (TRLPI).
Ley 59/2003, de 19 de diciembre, de firma electrónica.
Otras disposiciones: LOCM (Comercio Minorista; LGT (Ley General de
Telecomunicaciones); TRLGDCU (Consumidores y Usuarios).
2. DEFINICIONES (ANEXO LSSI)
“Servicios de la Sociedad de la Información” o “servicios”: “todo servicio
prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición
individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los
servicios no remunerados por sus destinatarios, en la medida en que constituyan una
actividad económica para el prestador de servicios.
El apartado a) del anexo establece además una lista ejemplificativa de posibles
supuestos de servicios de la sociedad de la información”.
pág. 148
El criterio para determinar si un servicio o página web está incluido dentro del
ámbito de aplicación de la Ley es si constituye o no una actividad económica para su
prestador. Todos los servicios que se ofrecen a cambio de un precio o contraprestación
están, por tanto, sujetos a la nueva Ley.
Sin embargo, el carácter gratuito de un servicio no determina por sí mismo que no
esté sujeto a la Ley. Existen multitud de servicios gratuitos ofrecidos a través de Internet
que representan una actividad económica para su prestador (publicidad, ingresos de
patrocinadores, etc.) y, por lo tanto, estarían incluidos dentro de su ámbito de aplicación.
Ejemplos de estos servicios serían los habituales buscadores, o servicios de enlaces y
directorios de páginas web, así como páginas financiadas con publicidad o el envío de
comunicaciones comerciales.
Se entenderá, por tanto, que un servicio de la sociedad de la información
representa una “actividad económica” para su prestador cuando éste percibe ingresos
directos (ej: por las actividades de comercio electrónico ofrecidas a través de un Sitio
Web) o indirectos (ej: publicidad, patrocinio, etc.) con independencia que estos permitan
sufragar el coste del servicio, igualen esa cantidad, o la superen.
La LSSI no se aplicará por tanto a una página web personal cuando su titular no
realice ningún tipo de actividad económica a través de la misma.
Si la página web tiene alojada publicidad en forma de “banners”, “pop-ups”,
etc., su titular estará sujeto a la Ley si percibe alguna remuneración por los mismos. Si
éstos no generan ningún ingreso a su titular, por ejemplo, por haber sido impuestos a
cambio de la prestación de un servicio gratuito de alojamiento, éste no estará obligado a
cumplir las obligaciones previstas en la Ley. Todo ello sin perjuicio de que a esa página
le afecten otras normas jurídicas que san de aplicación por ser públicamente accesible,
como el Código Penal y la legislación sobre propiedad intelectual.
Servicio de Intermediación”: “servicio de la sociedad de la información por el
que se facilita la prestación o utilización de otros servicios de la sociedad de la
información o el acceso a la información.
pág. 149
Son servicios de intermediación la provisión de servicios de acceso a
Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia
temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los
propios servidores de datos, aplicaciones o servicios suministrados por otros y la
provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a
otros sitios de Internet”.
“Prestador de Servicios” o “prestador”: “persona física o jurídica que
proporciona un servicio de la sociedad de la información”.
La LSSI no se aplica a las Administraciones Públicas, puesto que éstas no tienen el
carácter de prestador de servicios de la sociedad de la información definido en su anexo.
De esta forma, determinadas actividades típicas de las Administraciones, como la
gestión electrónica de la recaudación de tributos o la información sobre los servicios de
un tercero (como podría ser la mera información en la página web de un Ayuntamiento
sobre las casas rurales existentes en el término municipal) se consideran como
actividades públicas o de interés general distintas a la “actividad económica” a la que se
refiere la LSSI.
“Destinatario del Servicio” o “Destinatario”: personal física o jurídica que utiliza,
sea o
no por motivos profesionales, un servicio de la sociedad de la
información.
“Comunicación Comercial”: “toda forma de comunicación dirigida a la
promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa,
organización o personal que realice una actividad comercial, industrial, artesanal o
profesional.
A efectos de esta ley, no tendrán la consideración de comunicación comercial los
datos que permitan acceder directamente a la actividad de una persona, empresa u
organización, tales como el nombre de dominio o la dirección de correo electrónico, ni
las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca
cuando sean elaboradas por un tercero y sin contraprestación económica”.
pág. 150
I. EL AVISO LEGAL
Es fundamental a la hora de establecer una Página Web, tener en cuenta las obligaciones
legales establecidas por la LSSI así como adoptar mecanismos jurídicos y lógicos para
proteger los derechos e intereses de la empresa en la Red.
La LSSI tiene por objeto la regulación del régimen jurídico de los servicios de la
sociedad de la información y de la contratación por vía electrónica, en lo referente a las
obligaciones de los prestadores de servicios, incluidos los que actúen como
intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las
comunicaciones comerciales por vía electrónica, la información previa y posterior a la
celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y
el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la
información.
El “Aviso Legal” deberá constar de los siguientes apartados:
I. OBLIGACIONES INFORMATIVAS (ART. 10 LSSI)
La LSSI establece una serie de obligaciones para los prestadores de servicios de la
sociedad de la información, entre las que se encuentra el deber de informar, en los
términos previstos en el artículo 10 de la misma. Por todo ello el prestador de servicios
de la sociedad de la información estará obligado a disponer de los medios que
permitan, tanto a los destinatarios del servicio como a los órganos competentes,
acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la
siguiente información:
a) Su nombre o denominación social, su residencia o domicilio o, en su
defecto, la dirección de uno de sus establecimientos permanentes en España; su
dirección de correo electrónico y cualquier otro dato que permita establecer
con él una comunicación directa y efectiva.
b) Los datos de inscripción en el Registro Mercantil en el que, en su caso, se
encuentren inscritos o de aquel otro registro público en el que lo estuvieran para
la adquisición de personalidad jurídica o a los solos efectos de publicidad.
c) En el caso de que su actividad estuviese sujeta a un régimen de
autorización administrativa previa, los datos relativos a dicha autorización y los
pág. 151
identificativos del órgano competente encargado de su supervisión.
d) Si ejerciese una profesión regulada deberá indicar los datos de colegiación, título
académico y lugar de ejercicio.
e) El número de identificación fiscal que le corresponda.
f) Cuando el servicio de la sociedad de la información haga referencia a
precios, se facilitará información clara y exacta sobre el precio del producto o
servicio, indicando si incluye o no los impuestos aplicables, en su caso, sobre los
gastos de envío o en su caso aquello que dispongan las normas de las
Comunidades Autónomas con competencias en la materia.
g) Los códigos de conducta a los que, en su caso, está adherido y la manera de
consultarlos electrónicamente.
II. POLÍTICA DE ENLACES
Es importante establecer en el “Aviso Legal” tanto una política de enlaces que
redireccionen a nuestra Página Web, como una política de enlaces que remitan a páginas
web de terceros con el fin de limitar las posibles responsabilidades que pudieran
derivarse de los contenidos enlazados.
Si los contenidos referidos en el párrafo anterior resultasen ilícitos, debería procederse a
su retirada para evitar la responsabilidad derivada del artículo 17 de la LSSI:
“Los prestadores de servicios de la sociedad de la información que faciliten enlaces a
otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de
contenidos no serán responsables por la información a la que dirijan a los
destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que
remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un
tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace
correspondiente”.
Importante: El artículo referido considera, además, que el prestador de servicios tendrá
conocimiento efectivo cuando un órgano competente haya declarado la ilicitud de
los contenidos y el prestador conociera la correspondiente resolución.
.
c/ Toledo, 15 Avenida Verbena de la Paloma, 12 28901 Getafe – Madrid 28041 Madrid
T. 91 352 56 39 [email protected]
III. DERECHOS DE PROPIEDAD INTELECTUAL E INDUSTRIAL
(APLICACIÓN DEL TRLPI)
El “Aviso Legal” permite proteger jurídicamente, mediante la declaración de
reserva de derechos, ciertos activos de la empresa frente a posibles utilizaciones de los
mismos por parte de terceros.
Las empresas suelen proteger en este apartado sus marcas, logotipos, además de los
contenidos
de la Página Web (imágenes, textos, diseño, etc…).
Este apartado del “Aviso Legal” se suele utilizar como mecanismo de prueba en caso de
que terceros ajenos y no autorizados por el titular de los derechos de propiedad
intelectual y/o industrial reproduzcan, distribuyan, comuniquen públicamente y/o pongan
a disposición del público los contenidos de la Página Web.
IV. LIMITACIÓN DE RESPONSABILIDADES
En este apartado del “Aviso Legal” se debe incorporar:
Una serie de limitaciones de responsabilidad sobre los posibles daños que
pueda sufrir el usuario mientras visita la Página Web derivados de virus
existentes en Internet.
Mención a la colaboración de la empresa con las autoridades competentes
frente a posibles actuaciones ilícitas o nocivas que se hayan realizado por
terceros de mala fe y/o provoquen daños y perjuicios en nuestra página
(artículo 11 LSSI).
V. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Cumpliremos con las obligaciones establecidas en la Ley Orgánica 15/1999 de 13 de
diciembre de Protección de Datos de Carácter Personal y con el RD 1720/2007 de 21 de
diciembre a través de la figura de la “Política de Privacidad”.
Consideraciones a tener en cuenta:
AEBI SCHMIDT IBÉRICA, S.A.
Obligaciones que en materia de Protección de Datos de carácter personal impone
tanto la LOPD como el RDLOPD (principio de información).
Uso de mecanismos de seguimiento de la navegación del usuario y
obtención de determinados datos (archivos denominados comúnmente como
“cookies”).
Obligación de informar al usuario de su utilización, finalidades, así como
de los mecanismos para poder desactivar estos archivos de su sistema/ordenador.
VI. JURISDICCIÓN Y LEY APLICABLE
En este apartado del “Aviso Legal” se indicará la Ley Nacional, Juzgados, Tribunales y/o
Arbitraje competentes para dirimir las cuestiones y diferencias que pudieran surgir en la
interpretación, validez, eficacia, cumplimiento o resolución del clausulado de nuestra
Página Web.
De esta manera se limitarán las posibles responsabilidades derivadas de actuaciones mal
intencionadas de terceros, basadas en legislaciones extranjeras que no son aplicables.
II. COMUNICACIONES COMERCIALES ELECTRÓNICAS
1. DEFINICIONES
o El “spam” es un término perteneciente al argot americano que suele
utilizarse para designar lo que se conoce como “correo electrónico comercial
no deseado”.
o El “spamming” consiste en la difusión generalizada del mismo mensaje entre
un gran número de usuarios de Internet.
o Las comunicaciones comerciales electrónicas son consideradas también
como una técnica de marketing primaria y no selectiva que utiliza las
direcciones electrónicas para enviar mensajes publicitarios.
2. COMUNICACIONES COMERCIALES ELECTRÓNICAS. REGULACIÓN
JURÍDICA
a) Definición (letra f ANEXO LSSI):
AEBI SCHMIDT IBÉRICA, S.A.
Se entiende por comunicación comercial aquélla dirigida a la promoción, directa o
indirecta, de la imagen o de los bienes o servicios de una empresa, organización o
personal que realice una actividad comercial, industrial, artesanal o profesional.
No obstante lo establecido en el párrafo anterior no tendrán la consideración de
comunicaciones comerciales electrónicas los datos que permitan acceder directamente a
la actividad de una persona, empresa u organización, tales como el nombre de dominio o
la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los
servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestación económica.
b) Prohibiciones (Art. 20 LSSI):
La LSSI prohíbe el envío de comunicaciones comerciales publicitarias o promocionales
por correo electrónico u otro medio equivalente, si previamente no se ha contado con el
consentimiento expreso de los destinatarios, salvo que exista una relación contractual
previa entre el emisor y el receptor de la comunicación y su envío se relacionase con
productos o servicios de la empresa similares a los que inicialmente fueron objeto de
contratación con el cliente.
El prestador de servicios de comunicaciones comerciales por vía electrónica deberá
ofrecer en todo caso al destinatario de las mismas la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y
gratuito, tanto en el momento de la recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija. Este derecho es independiente de los previstos
en la normativa en materia de protección de datos.
c) Derechos de los destinatarios (artículo 22 LSSI):
Asimismo la LSSI ofrece a los destinatarios la posibilidad de revocar en cualquier
momento el consentimiento prestado a la recepción de dichas comunicaciones con la
simple notificación al remitente, debiendo facilitarse para ello procedimientos sencillos y
gratuitos e informales de manera accesible por medios electrónicos.
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y
AEBI SCHMIDT IBÉRICA, S.A.
recuperación de datos en equipos terminales deberán informar a los destinatarios de
manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de
rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.
d) Información exigida (artículo 20 LSSI):
En cumplimiento de los términos y condiciones establecidos por la LSSI debemos hacer
constar en todos aquellos supuestos de envío de publicidad por vía electrónica la
siguiente información:
Datos identificativos del anunciante.
El carácter publicitario del mensaje.
Si se realizan ofertas, concursos o juegos promocionales, además de lo
anterior, debemos:
- Identificarlas como tales.
- Expresar de forma clara e inequívoca las condiciones de participación.
Cuando se envíen por correo electrónico, mensajes SMS…:
Debemos obtener con carácter previo la solicitud o autorización
expresa del destinatario.
Identificar el mensaje publicitario con la palabra “publicidad” o la
abreviatura “publi”.
Establecer procedimientos sencillos para facilitar revocación del
consentimiento del usuario.
e) Novedades del RDLOP:
La solicitud del consentimiento para el tratamiento o cesión de los
datos de facturación y tráfico en servicios de comunicaciones electrónicas, o
en su caso la revocación de aquél, se someterá a lo establecido en su
normativa específica (art. 16 RDLOPD).
Se aplicará de forma subsidiaria a lo no establecido en la LSSI la normativa
aplicable en materia de protección de datos de carácter personal (LOPD y
RDLOPD).
f) Aplicación subsidiaria del TRLDCU (Consumidores y Usuarios):
AEBI SCHMIDT IBÉRICA, S.A.
Aplicación subsidiaria del TRLDCU.
Las comunicaciones comerciales deben expresar inequívocamente su carácter
comercial.
3. INFRACCIONES
La LSSI califica las infracciones de los preceptos establecidos en la misma como muy
graves, graves y leves (art. 38):
MUY GRAVES:
El incumplimiento de la obligación de suspender la transmisión, el
alojamiento de datos, el acceso a la red o la presentación de cualquier otro
servicio equivalente de intermediación, cuando un órgano administrativo
competente lo ordene, en virtud de lo dispuesto en el artículo 11.
GRAVES:
(i) El incumplimiento de cumplir con la obligación de informar a los
destinatarios del servicio de los siguientes aspectos (art. 10.1 a y f):
a. Su nombre o denominación social; su residencia o domicilio o,
en su defecto, la dirección de uno de sus establecimientos
permanentes en España; su dirección de correo electrónico y cualquier
otro dato que permita establecer con él una comunicación directa y
efectiva.
b. Cuando el servicio de la sociedad de la información haga
referencia a precios, se facilitará información clara y exacta sobre el
precio del producto o servicio, indicando si incluye o no los impuestos
aplicables y, en su caso, sobre los gastos de envío o aquello que
dispongan las normas de la Comunidades Autónomas con
competencias en la materia.
(ii) Envío masivo de comunicaciones comerciales por correo electrónico u
otro medio de comunicación electrónica equivalente o el envío, en el
plazo de un año, de más de tres comunicaciones comerciales por los
medios aludidos a un mismo destinatario, cuando dichos envíos sean no
solicitados salvo relación contractual previa.
AEBI SCHMIDT IBÉRICA, S.A.
(iii) El incumplimiento significativo de la obligación del prestador de servicios
establecida en relación con los procedimientos para revocar el
consentimiento prestado por los destinatarios.
(iv) El incumplimiento de lo establecido por la LSSI en su artículo 22.1, en
relación con los procedimientos para revocar el consentimiento prestado
por los destinatarios.
Las multas por infracciones graves varían entre 30.001 euros hasta 150.000 euros
(art. 39.1 letra b).
Prescripción: 2 años (art. 45 LSSI).
LEVES (art. 38.4 letra d LSSI):
Se consideran infracciones leves el envío de comunicaciones comerciales por
correo electrónico y otro medio de comunicación electrónica equivalente cuando
en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 (envíos
no solicitados salvo excepción legal y medios para la revocación del
consentimiento) y no constituya infracción grave.
Por la comisión de infracciones leves la multa será de hasta 30.000 euros (art. 39.1
letra c de la LSSI).
Prescripción: 1 año (art. 45 LSSI)
- ARTÍCULO 40 de la LSSI: La cuantía de las multas se graduará atendiendo
a los siguientes criterios:
- La existencia de intencionalidad
- Plazo de tiempo durante el que se haya venido cometiendo la infracción
- La reincidencia por comisión de infracciones de la misma
naturaleza, cuando así haya sido declarado por resolución firme.
