Cursosobrelalopd Ponencias 120718050028 Phpapp01

CURSO SOBRE LA LEY ORGANICA DE
PROTECCION DE DATOS DE
CARACTER PERSONAL
Harvey & Lluch Consultores S.L.

1.-
INTRODUC-
CION
Qu es la A quin obliga la A quin protege

Proteccin de Proteccin de la Proteccin de
Datos? Datos? Datos?

QUE ES LA PROTECCION DE DATOS?
Se entiende por Proteccin de Datos el garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las libertadas pblicas y los
derechos fundamentales de las personas fsicas y especialmente de su honor e
intimidad personal y familiar.
Para garantizar y proteger estos datos, se legisla la Ley Orgnica 15/1999, de

13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Ley
que deroga la anterior Ley Orgnica 5/1992, de 29 de octubre, de
Regularizacin del Tratamiento Automatizado de los Datos de Carcter
Personal (LORTAD). La LOPD se complementa con el Real Decreto
1720/2007, de 21 diciembre, por el cual se aprueba El Reglamento de
Desarrollo de la LOPD.
Aplicando la normativa vigente el tratamiento de los datos puede ser

automatizado o no, siguiendo el mandato imperativo de la Normativa Europea.
3
A QUIEN PROTEGE LA PROTECCION DE DATOS?
Una premisa que tenemos que tener claro, es que los datos no son de las
entidades son de sus titulares, de los interesados o afectados como los
denomina la LOPD.
Por lo tanto el tratamiento de los datos a de ser lcito y al ser datos de los
afectados, las entidades tienen que respetar todos los derechos y principios
que sobre ellos contempla la Ley Orgnica de Proteccin de Datos.
El afectado tiene que haber dado su consentimiento al tratamiento de sus

datos: art. 3.h, toda manifestacin de voluntad, libre, inequvoca, especfica e
informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen.
Este consentimiento por parte del afectado, tiene su excepcin en el supuesto

en que se refiera a las partes de un contrato o precontrato de una relacin
negocial, cuando su finalidad sea proteger el inters vital del afectado y, por
ltimo, cuando sus datos figuren en fuentes accesibles al pblico, siempre que
no se vulneren los derechos y libertades fundamentales del afectado.
4

A QUIEN OBLIGA LA PROTECCION DE DATOS?
A todas las entidades seas pblica o privadas y profesionales, que realicen en

su actividad, el tratamiento de datos de Carcter Personal.
Estos datos pueden ser generados por la actividad lgica de la entidad,

empleados, colaboradores, proveedores, clientes, etc., estos datos son de
tratamiento interno de la entidad y su vez por dicha actividad, estos datos
pueden salir fuera de la entidad para control de distribucin, postventa,
subcontratacin, cesin a terceros, etc.
Estos datos no son de la entidad, son de sus titulares, de los interesados o

afectados como los denomina la LOPD.
Por lo tanto, el tratamiento de los datos ha de ser lcito y al ser datos de los
afectados, las entidades tienen que respetar todos los derechos y principios
que sobre ellos contempla la Ley Orgnica de Proteccin de Datos.

2.- NORMATIVA VIGENTE EN
PROTECCIN DE DATOS
LEY ORGANICA DE PROTECCIN DE

DATOS DE CARCTER PERSONAL
REAL DECRETO DE DESARRROLLO DEL

REGLAMENTO DE LA LOPD

LEY ORGANICA DE
PROTECCIN DE DATOS DE
CARACTER PERSONAL
La normativa vigente en tratamiento de datos de carcter personal es la Ley

Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal. La presente Ley Orgnica tiene por objeto garantizar y proteger, en lo
que concierne al tratamiento de los datos personales, las libertades pblicas y los
derechos fundamentales de las personas fsicas y especialmente de su honor e
intimidad personal y familiar, (art. 1).
Por esta Ley, los afectados adquieren unos derechos en el tratamiento de sus datos
de carcter personal y que obliga a los titulares de los ficheros (cualquier empresa o
entidad, pblica o privada que tenga datos de carcter personal en un soporte
automatizado o susceptible de tratamiento automatizado), a respetar los principios
de esta Ley.
El cumplimiento de esta normativa es imprescindible para cualquier entidad jurdica

(empresa o autnomo), ya sea pblica o privada, que tenga tratamiento de datos de
carcter personal.

REAL DECRETO DE
DESARROLLO DEL
REGLAMENTO DE LA LOPD
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba El

Reglamento de Desarrollo de la Ley Orgnica de Proteccin de Datos. Este
Reglamento comparte con la Ley Orgnica la finalidad de hacer frente a los riesgos
que para los derechos de la personalidad pueden suponer el acopio y tratamiento
de datos personales.
Hay que destacar que este Reglamento nace con la vocacin de no reiterar los
contenidos de la Ley y de desarrollar, no solo los mandatos contenidos en dicha
Ley de acuerdo con los principios que emanan de la Directiva sino tambin aquellos
que estos aos de vigencia de la Ley se ha demostrado que precisan de un mayor
desarrollo normativo.

3.- CONCEPTOS DESTACABLES DE LA LOPD Y EL
REGLAMENTO
DEFINICIONES DE LA LOPD
DEFINICIONES DEL REGLAMENTO
DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD

FUENTES ACCESIBLES AL PUBLICO
COMPARATIVA ENTRE LAS DEFINICIONES

DE LA LOPD Y EL REGLAMENTO

DEFINICIONES DE LA LOPD - I
Definiciones segn el art. 3:

a) Datos de carcter personal; cualquier informacin concerniente a personas
fsicas identificadas o identificables. Se habla de cualquier informacin
concerniente a las personas, incluido la video vigilancia.
b) Fichero; todo conjunto organizado de datos de carcter personal, cualquiera
que fuere la forma o modalidad de su creacin, almacenamiento, organizacin
y acceso. Se incluyen tanto los ficheros automatizados como los no
automatizados (normales).
c) Tratamiento de datos; operaciones y procedimientos tcnicos de carcter
automatizados o no, que permitan la recogida, grabacin, conservacin,
elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
d) Responsable del fichero o tratamiento; persona fsica o jurdica, de
naturaleza pblica o privada, u rgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
e) Afectado o interesado; persona fsica titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente articulo.
10

DEFINICIONES DE LA LOPD - II
f) Procedimiento de disociacin; todo tratamiento de datos personales de modo

que la informacin que se obtenga no pueda asociarse a persona identificada o
identificables. No se puede asociar el nmero de telfono al nombre de un
afectado, o el DNI con su propietario.
g) Encargado del tratamiento; la persona fsica o jurdica, autoridad pblica,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento. El encargado de
tratamiento recibe por parte del responsable el encargo de tratar los datos de
carcter personal del otro, por ejemplo las asesora fiscal o laboral, abogados,
etc.
h) Consentimiento del interesado; toda manifestacin de voluntad, libre,
inequvoca, especifica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
i) Cesin o comunicacin de datos; toda revelacin de datos realizada a una
persona distinta del interesado. Los interesados a los que se soliciten
datos personales debern ser previamente informados de modo expreso,
preciso e inequvoco, art.5.1.
11

DEFINICIONES DE LA LOPD - III
j) Fuentes accesibles al pblico; aquellos ficheros cuya consulta puede ser

realizada, por cualquier persona, no impedida por una norma limitativa o sin
ms exigencia que, en su caso, el abono de una contraprestacin. Tienen la
consideracin de fuentes de acceso al pblico, exclusivamente, el censo
promocional, los repertorios telefnicos en los trminos previstos por su
normativa especfica y las listas de personas pertenecientes a grupo de
profesionales que contengan nicamente los datos de nombre, ttulo, profesin,
actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo.
Asimismo, tienen el carcter de fuentes accesibles al pblico los diarios y
boletines oficiales y los medios de comunicacin. La Agencia Espaola de
Proteccin de Datos dictamin que internet no es un medio fiable.
12

DEFINICIONES DEL REGLAMENTO - I
Definiciones segn el art. 5:

a) Afectado o interesado: Persona fsica titular de los datos que sean objeto del
tratamiento.
b) Cancelacin; Procedimiento en virtud del cual el responsable cesa en el uso
de los datos. La cancelacin implicar el bloque de los datos, consistente en la
identificacin y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposicin de las Administraciones pblicas, Jueces
y tribunales, para la atencin de las posibles responsabilidades nacidas del
tratamiento y slo durante el plazo de prescripcin de dichas
responsabilidades. Transcurrido ese plazo deber procederse a la supresin de
los datos.
c) Cesin o comunicacin de datos; Tratamiento de datos que supone su
revelacin a una persona distinta al interesado. Aqu El Reglamento hace
hincapi en tratamiento de datos, por lo tanto para que haya cesin es
necesario que haya dicho tratamiento de datos.
d) Consentimiento del interesado; Toda manifestacin de voluntad, libre,
inequvoca, especfica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
13

DEFINICIONES DEL REGLAMENTO - II
e) Dato disociado; aqul que no permite la identificacin de un afectado o

interesado. Por medio de este dato, por ejemplo el nmero de mvil, no
identificamos al afectado.
f) Datos de carcter personal; cualquier informacin numrica, alfabtica,
grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas
fsicas identificadas o identificables. Hay que hacer diferencia entre persona
fsica y persona jurdica, un empresario individual al hacer referencia a su
actividad comercial, queda excluido en el tratamiento, pasa a ser persona
jurdica y a su vez las personas que ocupando cargos o funciones estn
asociadas a la persona jurdica que prestan sus servicios. Estn incluidos en
este apartado las imgenes de personas fsicas tomadas en video vigilancia.
g) Datos de carcter personal relacionados con la salud; las informaciones
concernientes a la salud pasada, presente y futura, fsica o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su informacin
gentica.
14

DEFINICIONES DEL REGLAMENTO - III
h) Destinatario o cesionario; la persona fsica o jurdica, pblica privada u

rgano administrativo, al que se revelen los datos. Podrn ser tambin
destinatarios los entes sin personalidad jurdica que acten en el trfico como
sujetos diferenciados. Aadiramos en este apartado a las comunidades de
propietarios.
i) Encargado del tratamiento; la persona fsica o jurdica, pblica o privada, u
rgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de relacin para la prestacin de un
servicio. Podr ser tambin encargados del tratamiento los entes sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.
j) Exportador de datos personales; la persona fsica o jurdica, pblica o
privada, u rgano administrativo situado en territorio espaol que realice,
conforme a lo dispuesto en el presente Reglamento, una transferencia de datos
de carcter personal a un pas tercero. Este prrafo se refiere a datos
exportados fuera de la CEE.
15

DEFINICIONES DEL REGLAMENTO - IV
k) Fichero; todo conjunto organizado de datos de carcter personal, que permita

el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Quedan excluidos del tratamiento cualquier fichero mantenido por cualquier
persona fsica en el ejercicio de actividades personales o domsticas, los
sometidos a normativa sobre proteccin de materias clasificadas, y los
establecidos para la investigacin del terrorismo y de formas graves de
delincuencia, estn excluidos pero estos ficheros se comunicaran de su
existencia a la AEPD.
l) Ficheros de titularidad privada; los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de
quien ostenta la titularidad de su capital o de la procedencia de sus recursos
econmicos, as como los ficheros de los que sean responsables las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho pblico que las
mismas atribuye su normativa especfica. Se refiere a los ficheros de las
sociedades privadas y autnomos.
16

DEFINICIONES DEL REGLAMENTO - V
m) Ficheros de titularidad pblica; los ficheros de los que sean responsables los
rganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonmicas con funciones anlogas a los mismos, las
Administraciones publicas territoriales, as como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho
pblico siempre que su finalidad sea el ejercicio de potestades de derecho
pblico. Se refiere entidades como los ayuntamientos, comunidades
autnomas, etc.
n) Fichero no automatizado; todo conjunto de datos de carcter personal
organizado de forma no automatizada y estructurado conforme a criterios
especficos relativos a personas fsicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aqul centralizado,
descentralizado o repartido de forma funcional o geogrfica. Son los ficheros
manuales por ejemplo el clsico archivador.
) Importador de datos personales; la persona fsica o jurdica, pblica o
privada, u rgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer pas, ya sea responsable del
tratamiento, encargada del tratamiento o tercero. Se refiere al pases fuera del
territorio de la Unin Europea.
17

DEFINICIONES DEL REGLAMENTO - VI
o) Persona identificable; toda persona cuya identidad pueda determinarse,

directa o indirectamente, mediante cualquier informacin referida a su identidad
fsica, fisiolgica, psquica, econmica, cultural o social. Una persona fsica no
se considerar identificable si dicha identificacin requiere plazos o actividades
desproporcionados.
p) Procedimiento de disociacin; todo tratamiento de datos personales que
permita la obtencin de datos disociados. El resultado de este procedimiento
no pueda identificar o asociarse a persona alguna.
q) Responsable del fichero o del tratamiento; persona fsica o jurdica, de
naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente
con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no
lo realizase materialmente. Podrn ser tambin responsables del fichero o del
tratamiento los entes sin personalidad jurdica que acten en el trfico como
sujetos diferenciados.
r) Tercero; la persona fsica o jurdica, pblica o privada u rgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del fichero,
del encargado del tratamiento y de las personas autorizadas para tratar bajo la
autoridad directa del responsable del tratamiento o del encargado del
tratamiento. Podr ser tambin terceros los entes sin personalidad jurdica que
acten en el trfico como sujetos diferenciados.
18

DEFINICIONES DEL REGLAMENTO - VII
s) Transferencia internacional de datos; tratamiento de datos que supone una

transmisin de los mismos fuera del territorio del Espacio Econmico Europeo,
bien constituya una cesin o comunicacin de datos, bien tenga por objeto la
realizacin de un tratamiento de datos por cuenta del responsable del fichero
establecido en territorio espaol.
t) Tratamiento de datos; cualquier operacin o procedimiento tcnico, sea o no
automatizado, que permita la recogida, grabacin, conservacin, elaboracin,
modificacin, consulta, utilizacin, cancelacin, bloqueo o supresin, as como
las cesiones de datos que resultan de comunicaciones, consultas
interconexiones y transferencias. Hay que recalcar, que al igual de los ficheros,
el procedimiento puede ser automatizado o no.
19

DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - I
a) Accesos autorizados; autorizaciones concedidas a un usuario para la

utilizacin de los diversos recursos. En su caso, incluirn las autorizaciones o
funciones que tengan atribuidas un usuario por delegacin del responsable del
fichero o tratamiento o del responsable de seguridad.
b) Autentificacin; procedimiento de comprobacin de la identidad de un usuario.
Con esta medida lo que se consigue es acreditar la identificacin del usuario.
c) Contrasea; informacin confidencial, frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autentificacin de un usuario
o en el acceso a un recurso. Recordemos que las contraseas son tanto para
ficheros automatizados o no.
d) Control de acceso: mecanismo que en funcin de la identificacin ya
autentificada permite acceder a datos o recursos.
e) Copia de respaldo; copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperacin. En este prrafo se deja claro que no
tiene por que haber copia de respaldo en ficheros no automatizados o
manuales.
f) Documento; todo escrito, grfico, sonido, imagen o cualquier otra clase de
informacin que pueda ser tratada en un sistema de informacin como unidad
diferenciada.
20

DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - II
g) Ficheros temporales; ficheros de trabajo creados por usuarios o procesos que

son necesarios para un tratamiento ocasional o como paso intermedio durante
la realizacin de un tratamiento.
h) Identificacin; procedimiento de reconocimiento de la identidad de un usuario.
i) Incidencia; cualquier anomala que afecte o pudiera afectar a la seguridad de
los datos. Aclarar que puede tratarse de cualquier irregularidad fsica, lgica o
jurdica.
j) Perfil de usuario; accesos autorizados a un grupo de usuarios. Delimitar el
acceso a usuarios solamente a su perfil de trabajo, si se encargan de ficheros
de clientes no tienen acceso a ficheros de nminas.
k) Recurso; cualquier parte componente de un sistema de informacin.
l) Responsable de seguridad; persona o personas a las que el responsable del
fichero ha asignado formalmente la funcin de coordinar y controlar las medidas
de seguridad aplicables. Sobre el responsable de seguridad no recae ninguna
responsabilidad en materia de proteccin de datos, ya que esta recae sobre el
responsable del fichero o tratamiento.
m) Sistema de informacin; conjunto de ficheros, tratamientos, programas,
soportes y en su caso, equipos empleados para el tratamiento de datos de
carcter personal. Recordamos que los ficheros pueden ser automatizados o
no.
21

DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - III
n) Sistema de tratamiento; modo en que se organiza o utiliza un sistema de

informacin. Atendiendo al sistema de tratamiento, los sistemas de informacin
podrn ser automatizados, no automatizados o parcialmente automatizados.
Nos recuerda las formas de que pueden ser los sistemas empleados de
informacin.
) Soporte; objeto fsico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de informacin y sobre el cual se
puede grabar y recuperar datos.
o) Transmisin de documentos; cualquier traslado, comunicacin, envo,
entrega
o divulgacin de la informacin contenida en el mismo.
p) Usuario; sujeto o proceso autorizado para acceder a datos o recursos. Tendrn
la consideracin de usuarios los procesos que permitan acceder a datos o
recursos sin identificacin de usuario fsico.
22

FUENTES ACCESIBLES AL PUBLICO - I
Debido a su importancia dedicaremos un apartado especial a la Fuentes Accesibles al

Pblico.
Ya vimos el prrafo j), del art. 3 de la LOPD.
Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de
una contraprestacin. Tienen la consideracin de fuentes de acceso al pblico,
exclusivamente, el censo promocional, los repertorios telefnicos en los trminos
previstos por su normativa especfica y las listas de personas pertenecientes a grupo
de profesionales que contengan nicamente los datos de nombre, ttulo, profesin,
actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo.
Asimismo, tienen el carcter de fuentes accesibles al pblico los diarios
y boletines oficiales y los medios de comunicacin.
En El Reglamento esta definicin se amplia y en el art.7 dice;

1. A efectos del artculo 3, prrafo j) de la Ley orgnica 15/1999, se entender
que solo tendrn el carcter de fuentes accesibles al pblico:
a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgnica
15/1999, de 13 de diciembre.
b) Las guas de servicios de comunicaciones electrnicas, en los trminos previstos
por su normativa especifica.
23

FUENTES ACCESIBLES AL PUBLICO - II
c) Las listas de personas pertenecientes a grupos de profesionales que contengan

nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico,
direccin profesional e indicando de su pertenencia al grupo. La direccin profesional
podr incluir los datos del domicilio postal completo, nmero de telefnico, nmero de
fax y direccin electrnica. En el caso de Colegios profesionales, podrn indicarse
como datos de pertenencia al grupo los de nmero de colegiado, fecha de
incorporacin
y situacin de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicacin oficial.
2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan
ser considerados fuentes accesibles al pblico, ser preciso que su consulta pueda ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin ms
exigencia que, en su caso, el abono de una contraprestacin.
Hay que advertir que para la Agencia Espaola de Proteccin de Datos, internet no
es un medio fiable de informacin. Y al referirnos a las guas telefnicas, hablamos de
las Pginas Amarillas y del ao en curso.
24

4.- LOS PRINCIPIOS DE LA PROTECCIN DE
DATOS
25

CONSENTIMIENTO DEL INTERESADO O AFECTADO - I
La LOPD define el consentimiento como ( art. 3.h);

Toda manifestacin de voluntad, libre, inequvoca, especfica e
informada,
mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen. (Art. 6); Salvo que la Ley disponga otra
cosa.
Dicho esto, debemos saber que al solicitar el consentimiento al afectado de la

cesin de sus datos, este deber ser informado inequvocamente de la finalidad a la
que se destinar los datos. En el caso de menores de 14 aos, se requerir el
consentimiento de los padres o tutores y en ningn caso se podr recabar datos del
menor que se refieran a actividades profesionales, econmicos, sociolgicos, etc.,
de sus progenitores, sin el consentimiento de los titulares (Art. 13) del Reglamento.
Salvo que la Ley disponga de otra cosa (art. 6), en dicho articulo se nos aclara
que no ser preciso el consentimiento, cuando los datos de carcter personal se
recojan en ejercicio de las Administraciones Pblicas, etc., tal como vimos explicado
en el prrafo dedicado a: A quin protege la Proteccin de Datos?. En estos casos
que no es necesario el consentimiento del afectado, ste podr oponerse a su
tratamiento cuando existan motivos fundados y legtimos relativos a una concreta
situacin personal. En tal caso se excluirn del tratamiento los datos relativos al
afectado.
26

EL CONSENTIMIENTO DEL INTERESADO O AFECTADO
II
En el Reglamento 1720/2007, de fecha de 21 de diciembre, en su art. 14, se regula

el procedimiento para la obtencin de consentimiento del titular de los datos:
El solicitante se dirige al afectado en los trminos que dicta el art. 5 de la LOPD y
el art. 12.2 del Reglamento.
1.- De la existencia de un fichero, de la finalidad del mismo y el destinatario de
la informacin. En caso contrario el consentimiento ser nulo.
2.- El afectado tiene un plazo de treinta das para oponerse al tratamiento de
los
datos.
3.- Facilitar un procedimiento sencillo y gratuito, par que el afectado haga uso
a su negativa al tratamiento de los datos.
27

LA CALIDAD DE OBTENCION DE LOS DATOS
Art. 4.1, Los datos de carcter personal slo se podrn recoger para su
tratamiento, as como someterlos a dicho tratamiento, cuando sean adecuados,
pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas,
explcitas y legtimas para las que se hayan obtenido.
A lo largo de este articulo se especifica la calidad de obtencin de los datos, esto

es, los datos que se inscriban en un fichero tienen que ser exactos, se tienen que
mantener actualizados y puestos al da, apropiados para el fin que se solicitan y no
sern obtenidos por tanto, por medios fraudulentos, desleales o ilcitos. Si estos
datos fuesen inexactos, seran cancelados y sustituidos de oficio una vez
rectificados, siendo cancelados cuando hayan dejado de ser necesarios o
pertinentes para la cual se recabaron. Siempre sern almacenados de forma que
permitan el ejercicio del derecho acceso, salvo que sean legalmente cancelados.
28

DERECHO POR PARTE DEL AFECTADO A LA
INFORMACION A RECABAR LOS DATOS
Empieza el art. 5, diciendo; Los interesados a los que soliciten datos personales
debern ser previamente informados de modo expresa, preciso e inequvoco. De la
existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad
de la recogida de stos y de los destinatarios de la informacin. De la identidad y
direccin del responsable del tratamiento o, en su caso, de su representante.
Por lo tanto esta premisa se tiene que tener siempre presente cuando se utilicen
cuestionarios u otros impresos para la recogida de datos personales directamente
del interesado. Cuando los datos no hayan sido recabados del interesado, ste
deber ser informado de forma expresa, precisa e inequvoca en el plazo de tres
meses al registro de los datos.
Como excepcin a esta norma, no se aplicar este concepto cuando expresamente

una ley lo prevea, cuando el tratamiento tenga fines histricos, estadsticos y
cientficos o cuando la informacin al interesado fuese imposible o exija esfuerzos
desproporcionados a criterio de la Agencia Espaola de Proteccin de Datos.
Asimismo cuando los datos procedan de fuentes accesibles al pblico y se destinen
a la actividad de publicidad o prospeccin comercial, se le comunicar al interesado
el origen de los datos y se le informar de sus derechos y de la identidad del
responsable del tratamiento.
29

DATOS QUE DEBEN SER EXPECIALMENTE
PROTEGIDOS DEL AFECTADO - I
En el art. 7, se especifica los datos del afectado que deben de ser especialmente
protegidos, denominados sensibles. Estos datos son:
a) Ideologa, religin o creencias. El apartado 2 del art. 16 de la Constitucin, dice;
nadie podr ser obligado a declarar sobre su ideologa, religin o creencias.
Solo por consentimiento expreso y por escrito del afectado se podr tratar
dichos datos, a excepcin de los ficheros de los partidos polticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica,
religiosa o sindical. en cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio que la cesin de dichos datos precisar siempre el
previo consentimiento del afectado.
b) Datos personales de tipo racial, salud y vida sexual, del afectado, solo podrn
ser recabados, tratados y cedidos cuando, por razones de inters general, as
lo disponga una ley o el afectado consienta expresamente.
c) Por lo tanto quedan prohibidos los ficheros creados con la finalidad de
almacenar datos de carcter personal mencionados en los prrafos anteriores.
d) Relativo a los datos de salud, respecto a su cesin el art. 8, dice; las
instituciones y los centros sanitarios pblicos y privados y los profesionales
correspondientes podrn proceder al tratamiento de los datos de carcter
personal relativos a la salud de las personas que a ellos acudan o hayan de ser
tratados en los mismos, de acuerdo con lo dispuesto en la legislacin estatal o
autonmica sobre salud.
30

DATOS QUE DEBEN SER ESPECIALMENTE
PROTEGIDOS DEL AFECTADO - II
Solo no ser necesario su autorizacin, como excepcin, lo previsto en el art.11.2.f,

cuando la cesin de datos de carcter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a un fichero o para realizar los
estudios epidemiolgicos en los trminos establecido en la legislacin sobre
sanidad estatal o autonmica.
- Podrn ser objeto de tratamiento los datos mencionados en los prrafos,
a) y b), para prevencin o diagnsticos mdicos o prestacin de asistencia
sanitaria, siempre que lo realice personal sanitario sujeto al secreto profesional o
persona sujeta a una obligacin de secreto equivalente.
31

CESION DE DATOS
Segn el art. 11.1; los datos de carcter personal objeto del tratamiento slo podrn
ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legtimas del cedente y del cesionario con el previo
consentimiento del interesado.
No ser necesario el consentimiento exigido en los siguientes casos:

I. Cuando la cesin esta autorizada por una ley.
II. Cuando son recogidos en fuentes de accesos pblico.
III. Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin
jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexin de dicho tratamiento con ficheros de terceros. En este caso la
comunicacin slo ser legtima en cuanto se limite a la finalidad que la
justifique.
IV. Cuando se deba efectuar al defensor del Pueblo, al Ministerio Fiscal o los
Jueces o Tribunales o el tribunal de Cuentas, ni administraciones e
instituciones autonmicas.
V. Entre Administraciones pblicas, para el tratamiento posterior con fines
histricos, estadsticos o cientficos.
VI. Para realizar una urgencia o un estudio epidemiolgico .
El consentimiento ser nulo cuando no se permita conocer la finalidad a que se

destinarn los datos. 32

5.- TRATAMIENTO DE LOS DATOS
Art. 3.c; operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan
la
recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como
las cesiones de datos que resultan de comunicaciones, consultas, interconexiones y
transferencias. Podemos tratar cualquier dato pero cumpliendo con la normativa, teniendo el
consentimiento explicito e inequvoco del afectado.
El tratamiento de datos lo podemos resumir en tres fases:
En cada uno de los pasos tenemos que garantizar la proteccin de los datos de carcter
personal y los derechos del afectado.
33

TUTELA DE LOS DERECHOS
34

DERECHO DE CONSULTA AL
REGISTRO GENERAL DE
PROTECCIN DE DATOS
Segn el art. 14; Cualquier persona podr conocer, recabando a tal fin la
informacin oportuna del Registro General de Proteccin de Datos, la existencia de
tratamientos de datos de carcter personal, sus finalidades y la identidad del
responsable del tratamiento. El Registro General ser de consulta pblica y gratuita.
Este artculo, como podemos ver, es claro, corto y conciso. Recalcamos que:
El Registro General ser de consulta pblica y gratuita.
40
35

DERECHOS ARCO
Segn el art. 24, del Reglamento, en sus diferentes apartados se explican las
condiciones generales para el uso de estos derechos, an as, diremos que estos
derechos son independientes y por lo tanto el uso de uno no es requisito previo
para el uso del otro, para ejercitar su uso se deber habilitar un medio sencillo y
gratuito al afectado por parte dl responsable del fichero. En ningn caso debe
suponer un ingreso adicional al responsable del fichero.
41
36

DERECHO DE ACCESO
En el art. 28.1, del Reglamento, se dice; al ejercitar el derecho de acceso, el

afectado podr optar por recibir la informacin a travs de uno o varios de los
siguientes sistemas de consulta del fichero:
a) Visualizacin en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Telecopia.
d) Correo electrnico u otros sistemas de comunicaciones electrnicas.
e) Cualquier otro sistema que sea adecuado a la configuracin o implantacin
material del fichero o a la naturaleza del tratamiento, ofrecido por el
responsable.
Si el responsable ofrece un sistema para hacer posible el acceso y si el afectado lo

rechaza, aqul no responder de los posibles riesgos que pudieran ocasionar en la
seguridad de la informacin. Al igual que si el afectado exigiese un procedimiento
un
procedimiento que conlleve un coste desproporcionado, sern por cuenta del
afectado los gastos que conlleve. El responsable tiene el plazo mximo de un mes
para resolver la solicitud.
37

DERECHOS DE RECTIFICACIN Y
CANCELACIN
Artculo 31 del Reglamento;

1. El derecho de rectificacin es el derecho del afectado a que se modifiquen los
datos que resultan ser inexactos o incompletos.
2. El ejercicio del derecho de cancelacin dar a lugar a que se supriman los
datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de
bloqueo conforme a este Reglamento.
Artculo 16 de la LOPD;
1. El responsable del tratamiento tendr la obligacin de hacer efectivo el derecho
rectificacin o cancelacin del interesado en el plazo de diez das.
3. La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente
a disposicin de las Administraciones pblicas, Jueces y Tribunales. Una vez
que hayan prescrito los datos se dar lugar a la supresin.
Se podr denegar el derecho de rectificacin o cancelacin en los supuestos que

as
lo prevea una ley o norma de derecho comunitario de aplicacin directa. En todo
caso el responsable del fichero deber informar al afectado de su derecho de
recabar la tutela de la Agencia Espaola de Proteccin de Datos.
38

DERECHO DE OPOSICIN
Art. 34 del Reglamento; el derecho de oposicin es el derecho del afectado a que

no se lleve a cabo el tratamiento de sus datos de carcter personal o se cese en el
mismo en los siguientes supuestos:
b) Cuando se trate de ficheros que tengan por finalidad la realizacin de
actividades de publicidad y prospeccin comercial, cualquiera que sea la
empresa responsable de su creacin.
Art. 6.4, de la LOPD; En los casos que no sea necesario el consentimiento del
afectado para el tratamiento de los datos de carcter personal, y siempre que una
ley no disponga de lo contrario, ste podr oponerse a su tratamiento cuando
existan motivos fundados y legtimos relativos a una concreta situacin personal.
En tal supuesto, el responsable del fichero excluir del tratamiento los datos
relativos al afectado.
El tiempo mximo de resolucin de la solicitud es de diez das, se tengan o no

datos.
39

DERECHO A INDEMNIZACIN
En el art. 19 de la LOPD, se explican los derechos a indemnizacin que tienen los

afectados, como consecuencia del incumplimiento de la presente Ley, por parte del
responsable o encargado del tratamiento.
Cuando los ficheros son de titularidad pblica, la responsabilidad se exigir de

acuerdo con la legislacin reguladora del rgimen de responsabilidades de las
Administraciones pblicas.
Cuando los ficheros son de titularidad privada, la accin se ejercitar en la

jurisdiccin ordinaria.
40

TUTELA DE LOS DERECHOS
Al afectado que se la niegue total o parcial sus derechos Arco (Acceso,

Rectificacin, Cancelacin y Oposicin), podr ponerlo en conocimiento de la
Agencia Espaola de Proteccin de Datos (AEPD). El plazo de resolucin
expresa de tutela de derechos es de seis meses.
En el caso de proceder contra la Agencia Espaola de Proteccin de Datos,

proceder recurso contencioso-administrativo.
41

7.- RESPONSABLE DEL FICHERO O TRATAMIENTO
Y EL ENCARGADO DEL TRATAMIENTO
Entre estas dos figuras se debe de guardar el Deber de Secreto, durante y despus de finalizar
las relaciones. Art. 10 de la LOPD.
42

Documento de Seguridad
Niveles de Seguridad
43

INSCRIPCIN DE FICHEROS EN EL REGISTRO GENERAL DE LA
AGPD
Art. 55.1 del Reglamento; todo fichero de datos de carcter personal de titularidad
pblica ser notificado a la Agencia Espaola de Proteccin de Datos, para su
inscripcin en el Registro General de Proteccin de Datos, en el plazo de treinta
das.
Esta inscripcin la debe de realizar el responsable del fichero o tratamiento,

teniendo en cuenta que el soporte que se est utilizando es indiferente, volvemos a
la frase de automatizado o no. Estamos hablando de datos de carcter personal
que tratan las entidades jurdicas, ya sean pblicas o privadas, esto quiere decir
que los datos que son mantenidos por personas fsicas para uso exclusivo personal
y domestico estn excluidos de su inscripcin, como los clasificados en materia
reservada, terrorismo y delincuencia organizada.
Recordemos que los ficheros tienen que estar actualizados y al da.
44

TRATAMIENTO LEGAL Y LEAL
Durante los diversos procesos de tratamiento de los datos de carcter personal,

debemos observar siempre un tratamiento legal y leal. En cada paso se debe
respetar los derechos del afectado y siguiendo lo dictado por la Ley Orgnica de
Proteccin de Datos, ttulo II, arts. 4, 5, 6, 9, 10, 11 y 12:
Debemos de guardar el principio de Calidad de los Datos.

El Derecho de Informacin, del afectado, en la recogida de los datos.
El principio de Consentimiento por parte del afectado.
Principio de Seguridad de los Datos, implantacin de medidas de seguridad por
parte del responsable y del encargado del tratamiento.
Deber de Secreto.
Comunicacin de Datos a un tercero, para el cumplimiento de fines relacionados
con el cedente, previa autorizacin del afectado.
Acceso a los datos por cuenta de terceros, lo cual deber ser regulado por un
contrato por escrito, con lo que el encargado de tratamiento tratar los datos segn
las instrucciones recibidas por el responsable de tratamiento o del fichero.
45

DEBER DE SECRETO
Art. 10 de la LOPD; El responsable del fichero y quienes intervengan en cualquier

fase del tratamiento de los datos de carcter personal estn obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirn aun despus de finalizar sus relaciones con el titular del fichero o, en su
caso, con el responsable del mismo.
Por lo tanto las personas que accedan a estos datos se deben de regir por unas
normas de confidencialidad y respeto a la intimidad y el honor de los afectados. De
esta manera se evitar el mal uso de esta informacin.
46

OBLIGACIN DE FACILITAR EL EJERCICIO DE LOS DERECHOS
ARCO
En el art. 25.5 del Reglamento; El responsable del fichero o tratamiento deber

atender la solicitud de acceso, rectificacin, cancelacin u oposicin ejercida
por el afectado. Art.26 del Reglamento; cuando los afectados ejercitasen sus
derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho
ante el mismo, el encargado deber dar traslado de la solicitud al responsable del
tratamiento, a fin de que por el mismo se resuelva. Como podemos ver tanto el
responsable como el encargado tienen que facilitar al afectado el uso de sus
derechos Arco. Y en el art. 25.6 del Reglamento; el responsable del fichero deber
adoptar medidas oportunas para garantizar que las personas de su organizacin
que tienen acceso a datos de carcter personal puedan informar del procedimiento
a seguir por el afectado para el ejercicio de sus derechos.
47

MEDIDAS DE SEGURIDAD - I
Art. 9.1 de la LOPD; El responsable del fichero, y, en su caso el encargado del

tratamiento debern adoptar las medidas de ndole tcnicas y organizativas
necesarias que garanticen la seguridad de los datos de carcter personal y evit, su
alteracin, perdida, Y en su punto 2; no se registrarn datos de carcter
personal en ficheros que no renan las condiciones que se determinen por va
reglamentaria con respecto a su integridad y seguridad y a la de los centros de
tratamiento, locales, equipos sistemas y programas.
Tenemos que la Ley y su Reglamento imponen unas normas de seguridad en

materia de proteccin de datos, pero no imponen unas herramientas tecnolgicas
en seguridad, por lo tanto es muy importante que se adopten medidas
complementarias en seguridad de la informacin, complementarias a la normativa
en proteccin de datos.
48

MEDIDAS DE SEGURIDAD - II
DOCUMENTO DE SEGURIDAD
Art. 88.1 del Reglamento; El responsable del fichero o tratamiento elaborar un

documento de seguridad que recoger las medidas de ndole tcnicas y
organizativas acordes a la normativa de seguridad vigente.
Este documento de seguridad deber mantenerse en todo momento actualizado y

se revisar siempre que se produzcan cambios y deber adecuarse en todo
momento a las disposiciones vigentes en materia de seguridad de proteccin de
datos.
49

MEDIDAS DE SEGURIDAD - III
NIVELES DE SEGURIDAD
Art. 79 del Reglamento; Los responsables de los tratamientos o los ficheros y los
encargados del tratamiento debern implantar las medidas de seguridad con
arreglo a lo dispuesto en este Titulo, con independencia de cual sea su sistema de
tratamiento.
Art. 80 del Reglamento; Las medidas de seguridad exigibles a los ficheros y

tratamientos se clasifican en tres niveles: bsico, medio y alto.
Art. 81.1 del Reglamento; Todos los ficheros o

tratamientos de datos de carcter personal debern
adoptar las medidas de seguridad calificadas de nivel
bsico.
50

MEDIDAS DE SEGURIDAD - IV
A dems de adoptar las medidas del nivel bsico se implantarn las medidas de
nivel medio a:
a) Los relativos a la comisin de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el art. 29 de la LOPD (solvencia
patrimonial y crdito).
c) Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
d) Aquellos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestacin de servicios financieros.
e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen y se relacionen con el
ejercicio de sus competencias. De igual modo, aquellos de que sean
responsables las mutuas de accidentes de trabajo y enfermedades
profesionales de la Seguridad Social.
f) Aquellos que contengan un conjunto de datos de carcter personal que
ofrezcan una definicin de las caractersticas o de la personalidad de los
ciudadanos y que permitan evaluar determinados aspectos de la personalidad
o del comportamiento de los mismos.
51

MEDIDAS DE SEGURIDAD - V
A dems de adoptar las medidas del nivel bsico, ms nivel medio, se implantarn
las medidas de nivel alto a:
a) Los que se refieren a datos de ideologa, afiliacin sindical, religin, creencias,
origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de gnero.
Art. 81.5 del Reglamento; En caso de ficheros o tratamientos de datos del

apartado a), anterior, bastar la implantacin de las medidas de seguridad de
nivel bsico cuando:
d) Los datos se utilicen con la nica finalidad de realizar transferencia dineraria a
las entidades de las que los afectados sean asociados o miembros.
e) Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan aquellos datos sin guardar relacin con su
finalidad.
Tambin es excepcin los datos relativos a la salud referente al grado de

discapacidad o invalidez del afectado con motivo del cumplimiento de deberes
pblicos. Y a efectos de subvenciones en la contratacin laboral. 52

9.- PROCEDIMIENTOS PARA LA TUTELA DE LOS
DERECHOS ARCO
Art. 117 del Reglamento, Instruccin del Procedimiento; dicho procedimiento se

inicia a instancia del afectado de acuerdo a la Ley, dndose traslado a la AEPD y
esta dar traslado al responsable del fichero, para que en el plazo de quinde das
presente las alegaciones pertinentes.
Art. 118 del Reglamento, Duracin del procedimiento y efectos de la falta de

resolucin expresa; seis meses es el plazo mximo, desde la entrada del
procedimiento, para dictar resolucin. Pasado ese plazo se considerar estimada
su
reclamacin por silencio administrativo positivo.
Art. 119 del Reglamento, Ejecucin de la Resolucin; si la resolucin de tutela

fuese estimatoria, se requerir al responsable del fichero para que, en el plazo de
diez das siguientes a la notificacin, haga efectivo el ejercicio de los derechos
objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a la
Agencia Espaola de Proteccin de Datos en idntico plazo.
53

54

LEVES
Art. 44.2 de la LOPD;

a) No atender, por motivos formales, la solicitud del interesado de rectificacin o
cancelacin de los datos personales objeto del tratamiento cuando legalmente
proceda
b) No proporcionar la informacin que solicite la Agencia Espaola de
Proteccin de Datos en el ejercicio de las competencias que tiene legalmente
atribuidas, en relacin con aspectos no sustantivos de la proteccin de datos.
c) No solicitar la inscripcin del fichero de datos de carcter personal en el
registro General de Proteccin de Datos, cuando no sea constitutivo de
infraccin grave.
d) Proceder a la recogida de datos de carcter personal de los propios afectados
sin proporcionarles la informacin que seala el art. 5 de la presente Ley (los
interesados a los que se soliciten datos personales debern ser previamente
informados de modo expreso, preciso e inequvoco).
e) Incumplir el deber de secreto establecido en el art. 10 de esta Ley, salvo que
constituya infraccin grave.

Las infracciones leves sern sancionadas con multa de 900,00 a 40.000,00 .
55

GRAVES
I

a) Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de
datos de carcter personal para los mismos, sin autorizacin de disposicin
general, publicada en el Boletn Oficial del Estado o Diario oficial
correspondiente.
b) Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de
datos de carcter personal para los mismos con finalidades distintas de las que
constituyen el objeto legtimo de la empresa o entidad.
c) Proceder a la recogida de datos de carcter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos que este sea
exigible.
d) Tratar los datos de carcter personal o usarlos posteriormente con
conculcacin de los principios y garantas establecidos en la presente Ley o
con incumplimiento de los preceptos de proteccin que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infraccin
muy grave.
e) El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y
oposicin y la negativa a facilitar la informacin que sea solicitada.
f) Mantener datos de carcter personal inexactos o no efectuar las rectificaciones
o cancelaciones de los mismos que legalmente procedan cuando resulten
afectados los derechos de las personas que la presente Ley ampara. 56

GRAVES
II
g) La vulneracin del deber de guardar secreto sobre los datos de carcter
personal incorporados a ficheros que contengan datos relativos a la comisin
de infracciones administrativas o penales, Hacienda Pblica, servicios
financieros, prestacin de servicios de solvencia patrimonial y crdito, as como
aquellos otros ficheros que contengan un conjunto de datos de carcter
personal suficientes para obtener una evaluacin de la personalidad del
individuo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de
carcter personal sin las debidas condiciones de seguridad que por va
reglamentaria se determinen.
i) No remitir a la Agencia Espaola de Proteccin de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo, as como no
proporcionar en plazo a la misma cuantos documentos e informaciones deba
de recibir o sean requeridos por aqul a tales efectos.
j) La obstruccin al ejercicio de la funcin inspectora.
k) No inscribir el fichero de datos de carcter personal en el Registro General de
Proteccin de Datos, cuando haya sido requerido para ello por el Director de
la Agencia Espaola de Proteccin de Datos.
l) Incumplir el deber de informacin que se establece en los art. 5.28 y 29 de esta
Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Art. 45.2 de la LOPD; 57

Las infracciones graves sern sancionadas con multa de 60.101,21 a
300.506,05. Harvey & Lluch Consultores S.L.
MUY
GRAVES
I

a) La recogida de datos de forma engaosa y fraudulenta.
b) La comunicacin o cesin de datos de carcter personal, fuera de los casos en
que estn permitidas.
c) Recabar y tratar los datos de carcter personal a los que se refiere el art. 7.2
(datos especialmente protegidos) cuando no medie el consentimiento expreso
del afectado; recabar y tratar los datos referidos en el art. 7.3 cuando no lo
disponga una ley o el afectado no haya consentido expresamente, o violentar la
prohibicin contenida en el art. 7.4.
d) No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal
cuando sea requerido para ello por el Director de la Agencia Espaola de
Proteccin de Datos o por las personas titulares del derecho de acceso.
e) Transferencia temporal o definitiva de datos de carcter personal que hayan
sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento, con destino a pases que no proporcionen un nivel de proteccin
equiparable sin autorizacin del Director de la Agencia Espaola de
Proteccin de Datos.
58

MUY
GRAVES
II
f) Tratar los datos de carcter personal de forma ilegtima o con menosprecio de

los principios y garantas que les sean de aplicacin, cuando con ello se impida
o se atente contra el ejercicio de los derechos fundamentales.
g) La vulneracin del deber de guardar secreto sobre los datos de carcter
personal a que hace referencia el art. 7.2 y 3, as como los que hayan sido
recabados para fines policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos de
acceso, rectificacin, cancelacin u oposicin.
i) No atender de forma sistemtica el deber legal de notificacin de la inclusin de
datos de carcter personal en un fichero.

Las infracciones muy graves sern sancionadas con multa de 300.506,05 a
601.012,10 .
59

MODIFICACIN DEL REGIMEN SANCIONADOR DE LA LOPD
SEGN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA
DE LA LEY DE ECONOMIA SOSTENIBLE.-I
Uno. Se da nueva redaccin al apartado 2 del artculo 43, que queda redactado en
los siguientes trminos:
2. Cuando se trate de ficheros de titularidad pblica se estar, en cuanto al
procedimiento y a las sanciones, a lo dispuesto en los artculos 46 y 48 de la
presente Ley.
Dos. Se da nueva redaccin a los apartados 2 a 4 del artculo 44, que quedan
redactados en los siguientes trminos:
2. Son infracciones leves:

a) No remitir a la Agencia Espaola de Proteccin de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo.
b) b) No solicitar la inscripcin del fichero de datos de carcter personal en el
Registro General de Proteccin de Datos.
c) c) El incumplimiento del deber de informacin al afectado acerca del
tratamiento de sus datos de carcter personal cuando los datos sean
recabados del propio interesado.
d) d) La transmisin de los datos a un encargado del tratamiento sin dar
cumplimiento a los deberes formales establecidos en el artculo 12 de esta Ley.
60

DE LA LEY DE ECONOMIA SOSTENIBLE. -II
3. Son infracciones graves:
a) Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de

datos de carcter personal para los mismos, sin autorizacin de disposicin
general, publicada en el Boletn Oficial del Estado o diario oficial correspondiente.
b) Tratar datos de carcter personal sin recabar el consentimiento de las personas
afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y
sus disposiciones de desarrollo.
c) Tratar datos de carcter personal o usarlos posteriormente con conculcacin de
los principios y garantas establecidos en el artculo 4 de la presente Ley y las
disposiciones que lo desarrollan, salvo cuando sea constitutivo de infraccin muy
grave.
d) La vulneracin del deber de guardar secreto acerca del tratamiento de los datos
de carcter personal al que se refiere el artculo 10 de la presente Ley.
e) El impedimento o la obstaculizacin del ejercicio de los derechos de acceso,
rectificacin, cancelacin y oposicin.
f) El incumplimiento del deber de informacin al afectado acerca del tratamiento de
sus datos de carcter personal cuando los datos no hayan sido recabados del
propio interesado.
g) El incumplimiento de los restantes deberes de notificacin o requerimiento al
afectado impuestos por esta Ley y sus disposiciones de desarrollo. 61

DE LA LEY DE ECONOMIA SOSTENIBLE.-III
h) Mantener los ficheros, locales, programas o equipos que contengan datos de

carcter personal sin las debidas condiciones de seguridad que por va
reglamentaria se determinen.
i) No atender los requerimientos o apercibimientos de la Agencia Espaola de
Proteccin de Datos o no proporcionar a aqulla cuantos documentos e
informaciones sean solicitados por la misma.
j) La obstruccin al ejercicio de la funcin inspectora.
k) La comunicacin o cesin de los datos de carcter personal sin contar con
legitimacin para ello en los trminos previstos en esta Ley y sus disposiciones
reglamentarias de desarrollo, salvo que la misma sea constitutiva de infraccin muy
grave.
4. Son infracciones muy graves:
a) La recogida de datos en forma engaosa o fraudulenta.

b) Tratar o ceder los datos de carcter personal a los que se refieren los apartados
2, 3 y 5 del artculo 7 de esta Ley salvo en los supuestos en que la misma lo
autoriza o violentar la prohibicin contenida en el apartado 4 del artculo 7.
c) No cesar en el tratamiento ilcito de datos de carcter personal cuando existiese
un previo requerimiento del Director de la Agencia Espaola de Proteccin de Datos
para ello. 62

DE LA LEY DE ECONOMIA SOSTENIBLE.-IV
d) La transferencia internacional de datos de carcter personal con destino a pases
que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director
de la Agencia Espaola de Proteccin de Datos salvo en los supuestos en los que
conforme a esta Ley y sus disposiciones de desarrollo dicha autorizacin no resulta
necesaria.
Tres. Se modifican los apartados 1 a 5 del artculo 45, siendo la redaccin

resultante la siguiente:
1. Las infracciones leves sern sancionadas con multa de 900 a 40.000

euros.
1. Las infracciones graves sern sancionadas con multa de 40.001 a 300.000
euros.
2. Las infracciones muy graves sern sancionadas con multa de 300.001 a 600.000
euros.
3. La cuanta de las sanciones se graduar atendiendo a los siguientes criterios:
a) El carcter continuado de la infraccin.

b) El volumen de los tratamientos efectuados.
c) La vinculacin de la actividad del infractor con la realizacin de tratamientos de
datos de carcter personal.
d) El volumen de negocio o actividad del infractor. 63

DE LA LEY DE ECONOMIA SOSTENIBLE.-V
e) Los beneficios obtenidos como consecuencia de la comisin de la infraccin.
f) El grado de intencionalidad.
g) La reincidencia por comisin de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
i) La acreditacin de que con anterioridad a los hechos constitutivos de infraccin la
entidad imputada tena implantados procedimientos adecuados de actuacin en la
recogida y tratamiento de Ios datos de carcter personal, siendo la infraccin
consecuencia de una anomala en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora.
5. El rgano sancionador establecer la cuanta de la sancin aplicando la escala

relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los
siguientes supuestos:
a) Cuando se aprecie una cualificada disminucin de la culpabilidad del imputado o

de la antijuridicidad del hecho como consecuencia de la concurrencia significativa
de varios de los criterios enunciados en el apartado 4 de este artculo.
64

DE LA LEY DE ECONOMIA SOSTENIBLE.-VI
b) Cuando la entidad infractora haya regularizado la situacin irregular de forma
diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisin de la infraccin.
d) Cuando el infractor haya reconocido espontneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusin por absorcin y la infraccin
fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Cuatro. Se aade un nuevo apartado 6 al artculo 45, pasando los actuales

apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el
siguiente:
6. Excepcionalmente el rgano sancionador podr, previa audiencia de los

interesados y atendida la naturaleza de los hechos y la concurrencia significativa de
los criterios establecidos en el apartado anterior, no acordar la apertura del
procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de
que, en el plazo que el rgano sancionador determine, acredite la adopcin de las
medidas correctoras que en cada caso resultasen pertinentes, siempre que
concurran los siguientes presupuestos:
65

DE LA LEY DE ECONOMIA SOSTENIBLE.-VII
a) Que los hechos fuesen constitutivos de infraccin leve o grave conforme a lo
dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado
o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el rgano sancionador
hubiera determinado proceder la apertura del correspondiente procedimiento
sancionador por dicho incumplimiento.
Cinco. Se da nueva redaccin a los apartados 1 a 3 del artculo 46, pasando a ser
su redaccin la siguiente:
1. Cuando las infracciones a que se refiere el artculo 44 fuesen cometidas en
ficheros de titularidad pblica o en relacin con tratamientos cuyos responsables lo
seran de ficheros de dicha naturaleza, el rgano sancionador dictar una
resolucin estableciendo las medidas que procede adoptar para que cesen o se
corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del
fichero, al rgano del que dependa jerrquicamente y a los afectados si los hubiera.
1. El rgano sancionador podr proponer tambin la iniciacin de actuaciones
disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar sern
las establecidas en la legislacin sobre rgimen disciplinario de las
Administraciones Pblicas.
2. Se debern comunicar al rgano sancionador las resoluciones que
recaigan en relacin con las medidas y actuaciones a que se refieren los 66
apartados anteriores.
DE LA LEY DE ECONOMIA SOSTENIBLE.-VIII
Seis. Se modifica el artculo 49 que pasa a tener la siguiente redaccin:

Artculo 49. Potestad de inmovilizacin de ficheros.
En los supuestos constitutivos de infraccin grave
. o muy grave en que la persistencia en el tratamiento de los datos de carcter
personal o su comunicacin
. o transferencia internacional posterior pudiera suponer un grave menoscabo de los
derechos fundamentales de los afectados y en particular de su derecho a la
proteccin de datos de carcter personal, el rgano sancionador podr, adems de
ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos
de carcter personal, tanto de titularidad pblica como privada, la cesacin en la
utilizacin o cesin ilcita de los datos. Si el requerimiento fuera desatendido, el
rgano sancionador podr, mediante resolucin motivada, inmovilizar tales ficheros
a los solos efectos de restaurar los derechos de las personas afectadas.
67

68

QUE ES LA A.E.P.D.?
La Agencia se crea en el art. 34 de la antigua LORTAD, regulndose posteriormente a travs

de los artculos 35 a 42 de la LOPD; La Agencia de Proteccin de Datos es un ente de
derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que
acta con plena independencia de las Administraciones pblicas en el ejercicio de sus
funciones.
Art. 39; El Registro General de Proteccin de Datos es un rgano integrado en la Agencia de

Proteccin de Datos. En el cual se inscriben los ficheros pblicos y privados.
Art. 36.1; El Director de la Agencia de Proteccin de Datos dirige la Agencia y ostenta su

representacin.
69

CUALES SON SUS FUNCIONES? - I
Art. 37 de la LOPD; Son funciones de la Agencia de Proteccin de Datos:

a) Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su
aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin,
oposicin y cancelacin de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros rganos, las instrucciones
precisas para adecuar los tratamientos a los principios de la presente Ley.
d) Tender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar informacin a las personas acerca de sus derechos en materia de
tratamiento de los datos de carcter personal.
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de
stos, la adopcin de las medidas necesarias para la adecuacin del tratamiento de
datos a las disposiciones de esta Ley y, en su caso, ordenar la cesacin de los
tratamientos y la cancelacin de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los trminos previstos por el Titulo VII de la presente
Ley.
h) Informar, con carcter preceptivo, los proyectos de disposiciones generales que
desarrollen esta ley.
70

CUALES SON SUS FUNCIONES? - II
i) Recabar de los responsables de los ficheros cuanta ayuda e informacin estime

necesaria para el desempeo de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carcter personal, a
cuyo efecto publicar peridicamente una relacin de dichos ficheros con la informacin
adicional que el Director de la Agencia.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relacin con los
movimientos internacionales de datos, as como desempear las funciones de
cooperacin internacional en materia de proteccin der datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Funcin Estadstica
Pblica establece respecto a la recogida de datos estadsticos y al secreto estadstico,
as como distar las instrucciones precisas, dictaminar sobre las condiciones de
seguridad de los ficheros constituidos con fines exclusivamente estadsticos y ejercer la
potestad a la que se refiere el artculo 46.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
71

TRANSFERENCIA INTERNACIONAL DE
DATOS
El art. 33 de la LOPD deja muy claro que no se deben hacer transferencia de datos de
carcter personal, a otros pases que no proporcionen un nivel de proteccin equiparable al
que presta la presente Ley Orgnica de Proteccin de Datos, salvo que se obtenga una
autorizacin por parte del Director de la Agencia de Proteccin de Datos.
Claro est que estamos hablando de pases no pertenecientes al mbito de la Unin
Europea, los cuales se rigen por la normativa 95/46/CE, proporcionando a todos los
miembros el nivel de proteccin.
Las excepciones a este articulo se tipifican en el art. 34 y sus apartados; a) en tratados y

convenios en los que participe Espaa, b) para prestar auxilio judicial internacional, c)
diagnsticos, prevencin mdicas o servicios sanitarios, d) transferencias dinerarias conforma
a su legislacin especfica, e) con el consentimiento inequvoco del afectado, f) en contratos y
precontratos entre el afectado y el responsable del fichero, g) contratos y precontratos entre
el afectado, responsable del fichero y un tercero, h) por inters pblico o solicitada por una
Administracin fiscal o aduanera, i) procedimiento, ejercicio o defensa de un derecho en un
proceso judicial, j) a peticin de una persona con inters legtimo, desde un Registro pblico y
aquella sea acorde con la finalidad del mismo, k) tenga como destino un Estado de la Unin
Europea, o un Estado que haya declarado la Comisin de las Comunidades Europeas, que
garantiza un nivel de proteccin adecuado.
72

CDIGOS TIPO
Mediante acuerdos sectoriales, convenios administrativos, agrupacin de organizaciones, se

elaboran unos cdigo tipo por los cuales, se establecen las condiciones de organizacin,
rgimen de funcionamiento, procedimientos aplicables, normas de seguridad, obligaciones de
los implicados en el tratamiento, para el ejercicio de los derechos de las personas con pleno
respeto a los principios de esta Ley. Estos cdigos tendrn carcter de Cdigos
Deontolgicos o de buena prctica profesional, debiendo ser depositados o inscritos el
Registro General de Proteccin de Datos y cuando corresponda, en los creados a estos
efectos por las Comunidades Autnomas.
A estos cdigos tipo se les puede denegar la inscripcin en el Registro General de Proteccin
de Datos, cuando se considere que no se ajustan a las disposiciones legales y reglamentarias
sobre la materia.
73

PGINA WEB DE LA AGENCIA
La pgina de la Agencia Espaola de Proteccin de Datos es: www.agpd.es.
En esta pgina podremos encontrar toda la informacin relativa a proteccin de datos,

sentencias, recursos, conferencias, legislacin, recomendaciones, jornadas nacionales e
internacionales, modelos de quejas y sugerencias, registro, etc.
Todo un portal orientado al ciudadano en defensa y tutela de sus derechos.
74

12.- LISTAS ROBINSON
El 30 de junio de 2009 la Agencia de Proteccin de Datos, presento el denominado Fichero

de Exclusin Publicitaria Listas Robinson. En el Reglamento de Desarrollo de la Ley
Orgnica de Proteccin de Datos, 1720/2007 de 21 de diciembre, se establece la posibilidad
de crear los denominados ficheros de exclusin, para la inscripcin de cualquier persona
para evitar recibir publicidad no deseada y la obligatoriedad de las empresas a consultarlos.
El ciudadano podr seleccionar medio o medios a travs del cual no quiere recibir
publicidad (correo postal, llamadas telefnicas, correo electrnico, sms o mms) de las
entidades para el desarrollo de campaas publicitarias. Y de esta manera, adems, el
ciudadano podr seleccionar entidades con las que ha mantenido o mantienen una relacin
contractual para no recibir publicidad telefnica.
Esta inscripcin es gratuita y se puede hacer a travs de la pgina web: www.listarobinson.es
75

Telfono de tutoras; 912257071 y en horario 15,30h a 16,30h de Lunes a
Viernes.
Correo electrnico; info@harveylluch.com
HARVEY & LLUCH CONSULTORES S.L.

Domicilio social en:
Calle Aguacate, nm. 41, 2 planta. 28054-Madrid.
Reservados todos los derechos.

El contenido de esta publicacin no puede
ser reproducido, ni en todo ni en parte, ni transmitido,
ni registrado por ningn sistema de recuperacin de
Informacin, en ninguna forma ni por ningn medio,
sin el permiso previo, por escrito, de
HARVEY & LLUCH CONSULTORES S.L., (2009). 76

Cursosobrelalopd Ponencias 120718050028 Phpapp01

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cursosobrelalopd Ponencias 120718050028 Phpapp01

Caricato da

Copyright:

Formati disponibili

CURSO SOBRE LA LEY ORGANICA DE

Harvey & Lluch Consultores S.L.

Qu es la A quin obliga la A quin protege

Harvey & Lluch Consultores S.L.

Se entiende por Proteccin de Datos el garantizar y proteger, en lo que

Para garantizar y proteger estos datos, se legisla la Ley Orgnica 15/1999, de

Aplicando la normativa vigente el tratamiento de los datos puede ser

El afectado tiene que haber dado su consentimiento al tratamiento de sus

Este consentimiento por parte del afectado, tiene su excepcin en el supuesto

Harvey & Lluch Consultores S.L.

A todas las entidades seas pblica o privadas y profesionales, que realicen en

Estos datos pueden ser generados por la actividad lgica de la entidad,

Estos datos no son de la entidad, son de sus titulares, de los interesados o

Harvey & Lluch Consultores S.L.

LEY ORGANICA DE PROTECCIN DE

REAL DECRETO DE DESARRROLLO DEL

Harvey & Lluch Consultores S.L.

La normativa vigente en tratamiento de datos de carcter personal es la Ley

El cumplimiento de esta normativa es imprescindible para cualquier entidad jurdica

Harvey & Lluch Consultores S.L.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba El

Harvey & Lluch Consultores S.L.

DEFINICIONES DEL REGLAMENTO

DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD

COMPARATIVA ENTRE LAS DEFINICIONES

Harvey & Lluch Consultores S.L.

Definiciones segn el art. 3:

Harvey & Lluch Consultores S.L.

f) Procedimiento de disociacin; todo tratamiento de datos personales de modo

Harvey & Lluch Consultores S.L.

j) Fuentes accesibles al pblico; aquellos ficheros cuya consulta puede ser

Harvey & Lluch Consultores S.L.

Definiciones segn el art. 5:

Harvey & Lluch Consultores S.L.

e) Dato disociado; aqul que no permite la identificacin de un afectado o

Harvey & Lluch Consultores S.L.

h) Destinatario o cesionario; la persona fsica o jurdica, pblica privada u

Harvey & Lluch Consultores S.L.

k) Fichero; todo conjunto organizado de datos de carcter personal, que permita

Harvey & Lluch Consultores S.L.

Harvey & Lluch Consultores S.L.

o) Persona identificable; toda persona cuya identidad pueda determinarse,

Harvey & Lluch Consultores S.L.

s) Transferencia internacional de datos; tratamiento de datos que supone una

Harvey & Lluch Consultores S.L.

a) Accesos autorizados; autorizaciones concedidas a un usuario para la

Harvey & Lluch Consultores S.L.

g) Ficheros temporales; ficheros de trabajo creados por usuarios o procesos que

Harvey & Lluch Consultores S.L.

n) Sistema de tratamiento; modo en que se organiza o utiliza un sistema de

Harvey & Lluch Consultores S.L.

Debido a su importancia dedicaremos un apartado especial a la Fuentes Accesibles al

En El Reglamento esta definicin se amplia y en el art.7 dice;

Harvey & Lluch Consultores S.L.

c) Las listas de personas pertenecientes a grupos de profesionales que contengan

Harvey & Lluch Consultores S.L.

Harvey & Lluch Consultores S.L.

La LOPD define el consentimiento como ( art. 3.h);

Dicho esto, debemos saber que al solicitar el consentimiento al afectado de la

Harvey & Lluch Consultores S.L.

En el Reglamento 1720/2007, de fecha de 21 de diciembre, en su art. 14, se regula

Harvey & Lluch Consultores S.L.

A lo largo de este articulo se especifica la calidad de obtencin de los datos, esto

Harvey & Lluch Consultores S.L.