conoce los secretos de la ley orgánica de protección de datos lopd

CURSO SOBRE LA LEY ORGANICA DE PROTECCION DE DATOS DE

CARACTER PERSONAL

Harvey & Lluch Consultores S.L.

2


1.- INTRODUC-

CION

¿A quién protege la Protección de

Datos?

¿Qué es la Protección de

Datos?

¿A quién obliga la Protección de

Datos?

3


¿QUE ES LA PROTECCION DE DATOS?

Se entiende por Protección de Datos el garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertadas públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar.

Para garantizar y proteger estos datos, se legisla la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Ley que deroga la anterior Ley Orgánica 5/1992, de 29 de octubre, de Regularización del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). La LOPD se complementa con el Real Decreto 1720/2007, de 21 diciembre, por el cual se aprueba El Reglamento de Desarrollo de la LOPD.

Aplicando la normativa vigente el tratamiento de los datos puede ser automatizado o no, siguiendo el mandato imperativo de la Normativa Europea.

4


¿A QUIEN PROTEGE LA PROTECCION DE DATOS?

Una premisa que tenemos que tener claro, es que los datos no son de las entidades son de sus titulares, de los interesados o afectados como los denomina la LOPD.

Por lo tanto el tratamiento de los datos a de ser lícito y al ser datos de los afectados, las entidades tienen que respetar todos los derechos y principios que sobre ellos contempla la Ley Orgánica de Protección de Datos.

El afectado tiene que haber dado su consentimiento al tratamiento de sus datos: art. 3.h, toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Este consentimiento por parte del afectado, tiene su excepción en el supuesto en que se refiera a las partes de un contrato o precontrato de una relación negocial, cuando su finalidad sea proteger el interés vital del afectado y, por último, cuando sus datos figuren en fuentes accesibles al público, siempre que no se vulneren los derechos y libertades fundamentales del afectado.

5


¿A QUIEN OBLIGA LA PROTECCION DE DATOS?

A todas las entidades seas pública o privadas y profesionales, que realicen en su actividad, el tratamiento de datos de Carácter Personal.

Estos datos pueden ser generados por la actividad lógica de la entidad, empleados, colaboradores, proveedores, clientes, etc., estos datos son de tratamiento interno de la entidad y su vez por dicha actividad, estos datos pueden salir fuera de la entidad para control de distribución, postventa, subcontratación, cesión a terceros, etc.

Estos datos no son de la entidad, son de sus titulares, de los interesados o afectados como los denomina la LOPD.

Por lo tanto, el tratamiento de los datos ha de ser lícito y al ser datos de los afectados, las entidades tienen que respetar todos los derechos y principios que sobre ellos contempla la Ley Orgánica de Protección de Datos.

6


2.- NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS

LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

REAL DECRETO DE DESARRROLLO DEL REGLAMENTO DE LA LOPD

7


La normativa vigente en tratamiento de datos de carácter personal es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar, (art. 1).

Por esta Ley, los afectados adquieren unos derechos en el tratamiento de sus datos de carácter personal y que obliga a los titulares de los ficheros (cualquier empresa o entidad, pública o privada que tenga datos de carácter personal en un soporte automatizado o susceptible de tratamiento automatizado), a respetar los principios de esta Ley.

El cumplimiento de esta normativa es imprescindible para cualquier entidad jurídica (empresa o autónomo), ya sea pública o privada, que tenga tratamiento de datos de carácter personal.

LEY ORGANICA DE PROTECCIÓN DE DATOS DE

CARACTER PERSONAL

8


Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba El Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. Este Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales.

Hay que destacar que este Reglamento nace con la vocación de no reiterar los contenidos de la Ley y de desarrollar, no solo los mandatos contenidos en dicha Ley de acuerdo con los principios que emanan de la Directiva sino también aquellos que estos años de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo.

REAL DECRETO DE DESARROLLO DEL

REGLAMENTO DE LA LOPD

9


DEFINICIONES DE LA LOPD

• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD• FUENTES ACCESIBLES AL PUBLICO

DEFINICIONES DEL REGLAMENTO

COMPARATIVA ENTRE LAS DEFINICIONES DE LA LOPD Y EL REGLAMENTO

3.- CONCEPTOS DESTACABLES DE LA LOPD Y EL REGLAMENTO

10


Definiciones según el art. 3:a) Datos de carácter personal; cualquier información concerniente a personas

físicas identificadas o identificables. Se habla de cualquier información concerniente a las personas, incluido la video vigilancia.

b) Fichero; todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se incluyen tanto los ficheros automatizados como los no automatizados (normales).

c) Tratamiento de datos; operaciones y procedimientos técnicos de carácter automatizados o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento; persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

e) Afectado o interesado; persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente articulo.

DEFINICIONES DE LA LOPD - I

11


f) Procedimiento de disociación; todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificables. No se puede asociar el número de teléfono al nombre de un afectado, o el DNI con su propietario.

g) Encargado del tratamiento; la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El encargado de tratamiento recibe por parte del responsable el encargo de tratar los datos de carácter personal del otro, por ejemplo las asesoría fiscal o laboral, abogados, etc.

h) Consentimiento del interesado; toda manifestación de voluntad, libre, inequívoca, especifica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

i) Cesión o comunicación de datos; toda revelación de datos realizada a una persona distinta del interesado. “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”, art.5.1.

DEFINICIONES DE LA LOPD - II

12


j) Fuentes accesibles al público; aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso al público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupo de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al público los diarios y boletines oficiales y los medios de comunicación. La Agencia Española de Protección de Datos dictaminó que internet no es un medio fiable.

DEFINICIONES DE LA LOPD - III

13


Definiciones según el art. 5:a) Afectado o interesado: Persona física titular de los datos que sean objeto del

tratamiento.b) Cancelación; Procedimiento en virtud del cual el responsable cesa en el uso

de los datos. La cancelación implicará el bloque de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

c) Cesión o comunicación de datos; Tratamiento de datos que supone su revelación a una persona distinta al interesado. Aquí El Reglamento hace hincapié en tratamiento de datos, por lo tanto para que haya cesión es necesario que haya dicho tratamiento de datos.

d) Consentimiento del interesado; Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

DEFINICIONES DEL REGLAMENTO - I

14


e) Dato disociado; aquél que no permite la identificación de un afectado o interesado. Por medio de este dato, por ejemplo el número de móvil, no identificamos al afectado.

f) Datos de carácter personal; cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Hay que hacer diferencia entre persona física y persona jurídica, un empresario individual al hacer referencia a su actividad comercial, queda excluido en el tratamiento, pasa a ser persona jurídica y a su vez las personas que ocupando cargos o funciones están asociadas a la persona jurídica que prestan sus servicios. Están incluidos en este apartado las imágenes de personas físicas tomadas en video vigilancia.

g) Datos de carácter personal relacionados con la salud; las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

DEFINICIONES DEL REGLAMENTO - II

15


h) Destinatario o cesionario; la persona física o jurídica, pública privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Añadiríamos en este apartado a las comunidades de propietarios.

i) Encargado del tratamiento; la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de relación para la prestación de un servicio. Podrá ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

j) Exportador de datos personales; la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. Este párrafo se refiere a datos exportados fuera de la CEE.

DEFINICIONES DEL REGLAMENTO - III

16


k) Fichero; todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. Quedan excluidos del tratamiento cualquier fichero mantenido por cualquier persona física en el ejercicio de actividades personales o domésticas, los sometidos a normativa sobre protección de materias clasificadas, y los establecidos para la investigación del terrorismo y de formas graves de delincuencia, están excluidos pero estos ficheros se comunicaran de su existencia a la AEPD.

l) Ficheros de titularidad privada; los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostenta la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que las mismas atribuye su normativa específica. Se refiere a los ficheros de las sociedades privadas y autónomos.

DEFINICIONES DEL REGLAMENTO - IV

17


m) Ficheros de titularidad pública; los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones publicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. Se refiere entidades como los ayuntamientos, comunidades autónomas, etc.

n) Fichero no automatizado; todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Son los ficheros manuales por ejemplo el clásico archivador.

ñ) Importador de datos personales; la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Se refiere al países fuera del territorio de la Unión Europea.

DEFINICIONES DEL REGLAMENTO - V

18


o) Persona identificable; toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

p) Procedimiento de disociación; todo tratamiento de datos personales que permita la obtención de datos disociados. El resultado de este procedimiento no pueda identificar o asociarse a persona alguna.

q) Responsable del fichero o del tratamiento; persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

r) Tercero; la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del fichero, del encargado del tratamiento y de las personas autorizadas para tratar bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrá ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

DEFINICIONES DEL REGLAMENTO - VI

19


s) Transferencia internacional de datos; tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

t) Tratamiento de datos; cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resultan de comunicaciones, consultas interconexiones y transferencias. Hay que recalcar, que al igual de los ficheros, el procedimiento puede ser automatizado o no.

DEFINICIONES DEL REGLAMENTO - VII

20


a) Accesos autorizados; autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tengan atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.b) Autentificación; procedimiento de comprobación de la identidad de un usuario. Con esta medida lo que se consigue es acreditar la identificación del usuario.c) Contraseña; información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autentificación de un usuario o en el acceso a un recurso. Recordemos que las contraseñas son tanto para ficheros automatizados o no.d) Control de acceso: mecanismo que en función de la identificación ya autentificada permite acceder a datos o recursos.e) Copia de respaldo; copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. En este párrafo se deja claro que no tiene por que haber copia de respaldo en ficheros no automatizados o manuales.f) Documento; todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que pueda ser tratada en un sistema de información como unidad diferenciada.


• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - I

21


g) Ficheros temporales; ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.h) Identificación; procedimiento de reconocimiento de la identidad de un usuario.i) Incidencia; cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Aclarar que puede tratarse de cualquier irregularidad física, lógica o jurídica.j) Perfil de usuario; accesos autorizados a un grupo de usuarios. Delimitar el acceso a usuarios solamente a su perfil de trabajo, si se encargan de ficheros de clientes no tienen acceso a ficheros de nóminas.k) Recurso; cualquier parte componente de un sistema de información.l) Responsable de seguridad; persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Sobre el responsable de seguridad no recae ninguna responsabilidad en materia de protección de datos, ya que esta recae sobre el responsable del fichero o tratamiento.m) Sistema de información; conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Recordamos que los ficheros pueden ser automatizados o no.


• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - II

22


n) Sistema de tratamiento; modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. Nos recuerda las formas de que pueden ser los sistemas empleados de información.ñ) Soporte; objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se puede grabar y recuperar datos. o) Transmisión de documentos; cualquier traslado, comunicación, envío,

entrega o divulgación de la información contenida en el mismo. p) Usuario; sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de usuario físico.


• DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - III

23


Debido a su importancia dedicaremos un apartado especial a la Fuentes Accesibles al Público.Ya vimos el párrafo j), del art. 3 de la LOPD.“Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso al público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupo de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al público los diariosy boletines oficiales y los medios de comunicación”.

En El Reglamento esta definición se amplia y en el art.7 dice;1. A efectos del artículo 3, párrafo j) de la Ley orgánica 15/1999, se entenderá que solo tendrán el carácter de fuentes accesibles al público:a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa especifica.


• FUENTES ACCESIBLES AL PUBLICO - I

24


c) Las listas de personas pertenecientes a grupos de profesionales que contenganúnicamente los datos de nombre, título, profesión, actividad, grado académico,dirección profesional e indicando de su pertenencia al grupo. La dirección profesionalpodrá incluir los datos del domicilio postal completo, número de telefónico, número defax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarsecomo datos de pertenencia al grupo los de número de colegiado, fecha de incorporacióny situación de ejercicio profesional.d) Los diarios y boletines oficiales.e) Los medios de comunicación oficial.2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda serrealizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.

Hay que advertir que para la Agencia Española de Protección de Datos, internet no es un medio fiable de información. Y al referirnos a las guías telefónicas, hablamos de las Páginas Amarillas y del año en curso.


• FUENTES ACCESIBLES AL PUBLICO - II

25


4.- LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS

CONSENTIMIENTO DEL INTERESADO O AFECTADO

LA CALIDAD DE OBTENCION DE LOS DATOS

DERECHO POR PARTE DEL AFECTADO A LA

INFORMACIÓN A RECABAR LOS DATOS

DATOS QUE DEBEN SER ESPECIALMENTE PROTEGIDOS DEL

AFECTADO

CESIÓN DE DATOS

26


CONSENTIMIENTO DEL INTERESADO O AFECTADO - I

La LOPD define el consentimiento como ( art. 3.h); Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Art. 6); “Salvo que la Ley disponga otra cosa”. Dicho esto, debemos saber que al solicitar el consentimiento al afectado de la cesión de sus datos, este deberá ser informado inequívocamente de la finalidad a la que se destinará los datos. En el caso de menores de 14 años, se requerirá el consentimiento de los padres o tutores y en ningún caso se podrá recabar datos del menor que se refieran a actividades profesionales, económicos, sociológicos, etc., de sus progenitores, sin el consentimiento de los titulares (Art. 13) del Reglamento.

“Salvo que la Ley disponga de otra cosa” (art. 6), en dicho articulo se nos aclara que no será preciso el consentimiento, cuando los datos de carácter personal se recojan en ejercicio de las Administraciones Públicas, etc., tal como vimos explicado en el párrafo dedicado a: ¿A quién protege la Protección de Datos?. En estos casos que no es necesario el consentimiento del afectado, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal caso se excluirán del tratamiento los datos relativos al afectado.

27


EL CONSENTIMIENTO DEL INTERESADO O AFECTADO II

En el Reglamento 1720/2007, de fecha de 21 de diciembre, en su art. 14, se regula el procedimiento para la obtención de consentimiento del titular de los datos:• El solicitante se dirige al afectado en los términos que dicta el art. 5 de la LOPD y el art. 12.2 del Reglamento. 1.- De la existencia de un fichero, de la finalidad del mismo y el destinatario de

la información. En caso contrario el consentimiento será nulo. 2.- El afectado tiene un plazo de treinta días para oponerse al tratamiento de

los datos. 3.- Facilitar un procedimiento sencillo y gratuito, par que el afectado haga uso

a su negativa al tratamiento de los datos.

28


LA CALIDAD DE OBTENCION DE LOS DATOS

Art. 4.1, “ Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

A lo largo de este articulo se especifica la calidad de obtención de los datos, esto es, los datos que se inscriban en un fichero tienen que ser exactos, se tienen que mantener actualizados y puestos al día, apropiados para el fin que se solicitan y no serán obtenidos por tanto, por medios fraudulentos, desleales o ilícitos. Si estos datos fuesen inexactos, serían cancelados y sustituidos de oficio una vez rectificados, siendo cancelados cuando hayan dejado de ser necesarios o pertinentes para la cual se recabaron. Siempre serán almacenados de forma que permitan el ejercicio del derecho acceso, salvo que sean legalmente cancelados.

29


DERECHO POR PARTE DEL AFECTADO A LA INFORMACION A RECABAR LOS DATOS

Empieza el art. 5, diciendo; “Los interesados a los que soliciten datos personales deberán ser previamente informados de modo expresa, preciso e inequívoco. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”.

Por lo tanto esta premisa se tiene que tener siempre presente cuando se utilicen cuestionarios u otros impresos para la recogida de datos personales directamente del interesado. Cuando los datos no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca en el plazo de tres meses al registro de los datos.

Como excepción a esta norma, no se aplicará este concepto cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos y científicos o cuando la información al interesado fuese imposible o exija esfuerzos desproporcionados a criterio de la Agencia Española de Protección de Datos. Asimismo cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, se le comunicará al interesado el origen de los datos y se le informará de sus derechos y de la identidad del responsable del tratamiento.

30


DATOS QUE DEBEN SER EXPECIALMENTE PROTEGIDOS DEL AFECTADO - I

En el art. 7, se especifica los datos del afectado que deben de ser especialmente protegidos, denominados sensibles. Estos datos son:a) Ideología, religión o creencias. El apartado 2 del art. 16 de la Constitución, dice;

nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Solo por consentimiento expreso y por escrito del afectado se podrá tratar dichos datos, a excepción de los ficheros de los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

b) Datos personales de tipo racial, salud y vida sexual, del afectado, solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

c) Por lo tanto quedan prohibidos los ficheros creados con la finalidad de almacenar datos de carácter personal mencionados en los párrafos anteriores.

d) Relativo a los datos de salud, respecto a su cesión el art. 8, dice; las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre salud.

31


DATOS QUE DEBEN SER ESPECIALMENTE PROTEGIDOS DEL AFECTADO - II

Solo no será necesario su autorización, como excepción, lo previsto en el art.11.2.f, cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecido en la legislación sobre sanidad estatal o autonómica. - Podrán ser objeto de tratamiento los datos mencionados en los párrafos, a) y b), para prevención o diagnósticos médicos o prestación de asistencia sanitaria, siempre que lo realice personal sanitario sujeto al secreto profesional o persona sujeta a una obligación de secreto equivalente.

32


CESION DE DATOS

Según el art. 11.1; los datos de carácter personal objeto del tratamiento sólo podránser comunicados a un tercero para el cumplimiento de fines directamenterelacionados con las funciones legítimas del cedente y del cesionario con el previoconsentimiento del interesado.

No será necesario el consentimiento exigido en los siguientes casos:I. Cuando la cesión esta autorizada por una ley.II. Cuando son recogidos en fuentes de accesos público.III. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.IV. Cuando se deba efectuar al defensor del Pueblo, al Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, ni administraciones e instituciones autonómicas.V. Entre Administraciones públicas, para el tratamiento posterior con fines históricos, estadísticos o científicos.VI. Para realizar una urgencia o un estudio epidemiológico .

El consentimiento será nulo cuando no se permita conocer la finalidad a que sedestinarán los datos.

33


RECABAR DATOS

TRATAMIENTO AUTOMATIZADO DE LOS DATOS O NO

COMUNICACIÓN DE LOS DATOS

5.- TRATAMIENTO DE LOS DATOS

Art. 3.c; operaciones y procedimientos técnicos de carácter automatizado o no, que permitan larecogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así comolas cesiones de datos que resultan de comunicaciones, consultas, interconexiones y transferencias. Podemos tratar cualquier dato pero cumpliendo con la normativa, teniendo el consentimiento explicito e inequívoco del afectado.El tratamiento de datos lo podemos resumir en tres fases:

En cada uno de los pasos tenemos que garantizar la protección de los datos de carácter personal y los derechos del afectado.

34


DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS

DERECHOS ARCO (ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN)

DERECHO DE INDEMNIZACIÓN

6.- LOS DERECHOS

DEL INTERESADO

TUTELA DE LOS DERECHOS

35


40

Según el art. 14; Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.

Este artículo, como podemos ver, es claro, corto y conciso. Recalcamos que:“El Registro General será de consulta pública y gratuita.”

DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS

36


41

Según el art. 24, del Reglamento, en sus diferentes apartados se explican las condiciones generales para el uso de estos derechos, aún así, diremos que estos derechos son independientes y por lo tanto el uso de uno no es requisito previo para el uso del otro, para ejercitar su uso se deberá habilitar un medio sencillo y gratuito al afectado por parte dl responsable del fichero. En ningún caso debe suponer un ingreso adicional al responsable del fichero.

DERECHOS ARCO

ACCESO

RECTIFICACIÓN Y CANCELACIÓN

OPOSICIÓN

37


En el art. 28.1, del Reglamento, se dice; al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas de consulta del fichero:a) Visualización en pantalla.b) Escrito, copia o fotocopia remitida por correo, certificado o no.c) Telecopia.d) Correo electrónico u otros sistemas de comunicaciones electrónicas.e) Cualquier otro sistema que sea adecuado a la configuración o implantación

material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.

Si el responsable ofrece un sistema para hacer posible el acceso y si el afectado lorechaza, aquél no responderá de los posibles riesgos que pudieran ocasionar en la seguridad de la información. Al igual que si el afectado exigiese un procedimiento

un procedimiento que conlleve un coste desproporcionado, serán por cuenta del afectado los gastos que conlleve. El responsable tiene el plazo máximo de un mes para resolver la solicitud.

DERECHO DE ACCESO

38


Artículo 31 del Reglamento;1. El derecho de rectificación es el derecho del afectado a que se modifiquen los

datos que resultan ser inexactos o incompletos.2. El ejercicio del derecho de cancelación dará a lugar a que se supriman los

datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este Reglamento.

Artículo 16 de la LOPD; 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho

rectificación o cancelación del interesado en el plazo de diez días. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente

a disposición de las Administraciones públicas, Jueces y Tribunales. Una vez que hayan prescrito los datos se dará lugar a la supresión.

Se podrá denegar el derecho de rectificación o cancelación en los supuestos que así

lo prevea una ley o norma de derecho comunitario de aplicación directa. En todo caso el responsable del fichero deberá informar al afectado de su derecho de recabar la tutela de la Agencia Española de Protección de Datos.

DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN

39


Art. 34 del Reglamento; el derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:b) Cuando se trate de ficheros que tengan por finalidad la realización de

actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su creación.

Art. 6.4, de la LOPD; En los casos que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga de lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

El tiempo máximo de resolución de la solicitud es de diez días, se tengan o no datos.

DERECHO DE OPOSICIÓN

40


En el art. 19 de la LOPD, se explican los derechos a indemnización que tienen los afectados, como consecuencia del incumplimiento de la presente Ley, por parte del responsable o encargado del tratamiento.

Cuando los ficheros son de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidades de las Administraciones públicas.

Cuando los ficheros son de titularidad privada, la acción se ejercitará en la jurisdicción ordinaria.

DERECHO A INDEMNIZACIÓN

41


Al afectado que se la niegue total o parcial sus derechos Arco (Acceso, Rectificación, Cancelación y Oposición), podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD). El plazo de resolución expresa de tutela de derechos es de seis meses.

En el caso de proceder contra la Agencia Española de Protección de Datos, procederá recurso contencioso-administrativo.

TUTELA DE LOS DERECHOS

42


7.- RESPONSABLE DEL FICHERO O TRATAMIENTO Y EL ENCARGADO DEL TRATAMIENTO

• La persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento (operaciones y procedimientos técnicos de carácter automatizado o no, que permita la recogida, conservación, elaboración, modificación, bloqueo y cancelación ………….. Art.3.c).

ENCARGADODEL

TRATAMIENTO

• La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Entre estas dos figuras se debe de guardar el Deber de Secreto, durante y después de finalizarlas relaciones. Art. 10 de la LOPD.

43


8.- OBLIGACIONES DEL RESPONSABLE DEL FICHERO DE LAS ENTIDADES JURIDICAS

PÚBLICAS O PRIVADAS

INSCRIPCIÓN DE FICHEROS EN EL REGISTRO GENERAL

DE LA AEPD

DEBER DE SECRETO

OBLIGACIÓN DE

FACILITAR EL

EJERCICIO DE LOS

DERECHOS ARCO

TRATAMIENTO LEGAL Y LEAL

MEDIDAS DE SEGURIDAD

Documento de Seguridad

Niveles de Seguridad

44


Art. 55.1 del Reglamento; todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días.

Esta inscripción la debe de realizar el responsable del fichero o tratamiento, teniendo en cuenta que el soporte que se esté utilizando es indiferente, volvemos a la frase de “automatizado o no”. Estamos hablando de datos de carácter personal que tratan las entidades jurídicas, ya sean públicas o privadas, esto quiere decir que los datos que son mantenidos por personas físicas para uso exclusivo personal y domestico están excluidos de su inscripción, como los clasificados en materia reservada, terrorismo y delincuencia organizada.

Recordemos que los ficheros tienen que estar actualizados y al día.

INSCRIPCIÓN DE FICHEROS EN EL REGISTRO GENERAL DE LA AGPD

45


Durante los diversos procesos de tratamiento de los datos de carácter personal, debemos observar siempre un tratamiento legal y leal. En cada paso se debe respetar los derechos del afectado y siguiendo lo dictado por la Ley Orgánica de Protección de Datos, título II, arts. 4, 5, 6, 9, 10, 11 y 12:

• Debemos de guardar el principio de Calidad de los Datos.• El Derecho de Información, del afectado, en la recogida de los datos.• El principio de Consentimiento por parte del afectado.• Principio de Seguridad de los Datos, implantación de medidas de seguridad por parte del responsable y del encargado del tratamiento.• Deber de Secreto.• Comunicación de Datos a un tercero, para el cumplimiento de fines relacionados con el cedente, previa autorización del afectado.• Acceso a los datos por cuenta de terceros, lo cual deberá ser regulado por un contrato por escrito, con lo que el encargado de tratamiento tratará los datos según las instrucciones recibidas por el responsable de tratamiento o del fichero.

TRATAMIENTO LEGAL Y LEAL

46


Art. 10 de la LOPD; El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Por lo tanto las personas que accedan a estos datos se deben de regir por unas normas de confidencialidad y respeto a la intimidad y el honor de los afectados. De esta manera se evitará el mal uso de esta información.

DEBER DE SECRETO

47


En el art. 25.5 del Reglamento; El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado. Art.26 del Reglamento; cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable del tratamiento, a fin de que por el mismo se resuelva. Como podemos ver tanto el responsable como el encargado tienen que facilitar al afectado el uso de sus derechos Arco. Y en el art. 25.6 del Reglamento; el responsable del fichero deberá adoptar medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.

OBLIGACIÓN DE FACILITAR EL EJERCICIO DE LOS DERECHOS ARCO

48


Art. 9.1 de la LOPD; El responsable del fichero, y, en su caso el encargado del tratamiento deberán adoptar las medidas de índole técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y evité, su alteración, perdida,………… Y en su punto 2; no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a la de los centros de tratamiento, locales, equipos sistemas y programas.

Tenemos que la Ley y su Reglamento imponen unas normas de seguridad en materia de protección de datos, pero no imponen unas herramientas tecnológicas en seguridad, por lo tanto es muy importante que se adopten medidas complementarias en seguridad de la información, complementarias a la normativa en protección de datos.

MEDIDAS DE SEGURIDAD - I

49


Art. 88.1 del Reglamento; El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnicas y organizativas acordes a la normativa de seguridad vigente.

Este documento de seguridad deberá mantenerse en todo momento actualizado y se revisará siempre que se produzcan cambios y deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de protección de datos.

MEDIDAS DE SEGURIDAD - II

DOCUMENTO DE SEGURIDAD

50


Art. 79 del Reglamento; Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Titulo, con independencia de cual sea su sistema de tratamiento.

Art. 80 del Reglamento; Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

MEDIDAS DE SEGURIDAD - III

NIVELES DE SEGURIDAD

Art. 81.1 del Reglamento; Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel

básico.

51


A demás de adoptar las medidas del nivel básico se implantarán las medidas denivel medio a:a) Los relativos a la comisión de infracciones administrativas o penales.b) Aquellos cuyo funcionamiento se rija por el art. 29 de la LOPD (solvencia

patrimonial y crédito).c) Aquellos de los que sean responsables Administraciones tributarias y se

relacionen con el ejercicio de sus potestades tributarias.d) Aquellos de los que sean responsables las entidades financieras para

finalidades relacionadas con la prestación de servicios financieros.e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios

Comunes de la Seguridad Social y se relacionen y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

MEDIDAS DE SEGURIDAD - IV


NIVEL MEDIO

52


A demás de adoptar las medidas del nivel básico, más nivel medio, se implantaránlas medidas de nivel alto a:a) Los que se refieren a datos de ideología, afiliación sindical, religión, creencias,

origen racial, salud o vida sexual.b) Los que contengan o se refieran a datos recabados para fines policiales sin

consentimiento de las personas afectadas.c) Aquellos que contengan datos derivados de actos de violencia de género.

Art. 81.5 del Reglamento; En caso de ficheros o tratamientos de datos del apartado a), anterior, bastará la implantación de las medidas de seguridad de nivel básico cuando:

d) Los datos se utilicen con la única finalidad de realizar transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

e) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

También es excepción los datos relativos a la salud referente al grado de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos. Y a efectos de subvenciones en la contratación laboral.

MEDIDAS DE SEGURIDAD - V


NIVEL ALTO

53


Art. 117 del Reglamento, Instrucción del Procedimiento; dicho procedimiento se inicia a instancia del afectado de acuerdo a la Ley, dándose traslado a la AEPD yesta dará traslado al responsable del fichero, para que en el plazo de quinde díaspresente las alegaciones pertinentes.

Art. 118 del Reglamento, Duración del procedimiento y efectos de la falta de resolución expresa; seis meses es el plazo máximo, desde la entrada del procedimiento, para dictar resolución. Pasado ese plazo se considerará estimada

sureclamación por silencio administrativo positivo.

Art. 119 del Reglamento, Ejecución de la Resolución; si la resolución de tutela fuese estimatoria, se requerirá al responsable del fichero para que, en el plazo de diez días siguientes a la notificación, haga efectivo el ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a laAgencia Española de Protección de Datos en idéntico plazo.

9.- PROCEDIMIENTOS PARA LA TUTELA DE LOS DERECHOS ARCO

54


LEVES

10.-INFRACCI

ONESY

SANCIONES

GRAVES MUY GRAVES

55


Art. 44.2 de la LOPD;a) No atender, por motivos formales, la solicitud del interesado de rectificación o

cancelación de los datos personales objeto del tratamiento cuando legalmente proceda

b) No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

c) No solicitar la inscripción del fichero de datos de carácter personal en el registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.

d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el art. 5 de la presente Ley (los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco).

e) Incumplir el deber de secreto establecido en el art. 10 de esta Ley, salvo que constituya infracción grave.

Art. 45.1 de la LOPD;Las infracciones leves serán sancionadas con multa de 900,00 € a 40.000,00 €.

LEVES

56


Art. 44.3 de la LOPD;a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de

datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o Diario oficial correspondiente.

b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos que este sea exigible.

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

GRAVESI

57


g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba de recibir o sean requeridos por aquél a tales efectos.

j) La obstrucción al ejercicio de la función inspectora.k) No inscribir el fichero de datos de carácter personal en el Registro General de

Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Española de Protección de Datos.

l) Incumplir el deber de información que se establece en los art. 5.28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.

Art. 45.2 de la LOPD;Las infracciones graves serán sancionadas con multa de 60.101,21€ a

300.506,05€.

GRAVESII

58


Art. 44.4 de la LOPD;a) La recogida de datos de forma engañosa y fraudulenta.b) La comunicación o cesión de datos de carácter personal, fuera de los casos en

que estén permitidas.c) Recabar y tratar los datos de carácter personal a los que se refiere el art. 7.2

(datos especialmente protegidos) cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el art. 7.3 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el art. 7.4.

d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso.

e) Transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

MUYGRAVES

I

59


f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hace referencia el art. 7.2 y 3, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Art. 45.3 de la LOPD;Las infracciones muy graves serán sancionadas con multa de 300.506,05 € a 601.012,10 €.

MUYGRAVES

II

60


Uno. Se da nueva redacción al apartado 2 del artículo 43, que queda redactado en los siguientes términos: «2. Cuando se trate de ficheros de titularidad pública se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en los artículos 46 y 48 de la presente Ley.»

Dos. Se da nueva redacción a los apartados 2 a 4 del artículo 44, que quedan redactados en los siguientes términos:

2. Son infracciones leves: a) No remitir a la Agencia Española de Protección de Datos las notificaciones

previstas en esta Ley o en sus disposiciones de desarrollo.b) b) No solicitar la inscripción del fichero de datos de carácter personal en el

Registro General de Protección de Datos. c) c) El incumplimiento del deber de información al afectado acerca del

tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

d) d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-I

61


3. Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente. b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo. c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave. d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado. g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE. -II

62


h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma. j) La obstrucción al ejercicio de la función inspectora. k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

4. Son infracciones muy graves:

a) La recogida de datos en forma engañosa o fraudulenta. b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7. c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-III

63


d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Tres. Se modifican los apartados 1 a 5 del artículo 45, siendo la redacción resultante la siguiente:

«1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros. 1. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros. 2. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros. 3. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. d) El volumen de negocio o actividad del infractor.

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-IV

64


e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-V

65


b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

Cuatro. Se añade un nuevo apartado 6 al artículo 45, pasando los actuales apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el siguiente:

«6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-VI

66


a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley. b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

Cinco. Se da nueva redacción a los apartados 1 a 3 del artículo 46, pasando a ser su redacción la siguiente: «1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

1. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. 2. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.»

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-VII

67


Seis. Se modifica el artículo 49 que pasa a tener la siguiente redacción: «Artículo 49. Potestad de inmovilización de ficheros. En los supuestos constitutivos de infracción grave . o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación . o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.»

MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPD SEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVA DE LA LEY DE ECONOMIA SOSTENIBLE.-VIII

68


11.- AGENCIA ESPAÑOL

A DE PROTECCI

ÓN DE DATOS

TRANSFERENCIA

INTERNACIONAL DE DATOS

CÓDIGOS TIPO

PÁGINA WEB DE LA

AGENCIA

69


A.E.P.D.

¿QUE ES LA A.E.P.D.?

La Agencia se crea en el art. 34 de la antigua LORTAD, regulándose posteriormente a través de los artículos 35 a 42 de la LOPD; La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.

Art. 39; El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. En el cual se inscriben los ficheros públicos y privados.

Art. 36.1; El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación.

70


A.E.P.D.

¿CUALES SON SUS FUNCIONES? - I

Art. 37 de la LOPD; Son funciones de la Agencia de Protección de Datos:a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su

aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones

precisas para adecuar los tratamientos a los principios de la presente Ley.d) Tender las peticiones y reclamaciones formuladas por las personas afectadas.e) Proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal.f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de

éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

g) Ejercer la potestad sancionadora en los términos previstos por el Titulo VII de la presente Ley.

h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta ley.

71


A.E.P.D.

¿CUALES SON SUS FUNCIONES? - II

i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los

movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección der datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como distar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46.

n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

72


El art. 33 de la LOPD deja muy claro que no se deben hacer transferencia de datos de carácter personal, a otros países que no proporcionen un nivel de protección equiparable al que presta la presente Ley Orgánica de Protección de Datos, salvo que se obtenga una autorización por parte del Director de la Agencia de Protección de Datos.Claro está que estamos hablando de países no pertenecientes al ámbito de la Unión Europea, los cuales se rigen por la normativa 95/46/CE, proporcionando a todos los miembros el nivel de protección.

Las excepciones a este articulo se tipifican en el art. 34 y sus apartados; a) en tratados y convenios en los que participe España, b) para prestar auxilio judicial internacional, c) diagnósticos, prevención médicas o servicios sanitarios, d) transferencias dinerarias conforma a su legislación específica, e) con el consentimiento inequívoco del afectado, f) en contratos y precontratos entre el afectado y el responsable del fichero, g) contratos y precontratos entre el afectado, responsable del fichero y un tercero, h) por interés público o solicitada por una Administración fiscal o aduanera, i) procedimiento, ejercicio o defensa de un derecho en un proceso judicial, j) a petición de una persona con interés legítimo, desde un Registro público y aquella sea acorde con la finalidad del mismo, k) tenga como destino un Estado de la Unión Europea, o un Estado que haya declarado la Comisión de las Comunidades Europeas, que garantiza un nivel de protección adecuado.

TRANSFERENCIA INTERNACIONAL DE DATOS

73


Mediante acuerdos sectoriales, convenios administrativos, agrupación de organizaciones, se elaboran unos código tipo por los cuales, se establecen las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad, obligaciones de los implicados en el tratamiento, para el ejercicio de los derechos de las personas con pleno respeto a los principios de esta Ley. Estos códigos tendrán carácter de Códigos Deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos el Registro General de Protección de Datos y cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas.

A estos códigos tipo se les puede denegar la inscripción en el Registro General de Protección de Datos, cuando se considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia.

CÓDIGOS TIPO

74


La página de la Agencia Española de Protección de Datos es: www.agpd.es.

PÁGINA WEB DE LA AGENCIA

En esta página podremos encontrar toda la información relativa a protección de datos, sentencias, recursos, conferencias, legislación, recomendaciones, jornadas nacionales e internacionales, modelos de quejas y sugerencias, registro, etc.

Todo un portal orientado al ciudadano en defensa y tutela de sus derechos.

http://www.agpd.es/

75


El 30 de junio de 2009 la Agencia de Protección de Datos, presento el denominado Fichero de Exclusión Publicitaria “Listas Robinson”. En el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, 1720/2007 de 21 de diciembre, se establece la posibilidad de crear los denominados “ficheros de exclusión”, para la inscripción de cualquier persona para evitar recibir publicidad no deseada y la obligatoriedad de las empresas a consultarlos.

El ciudadano podrá seleccionar medio o medios a través del cual no quiere recibir publicidad (correo postal, llamadas telefónicas, correo electrónico, sms o mms) de las entidades para el desarrollo de campañas publicitarias. Y de esta manera, además, el ciudadano podrá seleccionar entidades con las que ha mantenido o mantienen una relación contractual para no recibir publicidad telefónica.

Esta inscripción es gratuita y se puede hacer a través de la página web: www.listarobinson.es

12.- LISTAS ROBINSON

76


© HARVEY & LLUCH CONSULTORES S.L.Domicilio social en:Calle Aguacate, núm. 41, 2ª planta. 28054-Madrid.

Reservados todos los derechos.El contenido de esta publicación no puedeser reproducido, ni en todo ni en parte, ni transmitido,ni registrado por ningún sistema de recuperación deInformación, en ninguna forma ni por ningún medio, sin el permiso previo, por escrito, deHARVEY & LLUCH CONSULTORES S.L., (2009).

Teléfono de tutorías; 912257071 y en horario 15,30h a 16,30h de Lunes a Viernes.

Correo electrónico; [email protected]

conoce los secretos de la ley orgánica de protección de datos lopd

Business