Scroll Top

faq
preguntas frecuentes lopd-gdd

Si no encuentras la solución a tu pregunta ponte en contacto con nosotros y te ayudaremos.

proteccion de datos

La Ley de Protección de datos afecta a todas las entidades. Grandes, pequeñas, autónomos, pequeño comercio.

La figura del DPO adquiere un papel vital.
Se trata de una persona que deberá estar perfectamente integrada en el organigrama de la entidad con la intención de conocer y coordinar todo aquello que pudiera afectar en materia de protección de datos.
Por su naturaleza podríamos decir que este perfil se compone por una vertiente técnica, pero también por una legal. Velará por dar cumplimiento a la normativa, pero no se deberá confundir con el responsable de   seguridad. Este último se encargará de implementar las medidas de seguridad necesarias en una organización desde una esfera técnica, mientras que el DPO será quien determine y  organice las políticas de protección, los protocolos en los tratamientos de datos
y asegurará que todo se desarrolle de acuerdo a la normativa.

Según el art. 31.1 del RGPD, se establecen tres casos particulares en donde es necesario nombrar a un DPO: * Cuando el tratamiento lo lleva a cabo una  autoridad u organismo público. * Cuando las actividades principales del responsable o el encargado del tratamiento consisten en  operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala. * Cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos (origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o la pertenencia a sindicatos, así como el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud, vida sexual u orientación sexual) o datos personales relacionados con condenas y delitos penales.

El Delegado de Protección de Datos tiene una triple función:

  1. Asesorar al responsable / encargado de tratamiento.
  2. Llevar a cabo un control de cumplimiento del RGPD
  3. Actuar como contacto ante la autoridad de control y cooperar con ella.

Partiremos por definir lo que supone una brecha de seguridad. El Esquema Nacional de Seguridad (Real Decreto 3/2010) describe un incidente de seguridad como “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”. La Directiva NIS (Directiva UE 2016/1148) lo define como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”. Por su parte, el RGPD (Reglamento 2016/679), habla ya de violaciones de seguridad de datos personales aludiendo a “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Aunque la palabra violación es la utilizada en la traducción al español del texto original del Reglamento, el término correcto será el de brecha de seguridad atendiendo a los incidentes que puedan afectar a la seguridad de la información y los datos personales.

” Desde el punto de vista de la LOPD, podría tratarse de un supuesto de aplicación del artículo 2.2, dado que se habla de productos o servicios dirigidos a la empresa, no operando las reglas generales de legitimación para el tratamiento.
” No obstante, si la comunicación se efectúa por medios electrónicos (e-mail, SMS, MMS, fax) o llamadas sin intervención humana, será de aplicación la LSSI y habrá de estarse al caso concreto.
” En consecuencia, sea o no aplicable la LOPD, si se utilizan estos medios hará falta el consentimiento expreso del destinatario.

El Reglamento exige para que exista un fichero no automatizado que el conjunto de datos se encuentre estructurado con arreglo a criterios referidos a personas físicas. Si existen esos criterios el fichero estará sometido a la legislación de protección de datos. En otros casos, puede que el fichero no esté directamente estructurado con arreglo a estos criterios, pero los criterios de organización permitan detectar sin esfuerzos excesivos la información referida a una persona física (por ejemplo, porque exista una lista auxiliar que vincule fechas o números de carpetas a personas concretas o porque el fichero sea de tamaño reducido y sea fácil la localización). En este caso sí se aplican la LOPD y el RDLOPD.

Para que los ficheros sean fuente accesible al público es preciso que su acceso sea libre, con o sin pago de un precio a cambio. Podrán considerarse incluidos en fuentes accesibles al público los datos que hayan sido objeto de difusión a través de prensa, radio y televisión (convencional o digital). Las revistas puramente científicas no deberían considerarse fuente accesible al público a los efectos de la aplicación de la LOPD Internet no es, a los efectos de protección de datos un “medio de comunicación social”, sino un “canal de comunicación”, por lo que no es fuente accesible al público.

” Como regla general existe una presunción de que los datos facilitados por el cliente son exactos. ” Pero si la empresa conociera la inexactitud debería rectificarlos o cancelarlos de oficio. ” La inexactitud puede conocerse por diversas causas. Por ejemplo: – Ejercicio por el afectado desus derechos – Comunicación de una resolución judicial o administrativa en que semanifiesta el error.

En este supuesto existirán dos cesiones de los datos del destinatario de la transferencia: una delpagador a su entidad y otra entre ambas entidades. Ninguna de las dos entidades tendrá la condición de encargado del tratamiento de quien ordena el pago. Las cesiones no precisan del consentimiento del destinatario, dado que serán necesarias para el pleno cumplimiento de la relación jurídica que vincula al pagador y al destinatario y justifica el pago.

Si los datos se están recabando directamente del interesado y es necesario su consentimiento, sería preciso dejar al mismo la posibilidad de manifestarse a favor o en contra del tratamiento en el propio momento de la recogida (por ejemplo, con un espacio al efecto en el formulario). El procedimiento previsto en el art. 14 opera cuando se solicita el consentimiento posteriormente a la recogida para otro tratamiento adicional, pero no cuando en el momento de la recogida ya se conoce ese tratamiento. En todo caso, el afectado podría revocar en cualquier momento el consentimiento que hubiera prestado al recogerse sus datos.

Será preciso poder acreditar que en el momento en que se recabaron los datos se disponía de dichos medios de información (por ejemplo, mediante la constancia de la fecha en el acceso a la página web) . En el caso del formulario web, debería existir una política de privacidad en que se contengan todas las exigencias del artículo 5 LOPD, siendo recomendable que sea necesario aceptar haber leído dicha política antes de remitir los datos. El cartel informativo debería contener todos las exigencias del artículo 5 LOPD o, por ejemplo, complementarse con la existencia de hojas informativas a disposición de los usuarios (Instrucción 1/2006 de la AEPD – videovigilancia -).

La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean adecuados a la finalidad que motiva su recogida. La recogida y tratamiento de datos de carácter personal debe efectuarse desde su subordinación a los principios de calidad de los datos y de proporcionalidad que establece la Ley. No puede obviarse que estamos tratando de un auténtico derecho fundamental, cuyo contenido el Tribunal Constitucional ha terminado de perfilar en la Sentencia 292/2000, de 30 de noviembre, denominándolo derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal. Así, en dicha sentencia se indica que este derecho fundamental ‘ persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado’, estableciendo, en cuanto a su ámbito, que ‘el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello esta la protección que el artículo 18. 1 CE otorga, sino los datos de carácter personal’. Aún concretando más el contenido del derecho, se establece que el poder de disposición y control sobre los datos personales que tal derecho implica ‘ se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos’ . Artículo 4. Calidad de los datos.

  • ” Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
  • ” Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
  • ” Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
  • ” Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
  • ” Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
  • ” Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
  • ” Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.’Constituye infracción de carácter grave, de acuerdo con lo dispuesto en el artículo 44.3.f) ‘ Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara’ . Doctrina Judicial Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 6 de julio de 2001.
  • ” ‘La conducta de la entidad recurrente recabando o intentando recabar unos datos de carácter personal (en concreto los relativos a la cuenta bancario o VISA) para su tratamiento automatizado que resultaban completamente innecesarios e inadecuados en relación con el ámbito y finalidades legitimas para las que se hayan obtenido, debe ser constitutiva de infracción (….) Y aunque los datos no llegaron a ser incorporados a los ficheros (…), ello no implica que falte el necesario tratamiento automatizado de los mismos para que se produzca el tipo sancionador.’Sentencia de la Sección Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 5 de noviembre de 1998.
  • ” ‘Sin embargo, aunque (…) no hubo (…) una intención de dañar ni enriquecimiento injusto (…) los hechos han tenido una doble perturbación para la perjudicada: (…) imputarle una deuda inexistente (…..) lo más grave fue su inclusión en un Registro Informático de Morosos y además sin conocimiento de la perjudicada (….) y de esa inclusión indebida en el Registro de Morosos no eran responsables los que llevan el Registro sino los que suministraron el dato’.Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 18 de octubre de 2000.
  • ” ‘(….) para incluir en un fichero de solvencia patrimonial el dato relativo a una deuda, ésta, además de cierta, vencida y exigible, ha de haber resultado efectivamente impagada (….) debiendo además, el acreedor (como requisito previo a la inclusión del dato en un fichero de estas características) proceder en la forma más arriba descrita y cuya finalidad no es otra que garantizar la exactitud de los datos que se pretender incluir’.Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 26 de mayo de 1999.
  • ” ‘Si los datos registrados se han obtenido de una fuente accesible al público (como en el caso de autos) el medio más efectivo para mantener actualizados aquellos será notificando al afectado la existencia del dato a fin de que éste (si el dato obtenido de esa fuente de acceso publico es incorrecto o la situación ha variado) pueda instar las rectificaciones pertinentes en el momento en que el dato registrado no responda a la realidad y si el afectado declina realizar las oportunas rectificaciones, entendemos, su inactividad exculpará al titular del fichero de toda responsabilidad en orden a la actualización de los datos, en la medida que esa actualización no pueda obtenerse de la misma forma en la que se obtuvo el dato’.Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 19 de enero de 2001.
  • ” (…) incluido el dato erróneo, la infracción se produce hasta que el mismo haya sido erradicado del fichero’.Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 9 de febrero de 2000.
  • ” ‘(…) el dato registrado (..) es transcripción del contenido en dos edictos publicados en el BOCAM, por lo que ignoramos si son o no exactos dichos datos y, en todo caso, la inexactitud del mismo nunca sería imputable a la actora. Si (..) para los datos obtenidos de fuente accesibles al publico la LORTAD no exige la notificación del registro al afectado, difícilmente puede saber el titular del fichero si el dato obtenido de una fuente accesible al público es o no correcto y, además, en el caso de autos, dado que en el edicto no consta otro datos que el nombre y apellidos de los demandados, nunca hubiera sido posible efectuar tal notificación, ni averiguar la exactitud del dato publicado, ni de lo actuado puede afirmarse que dicho dato se refiera siquiera al denunciante, por lo que en la medida que no conste al titular del fichero la inexactitud del dato registrado, inexactitud que, reiteramos, no consta, no existe para éste la obligación legal de cancelar el dato’.Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 9 de marzo de 2001.
  • ” ‘Uno de los principios que inspira la legislación sobre tratamiento automatizado de datos de carácter personal es el de calidad de datos. Este principio implica, entre otras cosas, que los datos sean necesarios y pertinentes para la finalidad para la cal hubieran sido recabados o registrados (art. 4.5 de la LO 5/1992) y que sean exactos y completos art. 4.4 de la LO 5/1992. Por lo tanto, si los datos han dejado de ser necesarios para los fines para los cuales fueron recabados o registrados o resultan inexactos, se debe proceder (..) a su cancelación, sin necesidad de solicitud del afectado. Y así se infiere del propio tenor literal de los artículos 4.4 y 4.5 de la LO 5/1992, que utiliza la expresión imperativa ‘serán cancelados’ y sin condicionarla a la existencia de una previa solicitud del afectado. En suma, la norma establece la obligación del responsable del fichero de proceder de oficio y con la debida diligencia a cancelar los datos inexactos o que han dejado de ser necesarios para la finalidad del fichero y sin necesidad de solicitud previa del afectado’.

El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno de los principios fundamentales sobre los que se asienta la Ley Orgánica y así viene encuadrado dentro de su Título II. Por lo que se refiere al tratamiento que se hace en la Ley Orgánica 15/1999, respecto al deber de información a las personas de las cuales se vaya a obtener cualquier tipo de datos personales, se indica que precisamente el principio de información está regulado como uno de los principios básicos de la misma. El artículo 5 señala lo siguiente: ‘Artículo 5 . Derecho de información en la recogida de datos.

  • ” Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
    • o De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    • o Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    • o De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    • o De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    • o De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
  • ” Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
  • ” No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
  • ” Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
  • ” No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
  • ” Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.’
  • ” Por tanto, cada persona de la que se pretenda recabar sus datos personales deberá ser informada previamente de todo el contenido del artículo 5.1 para que así conozca con qué finalidad se van a tratar, y por quién, pudiendo además en cualquier momento ejercitar sus derechos de acceso, rectificación, cancelación u oposición.Si la recogida de los datos se ha realizado sin el conocimiento del interesado se le deberá de informar en el plazo de los tres meses siguientes al tratamiento, del contenido de cada uno de los puntos del artículo 5.1, quedando únicamente exceptuados de esta información aquellos supuestos en que una ley expresamente así lo establezca, o cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de esta Agencia. El incumplimiento del deber de información que contiene el precepto transcrito se encuentra tipificado como falta leve en el artículo 44.2.d) de la Ley Orgánica 15/1999: ‘Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley’. Doctrina Judicial. Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 25 de abril de 2001.
  • ” (…) el hecho que motiva la sanción no es el registro de los datos, sino su uso posterior con ocasión del contrato suscrito (….) en cuyo formato impreso no consta la información exigida en el artículo 5. (…) el registro del dato personal (..) sin su consentimiento y, desde luego, sin la preceptiva información a la que se acaba de aludir, extremo no negado por la actora que (…) reconoce que la inclusión de los datos en el fichero se hizo ‘como consecuencia de una llamada telefónica subsiguiente a una cuña de radio’ (..) constituye un palmario incumplimiento de las garantías exigidas en el artículo 5′.Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 25 de abril de 2001
  • ” ‘En el supuesto de autos, los cupones utilizados por la recurrente para la captación inicial de colaboradores (..) no contenían la información que, con carácter preceptivo, exige el precepto transcrito, sin que el hecho de que el registro de esos datos personales tuviera (…) una permanencia instrumental y transitoria exima de ese deber de información legalmente expuesto’ Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 15 de junio de 2001.
  • ” ‘En primer lugar, debe tenerse en cuenta que nos hallamos ante la regulación del derecho de la información a la recogida de datos, derecho importantisimo porque es el que permite llevar a cabo el ejercicio de otros derechos y así lo valora el texto positivo al pormenorizar su contenido y establecer la exigencia de que el mismo sea expreso, preciso e inequívoco. La relevancia del derecho conlleva que su exclusión requiera el mandato expreso de una norma, acogiendo una interpretación estricta, vedándose su extensión mediante artificiosas deducciones’.

Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado. “Artículo 6. Consentimiento del afectado.

  • ” El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  • ” No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  • ” El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  • ” En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”
En cuanto al consentimiento, el artículo 3,h) de la Ley Orgánica 15/1999 define como tal “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto. A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:
  • ” Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • ” Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
  • ” Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
  • ” Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.
De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual. Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo. El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999. Doctrina Judicial. Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 29 de noviembre de 1999.
  • ” !(…) El precepto contempla no solo el uso de los datos sino el tratamiento (… .). Pues bien, dicho tratamiento ha de respetar, entre otras garantías previstas por la Ley, la establecida en el artículo 6, apartados 1 y 2, que exigen para el tratamiento de los datos, el consentimiento del afectado, consentimiento que no resulta necesario cuando los datos de carácter personal se recojan de fuentes accesibles al público. La infracción de dicha garantía es la que se le imputa concretamente a la actora, estableciéndose ya desde el Pliego de Cargos que los datos no han sido obtenidos con el consentimiento del interesado ni provienen de fuentes accesibles al publico.
  • ” Examinado el expediente en base a lo expuesto, se aprecia que evidentemente los datos relativos al denunciante no han sido obtenidos con su consentimiento; por otra parte, en el fichero (..) de la actora figuran los datos (..) que coinciden con las tarjetas censales aportadas por el denunciante (..) que incluyen, entre otros, datos de nombre, apellidos, sexo, domicilio, nº de teléfono, año de nacimiento, valoración del nivel cultural, código nacional de ocupación y estimación acerca de la posesión de tarjetas de crédito”.
Sentencia de la Sección Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000.
  • ” “Cualquier empresa es libre de constituirse en cualquiera de las formas societarias que el Derecho Mercantil regula. Asimismo, las empresas pueden unirse a través de las distintas formas reguladas en derecho: fusión, absorción, etc. Pero, desde luego, lo que no cabe es que existan dos sociedades anónimas y, como tales, independientes y con personalidad jurídica autónoma y que por el hecho de que la una sea propiedad de la otra, el particular que contrata con la primera pueda verse perjudicado, precisamente, por la estructura empresarial que la sociedad ha elegido. Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones en que esta ultima ha intervenido, pues ello supone olvidarse de que se trata de personas jurídicas distintas. Por otro lado, si el particular contrata con la filial, es a esta sociedad a la que, voluntariamente, se le comunican los datos que, en consecuencia, la filial no puede comunicar a la sociedad matriz en perjuicio del particular”.
Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 29 de noviembre de 2001.
    • ” “La empresa recurrente afirma que los datos (…) provienen de los Libros de Registro de los Juzgados. Pues bien (… ..) los libros de registros de los órganos judiciales no pueden ser considerados fuentes accesibles al público a los efectos señalados en citado artículo 6.2 de la Ley Orgánica 5/1992.
” La publicidad de las actuaciones judiciales viene afirmada de manera reiterada en diferentes preceptos de la Ley Orgánica del Poder Judicial (….entre otros, los artículos 232, 234, 235 y 266.1 LOPJ). (…..) Ahora bien, el tenor en apariencia concluyente de estos preceptos no autoriza a afirmar (…) que los libros de registro y archivos judiciales sean una fuente accesible al publico (….).
  • ” Por lo pronto, precisamente en relación a lo dispuesto en los artículos 235 y 266 LOPJ acerca de la publicidad de las actuaciones y el acceso a los datos de los libros y archivos judiciales, el Tribunal Supremo tiene declarado en STS de 3 de marzo de 1995 que (… .) no cabe reconocer a tales efectos la condición de “interesado” a una entidad que (…) es una empresa cuya actividad mercantil se centra en la confección de una base de datos informatizada que pone a disposición de terceros datos de carácter económico afectantes a partes intervinientes en procesos civiles, para que los destinatarios de la información conozcan las circunstancias de solvencia patrimonial de las personas físicas o jurídicas a las que se refieren tales datos.
  • ” (……….) los datos contenidos en los libros y registros judiciales no se encuentran a disposición del publico de forma enteramente libre e indiscriminada ya que el acceso a los mismos está regulado y en cierta medida restringido”.

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”. El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica: “Artículo 6. Consentimiento del afectado. Artículo 11. Comunicación de datos.

    • ” ” Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
” El consentimiento exigido en el apartado anterior no será preciso:
    • o Cuando la cesión está autorizada en una Ley.
    • o Cuando se trate de datos recogidos de fuentes accesibles al público.
    • o Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
    • o Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
    • o Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
    • o Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
  • ” Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • ” El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  • ” Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • ” Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”
A tenor del art. 44,4,b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas. Doctrina judicial Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 10 de noviembre de 2000.
  • ” “(…) la entidad recurrente sostiene que es de aplicación la excepción contenida en el artículo 11.2 d) de la LO 5/1992 y ello porque el destinatario era un juez, como lo demuestra el hecho de que los certificados fuesen aportados a un Juzgado de Primera Instancia. Por el contrario, la Agencia Española de Protección de Datos entiende que, sin perjuicio de que los certificados obrasen en un Juzgado, lo cierto es que la persona a quien se entregaron las certificaciones fue un particular, sin perjuicio del posterior uso que hiciese de las mismas. La Sala entiende que la interpretación de la Agencia Española de Protección de Datos es la adecuada por las siguientes razones:
    • o En primer lugar, porque entendemos que es la más acorde con la finalidad de la Ley y la única que garantiza la privacidad de los afectados (…)
    • o Porque tal es la interpretación que se infiere de la literalidad de la norma y que además coincide con su sentido o fin. En efecto, la norma habla de que el destinatario sea el Juez o Tribunal “en el ejercicio de las funciones que tienen atribuidas”. Solo es, por lo tanto, posible la cesión cuando el dato vaya dirigido o destinado al Juez o Tribunal y este lo exija o solicite en el ejercicio de sus funciones. Funciones que solo pueden tener su origen en la oportuna habilitación legal.”
    Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 14 de abril de 2000.
  • ” ” En el presente caso (..) lo cierto es que (..) la empresa (..) realizó una venta al denunciante, no constando que los datos personales obtenidos de la operación, según los albaranes de compra, fueran acompañados del consentimiento del comprador, hoy denunciante, para que sus datos pudieran ser cedidos a terceras personas. Con independencia de las relaciones contractuales existentes (…) incluso la posible existencia de un Convenio de Confidencialidad entre ambas (..) lo cierto es que (..) realizó tres campañas publicitarias con los datos personales (… .).
  • ” Resulta también acreditado que los datos personales del denunciante (..) figuraban en los ficheros automatizados (… ..). La falta de consentimiento previo del afectado para la cesión de sus datos a terceros, cuando se constata, como aquí ha ocurrido, la realidad de la cesión, no puede venir condicionada, a efectos sancionadores, por el hecho de que se hayan cedido un mayor o menor numero de registros, extremo en el que pone especial énfasis la recurrente.
  • ” Desde esta perspectiva, la realidad de la cesión sin consentimiento no podría verse tampoco desvirtuada, aunque sea a nivel de hipótesis, por el hecho que invoca la actora de que ya (…) disponía con anterioridad de los datos del denunciante. Lo que la Ley sanciona es la “cesión de datos a terceros sin consentimiento del afectado”, no la utilidad que de estos datos pudieran derivarse para cedente o cesionario.
  • ” Tampoco puede admitirse (..) la existencia de un consentimiento tácito o un impropiamente llamado “silencio positivo” del afectado para admitir la cesión de sus datos, pues tal forma de obtener el consentimiento requeriría, en la mejor de las hipótesis, una rigurosa constancia documental de que la entidad cedente había informado y conservaba el escrito, con constancia de la recepción por el interesado, en el que tales extremos quedaban claramente expuestos.”

El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Título VIII – De las medidas de seguridad en el tratamiento de datos de carácter personal, del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter persona, en adelante RDLOPD. Artículo 9. Seguridad de los datos.

  • ” “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  • ” No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  • ” Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.”
De conformidad con lo dispuesto en el artículo 44,3,h) de la Ley Orgánica 15/1999, constituye infracción grave, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.” El artículo 79 del RDLOPD – Establece que los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII, con independencia de cual sea su sistema de tratamiento. El Reglamento trata de ser particularmente riguroso con la atribución de los niveles de seguridad, en la fijación de las medidas que corresponda adoptar en cada caso y en la revisión de las mismas cuando resulte necesario. Por otra parte, ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad. El artículo 80 del RDLOPD señala que las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto y, a continuación, el artículo 81 especifica la aplicación de los niveles de seguridad según el tipo de datos de carácter personal a tratar. Por último señalar que el responsable encontrará en el artículo 88 la concreción del contenido del documento de seguridad, y por tanto, un índice de ayuda para llevar a cabo su construcción. Con el objeto de facilitar a los responsables de los ficheros la adopción de las disposiciones del Reglamento de Seguridad, se ha elaborado un modelo de ” documento de seguridad “, que puede servir de guía en el desarrollo de las previsiones del Real Decreto. El reglamento de desarrollo de la LOPD ha pretendido regular la materia de modo que contemple las múltiples formas de organización material y personal de la seguridad que se dan en la práctica. Así, se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuación. Ficheros y plazos de implantación de las medidas de seguridad: Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del Real Decreto deberán tener implantadas, desde el momento de su creación la totalidad de de las medidas de seguridad reguladas en el mismo. Respecto a los ficheros automatizados y no automatizados existentes en la fecha de entrada en vigor del Reglamento, la disposición transitoria especifica los siguientes plazos:

Puede consultarse el estado de la solicitud de inscripción en la siguiente dirección: https://www.agpd.es/portalweb/canalresponsable/consulta_estado/consulta/index-ides-idphp.php Mediante esta opción puede consultar el estado de tramitación de las notificaciones enviadas a través de Internet mediante el Sistema NOTA. Si la autenticación se realiza mediante certificado digital, se obtendrá del mismo el NIF del declarante, en caso contrario, necesitará aportar el NIF del declarante y el código de envío o el Código de Inscripción. Además, en el caso de que quiera realizar una consulta más restringida podrá indicar algún criterio de consulta más. Presionando el botón «Buscar» se iniciará la consulta (si no se introduce ningún criterio se mostrará un mensaje para que especifique algún criterio de búsqueda). Si en la notificación que quiere consultar no se hizo constar el NIF del declarante, al no ser obligatorio, no se podrá tener acceso a la información relativa al estado de tramitación del envío. Como resultado de la búsqueda obtendrá la relación de envíos que pueden ser consultados. La selección de uno de ellos da paso a una página en la que se detalla la información específica sobre dicho envío. Para cada envío se mostrará la siguiente información:

  • ” NIF del declarante
  • ” CIF del responsable
  • ” Nombre del fichero
  • ” Tipo de operación
  • ” Código de envío
  • ” Fecha de envío
  • ” Código de inscripción. Si el fichero ha sido inscrito
  • ” Número de Registro de Entrada. Si la notificación ya ha sido registrada en la AEPD.
  • ” Fecha de Registro de Entrada.
  • ” Número de Registro de Salida. Si la notificación ha sido tramitada
  • ” Fecha de Registro de Salida. Si la notificación ha sido tramitada.
  • ” Estado. (Pendiente de recibir Hoja de solicitud, Registrado, Tramitado)
  • ” Descripción error. Si la notificación enviada contenía errores.

La página web de la AEPD dispone de una sección, cuyo objetivo es difundir y dar publicidad a la existencia de ficheros con datos de carácter personal inscritos en el RGPD. El derecho de consulta al Registro, regulado en el artículo 14 de la LOPD habilita a cualquier persona para conocer, de forma pública y gratuita, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del fichero. La información que se hace pública en dicho catálogo se corresponde con la información que el responsable del fichero ha notificado al Registro General de Protección de Datos en los apartados siguientes: Responsable del fichero, servicio o unidad ante el que pueden ejercitarse los derechos de oposición, acceso, rectificación y cancelación, identificación y finalidad y usos previstos del fichero, origen y procedencia de los datos, incluyendo el colectivo de personas sobre el que se obtienen los datos de carácter personal, tipos de datos, estructura y organización del fichero y, en su caso, los destinatarios de cesiones y/o transferencias internacionales de datos. Además, en el caso de los ficheros de titularidad pública, se publicarán los datos relativos a la disposición general de creación, modificación o supresión del fichero. En ningún caso debe tomarse la presencia o ausencia en esta la relación de ficheros del catálogo como una certificación positiva o negativa de una inscripción en el Registro General de Protección de Datos.

La responsabilidad final no recae sobre la persona física sino sobre el responsable. Son múltiples los casos en los que se produce una vulneración por una actuación personal por lo que debe hacerse un importante esfuerzo formativo y de concienciación. Ejemplos: – secreto (ficheros P2P, documentación en vía pública). – acceso a datos de salud por personas no habilitadas. – contratación fraudulenta. Agentes comerciales. (SAN 25-4-2007). – información a ex-cónyuge.

Entre los elementos que se consideran para aplicar los elementos de ponderación del art. 45.4 y 5 de la LOPD se encuentra el hecho de que se trate de un sujeto que gestione gran cantidad de datos, aislado y puntual.

La descripción de las funciones del personal con acceso a datos de carácter personal tienen que estar incluidas en el documento de seguridad y formarán parte de las medidas organizativas que el responsable del fichero y, en su caso, el encargado del tratamiento debe implantar. El procedimiento de documentación y transmisión de las políticas que incluyan las funciones y obligaciones del personal con acceso a datos de carácter personal, puede ser diverso dependiendo de las particularidades de cada organización, pudiendo utilizarse documentos escritos, comunicaciones electrónicas, ya sea mediante correo electrónico, intranet corporativa, páginas de inicio de las aplicaciones, etc. En todo caso, será necesario que el responsable del fichero y, en su caso, el encargado del tratamiento se aseguren que el personal con acceso a datos de carácter personal conoce las funciones y obligaciones que tiene con respecto al acceso a los datos de carácter personal, en particular, en lo relativo al deber de secreto y confidencialidad.

El objetivo fundamental de implantar las medidas de seguridad a las que se refiere la LOPD (art. 9) y su Reglamento de desarrollo es garantizar que los datos de carácter personal se tratan con las adecuadas garantías que permitan asegurar la confidencialidad, la integridad y la disponibilidad de los datos. En éste ámbito las incidencias poseen una gran relevancia debido tanto a su propia capacidad para comprometer los objetivos de la seguridad como por el conocimiento que su resolución aporta a los responsables. Así, por ejemplo una avería eléctrica puede poner en peligro la disponibilidad de un sistema de información. Teniendo en cuenta los objetivos de la seguridad, la inclusión de las incidencias de este tipo deberá realizarse siempre cuando con motivo del funcionamiento de estos servicios la seguridad pudiera verse comprometida.

La obligación de establecer un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, así como establecer un registro en el que se hagan constar los detalles de dichas incidencias, se encuentra regulado en el artículo 90 y 100 del Reglamento, dependiendo que el nivel de medidas de seguridad requeridas sea básico o medio. El objetivo final perseguido por el Reglamento a este respecto, tal y como lo señala en el artículo 90 citado, es que se adopten las medidas correctoras para que dicha incidencia sea controlada, por lo que debe mantenerse una acción permanente de control, revisión y actuación sobre las medidas implantadas y las incidencias detectadas.

Deben anotarse tanto en uno como en el otro caso, ya que se trata de asegurar el control y la trazabilidad de los soportes con datos de carácter personal que salen materialmente del sistema de información del responsable del fichero.

El documento de seguridad es un documento interno de la organización y no debe ser notificado a la Agencia Española de Protección de Datos, quedando a disposición de la Agencia o, en su caso, de las autoridades de protección de datos de las Comunidades Autónomas.

Para los ficheros con datos de carácter personal sujetos a la obligación de implantar las medidas de nivel alto, el reglamento de desarrollo de la LOPD prevé la obligación de conservar una copia de respaldo de los datos de estos ficheros y de los procedimientos de recuperación de los mismos en un lugar diferente del que se encuentran los equipos informáticos que los tratan (art. 102 Reglamento LOPD), con el fin de que no se encuentren sometidos a las mismas contingencias que pudiera sufrir el lugar habitual de almacenamiento en caso de un accidente o desastre, como por ejemplo, un incendio o una inundación. En el caso de que no sea posible guardar una copia de los ficheros en un lugar distinto y no sujeto a los mismos riesgos, se deberán adoptar medidas complementarias para paliar el riesgo, tales como ubicar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc). En estos casos, cuando la sede del responsable cuente con distintas estancias o niveles de edificación se entenderá por lugar distinto una estancia diferenciada del lugar principal en el que se ubiquen los sistemas de información, preferiblemente en planta distinta y más protegida y, se deberá hacer constar estas circunstancias en el documento de seguridad. Debe hacerse notar que la obligación de realizar copias de respaldo no es aplicable a los ficheros no automatizados, con independencia del resto de medidas aplicables e este tipo de ficheros, entre las que deberán observarse las previsiones establecidas en el Reglamento de la LOPD, entre otras, en lo relativo a la custodia de los soportes y dispositivos de almacenamiento, así como a la copia o reproducción de los documentos con datos de carácter personal.

El ámbito de la auditoría, previsto en el artículo 96 para los ficheros automatizados y 110 para los no automatizados, se refiere a la verificación del cumplimiento de las medidas de seguridad que deben implantarse en los ficheros automatizados y no automatizados con datos de carácter personal establecidas en el Título VIII del Reglamento de desarrollo de la LOPD, sin perjuicio de que cuando alguna de las materias reguladas la LOPD se proyecten sobre las medidas de seguridad deban ser tenidas en cuenta. Así por ejemplo, es evidente que una salida de datos podría tener relación con una comunicación de datos pudiendo analizarse su licitud. Del mismo modo, la existencia de un encargado del tratamiento puede comportar una evaluación conexa del contenido del contrato. Sobre quién debe realizarla, el Reglamento establece que puede ser interna o externa y no defineel perfil funcional o profesional de los auditores, aunque la propia función de auditoría ha de llevar implícita la independencia y la debida capacitación profesional para que resulte adecuada para la función de verificación que pretende llevar a cabo. Por último, el informe de auditoría deberá ser analizado por el responsable de seguridad que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de la comunidades autónomas, no siendo necesario su notificación a la AEPD.

La obligación de implantar y guardar, durante un período mínimo de dos años, los datos relativos a los accesos realizados a los datos catalogados como de nivel alto, prevista en el artículo 103 del Reglamento de la LOPD, persigue que se pueda identificar el registro accedido. En este sentido, el objetivo es el de ser capaz de establecer las acciones realizadas por un determinado usuario respecto del registro accedido sin necesidad de que tal conocimiento alcance al contenido concreto de la información accedida. El citado artículo establece la información mínima que deberá guardarse de cara acceso a los datos de carácter personal sujetos a la obligación de implantar las medidas de nivel alto. Así mismo, se establecen las circunstancias concretas en las que el Reglamento excepciona de la obligación de implantar el registro de accesos: el responsable debe ser una persona física y debe ser el único usuario del sistema. Esta circunstancia deberá hacerse constar en el documento de seguridad.

En el caso de los ficheros no automatizados con nivel alto de seguridad, el Reglamento de la LOPD establece, en su artículo 113 las medidas que han de adoptarse para controlar el acceso a la documentación a la que deba implantarse las medidas de nivel alto. Para implantar este control de acceso a la documentación se podrán utilizar, por ejemplo: – Plantillas básicas en soporte papel incorporadas al inicio del expediente. – Registros automatizados en la gestión de entradas y salidas al archivo. – Cualquier otro sistema o procedimiento que permita alcanzar la finalidad perseguida por el Reglamento.

Si el destino de los datos es un país fuera del EEE requerirá autorización del Director. Una vez solicitada la autorización acompañada de toda la documentación necesaria: poderes de representación, contrato basado en la Decisión 2002/16/CE, descripción detallada…. el plazo de tramitación es de 3 meses. En las recomendaciones de la AEPD publicadas en el informe de transferencias internacionales (julio-2006) se indica la documentación a presentar.

El régimen de transferencias internacionales de datos no se ha modificado. El RDLOPD permite la autorización de estas transferencias internacionales de datos entre las diferentes empresas del grupo cuando el grupo tiene aprobado un sistema de BCR´s.

El que determina el art. 20 LOPD y el art. 54 RDLOPD, que añade la denominación del fichero y el sistema de tratamiento. Éste último en los términos del art. 5.2.n) del RDLOPD: “… automatizados, no automatizados o parcialmente automatizados”. Tendrán que modificarse las disposiciones generales vigentes de creación de ficheros automatizados que sean mixtos y no se hubiese previsto esta circunstancia.

Es OBLIGATORIA la notificación de cualquier fichero que contenga datos personales que se encuentre en el ámbito de aplicación de la LOPD. Los ficheros de contabilidad y facturación cuando sólo incluyen datos referidos a las personas previstas en los arts. 2.2 y 2.3 no tienen que inscribirse siempre que se ajusten a los términos previstos en los citados artículos: colectivos, tipos de datos y finalidades concretos. En el caso de las personas de contacto, si incluyen datos de otros colectivos, el DNI u otro tipo de datos,… no se excluyen de la aplicación de la LOPD y por lo tanto, si tienen que ser notificados. Un fichero temporal creado para realizar un tratamiento ocasional a partir de un fichero existente NO tiene que inscribirse. SÍ tiene que estar inscrito el fichero de origen. Ej. si se crea un fichero temporal para organizar las vacaciones del personal a partir del fichero de recursos humanos, tendrá que estar inscrito el fichero de recursos humanos. Respecto del fichero de vacaciones tendrán que adoptarse las medidas de seguridad correspondientes. Un fichero creado para realizar tratamientos de datos periódicos, SI que tendrá que inscribirse. Ej. censo agrario, preinscripción anual en un polideportivo, ….

La inscripción en el RGPD tiene que mantenerse ACTUALIZADA. La creación de un fichero de titularidad privada tiene que notificarse con carácter previo a su puesta en marcha. Los ficheros de titularidad pública en el plazo de un mes desde la publicación de la disposición general. Tienen que notificarse las modificaciones que afecten a: – Cambio de denominación social, forma societaria o de personalidad jurídica. – Modificación del nivel de seguridad aplicable. En todo caso, concordancia entre el nivel aplicado, el exigido por el RDLOPD y el notificado. – El fichero de nómina se puede notificar con datos de salud (grado de discapacidad – IRPF) y nivel de seguridad básico. OJO! en todo caso, se mantiene la obligación de aplicar todas las garantías exigidas para tratar datos especialmente protegidos. – Cualquier modificación del contenido de la inscripción. Ej. Sistema de tratamiento, automatizado con documentación en papel, notificar sistema mixto. Tiene que notificarse la supresión de un fichero: -Si ha quedado excluido totalmente de la aplicación de la LOPD. -Si cesa la actividad del responsable. Ficheros bloqueados se pueden suprimir. -Si desaparece la competencia o el objeto que ocasionó la creación del fichero.

Sólo cuando existe habilitación o legitimación. Debe estar articulado el protocolo de gestión del fichero (información, derechos ARCO, responsabilidades,…), el control de acceso y medidas de seguridad. Cada responsable tiene que notificar el fichero al RGPD Del fichero de control de visitas a un edificio que comparten varias empresas puede ser responsable la empresa de seguridad del edificio (Instrucción 1/1996, norma 2, párrafo primero). El fichero de asuntos de un despacho colectivo de abogados no es un fichero con varios responsables. Cada profesional es responsable de sus expedientes. Control de accesos impedirá el uso de datos que no son de su competencia.

El beneficiario no tiene obligación de inscribir los ficheros de una tercera entidad utilizados para una campaña publicitaria. Será la entidad titular del fichero la que deberá inscribirlos. El uso puntual de los datos personales en este tipo de campañas es sólo un tratamiento de datos personales, que no es obligatorio inscribir en el RGPD. En el Registro únicamente se inscriben ficheros y no tratamientos.

El plazo deberá ser razonable. A tal efecto, puede considerarse adecuado el de diez días Si no se subsanase en plazo, se entenderá que el afectado ha desistido de su solicitud de ejercicio, debiendo en su caso volver a solicitarlo. Si se tratase del derecho de acceso, no cabrá considerar que se ha reiterado el ejercicio en doce meses. Una vez subsanado el defecto, el responsable del fichero deberá dar respuesta a la solicitud en los plazos establecidos en el RDLOPD (un mes para acceso, diez días en los restantes casos), dado que no disponía de toda la información necesaria para atender a la solicitud hasta entonces.

Resultará posible siempre que existan las adecuadas garantías para identificar al afectado, pudiendo solicitarse alguna información complementaria de la que disponga el responsable del fichero. En caso de que el afectado haya facilitado en el momento de la recogida de los datos una determinada dirección de correo electrónico (por ejemplo, en caso de recogida a través de un formulario web, facilitándose la dirección para que el responsable confirme la prestación de un servicio al afectado), los derechos deberían ejercitarse desde esta dirección de correo y no desde otra distinta.

El interesado puede ejercitar su derecho de cancelación cuando los datos son inadecuados o excesivos . Esta cancelación como regla general deberá implicar el bloqueo del dato y no su supresión. En consecuencia, la cancelación y el bloqueo no son términos incompatibles, sino que el bloqueo es el efecto derivado de la cancelación. El plazo del bloqueo quedará sujeto a las responsabilidades que pudieran derivarse del tratamiento o de la relación subyacente que lo justifica, por lo que habrá de atenderse a las circunstancias de cada caso concreto y a los correspondientes plazos de prescripción de las acciones previstos en el Código Civil y la normativa específica que sea de aplicación.

” Según el Tribunal Supremo: – “Responsable del fichero” es quien decide la creación del fichero, su aplicación, su finalidad, contenido y uso – “Responsable del tratamiento” es quien adopta decisiones sobre las concretas actividades de un determinado tratamiento de datos. ” Ejemplos -Ficheros de solvencia: responsable del fichero es el titular del fichero y responsable del tratamiento es el acreedor que facilita el dato – Campañas publicitarias: si quien encarga la campaña decide los criterios de segmentación de la muestra, será el responsable del tratamiento, aunque los datos se encuentren siempre en poder de la entidad a la que se encarga la campaña, que será responsable del fichero.

El artículo 12 exige que el contrato incluya las previsiones que contiene. No basta una mera referencia. Si existen modificaciones derivadas de la entrada en vigor del Reglamento (por ejemplo, en materia de seguridad) sería necesario modificar el contrato, incorporando una addenda que las contenga. La celebración del contrato es una obligación legal. En tanto no se haya celebrado no podría llevarse a cabo la prestación de servicios.

Tanto las prestaciones de servicios realizadas por los encargados de tratamiento en los locales del responsable del fichero, como las realizadas en los propios locales del encargado, se encuentran sujetas a la normativa de protección de datos. Con carácter general, las obligaciones del encargado del tratamiento en materia de implantación de las medidas de seguridad se encuentran reguladas en los artículos 82 y 88 del Reglamento de desarrollo de la LOPD. Además el documento de seguridad de un encargado debe tener un contenido adicional específico que permita identificar sus encargos indicando: La identificación de los ficheros o tratamientos que se traten en concepto de encargado. Referencia expresa al contrato o documento que regule las condiciones del encargo. Identificación del responsable. Período de vigencia del encargo. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a los restantes requisitos establecidos en el Reglamento de la LOPD. Por último, el encargado de tratamiento debe implantar las medidas de seguridad adecuadas para sus propios ficheros. Entre ellas, debe mantener actualizado su documento de seguridad, fijar las obligaciones de su personal etc.

No es infrecuente la existencia de tratamientos, como por ejemplo la confección de nóminas, en los que los datos se alojan y tratan casi por completo en los locales, recursos y soportes del encargado. Para estos casos, el reglamento se refiere en su artículo 88 a la “delegación de la llevanza del documento de seguridad”. Para ello deben cumplirse ciertos requisitos: Que los datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado. Que esta circunstancia afecte a parte o a la totalidad de los ficheros o tratamientos del responsable. Que la delegación se indique de modo expreso en el contrato celebrado al amparo del artículo 12 LOPD, con especificación de los ficheros o tratamientos afectados. No podrá delegarse en el encargado la llevanza del documento de seguridad en lo relativo a aquellos datos contenidos en recursos propios del responsable.

Se deberá tener en cuenta que la mayoría de las actividades que supongan un contacto directo o indirecto con el sistema de información y/o con su entorno físico o lógico puede ser susceptible de poner en riesgo la seguridad de los datos. Así por ejemplo, el servicio de seguridad que custodia las llaves de las instalaciones debe ser advertido de las políticas de control de acceso físico a las instalaciones y de las eventuales restricciones de acceso que se hayan fijado. Del mismo modo, los servicios de limpieza deberían ser informados de aspectos relacionados con las prohibiciones relacionadas con el desechado de documentos, -por ejemplo, utilizar medios convencionales como el contenedor de basuras-, o de la necesidad de que en determinadas salas se mantengan condiciones de refrigeración que garanticen la estabilidad de las máquinas que soportan el sistema de información. Un último ejemplo, lo proporcionan los servicios de mantenimiento que, eventualmente, deben tener obligaciones cuando sus acciones pueden poner en peligro un sistema, – por ejemplo, la de advertir cuando una reparación haga necesario desconectar la red eléctrica obligando a un copiado y/o apagado preventivo. En estos casos, para la realización de trabajos que no impliquen el tratamiento de datos personales, y de conformidad con lo establecido en el artículo 83 del Reglamento de la LOPD, el responsable del fichero debe adoptar las medidas adecuadas para limitar el acceso del personal a los datos personales. Cuando se trate de personal ajeno, el contrato de prestación de servicios deberá recoger expresamente la prohibición de acceder a los datos personales y la obligación de secreto que el personal debe observar.

Si bien con carácter general la formalización de un contrato menor puede realizarse simplemente a través de una factura, comprobante o recibo, cuando se utilice para tramitar la contratación de bienes o servicios que impliquen el tratamiento de datos personales de la Administración contratante por parte del contratista, debe existir un documento contractual elaborado con anterioridad a la realización del servicio contratado que desarrolle las obligaciones establecidas en el artículo 12 de la Ley Orgánica de Protección de Datos de Carácter Personal, y el sometimiento a ellas por el contratista. El clausulado habrá de incluir, en particular, que el contratista tratará los datos exclusivamente según le indique la Administración contratante, que no los utilizará con fin distinto al que figure en el contrato, que no los comunicará a terceros, así como las medidas de seguridad correspondientes.