Professional Documents
Culture Documents
ESTRUCTURA:
Título I: Disposiciones generales
Título II: Principios de la protección de datos
Título III: Derechos de las personas
Título IV: Disposiciones sectoriales
Título V: Movimiento internacional de datos
Título VI: Agencia Española de protección de datos
Titulo VII: Infracciones y sanciones
OBJETO DE LA LEY:
Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas y especialmente de su honor e intimidad personal
ÁMBITO DE APLICACIÓN:
Se aplica:
a. A los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y
a toda modalidad de uso posterior de estos datos por los sectores público y privado
b. Cuando el tratamiento de datos sea efectuado en el territorio español
c. Cuando el responsable del tratamiento no está establecido en territorio español pero le son aplicables
normas del Derecho Internacional Público
d. Cuando el responsable del tratamiento no está establecido en territorio de la Unión Europea y utilice en
el tratamiento de datos medios situados en territorio español (salvo fines de tránsito)
No se aplica:
a. A los ficheros de personas físicas en el ejercicio de actividades exclusivamente personales o domesticas
b. A los ficheros sobre protección de materias clasificados
c. A los ficheros por la investigación del territorio y de formas graves de delincuencia organizada
Se rigen por sus disposiciones específicas:
a. Los ficheros regulados por la legislación de régimen electoral
b. Los ficheros que sirvan a fines exclusivamente estadísticos
c. Los que tengan los datos contenidos del régimen personal de las Fuerzas Armadas
d. Los derivados del Registro Civil y del Registro Central de penados y rebeldes
e. Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad
PRINCIPIOS DE LA PROTECCIÓN DE DATOS:
Conforme a la normativa vigente en materia de protección de datos de carácter personal, todo responsable de
un fichero o tratamiento deberá tener en cuenta los siguientes principios:
Excepcionalmente veremos más adelante que existen casos en que los datos personales pueden tratarse sin el
consentimiento de su titular.
El afectado podrá revocar su consentimiento, cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos, materializándose a través de un medio sencillo, gratuito y que no implique ingreso
alguno para el responsable del fichero o tratamiento. Debiendo el responsable cesar en el tratamiento de los
datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento,
sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la LOPD.
Igualmente, si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado
el consentimiento, deberá comunicarlo a los cesionarios, en el plazo previsto anteriormente para que éstos,
cesen en el tratamiento de los datos en caso de que aún lo mantuvieran, conforme al artículo 16.4 de la
LOPD.
a) Será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del
consentimiento del interesado cuando:
1) Lo autorice una norma con rango de ley o una norma de derecho comunitario.
2) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el
responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su
tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del
interesado. Las Administraciones públicas sólo podrán comunicar datos recogidos de fuentes accesibles al
público a responsables de ficheros de titularidad privada cuando les habilite una norma con rango de ley.
b) Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado
cuando:
1) Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito
de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.
2) Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o
precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el
afectado y sean necesarios para su mantenimiento o cumplimiento.
3) El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del apartado 6 del artículo 7 de la LOPD.
c) Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del
interesado cuando:
1) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control comporte la comunicación de los datos y siempre que se limite a la finalidad que la
justifique.
2) La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones
análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley
les atribuya expresamente.
3) La cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento de los
datos con fines históricos, estadísticos o científicos; los datos de carácter personal hayan sido recogidos o
elaborados por una Administración pública con destino a otra o la comunicación se realice para el ejercicio
de competencias idénticas o que versen sobre las mismas materias.
Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrán ser de nivel
básico, medio o alto en función del tipo de datos de carácter personal que se traten. Tales medidas de
seguridad vienen reguladas en el Título VIII del RLOPD (artículos 89 y siguientes), diferenciando las
mismas en función de los niveles anteriormente mencionados así como atendiendo al tipo de ficheros o
tratamientos automatizados o no (formato papel) que se hayan determinado por parte del responsable del
fichero o tratamiento. Todas ellas vendrán reguladas en el documento de seguridad que será de obligado
cumplimiento para el personal con acceso a los sistemas de información.
El secreto es esencial para garantizar el derecho fundamental a la protección de datos. Esto explica, por
ejemplo, que en determinados servicios de atención telefónica se realicen preguntas para establecer la
identidad del cliente antes de facilitar datos, que en un hospital nunca nos faciliten información sobre una
persona que esté siendo atendida, o que nunca nos den acceso a datos de personas mayores de edad, aunque
se trate de familiares directos, si no aportamos un escrito probando que nos han otorgado su representación.
Junto a la descripción de los derechos ARCO se aprovechará para describir el derecho a la información y el
derecho de consulta.
A) Derecho de información:
Si bien es cierto que el “Derecho de información en la recogida de datos” queda articulado en la LOPD,
como un principio general (artículo 5), en muchas ocasiones y debido a su carácter híbrido, tanto como
derecho del interesado y como deber que ha de cumplir el responsable del fichero o tratamiento, se puede
abordar desde diferentes perspectivas.
Este derecho consiste en que los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida
de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos ARCO.
- De la identidad y dirección del responsable del tratamiento o de su representante.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de
forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres
meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad,
del contenido del tratamiento, de la procedencia de los datos, así como de la existencia del fichero, de la
posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.
Las excepciones a este derecho vendrán determinadas por Ley, o bien en los casos en que el tratamiento
tenga fines históricos, estadísticos o científicos; resulte imposible o exija esfuerzos desproporcionados, a
criterio de la AEPD o del organismo autonómico equivalente, en consideración al número de interesados, a
la antigüedad de los datos y a las posibles medidas compensatorias; o cuando los datos procedan de fuentes
accesibles al público y se destinen a la actividad de publicidad o prospección comercial.
Del mismo modo serán tratados con carácter excepcional, aquellos casos en los que el bien protegido sea la
Defensa Nacional, la Seguridad Pública o la utilización de los datos sea necesaria para la persecución de
infracciones penales.
B) Derecho de Acceso:
Este derecho, regulado en el artículo 15 de la LOPD y 27 al 30 del RLOPD consiste en solicitar y obtener
información sobre datos de carácter personal (origen, cesiones, usos y finalidades) que pudieran tener los
responsables de ficheros o tratamientos.
Podrá ejercitarse este derecho cada doce meses, salvo que se acredite un interés legítimo al efecto, debiendo
el responsable del fichero resolver (siempre y de forma motivada), en el plazo de un mes desde la recepción
de la solicitud. En el caso de que la resolución sea estimatoria, se producirá el acceso efectivo en el plazo de
diez días desde su notificación.
El responsable del fichero o tratamiento podrá resolver de forma desestimatoria y por tanto, denegar el
derecho de acceso a los datos de carácter personal, cuando el derecho se haya ejercido en los doce meses
anteriores a la solicitud y no se haya acreditado un interés legítimo; así como en los supuestos previstos por
una Ley o norma de derecho comunitario.
En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la AEPD u
organismo autonómico equivalente, conforme a lo dispuesto en el artículo 18 de la LOPD.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o
excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.
La solicitud de rectificación o de cancelación deberá indicar a qué datos se refiere y la corrección que haya
de realizarse, debiendo acompañar la documentación justificativa de lo solicitado.
El responsable del fichero resolverá siempre y de forma motivada sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el
plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación
prevista en el artículo 18 de la LOPD.
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá
comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en
el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o
cancelar los datos.
Los efectos del ejercicio de estos derechos pueden ser de naturaleza distinta: desde el borrado o supresión de
los datos solicitados; el bloqueo de los mismos, conservándose únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento durante el plazo de prescripción de éstas; hasta la conservación de los datos durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona
o entidad responsable del tratamiento y el interesado.
D) Derecho de oposición:
Este derecho viene regulado en el artículo 6.4, 17 y 30.4 de la LOPD y 34 a 36 del RLOPD y consiste en la
potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se
cese en el mismo:
a) Cuando no sea necesario su consentimiento para el tratamiento.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y
prospección comercial.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión con efectos jurídicos sobre el
interesado o que le afecte de manera significativa, referida a un tratamiento automatizado de datos
destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito,
fiabilidad o conducta).
El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento debiendo
hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado,
que justifiquen el ejercicio de este derecho y siempre que una Ley o norma de derecho comunitario no
disponga lo contrario.
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar
desde la recepción de la solicitud.
Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el responsable del
fichero o tratamiento, éstos son el derecho de consulta (pública y gratuita), que se ejercita ante el Registro
General de la AEPD, permitiendo saber quién puede haber tratado nuestros datos, sus finalidades, así como
la identidad del responsable del fichero (artículo 14 de la LOPD).
CONCEPTO Y CARACTERÍSTICAS:
Se trata de un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada,
que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones
Los puestos de trabajo d los órganos y servicios que integren la Agencia serán desempeñados por
funcionarios de las Administraciones públicas y por personal contratado al efecto
La Agencia elaborará y aprobará con carácter anual el Anteproyecto de presupuesto y lo remitirá al Gobierno
DIRECTOR:
Dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el CONSEJO
CONSULTIVO, por un periodo de 4 años
El director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus
funciones
Tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad
estuviera desempeñada una función pública
FUNCIONES:
Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación
Emitir autorizaciones
Atender las peticiones y reclamaciones
Proporcionar información sobre derechos en esta materia
Requerir a los responsables y los encargados de los tratamientos
Ejercer la potestad sancionadora
Informar los proyectos de disposiciones generales
Recabar de las responsables de los ficheros cuanta ayuda e información necesite
Velar por la publicidad de la existencia de los ficheros
Redactar una memoria anual y remitirla al Ministerio de Justicia
Velar por el cumplimiento de las disposiciones que la ley de la Función Estadísticas establece
Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos
internacionales de datos
Las resoluciones de la Agencia se harán pública, una vez hayan sido notificadas, a través de medios
informáticos o telemáticos
CONSEJO CONSULTIVO:
El director de la Agencia de Protección de datos estará asesorado por un CONSEJO CONSULTIVO
Composición:
- Un diputado, propuesto por el Congreso de los diputados
- Un senador
- Un representante de la Administración Central
- Un representante de la Administración Local
- Un miembro de la Real Academia de la Historia
- Un experto en la materia
- Un representante de los usuarios y consumidores
- Un representante de cada CC.AA., que haya creado una agencia de protección de datos en su ámbito
territorial
- Un representante del sector de ficheros privados
OBJETO DE INSCRIPCIÓN:
Los ficheros de que sean titulares las Administraciones públicas
Los ficheros de titularidad privada
Las autorizaciones a que se refiere la presente ley
Los códigos tipo a que se refiere el art. 32 de la presente ley
Los datos relativos a los que sean necesarios para el ejercicio de los derechos de información,
acceso, rectificación, cancelación y oposición
POTESTAD DE INSPECCIÓN:
Las autorizaciones de control, podrán inspeccionar los ficheros. Para ello, podrán solicitar la exhibición o el
envío de documento y datos y examinarlos en el lugar en que se encuentren depositados, así como
inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos
Los funcionarios que ejerzan la inspección tendrán la consideración de autoridad pública en el desempeño de
sus cometidos. Estarán obligados a guardar secreto sobre las informaciones
Las CC.AA. podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias
que se les reconoce
El director de la Agencia de protección de datos podrá convocar regularmente a los órganos correspondientes
de las CC.AA. a efectos de cooperación institucional y coordinación de criterios
ANEXO:
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o
identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como
las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere
el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se
obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona,
no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios
telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a
grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.
Anexo:
Decreto 1720/2007
MEDIDAS DE SEGURIDAD:
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en 3
NIVELES:
TIPOS DE INFRACCIONES.
Las infracciones se calificaran en:
1. INFRACCIONES LEVES: (Prescribe al año)
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta ley
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de
Protección de Datos
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos sean
recabados del propio interesado
- La trasmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes
formales
2. INFRACCIONES GRAVES (Prescribe a los 2 años)
- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter
personal para los mismos, sin autorización general, publicada en el BOE o diario oficial
- Tratar datos de carácter personal sin recabar el consentimiento de las personas afectados, cuando el
mismo sea necesario conforme
- Tratar datos de carácter personal o usuario posteriormente con conculcación del los principios y
garantías establecidos en el art. 4
- La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal
- El impedimento o la obstaculación del ejercicio de los derechos de acceso, rectificación, cancelación
y oposición
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos no hayan sido recabados del propio interesado
- El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por
esta ley
- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad
- No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos
- La obstrucción al ejercicio de la función inspectora
- La comunicación o cesión de datos de carácter personal sin contar con legitimación para ello en los
términos previstos en esta ley, salvo que la misma sea consultiva de infracción muy grave
3. INFRACCIONES MUY GRAVES (Prescribe a los 3 años)
- La recogida de datos en forma engañosa o fraudulenta
- Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del art. 7
- No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo
requerimiento del Director de la Agencia Española de Protección de Datos
- La transferencia internacional de datos de carácter personal con destino a países que no proporcionen
un nivel de protección equiparable sin autorización del Director de la Agencia Española de
Protección de Datos
TIPOS DE SANCIONES:
- Las infracciones leves: multa de 900 a 40.000€
- Las infracciones graves: multa de 40.001 a 300.000€
- Las infracciones muy graves: multa de 300.001 a 600.000€