TEMA 5. PROTECCIÓN DE DATOS.

LEY ORGÁNICA 15/1999, DE 13 DE

DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL: OBJETO, ÁMBITO DE APLICACIÓN Y PRINCIPIOS;
DERECHOS DE LAS PERSONAS. LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS

LEY ORGÁNICA 15/1999, 13 DE DICIEMBRE,

DE PROTECCIÓN DE DATOS

ESTRUCTURA:
 Título I: Disposiciones generales
 Título II: Principios de la protección de datos
 Título III: Derechos de las personas
 Título IV: Disposiciones sectoriales
 Título V: Movimiento internacional de datos
 Título VI: Agencia Española de protección de datos
 Titulo VII: Infracciones y sanciones

OBJETO DE LA LEY:
Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas y especialmente de su honor e intimidad personal

ÁMBITO DE APLICACIÓN:
 Se aplica:
a. A los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y
a toda modalidad de uso posterior de estos datos por los sectores público y privado
b. Cuando el tratamiento de datos sea efectuado en el territorio español
c. Cuando el responsable del tratamiento no está establecido en territorio español pero le son aplicables
normas del Derecho Internacional Público
d. Cuando el responsable del tratamiento no está establecido en territorio de la Unión Europea y utilice en
el tratamiento de datos medios situados en territorio español (salvo fines de tránsito)
 No se aplica:
a. A los ficheros de personas físicas en el ejercicio de actividades exclusivamente personales o domesticas
b. A los ficheros sobre protección de materias clasificados
c. A los ficheros por la investigación del territorio y de formas graves de delincuencia organizada
 Se rigen por sus disposiciones específicas:
a. Los ficheros regulados por la legislación de régimen electoral
b. Los ficheros que sirvan a fines exclusivamente estadísticos
c. Los que tengan los datos contenidos del régimen personal de las Fuerzas Armadas
d. Los derivados del Registro Civil y del Registro Central de penados y rebeldes
e. Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad
PRINCIPIOS DE LA PROTECCIÓN DE DATOS:
Conforme a la normativa vigente en materia de protección de datos de carácter personal, todo responsable de
un fichero o tratamiento deberá tener en cuenta los siguientes principios:

A) Calidad-Finalidad y Exactitud de los datos:

Establecen los artículos 4 de la LOPD y 8 del RLOPD que los datos de carácter personal objeto de
tratamiento:
1. Deberán ser tratados de forma leal y lícita.
2. No podrán recogerse por medios fraudulentos, desleales o ilícitos.
3. Sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas
del responsable del tratamiento.
4. No podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos.
A estos efectos no se considerará incompatible, el tratamiento de los datos de carácter personal con
fines históricos, estadísticos o científicos.
5. Sólo podrán ser objeto de tratamiento los datos adecuados, pertinentes y no excesivos en relación
con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
6. Serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del
afectado. De lo contrario, serán cancelados y sustituidos de oficio por los correspondientes datos
rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la
inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo
específico para ello.

B) Obtención del consentimiento previo del afectado:

De conformidad con los artículos 6 de la LOPD y 12 y 17 del RLOPD: el responsable del tratamiento
deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en
aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes. Debiendo
informar inequívocamente al afectado, en el caso de que se cedan sus datos, de la finalidad a la que se
destinarán los mismos, así como el tipo de actividad desarrollada por el cesionario. En caso contrario, el
consentimiento será nulo.

Excepcionalmente veremos más adelante que existen casos en que los datos personales pueden tratarse sin el
consentimiento de su titular.

El afectado podrá revocar su consentimiento, cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos, materializándose a través de un medio sencillo, gratuito y que no implique ingreso
alguno para el responsable del fichero o tratamiento. Debiendo el responsable cesar en el tratamiento de los
datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento,
sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la LOPD.
Igualmente, si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado
el consentimiento, deberá comunicarlo a los cesionarios, en el plazo previsto anteriormente para que éstos,
cesen en el tratamiento de los datos en caso de que aún lo mantuvieran, conforme al artículo 16.4 de la
LOPD.

C) Cesión o comunicación de datos:

Los artículos 11 de la LOPD y 10 del RLOPD establecen como norma general que los datos de carácter
personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente
su consentimiento para ello, regulando un listado de supuestos excepcionales a dicha norma entre los que
destacan los siguientes:

a) Será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del
consentimiento del interesado cuando:
1) Lo autorice una norma con rango de ley o una norma de derecho comunitario.
2) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el
responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su
tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del
interesado. Las Administraciones públicas sólo podrán comunicar datos recogidos de fuentes accesibles al
público a responsables de ficheros de titularidad privada cuando les habilite una norma con rango de ley.

b) Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado
cuando:
1) Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito
de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.
2) Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o
precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el
afectado y sean necesarios para su mantenimiento o cumplimiento.
3) El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los
términos del apartado 6 del artículo 7 de la LOPD.

c) Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del
interesado cuando:
1) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control comporte la comunicación de los datos y siempre que se limite a la finalidad que la
justifique.
2) La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones
análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley
les atribuya expresamente.
3) La cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento de los
datos con fines históricos, estadísticos o científicos; los datos de carácter personal hayan sido recogidos o
elaborados por una Administración pública con destino a otra o la comunicación se realice para el ejercicio
de competencias idénticas o que versen sobre las mismas materias.

D) Datos especialmente protegidos:

La normativa vigente establece un régimen específico para el tratamiento de los datos especialmente
protegidos. Así, el tratamiento y cesión de este tipo de datos se realizará en los términos previstos en los
artículos 7 y 8 de la LOPD.

En este sentido se advertirá al interesado de su derecho a no prestar su consentimiento en el tratamiento de

estos datos, debiendo solicitarse consentimiento expreso y por escrito del interesado para el tratamiento de
datos que revelen ideología, afiliación sindical, religión y creencias.
Para el tratamiento o cesión de datos relativos a origen racial, salud o vida sexual se necesitará el
consentimiento expreso o que así lo disponga una ley.
Se podrán tratar, no obstante, los datos anteriores, si resulta necesario para el diagnóstico médico o la gestión
de un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación
equivalente de secreto. Igualmente cuando sea necesario para salvaguardar el interés vital del afectado o de
otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su
consentimiento.

E) Seguridad de los datos:

Conforme al artículo 9 de la LOPD, el responsable del fichero y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los
datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Disponer de
políticas de seguridad supone garantizar la integridad, disponibilidad y confidencialidad de los datos.

Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrán ser de nivel
básico, medio o alto en función del tipo de datos de carácter personal que se traten. Tales medidas de
seguridad vienen reguladas en el Título VIII del RLOPD (artículos 89 y siguientes), diferenciando las
mismas en función de los niveles anteriormente mencionados así como atendiendo al tipo de ficheros o
tratamientos automatizados o no (formato papel) que se hayan determinado por parte del responsable del
fichero o tratamiento. Todas ellas vendrán reguladas en el documento de seguridad que será de obligado
cumplimiento para el personal con acceso a los sistemas de información.

F) Deber de guardar secreto:

Esta obligación, regulada en el artículo 10 de la LOPD consiste en la confidencialidad profesional que han
de respetar, sobre los datos de carácter personal a los que tengan acceso, todos los que intervengan en
cualquier fase del tratamiento. Obligación que subsistirá aún después de finalizar su relación con el
responsable del fichero.

El secreto es esencial para garantizar el derecho fundamental a la protección de datos. Esto explica, por
ejemplo, que en determinados servicios de atención telefónica se realicen preguntas para establecer la
identidad del cliente antes de facilitar datos, que en un hospital nunca nos faciliten información sobre una
persona que esté siendo atendida, o que nunca nos den acceso a datos de personas mayores de edad, aunque
se trate de familiares directos, si no aportamos un escrito probando que nos han otorgado su representación.

2.1. Derechos de las personas:

En materia de protección de datos de carácter personal, los derechos de las personas vienen regulados en los
artículos 13 al 19 de la LOPD y 23 al 36 del RLOPD, siendo los más destacables los denominados derechos
ARCO (Acceso, Rectificación, Cancelación y Oposición).

Estos derechos se caracterizan por las siguientes peculiaridades:

- Son derechos personalísimos: sólo pueden ejercitarse por el propio afectado, acreditando su identidad;
por su representante legal acreditado, cuando el afectado se encuentre en situación de incapacidad o
minoría de edad o bien por su representante voluntario, expresamente designado para el ejercicio del
derecho.
- Se trata de derechos independientes, por lo que el ejercicio de ninguno de ellos será requisito previo
para el ejercicio de otro tipo de derecho.
- Al titular de los datos se le deberá facilitar un medio sencillo y gratuito para el ejercicio de los
derechos ARCO.
- El ejercicio por el afectado de sus derechos será gratuito y en ningún caso podrá suponer un ingreso
adicional para el responsable del tratamiento ante el que se ejerciten.
- Los derechos ARCO se deben ejercer ante el responsable o encargado del tratamiento.
- La comunicación dirigida para el ejercicio de los derechos deberá contener: nombre y apellidos del
interesado, copia del documento que acredite su identidad o la de su representante; petición en que se
concrete la solicitud, dirección a efectos de notificación, fecha y firma del solicitante y documentos
acreditativos de la petición formulada.
- Deberá utilizarse un medio que acredite el envío y la recepción de la solicitud.
- Transcurrido el plazo sin que de forma expresa se responda a la petición, o bien la resolución no sea
conforme con lo solicitado, el interesado podrá interponer la reclamación ante la AEPD, prevista en el
artículo 18 de la LOPD.

Junto a la descripción de los derechos ARCO se aprovechará para describir el derecho a la información y el
derecho de consulta.

A) Derecho de información:
Si bien es cierto que el “Derecho de información en la recogida de datos” queda articulado en la LOPD,
como un principio general (artículo 5), en muchas ocasiones y debido a su carácter híbrido, tanto como
derecho del interesado y como deber que ha de cumplir el responsable del fichero o tratamiento, se puede
abordar desde diferentes perspectivas.

Este derecho consiste en que los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida
de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos ARCO.
- De la identidad y dirección del responsable del tratamiento o de su representante.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de
forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres
meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad,
del contenido del tratamiento, de la procedencia de los datos, así como de la existencia del fichero, de la
posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.

Las excepciones a este derecho vendrán determinadas por Ley, o bien en los casos en que el tratamiento
tenga fines históricos, estadísticos o científicos; resulte imposible o exija esfuerzos desproporcionados, a
criterio de la AEPD o del organismo autonómico equivalente, en consideración al número de interesados, a
la antigüedad de los datos y a las posibles medidas compensatorias; o cuando los datos procedan de fuentes
accesibles al público y se destinen a la actividad de publicidad o prospección comercial.
Del mismo modo serán tratados con carácter excepcional, aquellos casos en los que el bien protegido sea la
Defensa Nacional, la Seguridad Pública o la utilización de los datos sea necesaria para la persecución de
infracciones penales.

B) Derecho de Acceso:
Este derecho, regulado en el artículo 15 de la LOPD y 27 al 30 del RLOPD consiste en solicitar y obtener
información sobre datos de carácter personal (origen, cesiones, usos y finalidades) que pudieran tener los
responsables de ficheros o tratamientos.

Podrá ejercitarse este derecho cada doce meses, salvo que se acredite un interés legítimo al efecto, debiendo
el responsable del fichero resolver (siempre y de forma motivada), en el plazo de un mes desde la recepción
de la solicitud. En el caso de que la resolución sea estimatoria, se producirá el acceso efectivo en el plazo de
diez días desde su notificación.

El responsable del fichero o tratamiento podrá resolver de forma desestimatoria y por tanto, denegar el
derecho de acceso a los datos de carácter personal, cuando el derecho se haya ejercido en los doce meses
anteriores a la solicitud y no se haya acreditado un interés legítimo; así como en los supuestos previstos por
una Ley o norma de derecho comunitario.

En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la AEPD u
organismo autonómico equivalente, conforme a lo dispuesto en el artículo 18 de la LOPD.

C) Derechos de rectificación y cancelación:

Conforme al artículo 16 de la LOPD y 31 al 33 del RLOPD este derecho habilita al afectado para solicitar
que se modifiquen los datos personales que resulten ser inexactos o incompletos.

El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o
excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.

La solicitud de rectificación o de cancelación deberá indicar a qué datos se refiere y la corrección que haya
de realizarse, debiendo acompañar la documentación justificativa de lo solicitado.

El responsable del fichero resolverá siempre y de forma motivada sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el
plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación
prevista en el artículo 18 de la LOPD.

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá
comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en
el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o
cancelar los datos.

Los efectos del ejercicio de estos derechos pueden ser de naturaleza distinta: desde el borrado o supresión de
los datos solicitados; el bloqueo de los mismos, conservándose únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento durante el plazo de prescripción de éstas; hasta la conservación de los datos durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona
o entidad responsable del tratamiento y el interesado.

D) Derecho de oposición:
Este derecho viene regulado en el artículo 6.4, 17 y 30.4 de la LOPD y 34 a 36 del RLOPD y consiste en la
potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se
cese en el mismo:
a) Cuando no sea necesario su consentimiento para el tratamiento.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y
prospección comercial.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión con efectos jurídicos sobre el
interesado o que le afecte de manera significativa, referida a un tratamiento automatizado de datos
destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito,
fiabilidad o conducta).

El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento debiendo
hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado,
que justifiquen el ejercicio de este derecho y siempre que una Ley o norma de derecho comunitario no
disponga lo contrario.

El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar
desde la recepción de la solicitud.

Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el responsable del
fichero o tratamiento, éstos son el derecho de consulta (pública y gratuita), que se ejercita ante el Registro
General de la AEPD, permitiendo saber quién puede haber tratado nuestros datos, sus finalidades, así como
la identidad del responsable del fichero (artículo 14 de la LOPD).

Finalmente cabe mencionar el derecho de indemnización, regulado en el artículo 19 de la LOPD, y que

consiste en el derecho a ser indemnizados por los daños y perjuicios que como consecuencia del
incumplimiento de la Ley haya producido el responsable o encargado del tratamiento de datos; aplicándose
previamente la legislación en materia de responsabilidad administrativa, en el caso de ficheros de titularidad
pública. En el supuesto de ficheros de titularidad privada la acción se ejercitará ante los órganos de la
jurisdicción ordinaria.

2.2. Obligaciones del responsable del fichero:

Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD, a quién le
corresponde velar por el cumplimiento de la Ley en su organización. Entre dichas obligaciones cabe destacar
las siguientes:
- Creación, modificación y supresión de ficheros: con identificación del responsable, del fichero,
finalidades y usos previstos, sistema de tratamiento empleado, tipología de datos, medidas de seguridad,
el encargado del tratamiento y los destinatarios de cesiones y transferencias internacionales. En el caso
de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el
"Boletín Oficial del Estado" o diario oficial correspondiente (art. 20 de la LOPD).
- Notificación e Inscripción de ficheros ante el RGPD.
- Informar a los titulares previamente a la recogida de sus datos (art. 5 LOPD) y recabar su
consentimiento.
- Implementación de medidas de seguridad técnicas y organizativas (por niveles según tipo de datos).
Recogidas en el Documento de seguridad.
- Asegurarse de que los datos sean adecuados, veraces, obtenidos lícita y legítimamente y tratados de
modo proporcional a la finalidad que justificó su recogida.
- Garantizar el cumplimiento de los deberes de confidencialidad y seguridad.
- Facilitar y garantizar el ejercicio de los derechos ARCO.
- Asegurar que en sus relaciones con terceros (prestadores de servicios), cumplan con la LOPD.

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

CONCEPTO Y CARACTERÍSTICAS:
Se trata de un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada,
que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones

Los puestos de trabajo d los órganos y servicios que integren la Agencia serán desempeñados por
funcionarios de las Administraciones públicas y por personal contratado al efecto

El personal está obligado a guardar secreto de los datos de carácter personal

La Agencia contará con los siguientes bienes y medios económicos:
- Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado
- Los bienes y valores que constituyen su patrimonio

La Agencia elaborará y aprobará con carácter anual el Anteproyecto de presupuesto y lo remitirá al Gobierno

DIRECTOR:
Dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el CONSEJO
CONSULTIVO, por un periodo de 4 años
El director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus
funciones

Tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad
estuviera desempeñada una función pública

FUNCIONES:
 Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación
 Emitir autorizaciones
 Atender las peticiones y reclamaciones
 Proporcionar información sobre derechos en esta materia
 Requerir a los responsables y los encargados de los tratamientos
 Ejercer la potestad sancionadora
 Informar los proyectos de disposiciones generales
 Recabar de las responsables de los ficheros cuanta ayuda e información necesite
 Velar por la publicidad de la existencia de los ficheros
 Redactar una memoria anual y remitirla al Ministerio de Justicia
 Velar por el cumplimiento de las disposiciones que la ley de la Función Estadísticas establece
 Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos
internacionales de datos
 Las resoluciones de la Agencia se harán pública, una vez hayan sido notificadas, a través de medios
informáticos o telemáticos

CONSEJO CONSULTIVO:
El director de la Agencia de Protección de datos estará asesorado por un CONSEJO CONSULTIVO

Composición:
- Un diputado, propuesto por el Congreso de los diputados
- Un senador
- Un representante de la Administración Central
- Un representante de la Administración Local
- Un miembro de la Real Academia de la Historia
- Un experto en la materia
- Un representante de los usuarios y consumidores
- Un representante de cada CC.AA., que haya creado una agencia de protección de datos en su ámbito
territorial
- Un representante del sector de ficheros privados

EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS

Es un órgano integrado en la Agencia Española de Protección de Datos

OBJETO DE INSCRIPCIÓN:
 Los ficheros de que sean titulares las Administraciones públicas
 Los ficheros de titularidad privada
 Las autorizaciones a que se refiere la presente ley
 Los códigos tipo a que se refiere el art. 32 de la presente ley
 Los datos relativos a los que sean necesarios para el ejercicio de los derechos de información,
acceso, rectificación, cancelación y oposición

POTESTAD DE INSPECCIÓN:
Las autorizaciones de control, podrán inspeccionar los ficheros. Para ello, podrán solicitar la exhibición o el
envío de documento y datos y examinarlos en el lugar en que se encuentren depositados, así como
inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos

Los funcionarios que ejerzan la inspección tendrán la consideración de autoridad pública en el desempeño de
sus cometidos. Estarán obligados a guardar secreto sobre las informaciones

ÓRGANOS CORRESPONDIENTES DE LAS CC.AA.:

Las funciones reguladas en el Art. 37 (excepto los apartados j),k),l),f),g)) así como los art. 46 y 49 serán
ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las CC.AA. y
por la Administración local de su ámbito territorial

Las CC.AA. podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias
que se les reconoce

El director de la Agencia de protección de datos podrá convocar regularmente a los órganos correspondientes
de las CC.AA. a efectos de cooperación institucional y coordinación de criterios

FICHEROS DE LAS CC.AA. EN MATERIA DE SU EXCLUSIVA COMPETENCIA:

Si el Director de la Agencia constate que el mantenimiento o uso de un determinado fichero de las CC.AA.
contraviene algún precepto de la ley 15/1999 en materia de su exclusiva competencia, podrá requerir a la
Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que se fije
en el requerimiento

Si la Administración pública no cumpliera el requerimiento formulario, el Director de la Agencia podrá

impugnar la resolución adoptada por aquella administración

ANEXO:
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o
identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como
las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere
el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se
obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona,
no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios
telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a
grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.

Anexo:
Decreto 1720/2007
MEDIDAS DE SEGURIDAD:
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en 3
NIVELES:

1. NIVEL ALTO: Ficheros o tratamientos con datos:

- De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de
los que no se prevea la posibilidad de adoptar el nivel básico
- Recabados con fines policiales sin consentimiento de las personas afectadas
- Derivadas de actos de violencia de género
2. NIVEL MEDIO: Ficheros o tratamientos con datos:
- -Relativos a la comisión de infracciones administrativas o penales
- Que se rijan por el art. 29 de la L.O.P.D. (prestación de servicios de solvencia patrimonial y crédito)
- De atribuciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias
- De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros
- De entidades gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio
de sus competencias
- De Mutuas de accidentes de Trabajo y enfermedades profesionales de la Seguridad Social
- Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la
misma o del comportamiento de las personas
- De los operadores de comunicaciones electrónicas (datos de tráfico y localización)
3. NIVEL BÁSICO: Cualquier otro fichero que contenga datos de carácter personal. También aquellos
ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida
sexual cuando:
- Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de los
que los afectados sean afectados o miembros
- Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de
datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero
- En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado
o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos

TIPOS DE INFRACCIONES.
Las infracciones se calificaran en:
1. INFRACCIONES LEVES: (Prescribe al año)
- No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta ley
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de
Protección de Datos
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos sean
recabados del propio interesado
- La trasmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes
formales
2. INFRACCIONES GRAVES (Prescribe a los 2 años)
- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter
personal para los mismos, sin autorización general, publicada en el BOE o diario oficial
- Tratar datos de carácter personal sin recabar el consentimiento de las personas afectados, cuando el
mismo sea necesario conforme
- Tratar datos de carácter personal o usuario posteriormente con conculcación del los principios y
garantías establecidos en el art. 4
- La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal
- El impedimento o la obstaculación del ejercicio de los derechos de acceso, rectificación, cancelación
y oposición
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos no hayan sido recabados del propio interesado
- El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por
esta ley
- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad
- No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos
- La obstrucción al ejercicio de la función inspectora
- La comunicación o cesión de datos de carácter personal sin contar con legitimación para ello en los
términos previstos en esta ley, salvo que la misma sea consultiva de infracción muy grave
3. INFRACCIONES MUY GRAVES (Prescribe a los 3 años)
- La recogida de datos en forma engañosa o fraudulenta
- Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del art. 7
- No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo
requerimiento del Director de la Agencia Española de Protección de Datos
- La transferencia internacional de datos de carácter personal con destino a países que no proporcionen
un nivel de protección equiparable sin autorización del Director de la Agencia Española de
Protección de Datos

TIPOS DE SANCIONES:
- Las infracciones leves: multa de 900 a 40.000€
- Las infracciones graves: multa de 40.001 a 300.000€
- Las infracciones muy graves: multa de 300.001 a 600.000€