PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
AJE - ASOCIACIÓN DE JÓVENES
EMPRESARIOS DE MADRID
10, 11 Y 12 DE FEBRERO

ÍNDICE
1.El derecho fundamental a la Protección de Datos
2. Normativa Aplicable
3.Conceptos Básicos
4. Principios de la Protección de Datos
5.Cesiones de datos
6.Transferencias Internacionales de Datos
7. Encargados de Tratamiento
8. Derechos de los Interesados
9. Órganos de Control. Régimen sancionador.

Diferentes Nomenclaturas
Derecho Habeas Autodeterminación
Fundamental Data Informativa

Derecho Humano de 3ª Generación
Directrices para la Art.18.4 CE
Convenio (108) del Consejo Regulación de los Archivos
“La ley limitará el uso de la
de Europa para la de Datos Personales
informática para garantizar
Protección de las Personas
Informatizados, adoptadas
el honor y la intimidad
con Relación al Tratamiento
mediante resolución 45/95
Automatizado de los Datos personal y familiar de los
de la Asamblea General de
de Carácter Personal, de 28 ciudadanos y el pleno
Naciones Unidas del 14 de
de enero de 1981 ejercicio de sus derechos”.
diciembre de 1990.

MOMENTOS CLAVE DE LA PROTECCIÓN DE DATOS
1982 - Se publica la LO de Prot. del derecho al Honor, Intimidad Personal y a la Propia
Imagen
1992 - de Regulación del Tratamiento Automatizado de los Datos de Carácter
Personal.
1994 - Reglamento de Desarrollo de la LORTAD
1999 - Reglamento de medidas de seguridad de los ficheros automatizados
2000 - Sentencia del Tribunal Constitucional 290/2000 y 292/2000.
1999 - Ley Orgánica de Protección de Datos de Carácter Personal.
2007 - Reglamento de Desarrollo de la LOPD.

SENTENCIAS DEL TRIBUNAL CONSTITUCIONAL 290/2000 Y
292/2000
“Aquel derecho que reconoce a su titular la facultad de
CONCEPTO controlar sus datos personales y la capacidad para
disponer y decidir sobre los mismos”
•Deroga la LORTAD de 1992
•Define un concepto jurídico independiente
EFECTOS •Provoca la necesidad de publicar la LOPD.
•Establece los principios básicos de la LOPD.

NORMATIVA
EN VIGOR
La Ley de Protección de Datos, la Ley Orgánica 15/1999 de 15 de diciembre de Protección de Datos
de Carácter Personal (LOPD)
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
DEROGADAS
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de
Carácter Personal (LORTAD). Inspirada en el Convenio 108 de 1981.
Real Decreto 1332/94, de 20 de junio de 1994, por el que se desarrollan determinados aspectos de la
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los
datos de carácter personal.
Real Decreto 994/1999, de 11 de junio de 1999, por el que se aprueba el Reglamento de medidas de
seguridad de los ficheros automatizados que contengan datos de carácter personal (RMS)

CONCEPTOS BÁSICOS
DATO PERSONAL
Cualquier información concerniente a personas físicas identificadas o identificables.
FICHERO
Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento organización y acceso.
AFECTADO o INTERESADO
Persona física titular de los datos que sean objeto del tratamiento.
RESPONSABLE DEL FICHERO
“Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento”
ENCARGADO DE TRATAMIENTO
“Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente
con otros trate datos personales por cuenta del responsable del tratamiento”
FUENTES ACCESIBLES AL PÚBLICO
“Exclusivamente el censo promocional, los repertorio telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación
de su pertenencia al grupo. Asimismo, tienen el carácter de fuente accesible al público, los Diarios y
Boletines Oficiales y los medios de comunicación”

CALIDAD DE LOS DATOS
Todos los datos tratados deberán ser....
• Adecuados a la finalidad para la que fueron recabados.
• Exactos y actualizados.
• No deben mantenerse indefinidamente sin justificación.
• Deben haber sido recogidos de forma lícita.

CONSENTIMIENTO
El consentimiento deberá ser...
• Libre
• Informado
• Inequívoco
• Siempre revocable
Admite excepciones...
• Cuando así lo prevea la Ley.
• Cuando se obtengan de una fuente accesible al público.
• Cuando sea en ejercicio de las funciones de la Admón. Pública.
• Exista previamente una relación laboral, negocial o administrativa.

INFORMACIÓN
Se deberá informar respecto a que....
• Existe un fichero
• De la finalidad del Tratamiento.
• De los destinatarios de la información.
• Si los campos son obligatorios o no.
• Consecuencias de la obtención de los datos.
• Posibilidad de ejercer los derechos A.R.C.O.
• De los datos del Responsable del Fichero.

INFORMACIÓN
Admite excepciones...
Cuando lo establezca expresamente una Ley.
Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
Cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la AEPD.
Cuando los datos procedan de “fuentes accesibles al público” y se destinen a la
actividad de publicidad o prospección comercial. En este último caso, en cada
comunicación que se dirija al interesado se le informará del origen de los datos
y de la identidad del responsable del tratamiento, así como de los derechos que
le asisten.

SEGURIDAD
“El responsable del fichero y, en su caso, el encargado del tratamiento, deberán
adoptar las medidas de índole técnica y organizativas necesarias que garanticen
la seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado”
Sentencia de 23/03/2006 de la AN
“Todo responsable de un fichero (o encargada de tratamiento) debe asegurarse de
que dichas medidas o mecanismos se implementen de manera efectiva en la práctica
sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter
personal puedan llegar a manos de terceras personas”.
BÁSICO MEDIO ALTO

MEDIDAS DE SEGURIDAD
FICHEROS FICHEROS NO
OBLIGACIÓN DE
AUTOMATIZADOS AUTOMATIZADOS
APLICACIÓN
NIVEL
TODO DATO PERSONAL
BÁSICO

MEDIDAS DE SEGURIDAD
Los relativos a la comisión de infracciones administrativas o
penales.
Los relativos a insolvencia patrimonial / crédito
Aquellos de los que sean responsables Administraciones tributarias
y se relacionen con el ejercicio de sus potestades tributarias.
NIVEL
MEDIO Aquéllos de los que sean responsables las entidades financieras
para finalidades relacionadas con la prestación de servicios financieros.
Aquéllos de los que sean responsables las Entidades Gestoras y
Servicios Comunes de la Seguridad Social, mutuas de accidentes de
trabajo.
Aquéllos que contengan un conjunto de datos de carácter personal
que ofrezcan una definición de las características o de la personalidad.

MEDIDAS DE SEGURIDAD
Los que se refieran a datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines
NIVEL
policiales sin consentimiento de las personas afectadas.
ALTO
Aquéllos que contengan datos derivados de actos de
violencia de género.

MEDIDAS DE SEGURIDAD
Funciones y obligaciones del personal
Registro de incidencias
Control de acceso
NIVEL
BÁSICO
Gestión de soportes y documentos
Identificación y autenticación
Copias de respaldo y recuperación

MEDIDAS DE SEGURIDAD
Responsable de seguridad
Auditoría
Gestión de soportes y documentos
NIVEL
MEDIO
Identificación y autenticación
Control de acceso físico
Registro de incidencias

MEDIDAS DE SEGURIDAD
Gestión y distribución de soportes
Copias de respaldo y recuperación
NIVEL
ALTO
Registro de accesos
Telecomunicaciones

CESIÓN DE DATOS
“Los datos de carácter personal sólo podrán ser comunicados a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legítimas de
cedente y cesionario con el previo consentimiento del interesado.”
Excepciones...
• Cuando la cesión está autorizada en una ley.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a una relación jurídica cuyo cumplimiento implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas...
• Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
• Cuando la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los
términos establecidos en la legislación sobre sanidad estatal o autonómica.

TRANSFERENCIAS
INTERNACIONALES
“No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal
que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento con destino a países que no proporcionen un nivel de protección equiparable al
que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se
obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que
sólo podrá otorgarla si se obtienen garantías adecuadas.”
•Instrucción 1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que
se rigen los movimientos internacionales de protección de datos.
•Sentencia de la Audiencia Nacional de 15 de marzo de 2002, en relación con la
Instrucción Número 1/2000, de 1 de diciembre.

TRANSFERENCIAS
INTERNACIONALES
Excepciones...
•Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
•Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
•Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un
interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o
aduanera para el cumplimiento de sus competencias.
•Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un
derecho en un proceso judicial.
Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte
España.
Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento
médicos o la gestión de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Otras.... Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de
medidas precontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el
responsable del fichero y un tercero.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad
del mismo.
Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las
Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

RESPONSABLE DEL
FICHERO
“Persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.”
Engloba tanto a los empresarios individuales, como a cualquier ente jurídico, de
naturaleza publica o privada, e incluso los órganos dependientes de un
Administración Pública (Ej. Oficinas Judiciales...)
Se extiende a todas las personas físicas o jurídicas aptas para ser sujetos de
obligaciones del tráfico mercantil o en la actividad pública, con tal de que el
establecimiento de la empresa se encuentre en territorio de la Unión

RESPONSABLE DEL
FICHERO
SUCURSAL
SITUACIONES
FRANQUICIAS
ESPECÍFICAS
CORREDORES Y
AGENCIAS DE
SEGUROS

ENCARGADOS DE TRATAMIENTO
“No se considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.”
No es una cesión de datos porque...
•No se crea un fichero independiente.
•Tiene una duración determinada.
•Se rige mediante un acuerdo de prestación de servicios o una previsión legal.
•El E.T, únicamente tratará los datos conforme a las órdenes del Responsable.
•Cuando termina la colaboración, debe devolverse toda la información y datos.

SUBCONTRATACIÓN Y ENCARGADOS DE
TRATAMIENTO
SUBCONTRATACIÓN PROHIBIDA
“será posible la subcontratación sin
EXCEPCIONES necesidad de autorización siempre y cuando se
cumplan los siguientes requisitos:
Especificar en un contrato los servicios subcontratados
Datos de la empresa con la que se subcontrata
Tratamiento únicamente para fines indicados por el
Responsable
Contrato E.T y subcontratista

DERECHOS DE LOS INTERESADOS
A.R.C.O
Rectificación
Acceso Cancelación Oposición
PLAZOS
Bloqueo

ORGANO SANCIONADOR
AEPD
AGENCIA
AUTONÓMICA
TRANSFERENCIAS JUSTICIA
COMPETENCIALES COMPETENTE