Apuntes correspondientes al curso de LOPD para el sector turístico impartido el 27 de marzo de 2009 en el Centro de Cualificación Turística de Murcia por Andrés Romero, abogado, socio de Nexo Abogados.
1. L A P ROTECCIÓN DE
D ATOS P ERSONALES
legalización de ficheros
medidas de seguridad
infracciones y sanciones
recogida de datos
Copyright Nexo Abogados 2009
2. Temario jornadas LOPD
Índice de Contenidos
1. Introducción a la protección de datos personales. ............................................ - 2 -
2. Legislación aplicable.......................................................................................... - 4 -
3. Conceptos básicos............................................................................................. - 5 -
4. Derechos de los Afectados. ............................................................................. - 11 -
5. Obligaciones del responsable del fichero y del encargado del tratamiento. ... - 14 -
6. Las medidas de seguridad. .............................................................................. - 15 -
7. Infracciones y Sanciones. ................................................................................. - 16 -
-1-
3. Temario jornadas LOPD
1. Introducción a la protección de
datos personales.
En los últimos tiempos estamos siendo testigos de un auge de las Tecnologías
que ya hoy se han impuesto en nuestra vida cotidiana como uno de los más
importantes y fundamentales recursos de que disponemos para facilitar nuestra
actividad diaria tanto en lo que se refiere, por ejemplo, a la búsqueda de
información, como al desarrollo de negocios desde esta nueva perspectiva.
Además, la naturaleza de estas Tecnologías hace que su crecimiento y
expansión sea mucho más rápido, según estamos comprobando, que
cualquiera que hayan experimentado los medios y fórmulas tradicionales.
Junto con estas Tecnologías, la propagación del fenómeno de Internet y el
progreso tecnológico en general, cobra especial importancia la recogida,
almacenamiento y posterior utilización de los datos sobre clientes (también
potenciales clientes), proveedores o cualquier persona que pueda intervenir en
el proceso productivo de la empresa, ya que las nuevas herramientas de que
se dispone están permitiendo rentabilizar al máximo el tratamiento de esos
datos. Todo ello permite a las empresas dotar a los datos personales que
recogen de nuevas y valiosas utilidades: campañas personalizadas de
marketing, automatización de los procesos en que interviene cualquier fichero
de datos, acceso rápido y ordenado a los datos personales, etc. Se trata en
definitiva de gestionar eficazmente la información, uno de los principales
recursos de las empresas para la necesaria innovación y el correcto desarrollo
de su actividad.
Tratándose esta información de un valioso recurso para las empresas, su
utilización debe pues verse sometida a determinados límites que la regulen de
manera que no se vean vulnerados ciertos derechos fundamentales de los que
cualquier persona física es titular, tales como los derechos al honor, a la
intimidad personal y familiar y a la propia imagen, todos ellos reconocidos
constitucionalmente1.
Sin embargo, esta necesidad de protección no es algo nuevo. Ya la derogada
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de Datos de Carácter Personal (LORTAD), trataba de proteger el
ejercicio de los derechos fundamentales de los ciudadanos en lo que pudieran
verse afectados por la utilización de sus datos personales. Ahora bien,
determinados factores, tales como falta de medios y recursos por parte de la
Además de los derechos fundamentales mencionados, los cuales guardan estrecha relación con la
1
Protección de Datos Personales, no debemos obviar la consideración del Derecho a la Protección de los
Datos Personales como un derecho autónomo e independiente.
-2-
4. Temario jornadas LOPD
Administración, su enfoque exclusivo al tratamiento automatizado de los datos
y, sobre todo una verdadera falta de concienciación social, han influido para
que la norma citada no tuviera, hasta hoy, aplicación práctica2.
Debido tanto a la inaplicación de la anterior regulación como a los imperativos
comunitarios, ha sido necesaria la elaboración de una normativa actualizada
más acorde con la nueva situación social y tecnológica que hemos
mencionado. En tal sentido, la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD) fue motivada por la obligada
transposición de la Directiva Comunitaria 46/1995, de 24 de octubre, relativa a
la protección de personas físicas en lo que respecta al tratamiento de datos
personales y a su libre circulación.
Dicha Ley Orgánica trata, en términos generales, de garantizar el correcto uso
de aquellos datos personales que sean objeto de tratamiento con fines no
personales, y para ello se establecen una serie de medidas preventivas y
sancionadoras con el fin de que el organismo público encargado de ello, la
Agencia Española de Protección de Datos (AEPD), mantenga un control de
aquellos ficheros que contengan datos personales.
A grandes rasgos, la nueva legislación establece tres clases de obligaciones
para todos aquellos sujetos que dispongan de ficheros de datos personales:
Legalización de los ficheros: hay una obligación de comunicar a la APD
-
la llevanza del fichero para que además se proceda a su inscripción.
Legitimación de los ficheros: debe contarse con el consentimiento
-
inequívoco por parte del afectado para la recopilación, tratamiento y
cesión de sus datos.
Implantación de medidas de seguridad: debe dotarse al fichero de las
-
suficientes medidas de seguridad con el fin de evitar el uso fraudulento
del mismo así como para impedir el acceso a personas no autorizadas.
Se trata de obligaciones que deben cumplir todas aquellas personas físicas o
jurídicas (salvo determinadas excepciones que recoge la propia Ley) que
mantengan algún fichero que recoja datos de carácter personal.
Podemos adelantar aquí que la LOPD es de aplicación a ficheros tales como
los de nóminas, clientes, proveedores, ficheros relacionados con mailings de
publicidad, reservas, etc., siempre que tales ficheros contengan datos
personales.
Además de estas obligaciones, se establecen determinados derechos básicos
que podrán ser ejercidos por los afectados y cuyo cumplimiento deben
Debemos apuntar que la Agencia de Protección de Datos no sólo tiene encomendadas funciones
2
meramente de inspección, sino que actuará de oficio ante la interposición de denuncias por parte de los
afectados.
-3-
5. Temario jornadas LOPD
garantizar las empresas. Se trata básicamente, de un derecho de información y
de la necesidad del consentimiento del afectado para la utilización y
tratamiento de los datos como más adelante veremos, así como derechos de
consulta, modificación, oposición y cancelación.
Las sanciones previstas para el incumplimiento de cualquiera de estas
obligaciones van desde los 601,01 euros las leves (Vg. no informar de la
recogida de datos), hasta los 601.012,10 euros las muy graves (Vg. comunicar
o ceder datos sin autorización). Como se puede observar, se trata de sanciones
muy elevadas cuya imposición puede acarrear daños económicos importantes
para las empresas infractoras, si bien, una interpretación “generosa” del
articulado de la LOPD, permite rebajar las sanciones en determinados
supuestos que puede hacerlas más razonables de lo que a priori parecen.
En los siguientes apartados trataremos de profundizar brevemente en las ideas
que han quedado apuntadas más arriba.
2. Legislación aplicable.
Como se ha referido en el apartado anterior, la actual Ley Orgánica 15/1999,
de Protección de Datos Personales, ha venido a sustituir a la anterior
legislación, la Ley Orgánica 5/1992 (LORTAD). Junto con esta norma, es de
aplicación el reciente R.D. 1720/2007, de 21 de diciembre que ha venido a
desarrollar la misma y que entrará en vigor (sin perjuicio de las disposiciones
transitorias) el 19 de abril de 2008, momento hasta el cual seguirá siendo de
aplicación el R.D. 994/1999, de 11 de junio que aprueba el Reglamento de
Medidas de Seguridad para ficheros automatizados. No obstante, este último
es derogado por el nuevo R.D. 1720/2007 tal y como apuntábamos.
Así pues, la legislación básica en materia de Protección de Datos Personales se
contiene en:
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
-
Carácter Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
-
Reglamento de desarrollo de la LOPD.
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
-
Reglamento de Medidas de Seguridad.
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
-
Automatizado de los datos de carácter personal (LORTAD). Derogada
por la Ley Orgánica 15/1999, de Protección de Datos de Carácter
Personal.
-4-
6. Temario jornadas LOPD
Real Decreto 1332/1994, de 20 de junio, que desarrolla aspectos
-
fundamentales de la derogada LORTAD.
Directiva comunitaria 46/1995, relativa a la Protección de Personas
-
Físicas en lo que respecta al Tratamiento de Datos Personales y a su
libre circulación.
Directiva Comunitaria 66/1997, relativa al Tratamiento de los Datos
-
Personales y a la Protección de la Intimidad en el Sector de las
Telecomunicaciones.
Al margen de las anteriores normas, la Agencia de Protección de Datos ha
elaborado numerosas instrucciones encaminadas a facilitar un mejor y más
claro cumplimiento de la legislación vigente, tratando de explicar y arrojar luz
sobre determinados aspectos de la Ley que necesitan de un cierto desarrollo,
tales como prestación de servicios sobre solvencia patrimonial y de crédito,
acceso a los edificios, etc.
3. Conceptos básicos.
En materia de protección de datos, y en particular a raíz de la Ley Orgánica
15/1999, de Protección de Datos, se utilizan numerosos conceptos cuyo
significado es necesario conocer ya que son fundamentales a la hora de
entender y aplicar la normativa.
Un buen número de estos conceptos viene definido en el propio texto legal,
de manera que nos limitaremos a transcribir aquí parte de los preceptos
concretos –Arts. 3. y 5 de la LOPD y del Reglamento de Desarrollo,
respectivamente- tratando de ampliar brevemente la explicación en aquellos
casos en los que por su especial relevancia, sean de un mayor interés.
Al margen de los conceptos definidos en la propia Ley y el Reglamento,
explicaremos también de forma breve otros conceptos que son especialmente
interesantes por la relevancia práctica que adquieren.
Así pues, los conceptos que vienen definidos en los referidos artículos 3 y 5 de
la LOPD y el Reglamento, a efectos de la propia Ley, son3:
Datos de Carácter Personal: cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a
personas físicas identificadas o identificables.
Aparecen en cursiva las definiciones que da la propia Ley 15/1999, de Protección de Datos de Carácter
3
Personal, en su artículo 3.
-5-
7. Temario jornadas LOPD
Nótese que la definición hace referencia asimismo a personas físicas
identificables. Así pues, los datos objeto de protección no son sólo
aquellos que facilitan información acerca de una o varias personas en
particular, sino que también son objeto de protección aquellos datos a
partir de los cuales sea posible identificar a una persona física (por
ejemplo la firma).
Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
De la literalidad de la Ley se desprende inequívocamente que no
tendrán la consideración de afectados o interesados en este contexto
las personas jurídicas, sino únicamente las personas físicas.
Fichero: todo conjunto organizado de datos de carácter personal, que
permita el acceso a los datos con arreglo a criterios determinados,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
Como vemos, se trata en definitiva de cualquier tipo de fichero que
contenga datos de carácter personal, no distinguiéndose entre soportes
informáticos, de papel o de cualquier otro tipo. No obstante, quedan
excluidos del ámbito de aplicación determinados ficheros, entre los
cuales se encuentran los ficheros mantenidos por personas físicas en el
ejercicio de actividades exclusivamente personales o domésticas.4
Tratamiento de datos: cualquier operación o procedimiento técnico,
sea o no automatizado, que permita la recogida, grabación,
conservación, elaboración, modificación, cancelación, bloqueo o
supresión, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que solo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento aunque no lo realizase materialmente.
Como hemos visto, el artículo 3 distingue en sus definiciones entre
“fichero” y “tratamiento de datos”. De esta distinción parece
desprenderse por tanto que, al citar al “responsable del fichero o
tratamiento”, podemos estar ante dos figuras distintas, de manera que
una de ellas sea responsable del fichero en sí (su finalidad, soporte, uso,
etc.) y la otra se encargue específicamente del tratamiento de los datos
de carácter personal que contenga el fichero (aspectos tales como la
modificación, cancelación de datos, grabación, etc., serían competencia
A sensu contrario, observamos que sí entran dentro del ámbito de aplicación de la Ley aquellos ficheros
4
mantenidos por personas físicas en el ejercicio de su actividad profesional.
-6-
8. Temario jornadas LOPD
del responsable del tratamiento y del responsable del fichero). Esta
distinción puede tener su importancia a la hora de determinar las
responsabilidades en que pudiera incurrir cada uno de ellos, aunque en
la práctica, ambas figuras estarán representadas generalmente por la
misma persona, que como bien dice la definición dada por la Ley,
podrá ser una persona física o jurídica.
Además de estos responsables –del fichero y del tratamiento- existe
otra figura definida asimismo por la propia Ley, la cual, como veremos,
asume un régimen de responsabilidad y unas funciones diferentes. Se
trata del “encargado del tratamiento”.
Procedimiento de disociación: todo tratamiento de datos personales de
modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable.
Encargado del tratamiento: la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o conjuntamente
con otros, trate datos personales por cuenta del responsable del
tratamiento, como consecuencia de la existencia de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio.
Como ya ha quedado dicho anteriormente, se trata de una figura
distinta al responsable del fichero o tratamiento, y por lo tanto con
diferentes responsabilidades. La relación contractual entre el
responsable del tratamiento y el encargado de éste deberá reflejarse
en un documento escrito debiendo el encargado del tratamiento seguir
las instrucciones del responsable, adoptar las oportunas medidas de
seguridad, no pudiéndose aplicar los datos conocidos en el ejercicio de
sus funciones a fines distintos de los que figuren en el contrato, así
como tampoco podrá comunicar estos datos a terceros en ningún
supuesto.
Consentimiento del interesado: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen.
Por norma general (Art. 6 de la Ley), deberá recabarse el
consentimiento inequívoco del interesado para poder llevar a cabo el
tratamiento de sus datos personales, si bien, también se recogen
algunas excepciones a esta regla general. Tales excepciones son:
o Cuando los datos de carácter personal se recojan para el
ejercicio de las funciones propias de las Administraciones
públicas en el ámbito de sus competencias.
o Cuando se refieran a las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa y sean necesarios
para su mantenimiento o cumplimiento.
-7-
9. Temario jornadas LOPD
o Cuando el tratamiento de los datos tenga por finalidad proteger
un interés vital del interesado (prevención y diagnóstico
médicos, asistencia sanitaria, etc.…)
o Cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés
legítimo perseguido por el responsable del fichero o por el del
tercero a quién se comuniquen los datos, siempre que no se
vulneren los derechos y libertades fundamentales del
interesado.
El hecho de no ser preciso el consentimiento del interesado en
determinados supuestos, no exime del cumplimiento del resto de las
obligaciones que regula la normativa de protección de datos
personales para el responsable que trate los datos en cuestión.
Cesión o comunicación de datos: toda revelación de datos realizada a
una persona distinta del interesado.
El principio general recogido en la Ley de Protección de Datos (Art. 11)
es el de los datos de carácter personal objeto del tratamiento sólo
podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.
En cualquier caso, la persona a quien se faciliten los datos se obliga,
por el solo hecho de la comunicación, a la observancia de las
disposiciones de la Ley.
Habitualmente, para salvar esta obligación por parte de los
responsables del fichero y del tratamiento de los datos, se incluye en el
momento de la recogida de datos una cláusula por la que el interesado
que facilita los datos manifiesta, entre otros aspectos, su
consentimiento a la posterior cesión o comunicación de sus datos
personales a terceros, ahora bien, es de especial importancia para la
plena validez de esta cláusula, que la misma permita al interesado
conocer la finalidad a que se destinarán los datos cuya comunicación se
autoriza, así como, en la práctica, el tipo de actividad de aquel a quien
se pretenden comunicar y la identidad del cesionario.
Un último apunte en relación a la cesión de datos y el necesario
consentimiento del afectado: no será exigible dicho consentimiento si
la cesión se efectúa previo procedimiento de disociación, esto es, si la
información cedida no puede asociarse a una persona identificada o
identificable, los datos podrán ser libremente cedidos sin necesidad del
consentimiento previo del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser
realizada, por cualquier persona, no impedida por una forma limitativa
o sin más exigencia que, en su caso, el abono de una contraprestación.
-8-
10. Temario jornadas LOPD
Tienen la consideración de fuentes accesibles al público,
exclusivamente, el censo promocional, los repertorios telefónicos en los
términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente
los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público los diarios y boletines oficiales y
los medios de comunicación.
Una explicación más detallada del régimen aplicable a los datos
personales contenidos en fuentes de acceso público se recoge en el
artículo 28 de la Ley. En particular, hemos mencionado anteriormente
que una de las excepciones a la obligación de contar con el
consentimiento de los afectados para la comunicación de datos (Art. 11
LOPD) es, precisamente, el que dichos datos hayan sido recogidos de
fuentes accesibles al público. Ahora bien, el artículo 28 de la Ley
establece un marco que regula los datos incluidos en las fuentes de
acceso público de manera que se establecen ciertos límites a su
utilización (obligaciones de los responsables, derechos de los
interesados, aspectos relativos a la vigencia de los datos incluidos, etc.).
Como es lógico y hemos apuntado, existen otros numerosos conceptos que no
se recogen expresamente en la Ley y el Reglamento. Entre estos otros
conceptos podemos destacar, por su importancia así como por su uso
generalizado, los siguientes:
Calidad de los datos: Se trata de un concepto de gran importancia
puesto que va a determinar la posible utilización de ciertos datos que
se contienen en los ficheros.
El artículo 4 LOPD establece que “los datos de carácter personal sólo
se podrán recoger para su tratamiento, así como someterlos a dicho
tratamiento, cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido”. En definitiva se trata de que
los datos sólo podrán utilizarse con aquella finalidad para las que
hubiesen sido recogidos sin que quepa la posibilidad de destinarlos a
cualquier otro fin.
Este concepto de calidad de los datos entra en juego y adquiere valor
al establecerse, como uno de los contenidos del derecho de
información de los interesados en la recogida de datos, precisamente el
derecho a ser informado de la finalidad de la recogida de los datos.
Agencia Española de Protección de Datos: Nos remitimos a la
definición que de este organismo da la propia LOPD, de Protección de
Datos en su artículo 35.1: “La Agencia Española de Protección de Datos
es un ente de derecho público, con personalidad jurídica propia y plena
capacidad pública y privada, que actúa con plena independencia de las
Administraciones públicas en el ejercicio de sus funciones. Se regirá por
-9-
11. Temario jornadas LOPD
lo dispuesto en la presente Ley y en un Estatuto propio, que será
aprobado por el Gobierno”.
Sus funciones, recogidas en el artículo 37 LOPD, son, entre otras:
o velar por el cumplimiento de la legislación sobre protección de
datos y controlar su aplicación, en especial en lo relativo a los
derechos de información, acceso, rectificación, oposición y
cancelación de datos;
o atender las peticiones y reclamaciones formuladas por las
personas afectadas;
o proporcionar información a las personas acerca de sus derechos
en materia de tratamiento de los datos de carácter personal;
o requerir a los responsables y los encargados de los tratamientos,
previa audiencia de éstos, la adopción de las medidas
necesarias para la adecuación del tratamiento de datos a las
disposiciones de la Ley y, en su caso, ordenar la cesación de los
tratamientos y la cancelación de los ficheros, cuando no se
ajuste a sus disposiciones;
o ejercer la potestad sancionadora en los términos previstos por la
Ley;
o Como vemos, en definitiva se trata del organismo público
encargado principalmente de velar por el cumplimiento de la
Ley, a cuyos efectos podrá inspeccionar y sancionar a los
responsables de los ficheros y los encargados de los
tratamientos de conformidad con el régimen de infracciones y
sanciones que se recoge en la propia Ley 15/99 (Título VII), el
cual veremos más adelante con más detalle.
Legalización de ficheros: a tenor de lo dispuesto en el artículo 26
LOPD, toda persona o entidad que proceda a la creación de ficheros de
datos de carácter personal lo notificará previamente a la Agencia de
Protección de Datos, remitiendo en el número 2 del mismo artículo a
una regulación por vía reglamentaria de estos aspectos. Llamemos
“legalización de ficheros” a la notificación a la Agencia Española de
Protección de Datos y la posterior inscripción de los ficheros de datos
personales en el Registro General de Protección de Datos.
La legalización de los ficheros de datos personales es de carácter
obligatorio para los responsables de los ficheros, estando prevista la
inobservancia de esta obligación como una infracción leve cuya sanción
es calificada con carácter general como infracción leve, pudiendo ser
sancionada por tanto con multa de 601,01 euros a 60.101,21 euros.
Auditoría de Protección de Datos: los sistemas de información e
instalaciones de tratamiento de datos deben someterse con una
- 10 -
12. Temario jornadas LOPD
periodicidad bianual a una auditoría interna o externa que verifique el
cumplimiento y adecuación de estos sistemas al Reglamento de
Medidas de Seguridad, siempre y cuando las medidas que con arreglo
al citado Reglamento deban adoptarse, sean al menos de las calificadas
como de nivel medio.
A las llamadas “auditorías de protección de datos” se hace mención en
el Reglamento de desarrollo de la LOPD, aprobado por el R.D.
1720/2007, en su artículo 26. Constituyen un aspecto de la Protección
de Datos cuanto menos confuso, ya que no se establecen requisitos
que podemos considerar básicos para la elaboración de la auditoría,
tales como personas facultadas para realizarlas (titulación, relación de
dependencia, incompatibilidades, etc.). Creemos en definitiva que el
término “auditoría” no es el más adecuado para definir estos informes
que más bien podrían haber sido llamados “controles” o “revisiones”
periódicas.
Asimismo, en nuestra opinión no tiene mucho sentido el que las citadas
auditorías puedan ser internas, ya que el control sobre la adecuación de
los sistemas de información e instalaciones de tratamiento a la
normativa, puede no ser tal cuando la auditoría sea realizada por la
misma persona encargada del funcionamiento de los sistemas e
instalaciones.
4. Derechos de los Afectados.
Los diferentes derechos de los que son titulares los afectados en materia de
protección de datos vienen recogidos a lo largo de todo el articulado de la Ley
Orgánica de Protección de Datos, si bien, en ésta cabe destacar los artículos 5
y 6, así como el Título III, el cual trata de los derechos de las personas.
Los derechos concretos de los afectados por el tratamiento de los datos de
carácter personal son, básicamente:
1) Derecho de Información (Art. 5).
El responsable deberá informar de modo expreso, preciso e inequívoco de los
siguientes extremos:
de la existencia del fichero o tratamiento de los datos, la
finalidad de la recogida y los destinatarios de la información;
del carácter obligatorio o facultativo de las respuestas a las
preguntas que sean planteadas;
de las consecuencias de la obtención de datos o de la negativa
a suministrarlos;
- 11 -
13. Temario jornadas LOPD
de la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición; y
de la identidad y dirección del responsable del tratamiento o, en
su caso, de su representante.
En el caso de que los datos personales no hubiesen sido recabados del propio
interesado, el responsable tendrá un plazo de tres meses para informarle del
contenido del tratamiento, la procedencia de los datos, y de lo previsto en las
letras a), d) y e) anteriores.
Por último, en cuanto al derecho de información, no debemos olvidar que, en
caso de datos obtenidos de fuentes accesibles al público (ver el apartado de
conceptos de estas notas), la única obligación en cuanto al derecho de
información se refiere, es la de informar en cada comunicación que se dirija al
interesado del origen de los datos y de la identidad del responsable del
tratamiento, así como de los derechos que le asisten.
2) Derecho de oposición (Arts. 6.4 y 30.4).
Este derecho ha sido instaurado por la LOPD, si bien se manifiesta en dos
artículos diferentes aunque no totalmente independientes entre sí.
De este modo, el derecho de oposición se recoge en términos generales en el
artículo 6.4 del texto legal al establecer que, en los casos en que no sea
necesario el consentimiento del afectado para el tratamiento de los datos, y
siempre que una ley no disponga lo contrario, el afectado tendrá derecho a
que sus datos no sean objeto de tratamiento cuando existan motivos fundados
y legítimos para tal oposición.
Por su parte, el artículo 30.4 LOPD recoge un supuesto especial del derecho
de oposición. Se trata de los datos recogidos con fines de publicidad y
prospección comercial.
3) Derecho de consulta y acceso a los datos personales (Arts. 14 y 15).
Se trata de uno de los derechos mas importantes reconocidos a los afectados
por el tratamiento de los datos personales, no solo porque se garantiza al
afectado el conocimiento del tratamiento de sus datos, sino porque, además,
facilita el ejercicio de otros derechos como el de información, oposición,
cancelación y rectificación, los cuales, sin el derecho de consulta y acceso a los
datos se verían desprovistos de significado práctico.
El derecho de consulta queda establecido en el artículo 14. En virtud del
mismo, cualquier persona podrá recabar de la Agencia Española de Protección
de Datos, de forma pública y gratuita, información acerca de la existencia de
ficheros que traten datos de carácter personal, así como el responsable de los
- 12 -
14. Temario jornadas LOPD
mismos y sus finalidades.5 Actualmente el ejercicio del derecho de consulta
puede hacerse por cualquier persona a través de la página web de la Agencia
Española de Protección de Datos (www.agpd.es).
Por su parte, el derecho de acceso a los datos personales queda recogido en
el artículo 15 de la propia Ley de Protección de Datos, según el cual, el
interesado tiene derecho a acceder de manera gratuita a información como el
origen de los datos recogidos, las comunicaciones realizadas o que se prevé
realizar con los mismos.
4) Derechos de rectificación y cancelación. (Art.16).
cancelación.
Estos derechos encuentran su finalidad cuando (i) el tratamiento de los datos
no se ajuste a la Ley; (ii) cuando los datos sean inexactos y (iii) cuando los datos
sean incompletos.
El ejercicio del derecho de rectificación implica, obviamente, el que se corrijan
o completen los datos sobre los que se ejercita el derecho por parte del
interesado, sin embargo, mediante el derecho de cancelación no se procede
de forma inmediata a la eliminación “física” de los datos erróneos o
incompletos, sino que simplemente se anulan pudiendo ser conservados a
disposición de las Administraciones Públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éste, debiendo procederse a su supresión una vez
cumplido dicho plazo.
Por último, en caso de que los datos rectificados o cancelados hubieran sido
cedidos a terceros, el responsable deberá comunicar la rectificación o
cancelación a dicho tercero, el cual deberá también proceder a la rectificación
o cancelación de los datos.
En este capítulo dedicado a los derechos de los afectados, queda por último
tratar el tema relativo a los procedimientos para el ejercicio de dichos
derechos. Tal procedimiento está regulado en el Real Decreto 1332/1994 y en
la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección
de Datos. El responsable deberá comunicar los datos en el plazo de un mes,
debiendo resolver aún cuando no hubiere datos del interesado en el fichero.
Terminamos apuntando que el propio Reglamento de Desarrollo de la LOPD
dedica un Título completo de su articulado (Título II) a los Derechos de acceso,
rectificación, cancelación y oposición.
Recordemos que el incumplimiento de legalizar los ficheros ante la Agencia de Protección de Datos
5
puede conllevar, según los casos, hasta una sanción de 60.101,21 euros por ser calificado como
infracción grave.
- 13 -
15. Temario jornadas LOPD
5. Obligaciones del responsable del
fichero y del encargado del
tratamiento.
Las obligaciones que en materia de Protección de Datos surgen tanto para el
responsable del fichero como para el encargado del tratamiento (véase el
apartado III. Conceptos básicos), son variadas y algunas de ellas de un
marcado carácter técnico.
[recordar diferencia entre responsable y encargado]
En este sentido, nuestro consejo es que, caso de no ser especialista en la
materia en cuestión, lo mejor es dejar en manos de los adecuados
profesionales el cumplimiento de cada una de las medidas y obligaciones con
que el responsable de un fichero o encargado del tratamiento de los datos
debe cumplir, evitando así la imposición de eventuales sanciones.
Veamos, a modo de ejemplo, algunas de las obligaciones:
En lo que se refiere al Responsable del Fichero:
Notificación e inscripción de la creación, modificación o extinción de los
-
ficheros.
Posibilitar el ejercicio por parte de los afectados.
-
Obtener el consentimiento inequívoco de los afectados para el
-
tratamiento de sus datos y para la comunicación de sus datos, salvo
que la Ley disponga otra cosa.
Cumplir con la normativa en lo que se refiere al movimiento
-
internacional de datos.
Colaborar con los organismos competentes.
-
Guardar el secreto profesional en lo que se refiere a los datos, aún
-
cuando hubiesen finalizado las relaciones con el titular.
Adoptar las oportunas medidas de seguridad en los términos del Real
-
Decreto 994/1999.
En cuanto al Encargado del Tratamiento:
Tratamiento de los datos únicamente conforme a las instrucciones del
-
responsable del fichero.
- 14 -
16. Temario jornadas LOPD
No utilizar los datos objeto de tratamiento con fines distintos a los que
-
figuren en el contrato existente, en su caso, entre él y el responsable
del fichero.
Prohibición de comunicación de los datos a otras personas.
-
Adoptar las medidas de seguridad convenidas con el responsable del
-
fichero.
Una vez cumplida su prestación, los datos tratados deberán ser
-
destruidos o devueltos al propietario.
6. Las medidas de seguridad.
Los datos personales que pueden ser objeto de tratamiento pueden ser de
distinta naturaleza. Así, una entidad bancaria recogerá, además de los datos de
identificación del afectado, otros como aquellos relativos a su solvencia
patrimonial, del mismo modo que una clínica recogerá datos relativos a la
salud, especialmente protegidos.
De este modo, la Directiva europea, y por extensión nuestra propia legislación
impone unas medidas de seguridad diferentes para cada tipo de datos. La
norma que hasta la entrada en vigor del nuevo Reglamento de Desarrollo
(próximo 19 de abril) resulta de aplicación para la adopción de medidas de
seguridad es el R.D. 994/1999, de 11 de junio, si bien, nos centraremos en
cualquier caso en lo previsto respecto a las medidas de seguridad en el nuevo
Reglamento citado (1720/2007) dado la cercanía de su entrada en vigor.
Los niveles de protección para los datos de carácter personal se dividen en
nivel básico, nivel medio y nivel alto.
La determinación del nivel de seguridad aplicable resulta de capital
importancia a la hora de elaborar el preceptivo documento de seguridad que
deberá cumplir unos u otros requisitos en función del nivel exigible según los
datos objeto de tratamiento.
Serán considerados de nivel básico todos los ficheros que incluyan datos de
carácter personal. Por tanto todos los ficheros deberán cumplir, al menos, con
las medidas de seguridad que para el nivel básico establece el R.D.
1720/2007. Entre los datos cuya protección será considerada como de nivel
básico se encuentran, por ejemplo, el nombre, los apellidos, dirección, etc.
Son de nivel medio, entre otros aquellos ficheros que contengan datos
relativos a la comisión de infracciones administrativas o penales, Hacienda
Pública, servicios financieros, ficheros que contengan datos sobre solvencia
patrimonial o de crédito, y cualquier fichero que contengan un conjunto de
- 15 -
17. Temario jornadas LOPD
datos personales suficientes para obtener una evaluación de la personalidad
del individuo.
Por último, serán niveles de nivel alto, entre otros, los ficheros que contengan
datos de ideología, religión, creencias, origen racial, salud, vida sexual o que
contengan datos recabados para fines policiales sin consentimiento del
afectado.
En lo que se refiere a las medidas concretas a adoptar debemos decir que, aún
cuando están recogidas en el R.D. 1720/2007 citado, la implantación de éstas
debería ser supervisada por los profesionales apropiados, por cuanto cada
organización o empresa tiene características especiales que hacen de cada
implantación de las medidas un caso concreto.
Por ello, en nuestra opinión, para la correcta implantación de las medidas y
elaboración del documento de seguridad deberán coordinarse los servicios
tanto del responsable de los equipos informáticos (hardware y software) de la
compañía, como expertos jurídicos en materia de Protección de Datos, materia
ciertamente especial precisamente por las medidas que deben adoptarse para
la necesaria seguridad de los datos tratados, tanto por el bien del afectado
como de la propia empresa.
Sea adjunta como Anexo un cuadro con el contenido concreto que deberá
incluir el documento de seguridad en cada caso, teniendo en cuenta que las
medidas y contenido del documento son acumulativas.
7. Infracciones y Sanciones.
Cómo ha quedado apuntado más arriba, las sanciones previstas en caso de
incumplimiento de la Ley Orgánica de Protección de Datos pueden llegar a ser
muy elevadas, por lo que resulta primordial, sobre todo en determinados
sectores críticos, anticiparse a una posible inspección de la Agencia Española
de Protección de Datos o a una eventual denuncia de un particular y evitar así
eventuales sanciones por incumplimiento de cualquiera de los requisitos
previstos por la Ley.
Veamos ahora con más detalle el régimen de infracciones y sanciones recogido
en el Título VII de la Ley.
Como es habitual, las infracciones pueden ser calificadas como leves, graves o
muy graves. Nos remitimos al artículo 44 del texto legal para el examen de
cada una de las infracciones, no obstante citamos alguna de las más
representativas y usuales.
Así, entre las infracciones leves encontramos:
- 16 -
18. Temario jornadas LOPD
No solicitar la inscripción del fichero en el Registro General de
-
Protección de Datos.
Se trata ésta de una las infracciones más habituales, existiendo por el
momento un alto grado de incumplimiento entre los titulares y
responsables de ficheros de datos personales. No en vano, un gran
número de empresas no ha procedido hasta la fecha a la obligatoria
legalización e inscripción de sus ficheros ante la Agencia de Protección
de Datos.
Proceder a la recogida de datos personales sin informar debidamente
-
(tal y como detalla el artículo 5 de la Ley) a los afectados.
De nuevo nos encontramos ante una infracción de incumplimiento
generalizado. Recordemos que para la recogida de datos de carácter
personal debe informarse a los interesados de la existencia de un
fichero, la finalidad de la recogida de los datos, los destinatarios de la
información, carácter obligatorio o no de las preguntas que, en su caso,
sean planteadas, consecuencias de la negativa a suministrar los datos,
derechos que le asisten, así como de la identidad y dirección del
responsable del tratamiento o, en su caso, de su responsable.
Ejemplo de infracciones graves son:
La creación de ficheros o recogida de datos personales con finalidades
-
distintas a las que constituyen el objeto legítimo de la empresa.
La recogida de datos sin recabar el consentimiento expreso de los
-
afectados cuando tal consentimiento sea exigible.
Así, no será exigible el consentimiento expreso, por ejemplo, cuando
los datos ser refieran a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento (sin perjuicio de que deban cumplirse
en cualquier caso con el resto de obligaciones y garantías por parte del
responsable del fichero).
Aún cuando esta infracción se refiere a la recogida de datos, también
se califica en otro apartado como infracción grave el tratamiento o el
uso de los mismos sin el debido consentimiento.
Mantener los ficheros, locales, programas o equipos que contengan
-
datos de carácter personal sin las debidas condiciones de seguridad
determinadas reglamentariamente.
Se trata de una de las obligaciones más importantes, ya que no bastará
con legalizar los ficheros, recabar el consentimiento del afectado e
informarle debidamente, sino que deben cumplirse las medidas de
seguridad previstas en función de la naturaleza de los datos recogidos.
- 17 -
19. Temario jornadas LOPD
De ahí la importancia tanto del cumplimiento de dichas medidas como
de las llamadas auditorías de protección de datos que ya hemos citado.
Por último, son infracciones muy graves entre otras:
graves,
La recogida de datos en forma engañosa y fraudulenta.
-
La comunicación o cesión de datos de carácter personal fuera de los
-
casos permitidos.
No atender de forma sistemática el deber legal de notificación de la
-
inclusión de datos de carácter personal en un fichero.
En lo que se refiere a las sanciones, de ellas se ocupa el artículo 45 de la Ley
de Protección de Datos. Lo reflejamos a continuación:
Las infracciones leves serán sancionadas con multa de 601,01 euros a
-
60.101,21 euros.6
Las infracciones graves serán sancionadas con multa de 60.101,21 euros
-
a 300.506,05 euros.
Las infracciones muy graves serán sancionadas con multa de 300.506,05
-
euros a 601.012,10 euros.
Recordemos que la Agencia Española de Protección de Datos puede actuar
tanto mediante inspecciones de oficio a los titulares de los ficheros, como por
medio de una denuncia.
Sin perjuicio de lo elevado de las sanciones previstas, cabe hacer mención a
los apartados 4 y 5 del mismo artículo 45. Dichos apartados, si bien no están
expresamente previstos para atenuar el impacto de las sanciones se vienen
aplicando para reducir el importe de la sanción cuando estas son claramente
desmesuradas y desproporcionadas. Así, en particular, el apartado 5 establece
que el órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en
gravedad si, en razón de las circunstancias concurrentes se apreciara una
cualificada disminución de la culpabilidad del imputado o de la antijuricidad
del hecho.
***
Nótese que una infracción calificada como leve, lo cual puede ser muy habitual, puede llegar a ser
6
sancionada con la cantidad de hasta 60.101,21 euros (10.000.000 de pesetas).
- 18 -