la protección de datos: fundamentos, obligaciones de registro y medidas de seguridad
DESCRIPTION
Generalidades sobre protección de datosLas definicionesLos principios de la protección de datosLos derechos de las personasEjemploTRANSCRIPT
La protección de datos: fundamentos,
obligaciones de registro y medidas de
seguridad
[3.1] ¿Cómo estudiar este tema?
[3.2] Generalidades sobre protección de datos
[3.3] Las definiciones
[3.4] Los principios de la protección de datos
[3.5] Los derechos de las personas
[3.6] Ejemplo
T
EM
A
Aspectos legales y regulatorios
TEMA 3 – Esquema
Esquema
Pro
tecc
ión
jurí
dic
a d
el s
oft
wa
re, b
ase
s d
e d
ato
s y
mu
ltim
edia
Ge
ne
ralid
ades
Leg
isla
ción
esp
añol
a so
bre
p
rote
cció
n d
e d
atos
.L
a D
irec
tiva
Eu
rop
ea
Lo
s p
rin
cip
ios
de
la
pro
tecc
ión
de
dat
os
Cal
idad
, in
form
ació
n,
con
sen
tim
ien
to, d
ato
s p
rote
gid
os
y co
mu
nic
ació
n
Se
guri
dad
, acc
eso
a
dat
os
po
r te
rce
ros
y d
eb
er d
e se
cret
o
Lo
s d
ere
cho
s d
e la
s p
ers
on
as
De
rech
os A
RC
O
(Acc
eso
, re
ctif
icac
ión
, ca
nce
laci
ón
y o
po
sici
ón
)
Ob
ligac
ión
de
in
scri
pci
ón
de
los
fich
ero
s e
n la
Age
nci
a E
spañ
ola
de
Pro
tecc
ión
d
e D
ato
s
Cu
mp
limie
nto
de
los
pri
nci
pio
s y
ate
nci
ón
d
el e
jerc
icio
de
de
rech
os
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Ideas clave
3.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave que encontrarás a continuación.
Este tema aborda el estudio de la Protección de Datos de Carácter Personal.
3.2. Generalidades sobre protección de datos
Para introducir el estudio del tema, el presente epígrafe analiza el concepto de la
protección de datos, la normativa básica que se debe conocer, la configuración
jurisprudencial de la protección de datos, la labor que desempeña la Agencia Española
de Protección de Datos y la estructura del estudio de la protección de datos.
¿Qué es la protección de datos?
Antes de comenzar a estudiar la protección de datos debemos atender al artículo 18.4
de la Constitución Española, que establece que:
«La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal
y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
Mandato constitucional que fue desarrollado por el legislador a través de la protección
prevista en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal (conocida como LORTAD), hoy en día
derogada por la vigente Ley de Protección de Datos que es la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), y
que se extiende a los datos de carácter personal registrados en soporte físico,
que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de los
mismos.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
El amparo debido a los ciudadanos contra la posible utilización por
terceros, en forma no autorizada, de sus datos personales susceptibles de
tratamiento, para, de esta forma, confeccionar una información que, identificable
con él, afecte a su entorno personal, social o profesional.
Protección de datos
¿Qué normativa hay que conocer?
En el estudio de la protección de datos hay que atender, básicamente, a la siguiente
normativa:
Nacional Comunitaria
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (citada como Directiva 95/46/CE).
Configuración jurisprudencial de la Protección de Datos
En cuanto a la configuración jurisprudencial de la protección de datos, de entre las
Sentencias dictadas por los Tribunales, destaca la Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre, en la que claramente se indica que el:
«Derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad
[...] atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder
jurídico de imponer a terceros la realización u omisión de determinados
comportamientos...»
Continuando con el reforzamiento de las potestades del individuo al resaltar que ese
derecho fundamental a la protección de datos:
«Garantiza a los individuos un poder de disposición sobre esos datos [...] que [...] nada
vale si el afectado desconoce qué datos son los que poseen terceros, quiénes los poseen y
con qué fin» (primer párrafo del Fundamento Jurídico 6).
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Se trata, por tanto, de un derecho fundamental (denominado por la Sentencia del
Tribunal Constitucional 292/2000, de 30 de noviembre como el derecho fundamental a
la protección de datos), que es autónomo e independiente del de la intimidad.
¿Qué labor desempeña la Agencia Española de Protección de Datos?
El órgano de control del cumplimiento de la LOPD (la Agencia Española de Protección
de Datos, en adelante, también, la AEPD) se encuentra regulada en el Título VI (arts.
35 a 42), bajo la rúbrica de Agencia Española de Protección de Datos, como ente
de Derecho Público, con personalidad jurídica propia y plena capacidad pública y
privada.
La representación de la Agencia Española de Protección de Datos la ostenta su
Director, que será nombrado de entre quienes componen el Consejo Consultivo (art.
36) «mediante Real Decreto, por un período de cuatro años» y, teniendo la
consideración de «alto cargo», podrá ser separado de su puesto (artículo 36.3), por
acuerdo del Gobierno, previa instrucción de expediente en el que necesariamente serán
oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus
obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad
o condena por delito doloso.
Se regula también el funcionamiento y
las funciones de la referida Agencia y de
su Director. Destacan como funciones
propias de la Agencia, atender las peticiones
y reclamaciones formuladas por las personas
afectadas, proporcionar a los interesados
información acerca de sus derechos sobre
esta materia, ejercer la potestad
sancionadora en los términos previstos en la
Ley, ejercer el control y adoptarlas
autorizaciones que procedan en relación con los movimientos internacionales de datos
y, otras muchas que, en definitiva, tienden a velar por el cumplimiento de la legislación
sobre protección de datos (art. 37).
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Integrado en la Agencia se encuentra el Registro General de Protección de Datos
donde serán objeto de inscripción (art. 39), los ficheros de que sean titulares las
Administraciones Públicas, los ficheros de titularidad privada, los datos relativos a los
ficheros que sean necesarios para el ejercicio de los derechos de información, acceso,
rectificación, cancelación y oposición y los Códigos Tipo que, mediante acuerdos
sectoriales o decisiones de empresa, podrán formular los responsables de ficheros de
titularidad privada, estableciendo (art. 32), «[...] las condiciones de organización,
régimen de funcionamiento, procedimientos aplicables, normas de seguridad del
entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso
de la información personal así como las garantías, en su ámbito, para el ejercicio de los
derechos de las personas[...]».
¿Cómo se estructura el estudio de la Protección de Datos?
Cabe estructurar el análisis y estudio de la Protección de Datos, siguiendo al
Profesor Davara, como un triángulo en cuyos vértices se sitúan los principios de dicha
protección, los derechos que emanan de dichos principios y los procedimientos que
garantizan el ejercicio efectivo de dichos derechos.
Principios
Derechos Procedimientos
Con esto se quiere representar gráficamente los tres elementos de igual importancia
que conjuntamente configuran la protección de datos. Existen unos principios
que hay que cumplir por el responsable del fichero o tratamiento, unos derechos
que, mediante su ejercicio, dan efectivo contenido a los principios recogidos en la
norma y un procedimiento que tutela al interesado cuando por el responsable del
fichero o tratamiento no se cumplen los principios o se le pone algún impedimento para
ejercer los derechos.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Una de las cuestiones de mayor importancia que introdujo la LOPD, como consecuencia
de la transposición de la Directiva 95/46/CE sobre protección de datos, es la de la
aplicación de la normativa sobre protección de datos a todo tipo de ficheros
con independencia del soporte, automatizado o no automatizado en el que se
encuentren.
Y, en particular, queremos llamar la atención no solamente sobre el tratamiento de datos
en este tipo de ficheros (los no automatizados o manuales), sino sobre las medidas de
seguridad a adoptar para el cumplimiento del artículo 9 de la LOPD y,
consecuentemente, de su normativa de desarrollo.
Son dos cuestiones, por tanto, las que se deben tener en cuenta en el análisis del
tratamiento de datos en los ficheros no automatizados:
Su adecuación y presentación para que cumplan con todos los principios y obligaciones contemplados en la LOPD.
1
Considerar e implantar las medidas de seguridad que deben ser aplicables a este tipo de ficheros teniendo en cuenta sus características y lo contemplado en el
desarrollo reglamentario de la Ley.
2
3.3. Las definiciones
En este apartado analizaremos los conceptos que en materia de protección de datos hay
que conocer, como son los de datos de carácter personal, fichero, tratamiento de datos,
responsable del fichero o tratamiento, afectado o interesado, procedimiento de
disociación, encargado del tratamiento, consentimiento del interesado, cesión o
comunicación de datos, fuentes accesibles al público, bloqueo de datos e identificación
del afectado.
¿Qué definiciones tienen que conocerse en protección de datos?
En el estudio de la protección de datos, y en particular de la LOPD, es necesario atender
a las definiciones que se incluyen en el artículo 3, además de tener en
consideración las definiciones que también figuran en el artículo 5 del R.D. 1720/2007.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Las definiciones incluidas en la LOPD sirven para centrar algunas cuestiones, en el
sentido de que nos permitirán aclarar posteriormente la interpretación de algunos
conceptos que pueden resultar problemáticos en la aplicación de esta norma si nos
limitamos a su acepción coloquial. En concreto, los conceptos a los que vamos a prestar
atención son los siguientes:
Datos de carácter personal.
Fichero.
Tratamiento de datos.
Responsable del fichero o tratamiento.
Afectado o interesado.
Procedimiento de disociación.
Encargado del tratamiento.
Consentimiento del interesado.
Cesión o comunicación de datos.
Fuentes accesibles al público.
Bloqueo de datos.
Datos de carácter personal
La letra a) del artículo 3 de la LOPD define datos de carácter personal como
«cualquier información concerniente a personas físicas identificadas o
identificables».
Es necesario destacar que, con la referencia expresa a «personas físicas», se hace
exclusión de los datos referentes a personas jurídicas. Es decir, esta norma no es
de aplicación al tratamiento de datos de personas jurídicas.
En forma parecida se expresa la Directiva 95/46/CE que, en su artículo 1.1, indica que «los
Estados miembro garantizarán, con arreglo a las disposiciones de la presente Directiva, la
protección de las libertades y de los derechos fundamentales de las personas físicas [...]»
excluyendo también a las personas jurídicas.
Por su parte, el apartado 1.f del artículo 5 del R.D. 1720/2007 define datos de carácter
personal de la siguiente manera: «cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas
físicas identificadas o identificables».
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Se trata de una definición amplia que pretende recoger todas las posibilidades,
respecto a medios y condiciones, así como a procedimientos, en las tres fases o momentos
del tratamiento de datos a las que ya nos hemos referido anteriormente.
Debemos destacar que los datos de carácter personal no son solamente los
alfabéticos mediante los que se representan las palabras en el lenguaje, sino que también
son datos de carácter personal los números, los gráficos, las fotos, los sonidos, etc., siempre
que conciernan o se puedan asociar a una persona física identificada o identificable.
Fichero
Conforme a la definición dada en la letra b) del artículo 3 de la LOPD, es un fichero:
«todo conjunto organizado de datos de carácter personal, cualquiera que
fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».
Se debe hacer notar que la LOPD ha hecho desaparecer el término
«automatizado» en la definición de «fichero», con lo que se abre el camino a la
protección en los ficheros que podríamos denominar manuales. Y así es en realidad ya que
estos ficheros (los que hemos denominados manuales), están totalmente bajo el paraguas
protector de esta norma desde octubre del año 2007, por disposición expresa de la
Directiva 95/46/CE, y así lo indica también la propia LOPD.
En cuanto a la titularidad de los ficheros, es decir, al sujeto que crea un fichero,
podemos distinguir entre ficheros de titularidad:
Pública Privada
Una de las obligaciones del responsable del fichero (sea de titularidad pública o de
titularidad privada), es la de inscribirlo en el Registro General de Protección de
Datos de la Agencia Española de Protección de Datos.
Toda institución, pública o privada, que posea un fichero de datos de carácter personal,
tiene la obligación de comunicarlo a la Agencia Española de Protección de Datos que, tras
el análisis de su contenido y si cumple con todos los requisitos exigidos por la propia
LOPD y por el Reglamento, lo inscribirá en el Registro General de Protección de Datos.
También deberán notificarse a la Agencia los cambios que se produzcan «en la finalidad
del fichero automatizado, en su responsable y en la dirección de su ubicación».
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Para realizar estas comunicaciones, la propia Agencia Española de Protección de Datos
ha elaborado unos impresos o formularios (disponibles en www.agpd.es), que
facilitan al titular del fichero exponer los requisitos que son exigidos por la Ley y por el
Reglamento, entre los que se encuentran la identificación del responsable del
fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter
personal que contiene, las medidas de seguridad y las cesiones de datos de
carácter personal que se prevean realizar.
Tratamiento de datos
El tratamiento de datos se define en la letra c) del artículo 3 de la LOPD como:
«Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias».
Responsable del fichero o tratamiento
Según la definición dada por la letra d) del artículo 3 de la LOPD, es responsable del
fichero o tratamiento la:
«Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que
decida sobre la finalidad, contenido y uso del tratamiento».
La capacidad de tomar decisiones sobre el objeto, utilización y fin del tratamiento,
o sobre el uso que se va a dar a los datos de carácter personal resultantes del
tratamiento o, en su caso, si van o no a ser cedidos, definen la figura del responsable del
fichero.
Es importante destacar también la referencia expresa al contenido del fichero o
contenido del tratamiento, ya que en ambos sentidos se pueden interpretar y la
redacción permite abarcar las dos orientaciones. La decisión sobre dicho contenido
caracteriza e identifica de igual forma al responsable del fichero o tratamiento.
Debe distinguirse claramente esta figura de la del encargado del
tratamiento, a la que atendemos más adelante, puesto que este último no decide
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
sobre la finalidad, contenido y uso del tratamiento, sino que lleva a cabo un tratamiento
por cuenta del responsable del fichero.
Afectado o interesado
El titular de los datos, al que la LOPD también denomina afectado o interesado, según
la definición dada en la letra e) del artículo 3, es:
«Persona física titular de los datos que sean objeto del tratamiento a que se refiere el
apartado c) del presente artículo [operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias]».
Vemos que la Ley califica como «afectado» a todas las personas físicas cuyos
datos sean tratados o figuren en ficheros de los definidos en este artículo;
podríamos decir que afectados son potencialmente todos los ciudadanos y que, en
nuestra opinión, sería más oportuno haberlos denominado solamente como
«interesado» o, en su caso, como «titular del dato».
De esta manera, queda delimitado el ámbito subjetivo de aplicación de la LOPD,
quedando claramente incluidas las personas físicas y excluidas las personas
jurídicas de la protección conferida por sus disposiciones.
Procedimiento de disociación
En la letra f) del artículo 3 de la LOPD se define el procedimiento de disociación como:
«Todo tratamiento de datos personales de modo que la información que se obtenga no
pueda asociarse a persona identificada o identificable».
El procedimiento de disociación se encuentra unido a las estadísticas o al
tratamiento de forma que los resultados del mismo no puedan identificar o
asociarse a persona alguna; incluso, en estos casos, al tratar la cesión de datos, indica
la LOPD que no necesitará el consentimiento del afectado (apartado 6 del artículo 11),
si la cesión se efectúa previo procedimiento de disociación.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Encargado del tratamiento
El encargado del tratamiento, según la definición dada en la letra g) del artículo 3 de la
LOPD, es:
«La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
solo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento».
En ocasiones, la persona que lleva a cabo el tratamiento de datos es
distinta e, incluso, independiente, del responsable del fichero; este puede ser
el caso del que realiza un servicio de tratamiento de datos para terceros. De esta forma,
se crea en la Ley una nueva figura (la del encargado del tratamiento) que, sin ser titular
ni responsable del fichero puede tratar los datos por cuenta de aquel.
Una cuestión es, por tanto, el responsable del fichero, definido bajo la óptica de la
capacidad de decisión sobre el objeto, fin y tratamiento de los datos que se encuentran
registrados, y otra cuestión es el encargado del tratamiento definido como aquel que
«solo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento».
Consentimiento del interesado
La LOPD define, en la letra h) del artículo 3, el consentimiento del interesado como:
«Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales que le conciernen».
El consentimiento es una de las condiciones de licitud para el tratamiento de los
datos de carácter personal. En cuanto a la forma del consentimiento, es necesario tener
en consideración que se requiere en forma expresa cuando se trate de datos relativos a
origen racial, salud o vida sexual, y, además, por escrito cuando se sean datos relativos
a la ideología, afiliación sindical, religión o creencias.
Por último, como norma general se requiere el consentimiento del interesado
para el tratamiento de sus datos de carácter personal, salvo que una Ley disponga lo
contrario.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Cesión o comunicación de datos
Definida en la letra i) del artículo 3 de la LOPD como «toda revelación de datos
realizada a una persona distinta del interesado».
Lo relevante de esta definición es que podría ser considerado como cesión la
simple consulta que un tercero realice a los datos, aunque sea a distancia y sin
creación de un fichero o tratamiento nuevo. Hay que tener en cuenta, además, que la
cesión es un punto conflictivo en las teorías sobre protección de datos, ya que,
implica una mayor posibilidad de que el interesado pierda el control sobre sus propios
datos al haber sido comunicados a un tercero al que, probablemente, ni tan siquiera se
conozca o, aunque así fuera, no se le hubieran proporcionado. Es por todo ello que la
cesión, en un principio y salvo las excepciones que marca la norma, deberá ser
siempre con consentimiento.
Por su parte, en el apartado 1.c del artículo 5 del R.D. 1720/2007 se define la cesión de
datos como el «tratamiento de datos que supone su revelación a una persona distinta
del interesado».
Fuentes accesibles al público
Conforme a la definición dada en la letra j) del artículo 3 de la LOPD, tienen la
consideración de fuentes accesibles al público:
«Exclusivamente, el censo promocional, los repertorios telefónicos en los términos
previstos por su normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión, actividad,
grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de
comunicación».
Diremos sobre la posibilidad de tratamiento de datos de carácter personal que
provienen de fuentes que se pueden considerar como «accesibles al
público» (en relación con el artículo 6.2 de la LOPD), que es un tratamiento de
datos sin consentimiento del titular, incluyendo recabar los datos, tratarlos y, en
su caso, cederlos a terceros y, por tanto, aún siendo posible el tratamiento con esas
características, se debe atender a principios de interés legítimo en el conocimiento de
los datos y de interpretación leal de la definición que comentamos que, aunque parece
que está clara, no se debe llevar a límites interpretativos extremos.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
También hay que destacar la inclusión en esta definición de una nueva figura que se
denomina «censo promocional» formado con los datos de nombre, apellidos y
domicilio que constan en el censo electoral, según indica el artículo 31 de la
LOPD y que podrán ser utilizados por los que pretendan realizar permanente o
esporádicamente la actividad de recopilación de direcciones, reparto de documentos,
publicidad, venta a distancia, prospección comercial u otras actividades análogas,
solicitando este censo promocional al Instituto Nacional de Estadística que, según se
desprende de la lectura del citado artículo 31, será el órgano de la creación o, al menos,
de la custodia o, simplemente, de la distribución de este censo.
Bloqueo de los datos
En el apartado 1.b del artículo 5 del R.D. 1720/2007 se define el bloqueo de los datos
como:
«La identificación y reserva de los mismos con el fin de impedir su tratamiento excepto
para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para
la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el
plazo de prescripción de dichas responsabilidades».
La LOPD solamente se refiere al bloqueo de datos en dos ocasiones: en las
definiciones al describir el concepto de «tratamiento de datos» como
operaciones y procedimientos técnicos «que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación» y cuando regula el
ejercicio de los derechos de rectificación y cancelación (artículo 16), e indica
que «la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones públicas, Jueces y Tribunales»; sin embargo, en
ningún sitio define, ni tan siquiera indica, en qué consiste el bloqueo.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
3.4. Los principios de la protección de datos
Los principios contemplados en el Título II de la LOPD, expuestos en un orden lógico que
permita facilitar su compresión en la práctica, son los siguientes:
El consentimiento del titular de los datos (art. 6 de la LOPD).
La calidad de los datos (art. 4 de la LOPD).
La información al recabar los datos (art. 5 de la LOPD).
Los datos especialmente protegidos (art. 7 de la LOPD).
Datos relativos a la salud (art. 8 de la LOPD).
La seguridad de los datos (art. 9 de la LOPD).
El deber de secreto (art. 10 de la LOPD).
La cesión o comunicación de datos (art. 11 de la LOPD).
El acceso a los datos por terceros (art. 12 de la LOPD).
Estos principios tienen que estar presentes en las tres fases del tratamiento
de los datos de carácter personal: recogida, tratamiento y utilización y, en su caso,
cesión o comunicación de los datos.
El consentimiento del titular de los datos
Con carácter general, el principio del consentimiento supone que solo el titular de
los datos decide cuándo, dónde y cómo se tratan sus datos o se dan a
conocer a terceros. Dicho principio cuenta con una serie de excepciones
legalmente previstas, y que son, básicamente, las siguientes:
a) Cuando una Ley disponga otra cosa.
b) Cuando los datos se recojan para el ejercicio de las funciones propias de las
Administraciones públicas en el ámbito de sus competencias.
c) Cuando se refiera a las partes de un contrato o precontrato de una relación negocial
o laboral y sean necesarios para su mantenimiento o cumplimiento.
d) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7.6 de la LOPD.
e) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable del
fichero o por el del tercero a quien se comuniquen los datos, siempre que no se
vulneren los derechos y libertades fundamentales del interesado.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
La calidad de los datos
Dicho principio, consagrado en el artículo 4 de la LOPD, se concreta en la necesidad
de que los datos objeto de tratamiento sean pertinentes, adecuados y no
excesivos en relación con las finalidades determinadas, expresas y legítimas para las
que se hubieran recabado, debiendo mantenerse exactos y puestos al día y no pudiendo
permanecer en el fichero más tiempo del que resulte necesario para cumplir con la
finalidad para la que se registraron.
Además, el principio de calidad de los datos implica que no puedan recogerse por
medios que sean fraudulentos, desleales o ilícitos.
La información en la recogida de datos
El principio de información en la recogida de datos (art. 5 de la LOPD) supone que
cuando los datos se recaben del propio interesado, este debe ser informado
con carácter previo y de modo expreso, preciso e inequívoco de los siguientes aspectos:
La existencia de un fichero o tratamiento de datos.
La finalidad con la que se recaban los mismos.
Los destinatarios de la información.
Si tiene obligación o no de responder a las preguntas que se le plantean.
Las consecuencias que conllevaría la negación a contestar a las mismas o la
negativa a proporcionar los datos.
La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación
y oposición.
La identidad y dirección del responsable del tratamiento o de su
representante, en su caso.
En cuanto a la información a proporcionar es necesario distinguir dos supuestos en la
recogida de datos:
Cuando los datos son recabados del propio interesado1
Cuando los datos son recabados de un tercero distinto del interesado2
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Determinando estos supuestos, la información que se tiene que proporcionar y el
momento en que se tiene que facilitar al interesado, ya que, cuando los datos se recaban
de un tercero esta información no debe ser previa sino que tiene que proporcionarse al
interesado dentro de los tres meses siguientes al registro de sus datos (art. 5.4 de la
LOPD).
Los datos especialmente protegidos
Entendiendo por tales aquellos datos que hacen referencia a la ideología,
afiliación sindical, religión, creencias, origen racial, salud o vida sexual, es
necesario atender a la especial protección que la LOPD confiere a los mismos.
Manifestación de lo anterior es la exigencia de que los mismos solo puedan ser
recabados y tratados con el consentimiento expreso y, en su caso, por
escrito, cuando se refiera a los datos de ideología, afiliación sindical, religión y
creencias del titular de los mismos.
Esto es, es necesario el consentimiento expreso para el tratamiento de los datos
relativos al origen racial, salud o vida sexual, y es necesario que el consentimiento,
además de expreso sea por escrito, cuando sean datos relativos a la ideología, afiliación
sindical, religión y creencias del interesado.
Los datos relativos a la salud
Tal y como establece el artículo 8 de la LOPD:
«Sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las instituciones y los
centros sanitarios públicos y privados y los profesionales correspondientes podrán
proceder al tratamiento de los datos de carácter personal relativos a la salud de las
personas que a ellos acudan o hayan de ser tratados en los mismos de acuerdo con lo
dispuesto en la legislación estatal o autonómica sobre sanidad».
Por su parte, el apartado 1.g, del artículo 5, del Real Decreto 1720/2007, define los
datos de carácter personal relacionados con la salud como
«Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de
un individuo. En particular, se consideran datos relacionados con la salud de las personas
los referidos a su porcentaje de discapacidad y a su información genética».
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
La seguridad de los datos
El artículo 9 de la LOPD, desarrollado reglamentariamente por el Real Decreto Real
Decreto 1720/2007, obliga al responsable del fichero y, en su caso, el encargado
del tratamiento a adoptar las medidas de índole técnica y organizativas
necesarias con el fin de garantizar la seguridad de los datos personales objeto de
tratamiento, evitando su alteración, pérdida, tratamiento o acceso no autorizado.
Estas medidas, de índole técnica y organizativas, se adoptarán atendiendo a la
naturaleza de los datos en función de la mayor o menor necesidad de garantizar su
confidencialidad e integridad.
Respecto a la aplicación de los niveles de seguridad, el artículo 81 del Real Decreto
1720/2007 indica que:
«1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las
medidas de seguridad calificadas de nivel básico.
2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas
de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
a. Los relativos a la comisión de infracciones administrativas o penales.
b. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999,
de 13 de diciembre.
c. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen
con el ejercicio de sus potestades tributarias.
d. Aquéllos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.
e. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes
de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual
modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
f. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan
una definición de las características o de la personalidad de los ciudadanos y que
permitan evaluar determinados aspectos de la personalidad o del comportamiento
de los mismos.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán
en los siguientes ficheros o tratamientos de datos de carácter personal:
a. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
b. Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
c. Aquéllos que contengan datos derivados de actos de violencia de género»
Las medidas mínimas de seguridad a aplicar a cada tipo de fichero se encuentran
recogidas en el Título VIII, del Real Decreto 1720/2007 (el Reglamento de la
LOPD).
El deber de secreto
La LOPD, en su artículo 10, impone al
responsable del fichero y a quienes
intervengan en cualquier fase del
tratamiento de datos la obligación de
secreto profesional respecto de los
datos tratados, así como el deber de
guardarlos, aún una vez finalizadas sus
relaciones con el titular del fichero, o en su
caso, con el responsable del mismo.
La cesión o comunicación de datos
Definida legalmente como toda revelación de datos hecha a una persona distinta del
propio interesado, la cesión o comunicación de datos solo podrá llevarse a
cabo para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado, salvo que la Ley disponga lo contrario.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
En concreto, el artículo 11.2 de la LOPD establece los supuestos en los que no será
necesario el consentimiento del interesado para comunicar sus datos a terceros:
«a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica
cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho
tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima
en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento
cuando la comunicación tenga como destinatario a instituciones autonómicas con
funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para
solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o
autonómica».
El acceso a los datos por terceros
En el acceso a los datos por terceros, el encargado del tratamiento presta un
servicio al responsable del fichero que supone el acceso a datos de carácter
personal, sin que tenga la consideración legal de cesión o comunicación de datos.
Dicha prestación de servicios tiene que estar regulada en un contrato que cumpla con
los requisitos del artículo 12 de la LOPD.
Tal y como hemos visto en las definiciones, el encargado del tratamiento es «la persona
física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento» (art. 3.g de la LOPD).
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
3.5. Los derechos de las personas
Los derechos de las personas que la LOPD recoge, en su Título III, en materia de
protección de datos, son:
Derecho de impugnación de valoraciones (art. 13 LOPD)
Derecho de consulta al RGPD (art. 14 LOPD)
Derecho de acceso (art. 15 LOPD)
Derecho de rectificación y cancelación (art. 16 LOPD)
Derecho de oposición (art. 6.4 LOPD)
Derecho a indemnización (art. 19 LOPD)
¿Qué es el derecho de impugnación de valoraciones?
El derecho de impugnación de valoraciones, regulado en el artículo 13 de la LOPD,
faculta al interesado a impugnar aquellas decisiones que tengan efectos
jurídicos y cuya base sea únicamente un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad.
También podrá impugnar los actos administrativos o decisiones privadas que
impliquen una valoración de su comportamiento, cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad, pudiendo obtener información del responsable del
fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que
sirvió para adoptar la decisión en que consistió el acto.
¿Qué supone el derecho de consulta al RGPD?
Previsto en el artículo 14 de la LOPD, el derecho de consulta al Registro General de
Protección de Datos (RGPD) permite a cualquier persona recabar información
con el fin de conocer la existencia de tratamientos de datos de carácter
personal, la finalidad de los mismos y la identidad del responsable del
fichero. Dicho Registro se configura legalmente como de consulta pública y gratuita,
no existiendo limitación alguna para las consultas efectuadas por parte del interesado.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
¿Qué es el derecho de acceso?
En virtud del derecho de acceso, regulado en el artículo 15 de la LOPD, el interesado
podrá dirigirse al responsable del fichero con objeto de conocer qué datos
suyos figuran en el mismo, cuál es el origen de los mismos y las
comunicaciones que se hubieran realizado o que se prevean realizar en el futuro.
Dicho derecho se ejercitará de forma gratuita a intervalos no inferiores a doce meses,
salvo que el interesado acredite un interés legítimo.
Los derechos de rectificación y cancelación
Previstos en el artículo 16 de la LOPD son dos derechos independientes que
facultan al interesado para instar al responsable del fichero a rectificar o, en su
caso, cancelar aquellos datos cuyo tratamiento no se ajuste a las previsiones
de la Ley, y en particular cuando los mismos resulten ser inexactos o incompletos, y a
cancelarlos también cuando hayan dejado de ser necesarios para la finalidad para la
cual hubieran sido registrados.
¿Qué es el derecho de oposición?
En virtud del derecho de oposición, establecido en el artículo 6.4 de la LOPD, en
aquellos casos en los que no resulte necesario el consentimiento del interesado para el
tratamiento de sus datos, y siempre que una Ley no disponga lo contrario, este podrá
oponerse al tratamiento de los mismos cuando existan motivos fundados y
legítimos relativos a una concreta situación personal. El responsable del fichero tendrá
que proceder a la exclusión de los datos relativos al afectado.
¿Qué supone el derecho a indemnización?
Previsto en el artículo 19 de la LOPD, el derecho a indemnización supone que aquellos
interesados que sufran algún daño o lesión en sus bienes o derechos como
consecuencia del incumplimiento de las obligaciones que tienen el responsable o el
encargado del tratamiento, en su caso, en el tratamiento de sus datos de carácter
personal, puedan ser indemnizados.
Aspectos legales y regulatorios
TEMA 3 – Ideas clave
Por lo que se refiere al ejercicio de este derecho, cuando se trata de ficheros de
titularidad pública la responsabilidad será exigida conforme a lo previsto en la
legislación que regula el régimen de responsabilidad de las Administraciones
Públicas. Si se trata de ficheros de titularidad privada deberá acudirse a los
órganos de la jurisdicción ordinaria.
3.6. Ejemplo
Cómo inscribir un fichero en la Agencia Española de Protección de Datos
Los ficheros que contengan datos de carácter personal deben ser inscritos en el Registro
General de Protección de Datos de la Agencia Española de Protección de Datos.
Lo primero que hay que hacer es identificar qué ficheros tratan datos de
carácter personal en la entidad y conocer sus características de organización,
soporte (manual o automatizado) y contenido.
A continuación se rellenan los campos exigidos por el formulario electrónico NOTA que
proporciona la Agencia Española de Protección de Datos en la dirección:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notifica
ciones_tele/index-ides-idphp.php
Una vez completo el formulario en el que se solicita información sobre la tipología de
los datos a tratar e identificativos sobre el responsable del fichero o tratamiento, se
firma y se envía (telemáticamente o manual) a la propia AEPD.
Aspectos legales y regulatorios
TEMA 3 – Lo + recomendado
Lo + recomendado
No dejes de leer…
Manual de Derecho informático
Davara Rodríguez, M. A. (2008). Manual de Derecho informático. (10ª ed.) Pamplona:
Editorial Aranzadi.
El Manual de Derecho Informático presenta, con rigor y
exhaustividad, el análisis de la regulación jurídica de las
tecnologías de la información y las comunicaciones, siendo una
obra de interés tanto para el profesional del Derecho, que necesita
conocer esta materia en su actividad diaria, como para el
estudiante de Derecho que necesita formarse en una materia que
afecta a todas las áreas de actividad de cualquier operador jurídico.
En el aula virtual tienes disponible una parte de este libro.
Aspectos legales y regulatorios
TEMA 3 – + Información
+ Información
Webgrafía
Agencia Española de Protección de Datos
Web de la Agencia Española de Protección de Datos, entidad de control encargada de
velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter
Personal en España .
http://www.agpd.es
Davara
Son de gran interés los apartados de legislación y documentos de interés de la web del
profesor Miguel Ángel Davara. Además, en el apartado de publicaciones/boletín de
actualidad, encontrarás un boletín de actualidad semanal en el que se recogen
informaciones actualizadas sobre la materia.
http://www.davara.com
Aspectos legales y regulatorios
TEMA 3 – Actividades
Actividades
Trabajo: Medidas de seguridad en la protección de datos
La entidad “Distribución de tornillos, S.L.”, nos encarga, en nuestra calidad de
consultores en protección de datos, que le asesoremos sobre si debe tomar alguna
medida de seguridad en protección de datos, teniendo en cuenta que todos los datos de
carácter personal que maneja se encuentran en soporte papel.
Indica qué medidas debe tomar la entidad teniendo en cuenta la legislación vigente.
Aspectos legales y regulatorios
TEMA 3 – Test
Test
1. El consentimiento de los afectados para el tratamiento de los datos de carácter
personal relativos al origen racial, salud o vida sexual deberá ser:
A. Expreso y por escrito.
B. Sencillamente deberá existir consentimiento.
C. Por escrito.
D. Expreso.
2. La información a los interesados de los que se soliciten datos de carácter personal ha
de incluir:
A. La finalidad de la recogida.
B. La existencia de un fichero o tratamiento de datos de carácter personal.
C. Los destinatarios de la información.
D. Todas las anteriores.
3. La LOPD entiende por dato de carácter personal…
A. Cualquier información concerniente a personas físicas identificadas o
identificables.
B. Cualquier información concerniente a personas físicas o jurídicas identificadas
o identificables.
C. Cualquier información concerniente a personas jurídicas identificadas.
D. Cualquier información concerniente a personas jurídicas identificables.
4. Cuando los datos no han sido recabados del interesado, este tiene que ser
informado:
A. En el mes siguiente al registro.
B. En el momento de la primera comunicación.
C. En el momento del registro.
D. En los tres meses siguientes al registro.
Aspectos legales y regulatorios
TEMA 3 – Test
5. ¿La prestación de un servicio por parte de un tercero al responsable del tratamiento,
deberá figurar en un contrato?
A. Depende del carácter de los datos de carácter personal que se comuniquen.
B. Sí, salvo que el tercero prestador del servicio acredite tener las mismas
medidas de seguridad que el titular del fichero.
C. Sí.
D. No.
6. Las medidas de seguridad deberán ser adoptadas…
A. Solo por el encargado del tratamiento.
B. Solo por el responsable del fichero.
C. Por el responsable del fichero y, en su caso, por el encargado del tratamiento.
D. Ninguna de las anteriores.
7. Las medidas de seguridad deberán ser:
A. Solo de índole organizativo.
B. De índole técnico y organizativo.
C. Únicamente de índole técnico.
D. Técnicas, organizativas y automatizadas.
8. La consulta al Registro General de Protección de Datos es:
A. Un derecho de toda persona.
B. Pública.
C. Gratuita.
D. Todas las anteriores.
9. El objeto de las medidas de seguridad será el de evitar:
A. La alteración de los datos.
B. El tratamiento o acceso no autorizado.
C. La pérdida de los datos.
D. Todas las anteriores.
Aspectos legales y regulatorios
TEMA 3 – Test
10. En los supuestos en que no sea necesario el consentimiento para el tratamiento de
datos de carácter personal, podrá el interesado oponerse a su tratamiento, siempre que
una Ley no disponga lo contrario:
A. Aunque no existan motivos legítimos para ello.
B. Cuando existan motivos fundados y legítimos relativos a una concreta
situación personal.
C. En cualquier caso.
D. Aunque no existan motivos fundados para ello.