LOPDM. BATISTA GALVAN, I. D IAZ D IAZ

19 Marzo del 2013

Contents

1 Glosario 21.1 Conceptos Importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.1.1 Afectado o interesado (1) . . . . . . . . . . . . . . . . . . . . . . . . 21.1.2 Consentimiento del interesado (1) . . . . . . . . . . . . . . . . . . . . 21.1.3 Datos de caracter personal, DCP (3) . . . . . . . . . . . . . . . . . . 31.1.4 Encargado del tratamiento (1) . . . . . . . . . . . . . . . . . . . . . 31.1.5 Fichero (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.1.6 LOPD (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.1.7 Responsable del fichero o tratamiento (1) . . . . . . . . . . . . . . . 51.1.8 Tratamiento de datos personales (1) . . . . . . . . . . . . . . . . . . 5

1.2 Otros Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.2.1 Agencia Espanola de Proteccion de Datos, AEPD (3) . . . . . . . . 61.2.2 Cesion o comunicacion de datos (1) . . . . . . . . . . . . . . . . . . . 61.2.3 Fuentes accesibles al publico (1) . . . . . . . . . . . . . . . . . . . . 71.2.4 Copias de respaldo y de recuperacion (3) . . . . . . . . . . . . . . . 81.2.5 Procedimiento de disociacion (1) . . . . . . . . . . . . . . . . . . . . 91.2.6 Registro General de Proteccion de Datos, RGPD (2) . . . . . . . . . 9

2 Mapa Conceptual 11

1

1 Glosario

1.1 Conceptos Importantes

En un principio para esta seccion se han identificado los 8 conceptos mas relevantesy significativos, presentes en los contenidos impartidos en las clases de teorıa sobre “LaProteccion de Datos de Caracter Personal”. Ademas, estos conceptos se han expuestos deforma ordenada alfabeticamente y se han acompanado de una breve definicion.

1.1.1 Afectado o interesado (1)

Tanto para la LOPD como para el Reglamento de desarrollo, afectado o intere-sado es:

Art 3.e. (4), art. 5.a. (5) “Persona fısica titular de los datos quesean objeto del tratamiento”.

Es importante destacar que las personas jurıdicas no disponen del derecho a laproteccion de datos de caracter personal, exclusivo de las personas fısicas, queson las unicas que quedan protegidas por el ambito de aplicacion de la norma.

Un aspecto relevante de este concepto y que encontramos en el Reglamento(5) de desarrollo es que, el ambito de aplicacion de la normativa en materiade proteccion de datos de caracter personal no incluye los datos referidos apersonas fallecidas.

No obstante, aquellas personas vinculadas al fallecido, por razones familiareso analogas, podran dirigirse a los responsables de los ficheros o tratamientosque contengan datos de este con la finalidad de notificar el obito, aportandoacreditacion suficiente del mismo, y solicitar, en su caso, la cancelacion de losdatos del fallecido.

1.1.2 Consentimiento del interesado (1)

El consentimiento es uno de los pilares centrales y definitorios en lo que a laproteccion de los datos de caracter personal se refiere.

2

Segun la LOPD y el Reglamento de desarrollo, el consentimiento es:

Art 3.h. (4), art. 5.1.d. (5) “Toda manifestacion de voluntad,libre, inequıvoca, especıfica e informada, mediante la que el interesadoconsienta el tratamiento de datos personales que le conciernen”.

Supone la autorizacion, por parte del interesado de la finalidad que va a serdada a sus datos y de los medios empleados para conseguir tal fin.

1.1.3 Datos de caracter personal, DCP (3)

Los datos de caracter personal estan definidos legalmente como:

Art 3.a. (4) “cualquier informacion concerniente a personas fısicasidentificadas o identificables”.

Como se desprende de esta definicion, cuando la ley habla de datos de caracterpersonal no solo hace referencia al nombre y apellidos de las personas, sino que,de manera muy amplia, incluye cualquier tipo de informacion (DNI, fotografıas,vıdeos, voz, huellas, ...) siempre que haga referencia a una persona fısica iden-tificada (se sabe a quien pertenece el dato) o identificable (no se sabe a quienpertenece el dato pero se podrıa averiguar sin muchos esfuerzos).

1.1.4 Encargado del tratamiento (1)

La LOPD define la figura del encargado del tratamiento como:

Art 3.g. (4) “La persona fısica o jurıdica, autoridad publica, servi-cio o cualquier otro organismo que, solo o conjuntamente con otros,trate datos personales por cuenta del responsable del tratamiento”.

Por su parte el Reglamento de desarrollo nos ofrece una definicion mas ampliade este concepto:

Art 5.1.i. (5) “La persona fısica o jurıdica, publica o privada, uorgano administrativo que, solo o conjuntamente con otros, tratedatos personales por cuenta del responsable del tratamiento o del

3

responsable del fichero, como consecuencia de la existencia de unarelacion jurıdica que le vincula con el mismo y delimita el ambito desu actuacion para la prestacion de un servicio”.

“Podran ser tambien encargados del tratamiento los entes sin person-alidad jurıdica que actuen en el trafico como sujetos diferenciados”.

1.1.5 Fichero (3)

Fısicamente un fichero es el soporte en el que se encuentren almacenados oregistrados los datos de caracter personal, pero jurıdicamente el termino ficheroesta definido de una manera mucho mas amplia y abstracta, incluyendo a:

Art 3.b. (4) “todo conjunto organizado de datos de caracter per-sonal, cualquiera que fuere la forma o modalidad de su creacion, al-macenamiento, organizacion y acceso”.

Por lo tanto, bastara con que exista un conjunto de datos de caracter personalorganizado de alguna manera que permita acceder a los datos utilizando alguncriterio determinado para que legalmente se considere que estamos ante unfichero, independientemente de que el almacenamiento, organizacion y acceso alos datos se lleve a cabo de manera manual (ficheros no automatizados) oa traves de procedimientos informatizados (ficheros automatizados).

1.1.6 LOPD (3)

La LOPD son las siglas que hacen referencia a la Ley Organica 15/1999, de13 de diciembre, de Proteccion de Datos de Caracter Personal, quees la norma jurıdica que, desde el 14 de Enero del ano 2000, regula en Espanatodo lo relativo al tratamiento de los datos personales de las personas fısicas.Esta ley tiene como:

Art 1. (4) “... objeto garantizar y proteger, en lo que concierneal tratamiento de los datos personales, las libertades publicas y losderechos fundamentales de las personas fısicas, y especialmente de suhonor e intimidad personal y familiar”.

4

Y, para ello, a traves de siete tıtulos y cuarenta y nueve artıculos establececomo se deben recoger, tratar y ceder los datos de caracter personal para noperjudicar con ello los derechos de sus titulares.

1.1.7 Responsable del fichero o tratamiento (1)

Para la LOPD, el concepto de responsable del fichero se define como:

Art 3.d. (4) “persona fısica o jurıdica, de naturaleza publica oprivada, u organo administrativo, que decida sobre la finalidad, con-tenido y uso del tratamiento”.

Esta persona es responsable y custodio de los datos contenidos en sus ficheros,ası como de aplicar las medidas legales que se le impongan y sera ademas, quiendecida la finalidad para la cual los datos son recabados.

El Reglamento de desarrollo sube un peldano mas en su definicion del conceptodel Responsable del fichero o tratamiento y considera que es:

Art 5.1.q. (5) “Persona fısica o jurıdica, de naturaleza publica oprivada, u organo administrativo, que solo o conjuntamente con otrosdecida sobre la finalidad, contenido y uso del tratamiento, aunque nolo realizase materialmente”.

“Podran ser tambien responsables del fichero o del tratamiento losentes sin personalidad jurıdica que actuen en el trafico como sujetosdiferenciados”.

1.1.8 Tratamiento de datos personales (1)

La LOPD define el tratamiento de datos como todas aquellas:

Art 3.c. (4) “operaciones y procedimientos tecnicos de caracter au-tomatizado o no, que permitan la recogida, grabacion, conservacion,elaboracion, modificacion, bloqueo y cancelacion, ası como las ce-siones de datos que resulten de comunicaciones, consultas, inter-conexiones y transferencias”.

5

No es sino el proceso por el cual los datos sirven al fin para el cual fueronrecabados, teniendo en cuenta que este tratamiento comprende cualquier uso,desde el momento de su recogida hasta el momento de su cancelacion.

1.2 Otros Conceptos

A continuacion, se detallan otros conceptos que nos parecio interesante definir aunquesu importancia en el tema no sea tan relevante como los anteriores.

1.2.1 Agencia Espanola de Proteccion de Datos, AEPD (3)

La Agencia Espanola de Proteccion de Datos (AEPD) es un organo especial-izado encargado de velar por el cumplimiento de la legislacion sobre proteccionde datos y controlar su aplicacion, especialmente en lo relativo al ejercicio delos derechos esenciales de los ciudadanos (los derechos de acceso, rectificacion,cancelacion y oposicion). Se trata de un ente publico con personalidad jurıdicapropia y plena capacidad publica y privada que actua con plena independenciade las Administraciones Publicas y que se relaciona con el Gobierno a travesdel Ministerio de Justicia.

1.2.2 Cesion o comunicacion de datos (1)

La LOPD define la cesion o comunicacion de datos como:

Art 3.i. (4) “Toda revelacion de datos realizada a una personadistinta del interesado”.

La LOPD permite las cesiones o comunicaciones de datos cuando:

• Los datos sean cedidos para el cumplimiento de finalidades legitimas decesionario y cedente.

• Que exista consentimiento del interesado a esa cesion con la salvedadessiguientes:

– Que la cesion se autorice por ley.

– Cuando los datos hayan sido extraıdos de fuentes de acceso publico.

– Sea necesaria para la prestacion de un servicio aceptado por el afec-tado.

6

– Cuando los datos sean remitidos al Defensor del Pueblo, al MinisterioFiscal, a los jueces o Tribunales o al Tribunal de Cuentas.

– Cuando los datos sean relativos a la salud y sea necesaria su comuni-cacion en caso de urgencia.

1.2.3 Fuentes accesibles al publico (1)

La LOPD define las fuentes accesibles al publico como:

Art 3.j. (4) “Aquellos ficheros cuya consulta puede ser realizada,por cualquier persona, no impedida por una norma limitativa o sinmas exigencia que, en su caso, el abono de una contraprestacion”.

Ademas, la Ley nos proporciona un listado exclusivo de las misma.

Este listado se considera exclusivo y excluyente, es decir, todas las que no seencuentren recogidas en el mismo, no se consideran fuentes de acceso publico.

Por lo tanto, se consideran fuentes accesibles al publico:

• El censo promocional.

• Los repertorios telefonicos.

• Listados de personas pertenecientes a colegios profesionales que contenganunicamente los datos de nombre, tıtulo, profesion, actividad, grado academico,direccion e indicacion de su pertenencia al grupo.

• Los Diarios y Boletines Oficiales.

• Los medios de comunicacion.

Respecto de los medios de comunicacion, la Agencia Espanola de Proteccion deDatos, en su Memoria del ano 2000 considera que:

“No se considera que la procedencia de los datos recogidos en In-ternet sea la de fuente accesible al publico, siendo necesario, por lotanto, la obtencion del consentimiento inequıvoco, especıfico e infor-mado del afectado para realizar tratamientos con sus datos personalespublicados en Internet, aunque estos se hayan publicado de forma quecualquier internauta pueda acceder a los mismos”.

7

1.2.4 Copias de respaldo y de recuperacion (3)

El Reglamento define las copias de respaldo como:

Art 5.1.e (5) “Copia de los datos de un fichero automatizado en unsoporte que posibilite su recuperacion”.

Tal y como establece el artıculo 94 del Real Decreto 1720/2007, en todos losficheros automatizados el responsable del fichero debe establecer un proce-dimiento que permita realizar semanalmente copias de seguridad (backup) delos datos de caracter personal en algun tipo de soporte que permita su recu-peracion posterior en caso de problemas, dicho procedimiento debe cumplir conlos siguientes requisitos:

Art 94. Copias de respaldo y recuperacion (5)

1. “Deberan establecerse procedimientos de actuacion para la rea-lizacion como mınimo semanal de copias de respaldo, salvo queen dicho perıodo no se hubiera producido ninguna actualizacionde los datos”.

2. “Asimismo, se estableceran procedimientos para la recuperacionde los datos que garanticen en todo momento su reconstruccionen el estado en que se encontraban al tiempo de producirse laperdida o destruccion”.“Unicamente, en el caso de que la perdida o destruccion afectasea ficheros o tratamientos parcialmente automatizados, y siempreque la existencia de documentacion permita alcanzar el objetivoal que se refiere el parrafo anterior, se debera proceder a grabarmanualmente los datos quedando constancia motivada de estehecho en el documento de seguridad”.

3. “El responsable del fichero se encargara de verificar cada seismeses la correcta definicion, funcionamiento y aplicacion de losprocedimientos de realizacion de copias de respaldo y de recu-peracion de los datos”.

4. “Las pruebas anteriores a la implantacion o modificacion de lossistemas de informacion que traten ficheros con datos de caracterpersonal no se realizaran con datos reales, salvo que se asegureel nivel de seguridad correspondiente al tratamiento realizado yse anote su realizacion en el documento de seguridad”.

8

“Si esta previsto realizar pruebas con datos reales, previamentedebera haberse realizado una copia de seguridad”.

1.2.5 Procedimiento de disociacion (1)

La LOPD define el procedimiento de disociacion como:

Art 3.f. (4) “Todo tratamiento de datos personales de modo que lainformacion que se obtenga no pueda asociarse a persona identificadao identificable”.

Los procedimientos de disociacion permiten, al responsable o al encargado delfichero o tratamiento, no encontrarse sometido a la necesidad de contar conel consentimiento del titular en el caso de comunicaciones de datos a tercerosy, a otras obligaciones que la normativa en materia de proteccion de datos decaracter personal le impone.

La disociacion se utiliza fundamentalmente en procesos estadısticos en los quelos datos relevantes son los porcentajes y no los datos en sı mismos.

Serıa el caso por ejemplo de conocer el porcentaje de personas que consideranque la informacion facilitada, por una entidad local, respecto de los tributoslocales, es acorde a lo que ellos consideran como aceptable.

El Reglamento de desarrollo es mucho mas parco en su definicion y se limita adecir:

Art 5.1.p. (5) “Todo tratamiento de datos personales que permitala obtencion de datos disociados”.

1.2.6 Registro General de Proteccion de Datos, RGPD (2)

El Registro General de Proteccion de Datos es el organo de la Agencia Espanolade Proteccion de Datos al que corresponde velar por la publicidad de la exis-tencia de los ficheros y tratamientos de datos de caracter personal, con mirasa hacer posible el ejercicio de los derechos de informacion, acceso, rectificaciony cancelacion de datos regulados en los artıculos 14 a 17 de la Ley Organica15/99, de 13 de diciembre, de Proteccion de Datos de Caracter Personal.Seran objeto de inscripcion en el Registro General de Proteccion de Datos:

9

• Los ficheros de las Administraciones Publicas.

• Los ficheros de titularidad privada.

• Las autorizaciones de transferencias internacionales de datos de caracterpersonal con destino a paıses que no presten un nivel de proteccion equipara-ble al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.

• Los codigos tipo , a que se refiere el artıculo 32 de la LOPD.

• Los datos relativos a los ficheros que sean necesarios para el ejercicio delos derechos de informacion, acceso, rectificacion, cancelacion y oposicion.

10

2 Mapa Conceptual

Referencias

[1] adrformacion. URL: http://www.adrformacion.com/cursos/lopdsani/leccion2/

tutorial2.html.

[2] Agencia Espanola de Proteccion de Datos. URL: https://www.agpd.es/

portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.

php.

[3] Cuida tus datos. URL: http://www.cuidatusdatos.com/preguntasfrecuentes.

html.

[4] Ley Organica 15/1999, de 13 de diciembre, de Proteccion de Datos de Caracter Per-sonal. URL: http://www.boe.es/buscar/doc.php?id=BOE-A-1999-23750.

[5] REAL DECRETO 1720/2007, de 21 de diciembre. URL: http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf.

12