La protección de datos: fundamentos, obligaciones de registro y medidas de seguridad

La protección de datos: fundamentos,

obligaciones de registro y medidas de

seguridad

[3.1] ¿Cómo estudiar este tema?

[3.2] Generalidades sobre protección de datos

[3.3] Las definiciones

[3.4] Los principios de la protección de datos

[3.5] Los derechos de las personas

[3.6] Ejemplo

T

EM

A

Aspectos legales y regulatorios

TEMA 3 – Esquema

Esquema

Pro

tecc

ión

jurí

dic

a d

el s

oft

wa

re, b

ase

s d

e d

ato

s y

mu

ltim

edia

Ge

ne

ralid

ades

Leg

isla

ción

esp

añol

a so

bre

p

rote

cció

n d

e d

atos

.L

a D

irec

tiva

Eu

rop

ea

Lo

s p

rin

cip

ios

de

la

pro

tecc

ión

de

dat

os

Cal

idad

, in

form

ació

n,

con

sen

tim

ien

to, d

ato

s p

rote

gid

os

y co

mu

nic

ació

n

Se

guri

dad

, acc

eso

a

dat

os

po

r te

rce

ros

y d

eb

er d

e se

cret

o

Lo

s d

ere

cho

s d

e la

s p

ers

on

as

De

rech

os A

RC

O

(Acc

eso

, re

ctif

icac

ión

, ca

nce

laci

ón

y o

po

sici

ón

)

Ob

ligac

ión

de

in

scri

pci

ón

de

los

fich

ero

s e

n la

Age

nci

a E

spañ

ola

de

Pro

tecc

ión

d

e D

ato

s

Cu

mp

limie

nto

de

los

pri

nci

pio

s y

ate

nci

ón

d

el e

jerc

icio

de

de

rech

os


TEMA 3 – Ideas clave

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que encontrarás a continuación.

Este tema aborda el estudio de la Protección de Datos de Carácter Personal.

3.2. Generalidades sobre protección de datos

Para introducir el estudio del tema, el presente epígrafe analiza el concepto de la

protección de datos, la normativa básica que se debe conocer, la configuración

jurisprudencial de la protección de datos, la labor que desempeña la Agencia Española

de Protección de Datos y la estructura del estudio de la protección de datos.

¿Qué es la protección de datos?

Antes de comenzar a estudiar la protección de datos debemos atender al artículo 18.4

de la Constitución Española, que establece que:

«La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal

y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Mandato constitucional que fue desarrollado por el legislador a través de la protección

prevista en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento

Automatizado de los Datos de Carácter Personal (conocida como LORTAD), hoy en día

derogada por la vigente Ley de Protección de Datos que es la Ley Orgánica 15/1999, de

13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), y

que se extiende a los datos de carácter personal registrados en soporte físico,

que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de los

mismos.



El amparo debido a los ciudadanos contra la posible utilización por

terceros, en forma no autorizada, de sus datos personales susceptibles de

tratamiento, para, de esta forma, confeccionar una información que, identificable

con él, afecte a su entorno personal, social o profesional.

Protección de datos

¿Qué normativa hay que conocer?

En el estudio de la protección de datos hay que atender, básicamente, a la siguiente

normativa:

Nacional Comunitaria

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (citada como Directiva 95/46/CE).

Configuración jurisprudencial de la Protección de Datos

En cuanto a la configuración jurisprudencial de la protección de datos, de entre las

Sentencias dictadas por los Tribunales, destaca la Sentencia del Tribunal Constitucional

292/2000, de 30 de noviembre, en la que claramente se indica que el:

«Derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad

[...] atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder

jurídico de imponer a terceros la realización u omisión de determinados

comportamientos...»

Continuando con el reforzamiento de las potestades del individuo al resaltar que ese

derecho fundamental a la protección de datos:

«Garantiza a los individuos un poder de disposición sobre esos datos [...] que [...] nada

vale si el afectado desconoce qué datos son los que poseen terceros, quiénes los poseen y

con qué fin» (primer párrafo del Fundamento Jurídico 6).



Se trata, por tanto, de un derecho fundamental (denominado por la Sentencia del

Tribunal Constitucional 292/2000, de 30 de noviembre como el derecho fundamental a

la protección de datos), que es autónomo e independiente del de la intimidad.

¿Qué labor desempeña la Agencia Española de Protección de Datos?

El órgano de control del cumplimiento de la LOPD (la Agencia Española de Protección

de Datos, en adelante, también, la AEPD) se encuentra regulada en el Título VI (arts.

35 a 42), bajo la rúbrica de Agencia Española de Protección de Datos, como ente

de Derecho Público, con personalidad jurídica propia y plena capacidad pública y

privada.

La representación de la Agencia Española de Protección de Datos la ostenta su

Director, que será nombrado de entre quienes componen el Consejo Consultivo (art.

36) «mediante Real Decreto, por un período de cuatro años» y, teniendo la

consideración de «alto cargo», podrá ser separado de su puesto (artículo 36.3), por

acuerdo del Gobierno, previa instrucción de expediente en el que necesariamente serán

oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus

obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad

o condena por delito doloso.

Se regula también el funcionamiento y

las funciones de la referida Agencia y de

su Director. Destacan como funciones

propias de la Agencia, atender las peticiones

y reclamaciones formuladas por las personas

afectadas, proporcionar a los interesados

información acerca de sus derechos sobre

esta materia, ejercer la potestad

sancionadora en los términos previstos en la

Ley, ejercer el control y adoptarlas

autorizaciones que procedan en relación con los movimientos internacionales de datos

y, otras muchas que, en definitiva, tienden a velar por el cumplimiento de la legislación

sobre protección de datos (art. 37).



Integrado en la Agencia se encuentra el Registro General de Protección de Datos

donde serán objeto de inscripción (art. 39), los ficheros de que sean titulares las

Administraciones Públicas, los ficheros de titularidad privada, los datos relativos a los

ficheros que sean necesarios para el ejercicio de los derechos de información, acceso,

rectificación, cancelación y oposición y los Códigos Tipo que, mediante acuerdos

sectoriales o decisiones de empresa, podrán formular los responsables de ficheros de

titularidad privada, estableciendo (art. 32), «[...] las condiciones de organización,

régimen de funcionamiento, procedimientos aplicables, normas de seguridad del

entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso

de la información personal así como las garantías, en su ámbito, para el ejercicio de los

derechos de las personas[...]».

¿Cómo se estructura el estudio de la Protección de Datos?

Cabe estructurar el análisis y estudio de la Protección de Datos, siguiendo al

Profesor Davara, como un triángulo en cuyos vértices se sitúan los principios de dicha

protección, los derechos que emanan de dichos principios y los procedimientos que

garantizan el ejercicio efectivo de dichos derechos.

Principios

Derechos Procedimientos

Con esto se quiere representar gráficamente los tres elementos de igual importancia

que conjuntamente configuran la protección de datos. Existen unos principios

que hay que cumplir por el responsable del fichero o tratamiento, unos derechos

que, mediante su ejercicio, dan efectivo contenido a los principios recogidos en la

norma y un procedimiento que tutela al interesado cuando por el responsable del

fichero o tratamiento no se cumplen los principios o se le pone algún impedimento para

ejercer los derechos.



Una de las cuestiones de mayor importancia que introdujo la LOPD, como consecuencia

de la transposición de la Directiva 95/46/CE sobre protección de datos, es la de la

aplicación de la normativa sobre protección de datos a todo tipo de ficheros

con independencia del soporte, automatizado o no automatizado en el que se

encuentren.

Y, en particular, queremos llamar la atención no solamente sobre el tratamiento de datos

en este tipo de ficheros (los no automatizados o manuales), sino sobre las medidas de

seguridad a adoptar para el cumplimiento del artículo 9 de la LOPD y,

consecuentemente, de su normativa de desarrollo.

Son dos cuestiones, por tanto, las que se deben tener en cuenta en el análisis del

tratamiento de datos en los ficheros no automatizados:

Su adecuación y presentación para que cumplan con todos los principios y obligaciones contemplados en la LOPD.

1

Considerar e implantar las medidas de seguridad que deben ser aplicables a este tipo de ficheros teniendo en cuenta sus características y lo contemplado en el

desarrollo reglamentario de la Ley.

2

3.3. Las definiciones

En este apartado analizaremos los conceptos que en materia de protección de datos hay

que conocer, como son los de datos de carácter personal, fichero, tratamiento de datos,

responsable del fichero o tratamiento, afectado o interesado, procedimiento de

disociación, encargado del tratamiento, consentimiento del interesado, cesión o

comunicación de datos, fuentes accesibles al público, bloqueo de datos e identificación

del afectado.

¿Qué definiciones tienen que conocerse en protección de datos?

En el estudio de la protección de datos, y en particular de la LOPD, es necesario atender

a las definiciones que se incluyen en el artículo 3, además de tener en

consideración las definiciones que también figuran en el artículo 5 del R.D. 1720/2007.



Las definiciones incluidas en la LOPD sirven para centrar algunas cuestiones, en el

sentido de que nos permitirán aclarar posteriormente la interpretación de algunos

conceptos que pueden resultar problemáticos en la aplicación de esta norma si nos

limitamos a su acepción coloquial. En concreto, los conceptos a los que vamos a prestar

atención son los siguientes:

Datos de carácter personal.

Fichero.

Tratamiento de datos.

Responsable del fichero o tratamiento.

Afectado o interesado.

Procedimiento de disociación.

Encargado del tratamiento.

Consentimiento del interesado.

Cesión o comunicación de datos.

Fuentes accesibles al público.

Bloqueo de datos.

Datos de carácter personal

La letra a) del artículo 3 de la LOPD define datos de carácter personal como

«cualquier información concerniente a personas físicas identificadas o

identificables».

Es necesario destacar que, con la referencia expresa a «personas físicas», se hace

exclusión de los datos referentes a personas jurídicas. Es decir, esta norma no es

de aplicación al tratamiento de datos de personas jurídicas.

En forma parecida se expresa la Directiva 95/46/CE que, en su artículo 1.1, indica que «los

Estados miembro garantizarán, con arreglo a las disposiciones de la presente Directiva, la

protección de las libertades y de los derechos fundamentales de las personas físicas [...]»

excluyendo también a las personas jurídicas.

Por su parte, el apartado 1.f del artículo 5 del R.D. 1720/2007 define datos de carácter

personal de la siguiente manera: «cualquier información numérica, alfabética,

gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas

físicas identificadas o identificables».



Se trata de una definición amplia que pretende recoger todas las posibilidades,

respecto a medios y condiciones, así como a procedimientos, en las tres fases o momentos

del tratamiento de datos a las que ya nos hemos referido anteriormente.

Debemos destacar que los datos de carácter personal no son solamente los

alfabéticos mediante los que se representan las palabras en el lenguaje, sino que también

son datos de carácter personal los números, los gráficos, las fotos, los sonidos, etc., siempre

que conciernan o se puedan asociar a una persona física identificada o identificable.

Fichero

Conforme a la definición dada en la letra b) del artículo 3 de la LOPD, es un fichero:

«todo conjunto organizado de datos de carácter personal, cualquiera que

fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».

Se debe hacer notar que la LOPD ha hecho desaparecer el término

«automatizado» en la definición de «fichero», con lo que se abre el camino a la

protección en los ficheros que podríamos denominar manuales. Y así es en realidad ya que

estos ficheros (los que hemos denominados manuales), están totalmente bajo el paraguas

protector de esta norma desde octubre del año 2007, por disposición expresa de la

Directiva 95/46/CE, y así lo indica también la propia LOPD.

En cuanto a la titularidad de los ficheros, es decir, al sujeto que crea un fichero,

podemos distinguir entre ficheros de titularidad:

Pública Privada

Una de las obligaciones del responsable del fichero (sea de titularidad pública o de

titularidad privada), es la de inscribirlo en el Registro General de Protección de

Datos de la Agencia Española de Protección de Datos.

Toda institución, pública o privada, que posea un fichero de datos de carácter personal,

tiene la obligación de comunicarlo a la Agencia Española de Protección de Datos que, tras

el análisis de su contenido y si cumple con todos los requisitos exigidos por la propia

LOPD y por el Reglamento, lo inscribirá en el Registro General de Protección de Datos.

También deberán notificarse a la Agencia los cambios que se produzcan «en la finalidad

del fichero automatizado, en su responsable y en la dirección de su ubicación».



Para realizar estas comunicaciones, la propia Agencia Española de Protección de Datos

ha elaborado unos impresos o formularios (disponibles en www.agpd.es), que

facilitan al titular del fichero exponer los requisitos que son exigidos por la Ley y por el

Reglamento, entre los que se encuentran la identificación del responsable del

fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter

personal que contiene, las medidas de seguridad y las cesiones de datos de

carácter personal que se prevean realizar.

Tratamiento de datos

El tratamiento de datos se define en la letra c) del artículo 3 de la LOPD como:

«Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la

recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así

como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y

transferencias».

Responsable del fichero o tratamiento

Según la definición dada por la letra d) del artículo 3 de la LOPD, es responsable del

fichero o tratamiento la:

«Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que

decida sobre la finalidad, contenido y uso del tratamiento».

La capacidad de tomar decisiones sobre el objeto, utilización y fin del tratamiento,

o sobre el uso que se va a dar a los datos de carácter personal resultantes del

tratamiento o, en su caso, si van o no a ser cedidos, definen la figura del responsable del

fichero.

Es importante destacar también la referencia expresa al contenido del fichero o

contenido del tratamiento, ya que en ambos sentidos se pueden interpretar y la

redacción permite abarcar las dos orientaciones. La decisión sobre dicho contenido

caracteriza e identifica de igual forma al responsable del fichero o tratamiento.

Debe distinguirse claramente esta figura de la del encargado del

tratamiento, a la que atendemos más adelante, puesto que este último no decide



sobre la finalidad, contenido y uso del tratamiento, sino que lleva a cabo un tratamiento

por cuenta del responsable del fichero.

Afectado o interesado

El titular de los datos, al que la LOPD también denomina afectado o interesado, según

la definición dada en la letra e) del artículo 3, es:

«Persona física titular de los datos que sean objeto del tratamiento a que se refiere el

apartado c) del presente artículo [operaciones y procedimientos técnicos de carácter

automatizado o no, que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de

comunicaciones, consultas, interconexiones y transferencias]».

Vemos que la Ley califica como «afectado» a todas las personas físicas cuyos

datos sean tratados o figuren en ficheros de los definidos en este artículo;

podríamos decir que afectados son potencialmente todos los ciudadanos y que, en

nuestra opinión, sería más oportuno haberlos denominado solamente como

«interesado» o, en su caso, como «titular del dato».

De esta manera, queda delimitado el ámbito subjetivo de aplicación de la LOPD,

quedando claramente incluidas las personas físicas y excluidas las personas

jurídicas de la protección conferida por sus disposiciones.

Procedimiento de disociación

En la letra f) del artículo 3 de la LOPD se define el procedimiento de disociación como:

«Todo tratamiento de datos personales de modo que la información que se obtenga no

pueda asociarse a persona identificada o identificable».

El procedimiento de disociación se encuentra unido a las estadísticas o al

tratamiento de forma que los resultados del mismo no puedan identificar o

asociarse a persona alguna; incluso, en estos casos, al tratar la cesión de datos, indica

la LOPD que no necesitará el consentimiento del afectado (apartado 6 del artículo 11),

si la cesión se efectúa previo procedimiento de disociación.



Encargado del tratamiento

El encargado del tratamiento, según la definición dada en la letra g) del artículo 3 de la

LOPD, es:

«La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que,

solo o conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento».

En ocasiones, la persona que lleva a cabo el tratamiento de datos es

distinta e, incluso, independiente, del responsable del fichero; este puede ser

el caso del que realiza un servicio de tratamiento de datos para terceros. De esta forma,

se crea en la Ley una nueva figura (la del encargado del tratamiento) que, sin ser titular

ni responsable del fichero puede tratar los datos por cuenta de aquel.

Una cuestión es, por tanto, el responsable del fichero, definido bajo la óptica de la

capacidad de decisión sobre el objeto, fin y tratamiento de los datos que se encuentran

registrados, y otra cuestión es el encargado del tratamiento definido como aquel que

«solo o conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento».

Consentimiento del interesado

La LOPD define, en la letra h) del artículo 3, el consentimiento del interesado como:

«Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la

que el interesado consienta el tratamiento de datos personales que le conciernen».

El consentimiento es una de las condiciones de licitud para el tratamiento de los

datos de carácter personal. En cuanto a la forma del consentimiento, es necesario tener

en consideración que se requiere en forma expresa cuando se trate de datos relativos a

origen racial, salud o vida sexual, y, además, por escrito cuando se sean datos relativos

a la ideología, afiliación sindical, religión o creencias.

Por último, como norma general se requiere el consentimiento del interesado

para el tratamiento de sus datos de carácter personal, salvo que una Ley disponga lo

contrario.



Cesión o comunicación de datos

Definida en la letra i) del artículo 3 de la LOPD como «toda revelación de datos

realizada a una persona distinta del interesado».

Lo relevante de esta definición es que podría ser considerado como cesión la

simple consulta que un tercero realice a los datos, aunque sea a distancia y sin

creación de un fichero o tratamiento nuevo. Hay que tener en cuenta, además, que la

cesión es un punto conflictivo en las teorías sobre protección de datos, ya que,

implica una mayor posibilidad de que el interesado pierda el control sobre sus propios

datos al haber sido comunicados a un tercero al que, probablemente, ni tan siquiera se

conozca o, aunque así fuera, no se le hubieran proporcionado. Es por todo ello que la

cesión, en un principio y salvo las excepciones que marca la norma, deberá ser

siempre con consentimiento.

Por su parte, en el apartado 1.c del artículo 5 del R.D. 1720/2007 se define la cesión de

datos como el «tratamiento de datos que supone su revelación a una persona distinta

del interesado».

Fuentes accesibles al público

Conforme a la definición dada en la letra j) del artículo 3 de la LOPD, tienen la

consideración de fuentes accesibles al público:

«Exclusivamente, el censo promocional, los repertorios telefónicos en los términos

previstos por su normativa específica y las listas de personas pertenecientes a grupos de

profesionales que contengan únicamente los datos de nombre, título, profesión, actividad,

grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el

carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de

comunicación».

Diremos sobre la posibilidad de tratamiento de datos de carácter personal que

provienen de fuentes que se pueden considerar como «accesibles al

público» (en relación con el artículo 6.2 de la LOPD), que es un tratamiento de

datos sin consentimiento del titular, incluyendo recabar los datos, tratarlos y, en

su caso, cederlos a terceros y, por tanto, aún siendo posible el tratamiento con esas

características, se debe atender a principios de interés legítimo en el conocimiento de

los datos y de interpretación leal de la definición que comentamos que, aunque parece

que está clara, no se debe llevar a límites interpretativos extremos.



También hay que destacar la inclusión en esta definición de una nueva figura que se

denomina «censo promocional» formado con los datos de nombre, apellidos y

domicilio que constan en el censo electoral, según indica el artículo 31 de la

LOPD y que podrán ser utilizados por los que pretendan realizar permanente o

esporádicamente la actividad de recopilación de direcciones, reparto de documentos,

publicidad, venta a distancia, prospección comercial u otras actividades análogas,

solicitando este censo promocional al Instituto Nacional de Estadística que, según se

desprende de la lectura del citado artículo 31, será el órgano de la creación o, al menos,

de la custodia o, simplemente, de la distribución de este censo.

Bloqueo de los datos

En el apartado 1.b del artículo 5 del R.D. 1720/2007 se define el bloqueo de los datos

como:

«La identificación y reserva de los mismos con el fin de impedir su tratamiento excepto

para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para

la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el

plazo de prescripción de dichas responsabilidades».

La LOPD solamente se refiere al bloqueo de datos en dos ocasiones: en las

definiciones al describir el concepto de «tratamiento de datos» como

operaciones y procedimientos técnicos «que permitan la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación» y cuando regula el

ejercicio de los derechos de rectificación y cancelación (artículo 16), e indica

que «la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a

disposición de las Administraciones públicas, Jueces y Tribunales»; sin embargo, en

ningún sitio define, ni tan siquiera indica, en qué consiste el bloqueo.



3.4. Los principios de la protección de datos

Los principios contemplados en el Título II de la LOPD, expuestos en un orden lógico que

permita facilitar su compresión en la práctica, son los siguientes:

El consentimiento del titular de los datos (art. 6 de la LOPD).

La calidad de los datos (art. 4 de la LOPD).

La información al recabar los datos (art. 5 de la LOPD).

Los datos especialmente protegidos (art. 7 de la LOPD).

Datos relativos a la salud (art. 8 de la LOPD).

La seguridad de los datos (art. 9 de la LOPD).

El deber de secreto (art. 10 de la LOPD).

La cesión o comunicación de datos (art. 11 de la LOPD).

El acceso a los datos por terceros (art. 12 de la LOPD).

Estos principios tienen que estar presentes en las tres fases del tratamiento

de los datos de carácter personal: recogida, tratamiento y utilización y, en su caso,

cesión o comunicación de los datos.

El consentimiento del titular de los datos

Con carácter general, el principio del consentimiento supone que solo el titular de

los datos decide cuándo, dónde y cómo se tratan sus datos o se dan a

conocer a terceros. Dicho principio cuenta con una serie de excepciones

legalmente previstas, y que son, básicamente, las siguientes:

a) Cuando una Ley disponga otra cosa.

b) Cuando los datos se recojan para el ejercicio de las funciones propias de las

Administraciones públicas en el ámbito de sus competencias.

c) Cuando se refiera a las partes de un contrato o precontrato de una relación negocial

o laboral y sean necesarios para su mantenimiento o cumplimiento.

d) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del

interesado en los términos del artículo 7.6 de la LOPD.

e) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el responsable del

fichero o por el del tercero a quien se comuniquen los datos, siempre que no se

vulneren los derechos y libertades fundamentales del interesado.



La calidad de los datos

Dicho principio, consagrado en el artículo 4 de la LOPD, se concreta en la necesidad

de que los datos objeto de tratamiento sean pertinentes, adecuados y no

excesivos en relación con las finalidades determinadas, expresas y legítimas para las

que se hubieran recabado, debiendo mantenerse exactos y puestos al día y no pudiendo

permanecer en el fichero más tiempo del que resulte necesario para cumplir con la

finalidad para la que se registraron.

Además, el principio de calidad de los datos implica que no puedan recogerse por

medios que sean fraudulentos, desleales o ilícitos.

La información en la recogida de datos

El principio de información en la recogida de datos (art. 5 de la LOPD) supone que

cuando los datos se recaben del propio interesado, este debe ser informado

con carácter previo y de modo expreso, preciso e inequívoco de los siguientes aspectos:

La existencia de un fichero o tratamiento de datos.

La finalidad con la que se recaban los mismos.

Los destinatarios de la información.

Si tiene obligación o no de responder a las preguntas que se le plantean.

Las consecuencias que conllevaría la negación a contestar a las mismas o la

negativa a proporcionar los datos.

La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación

y oposición.

La identidad y dirección del responsable del tratamiento o de su

representante, en su caso.

En cuanto a la información a proporcionar es necesario distinguir dos supuestos en la

recogida de datos:

Cuando los datos son recabados del propio interesado1

Cuando los datos son recabados de un tercero distinto del interesado2



Determinando estos supuestos, la información que se tiene que proporcionar y el

momento en que se tiene que facilitar al interesado, ya que, cuando los datos se recaban

de un tercero esta información no debe ser previa sino que tiene que proporcionarse al

interesado dentro de los tres meses siguientes al registro de sus datos (art. 5.4 de la

LOPD).

Los datos especialmente protegidos

Entendiendo por tales aquellos datos que hacen referencia a la ideología,

afiliación sindical, religión, creencias, origen racial, salud o vida sexual, es

necesario atender a la especial protección que la LOPD confiere a los mismos.

Manifestación de lo anterior es la exigencia de que los mismos solo puedan ser

recabados y tratados con el consentimiento expreso y, en su caso, por

escrito, cuando se refiera a los datos de ideología, afiliación sindical, religión y

creencias del titular de los mismos.

Esto es, es necesario el consentimiento expreso para el tratamiento de los datos

relativos al origen racial, salud o vida sexual, y es necesario que el consentimiento,

además de expreso sea por escrito, cuando sean datos relativos a la ideología, afiliación

sindical, religión y creencias del interesado.

Los datos relativos a la salud

Tal y como establece el artículo 8 de la LOPD:

«Sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las instituciones y los

centros sanitarios públicos y privados y los profesionales correspondientes podrán

proceder al tratamiento de los datos de carácter personal relativos a la salud de las

personas que a ellos acudan o hayan de ser tratados en los mismos de acuerdo con lo

dispuesto en la legislación estatal o autonómica sobre sanidad».

Por su parte, el apartado 1.g, del artículo 5, del Real Decreto 1720/2007, define los

datos de carácter personal relacionados con la salud como

«Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de

un individuo. En particular, se consideran datos relacionados con la salud de las personas

los referidos a su porcentaje de discapacidad y a su información genética».



La seguridad de los datos

El artículo 9 de la LOPD, desarrollado reglamentariamente por el Real Decreto Real

Decreto 1720/2007, obliga al responsable del fichero y, en su caso, el encargado

del tratamiento a adoptar las medidas de índole técnica y organizativas

necesarias con el fin de garantizar la seguridad de los datos personales objeto de

tratamiento, evitando su alteración, pérdida, tratamiento o acceso no autorizado.

Estas medidas, de índole técnica y organizativas, se adoptarán atendiendo a la

naturaleza de los datos en función de la mayor o menor necesidad de garantizar su

confidencialidad e integridad.

Respecto a la aplicación de los niveles de seguridad, el artículo 81 del Real Decreto

1720/2007 indica que:

«1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las

medidas de seguridad calificadas de nivel básico.

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas

de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a. Los relativos a la comisión de infracciones administrativas o penales.

b. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999,

de 13 de diciembre.

c. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen

con el ejercicio de sus potestades tributarias.

d. Aquéllos de los que sean responsables las entidades financieras para finalidades

relacionadas con la prestación de servicios financieros.

e. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes

de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual

modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y

enfermedades profesionales de la Seguridad Social.

f. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan

una definición de las características o de la personalidad de los ciudadanos y que

permitan evaluar determinados aspectos de la personalidad o del comportamiento

de los mismos.



3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán

en los siguientes ficheros o tratamientos de datos de carácter personal:

a. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,

origen racial, salud o vida sexual.

b. Los que contengan o se refieran a datos recabados para fines policiales sin

consentimiento de las personas afectadas.

c. Aquéllos que contengan datos derivados de actos de violencia de género»

Las medidas mínimas de seguridad a aplicar a cada tipo de fichero se encuentran

recogidas en el Título VIII, del Real Decreto 1720/2007 (el Reglamento de la

LOPD).

El deber de secreto

La LOPD, en su artículo 10, impone al

responsable del fichero y a quienes

intervengan en cualquier fase del

tratamiento de datos la obligación de

secreto profesional respecto de los

datos tratados, así como el deber de

guardarlos, aún una vez finalizadas sus

relaciones con el titular del fichero, o en su

caso, con el responsable del mismo.

La cesión o comunicación de datos

Definida legalmente como toda revelación de datos hecha a una persona distinta del

propio interesado, la cesión o comunicación de datos solo podrá llevarse a

cabo para el cumplimiento de fines directamente relacionados con las

funciones legítimas del cedente y del cesionario con el previo

consentimiento del interesado, salvo que la Ley disponga lo contrario.



En concreto, el artículo 11.2 de la LOPD establece los supuestos en los que no será

necesario el consentimiento del interesado para comunicar sus datos a terceros:

«a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica

cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho

tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima

en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del

Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el

ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento

cuando la comunicación tenga como destinatario a instituciones autonómicas con

funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el

tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para

solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios

epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o

autonómica».

El acceso a los datos por terceros

En el acceso a los datos por terceros, el encargado del tratamiento presta un

servicio al responsable del fichero que supone el acceso a datos de carácter

personal, sin que tenga la consideración legal de cesión o comunicación de datos.

Dicha prestación de servicios tiene que estar regulada en un contrato que cumpla con

los requisitos del artículo 12 de la LOPD.

Tal y como hemos visto en las definiciones, el encargado del tratamiento es «la persona

física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o

conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento» (art. 3.g de la LOPD).



3.5. Los derechos de las personas

Los derechos de las personas que la LOPD recoge, en su Título III, en materia de

protección de datos, son:

Derecho de impugnación de valoraciones (art. 13 LOPD)

Derecho de consulta al RGPD (art. 14 LOPD)

Derecho de acceso (art. 15 LOPD)

Derecho de rectificación y cancelación (art. 16 LOPD)

Derecho de oposición (art. 6.4 LOPD)

Derecho a indemnización (art. 19 LOPD)

¿Qué es el derecho de impugnación de valoraciones?

El derecho de impugnación de valoraciones, regulado en el artículo 13 de la LOPD,

faculta al interesado a impugnar aquellas decisiones que tengan efectos

jurídicos y cuya base sea únicamente un tratamiento de datos de carácter

personal que ofrezca una definición de sus características o personalidad.

También podrá impugnar los actos administrativos o decisiones privadas que

impliquen una valoración de su comportamiento, cuyo único fundamento sea un

tratamiento de datos de carácter personal que ofrezca una definición de sus

características o personalidad, pudiendo obtener información del responsable del

fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que

sirvió para adoptar la decisión en que consistió el acto.

¿Qué supone el derecho de consulta al RGPD?

Previsto en el artículo 14 de la LOPD, el derecho de consulta al Registro General de

Protección de Datos (RGPD) permite a cualquier persona recabar información

con el fin de conocer la existencia de tratamientos de datos de carácter

personal, la finalidad de los mismos y la identidad del responsable del

fichero. Dicho Registro se configura legalmente como de consulta pública y gratuita,

no existiendo limitación alguna para las consultas efectuadas por parte del interesado.



¿Qué es el derecho de acceso?

En virtud del derecho de acceso, regulado en el artículo 15 de la LOPD, el interesado

podrá dirigirse al responsable del fichero con objeto de conocer qué datos

suyos figuran en el mismo, cuál es el origen de los mismos y las

comunicaciones que se hubieran realizado o que se prevean realizar en el futuro.

Dicho derecho se ejercitará de forma gratuita a intervalos no inferiores a doce meses,

salvo que el interesado acredite un interés legítimo.

Los derechos de rectificación y cancelación

Previstos en el artículo 16 de la LOPD son dos derechos independientes que

facultan al interesado para instar al responsable del fichero a rectificar o, en su

caso, cancelar aquellos datos cuyo tratamiento no se ajuste a las previsiones

de la Ley, y en particular cuando los mismos resulten ser inexactos o incompletos, y a

cancelarlos también cuando hayan dejado de ser necesarios para la finalidad para la

cual hubieran sido registrados.

¿Qué es el derecho de oposición?

En virtud del derecho de oposición, establecido en el artículo 6.4 de la LOPD, en

aquellos casos en los que no resulte necesario el consentimiento del interesado para el

tratamiento de sus datos, y siempre que una Ley no disponga lo contrario, este podrá

oponerse al tratamiento de los mismos cuando existan motivos fundados y

legítimos relativos a una concreta situación personal. El responsable del fichero tendrá

que proceder a la exclusión de los datos relativos al afectado.

¿Qué supone el derecho a indemnización?

Previsto en el artículo 19 de la LOPD, el derecho a indemnización supone que aquellos

interesados que sufran algún daño o lesión en sus bienes o derechos como

consecuencia del incumplimiento de las obligaciones que tienen el responsable o el

encargado del tratamiento, en su caso, en el tratamiento de sus datos de carácter

personal, puedan ser indemnizados.



Por lo que se refiere al ejercicio de este derecho, cuando se trata de ficheros de

titularidad pública la responsabilidad será exigida conforme a lo previsto en la

legislación que regula el régimen de responsabilidad de las Administraciones

Públicas. Si se trata de ficheros de titularidad privada deberá acudirse a los

órganos de la jurisdicción ordinaria.

3.6. Ejemplo

Cómo inscribir un fichero en la Agencia Española de Protección de Datos

Los ficheros que contengan datos de carácter personal deben ser inscritos en el Registro

General de Protección de Datos de la Agencia Española de Protección de Datos.

Lo primero que hay que hacer es identificar qué ficheros tratan datos de

carácter personal en la entidad y conocer sus características de organización,

soporte (manual o automatizado) y contenido.

A continuación se rellenan los campos exigidos por el formulario electrónico NOTA que

proporciona la Agencia Española de Protección de Datos en la dirección:

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notifica

ciones_tele/index-ides-idphp.php

Una vez completo el formulario en el que se solicita información sobre la tipología de

los datos a tratar e identificativos sobre el responsable del fichero o tratamiento, se

firma y se envía (telemáticamente o manual) a la propia AEPD.


TEMA 3 – Lo + recomendado

Lo + recomendado

No dejes de leer…

Manual de Derecho informático

Davara Rodríguez, M. A. (2008). Manual de Derecho informático. (10ª ed.) Pamplona:

Editorial Aranzadi.

El Manual de Derecho Informático presenta, con rigor y

exhaustividad, el análisis de la regulación jurídica de las

tecnologías de la información y las comunicaciones, siendo una

obra de interés tanto para el profesional del Derecho, que necesita

conocer esta materia en su actividad diaria, como para el

estudiante de Derecho que necesita formarse en una materia que

afecta a todas las áreas de actividad de cualquier operador jurídico.

En el aula virtual tienes disponible una parte de este libro.


TEMA 3 – + Información

+ Información

Webgrafía

Agencia Española de Protección de Datos

Web de la Agencia Española de Protección de Datos, entidad de control encargada de

velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter

Personal en España .

http://www.agpd.es

Davara

Son de gran interés los apartados de legislación y documentos de interés de la web del

profesor Miguel Ángel Davara. Además, en el apartado de publicaciones/boletín de

actualidad, encontrarás un boletín de actualidad semanal en el que se recogen

informaciones actualizadas sobre la materia.

http://www.davara.com


TEMA 3 – Actividades

Actividades

Trabajo: Medidas de seguridad en la protección de datos

La entidad “Distribución de tornillos, S.L.”, nos encarga, en nuestra calidad de

consultores en protección de datos, que le asesoremos sobre si debe tomar alguna

medida de seguridad en protección de datos, teniendo en cuenta que todos los datos de

carácter personal que maneja se encuentran en soporte papel.

Indica qué medidas debe tomar la entidad teniendo en cuenta la legislación vigente.


TEMA 3 – Test

Test

1. El consentimiento de los afectados para el tratamiento de los datos de carácter

personal relativos al origen racial, salud o vida sexual deberá ser:

A. Expreso y por escrito.

B. Sencillamente deberá existir consentimiento.

C. Por escrito.

D. Expreso.

2. La información a los interesados de los que se soliciten datos de carácter personal ha

de incluir:

A. La finalidad de la recogida.

B. La existencia de un fichero o tratamiento de datos de carácter personal.

C. Los destinatarios de la información.

D. Todas las anteriores.

3. La LOPD entiende por dato de carácter personal…

A. Cualquier información concerniente a personas físicas identificadas o

identificables.

B. Cualquier información concerniente a personas físicas o jurídicas identificadas

o identificables.

C. Cualquier información concerniente a personas jurídicas identificadas.

D. Cualquier información concerniente a personas jurídicas identificables.

4. Cuando los datos no han sido recabados del interesado, este tiene que ser

informado:

A. En el mes siguiente al registro.

B. En el momento de la primera comunicación.

C. En el momento del registro.

D. En los tres meses siguientes al registro.


TEMA 3 – Test

5. ¿La prestación de un servicio por parte de un tercero al responsable del tratamiento,

deberá figurar en un contrato?

A. Depende del carácter de los datos de carácter personal que se comuniquen.

B. Sí, salvo que el tercero prestador del servicio acredite tener las mismas

medidas de seguridad que el titular del fichero.

C. Sí.

D. No.

6. Las medidas de seguridad deberán ser adoptadas…

A. Solo por el encargado del tratamiento.

B. Solo por el responsable del fichero.

C. Por el responsable del fichero y, en su caso, por el encargado del tratamiento.

D. Ninguna de las anteriores.

7. Las medidas de seguridad deberán ser:

A. Solo de índole organizativo.

B. De índole técnico y organizativo.

C. Únicamente de índole técnico.

D. Técnicas, organizativas y automatizadas.

8. La consulta al Registro General de Protección de Datos es:

A. Un derecho de toda persona.

B. Pública.

C. Gratuita.


9. El objeto de las medidas de seguridad será el de evitar:

A. La alteración de los datos.

B. El tratamiento o acceso no autorizado.

C. La pérdida de los datos.



TEMA 3 – Test

10. En los supuestos en que no sea necesario el consentimiento para el tratamiento de

datos de carácter personal, podrá el interesado oponerse a su tratamiento, siempre que

una Ley no disponga lo contrario:

A. Aunque no existan motivos legítimos para ello.

B. Cuando existan motivos fundados y legítimos relativos a una concreta

situación personal.

C. En cualquier caso.

D. Aunque no existan motivos fundados para ello.

La protección de datos: fundamentos, obligaciones de registro y medidas de seguridad

Documents

Transcript of La protección de datos: fundamentos, obligaciones de registro y medidas de seguridad