LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE...

Asignatura: Derecho de las Tecnologías de la Información Coordinadora: Mª Nieves de la Serna Bilbao

Lección 3: Derecho Fundamental a la Protección de Datos en España

Esta obra está bajo una licencia de Creative Commons Reconocimiento‐NoComercial‐

CompartirIgual 3.0 España.

LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA

PROTECCIÓN DE DATOS EN ESPAÑA

PhD. Mª NIEVES DE LA SERNA BILBAO [email protected]

Profesora Titular de Derecho Administrativo Subdirectora del Máster Universitario en Derecho Telecomunicaciones, Protección

de Datos, Audiovisual y Sociedad de la Información Universidad Carlos III de Madrid

SUMARIO 1. Importancia del estudio del Derecho Fundamental a la Protección de Datos .......................... 4

2. Fundamento Constitucional del Derecho a la Protección de Datos .......................................... 6

3. Regulación del Derecho Fundamental a la Protección de Datos ............................................... 9

4. El régimen jurídico de la Protección de Datos .......................................................................... 11

4.1 Concepto de dato de carácter personal ............................................................................... 11

4.2 Ámbito de aplicación ........................................................................................................... 13

4.3 El Tratamiento de datos registrados en soporte físico ........................................................ 14

4.4 Tipos de ficheros .................................................................................................................. 15

4.5 El consentimiento ................................................................................................................. 19

4.6 La comunicación de los datos a un tercero ......................................................................... 22

4.7 El Responsable del Fichero y otras figuras ......................................................................... 24

4.8 Los datos especialmente protegidos..................................................................................... 27

4.9 Límites al ejercicio del Derecho a la Protección de Datos ................................................. 29

5. La Agencia Española de Protección de Datos y las Agencias Autonómicas ........................... 30

6. El régimen sancionador .............................................................................................................. 32

7. Bibliografía .................................................................................................................................. 35



2

LESSON 3: THE FUNDAMENTAL RIGHT TO PERSONAL DATA PROTECTION IN SPAIN

SUMMARY

1. Relevance of the Fundamental Right to Personal Data Protection study 4

2. Constitutional foundation of the Right to Data Protection 6

3. Regulation of the Fundamental Right to Personal Data Protection 8

4. Legal regime of Personal Data 10

4.1 Concept of Personal Data 10

4.2 Scope 12

4.3 Processing of data contained on physical records 13

4.4 Types of personal data filing systems 14

4.5 Consent of data subject 18

4.6 Disclosure of personal data to a third party 21

4.7 Data controller, data processor and transfers to third countries 23

4.8 Sensitive personal data 26

4.9 Limits on the exercise of the Right to Personal Data Protection 28

5. The Spanish Agency on Personal Data Protection and Regional Agencies 29

6. Penalty Regime 31

7. Bibliography 34

Abstract In Spain, the article 18.4 of the Constitution is the foundation of the fundamental right to personal data protection. More specifically, the constitutional provision establishes that “the law shall restrict the use of computing in order to guarantee the honour and personal and family privacy of citizens and the full exercise of their rights.” Accordingly, at present, the Organic Law 15/1999, of 13 December, on Protection of Personal Data, regulates data processing held by third parties in respect with personal data of individuals. From the perspective of constitutional traditions across the European Union, the German Constitutional Court has said that this fundamental right guarantees every individual the “right of self-determination” over the disclosure and use of data concerning their person. Accordingly, since the landmark Judgment 292/2000, a firmly established jurisprudence of the Spanish Constitutional Court has highlighted that the scope of the right to personal data is wider than that of the right to privacy. Moreover, such fundamental right guarantees not only privacy, but other personality rights such as reputation, and more broadly, the full exercise of fundamental rights against the illegitimate



3

the automated processing. The so-called habeas data is the “power of an individual to exercise control over their personal data, and to object the use of such data for purposes other than the legitimate interest which originally justified their collection.” The aim of this right is “preventing data from being unlawfully and unfairly traded in a harmful way for dignity and fundamental rights of data subject.” Thus, the aim of this Lesson is providing a comprehensive overview of the Spanish regulation of data processing, its governing principles, the requirements of data subject consent in order to be valid in respect of any data processing, including collection, modification, erasure, cancellation or disclosure to third parties, the roles and obligations of the data controller, the data processor and the conditions imposed on international transfers and flow of personal data. In this sense, the Spanish Law guarantees a power of disposal of and control over one’s personal data which enables each individual (i) to decide which data can be collected by third parties, either the State or private parties; (ii) to identify the holder of those personal data and the purposes of such collection and processing of the personal data held by third parties; (iii) to object such possession or use by third parties; (iv) to block and to cancel such data when the processing is not consistent with legal requirements or when data are inaccurate or incomplete. Finally, the Lesson will also examine the powers of the national authority in this matter, namely the Spanish Agency on Personal Data Protection and its important role in protecting personal data and in providing relevant guidelines to construe and to apply current legislation on personal data and the impact of information technologies on this fundamental right.



4

1. Importancia del estudio del Derecho Fundamental a la Protección de Datos

Fig. 1 Diapositiva nº 4

Conocer y difundir qué supone el Derecho Fundamental a la Protección de Datos y qué

garantías ofrece, es una tarea hoy en día esencial. Su conocimiento, hace posible que

todas las personas –tanto físicas como jurídicas- respeten este derecho, y por otro lado

los titulares de los datos, pueden exigir su cumplimiento. De esta forma, se protege no

sólo la libertad y la dignidad personal sino también, el libre ejercicio de todos los

derechos.

El conocimiento de éste Derecho y las garantías que el mismo ofrece en una sociedad

tecnológica como la actual, es un requisito necesario e imprescindible para evitar

sorpresas desagradables que afecten a la vida privada de las personas. En efecto, el uso

de datos con fines no autorizados puede acarrear consecuencias muy perjudiciales para

las personas. Por ello, se insiste en la necesidad de conocer este Derecho dado que el

desarrollo y modernización de la sociedad se encuentra directamente vinculada con el

uso de las Tecnologías de la Información y comunicación –TIC-.



5

No es posible ignorar que las personas que integran nuestra sociedad, utilizan todas

ellas TIC, algunas incluso en todos los ámbitos de su vida -laboral, social, cultural, etc.-.

Sin embargo, a pesar de ser una herramienta muy útil y necesaria, muchas de ellas

desconocen los peligros que el uso de las mismas puede acarrear a derechos tan

relevantes como el Derecho Fundamental a la Protección de Datos, a la intimidad, al

Honor, a la dignidad o a la libertad de su persona. Son muchos los ejemplos que se

pueden citar, pero en particular, cabe mencionar, el importante uso que hoy en día se

hace de las redes sociales y la cantidad de datos personales que se publican en ellas,

bien por los propios titulares de los datos bien por terceros, sin que en muchos casos se

cumpla con la normativa de protección de datos. También cabe destacar, el uso que se

otorga a los datos personales que una empresa o persona detenta con otras finalidades

distintas a la que originariamente fueron recogidas, sin cumplimiento de las exigencias

que la normativa de protección de datos determina.

En conclusión, hoy en día es necesario que todas las personas conozcan el Derecho a la

Protección de Datos y las garantías que el mismo ofrece. Esto permite, por un lado, que

todos cumplan y respeten este Derecho y, por otro, que se exija su cumplimiento.

Desde aquella perspectiva, el trabajo que se presenta pretende explicarlos aspectos

esenciales que se deben conocer sobre el Derecho Fundamental a la Protección de

Datos, para respetar y hacer respetar el mismo en todos los ámbitos de actuación de una

persona, sea ésta física o jurídica.



6

2. Fundamento Constitucional del Derecho a la Protección de Datos

Fig 2 Diapositiva nº 5

En España, el reconocimiento de este Derecho Fundamental a la Protección de Datos se

produce en el año 1978, con la aprobación de la Constitución Española. Su artículo 18.4

dispone:

“La ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus

derechos.”

Cuando el Constituyente incluyó este precepto, ya era consciente de los riesgos que

entrañaba, en aquel entonces, el uso de la informática para los derechos de las personas.

Para evitar el mayor daño posible incorpora, por el mencionado artículo 18.4 del Texto

Constitucional, un instituto de garantía "como forma de respuesta a una nueva forma de

amenaza concreta a la dignidad y a los derechos de la persona", pero a la vez,

considerado "en sí mismo, un derecho o libertad fundamental" (STC 254/1993, de 20 de



7

julio, FJ 6), y encomienda al legislador a través del citado precepto, que desarrolle la

garantía del Derecho Fundamental a la Protección de Datos.

Como bien destaca el Tribunal Constitucional, el Derecho fundamental a la Protección

de Datos, se convierte en un elemento de garantía de valores muy relevantes, tales como

la dignidad, la libertad y la seguridad. Todos aquellos valores entroncan de forma

directa con los principios de Democracia y Estado de Derecho, reconocidos como base

de la Unión Europea en el mismo preámbulo de la Carta de los Derechos

Fundamentales Europea, tal como ya hemos visto.

Igualmente, para el citado Tribunal Constitucional este instituto, es una garantía de los

Derechos fundamentales a la intimidad y al honor, pero también, del pleno disfrute de

los restantes derechos de los ciudadanos. El alto Tribunal indica que el Derecho

Fundamental a la Protección de Datos es, en sí mismo, "un derecho o libertad

fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y

a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado

de datos”, que la Constitución llama “la informática’", y que el citado Tribunal

denomina el “Derecho fundamental a la Protección de Datos” (STC 292/2000 de 30 de

noviembre).

Para el Alto Tribunal el Derecho fundamental a la protección de datos “garantiza a la

persona un poder de control y disposición sobre sus datos personales. Pues confiere a

su titular un haz de facultades que son elementos esenciales del derecho fundamental a

la protección de los datos personales, integrado por los derechos que corresponden al

afectado a consentir la recogida y el uso de sus datos personales y a conocer los

mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee

sus datos personales y con qué finalidad, así como el derecho a o ponerse a esa

posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de

tales datos.

En suma, para el citado Tribunal el derecho fundamental “comprende un conjunto de

derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o



8

privados, de ficheros de datos personales, partiendo del conocimiento de tales ficheros

y de su contenido, uso y destino, por el registro de los mismos.” (STC 290/2000)

Como bien diferencia el Alto Tribunal, el objeto del Derecho a la Protección de Datos

no es proteger la intimidad individual de las personas -para ello está la protección que

otorga el art. 18.1 CE-, sino los datos de carácter personal de aquellas -STC 290/200 y

292/2000-. Para el citado Tribunal, la intimidad individual confiere a la persona el poder

jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera

íntima de la persona y la prohibición de hacer uso de lo así conocido. Sin embargo, el

derecho a la protección de datos, atribuye a su titular un haz de facultades consistente en

diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se

contienen en el derecho fundamental a la intimidad, y que sirven a la capital función

que desempeña este derecho fundamental: garantizar a la persona un poder de control

sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los

mencionados deberes de hacer. En consecuencia, aquel poder se concreta en el derecho

a que se requiera el previo consentimiento para la recogida y uso de los datos

personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el

derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de

disposición sobre los datos personales1.

1 La LORTAD ya apuntaba esta diferencia al expresar en su Exposición de Motivos que el Derecho a la Protección de datos es más amplio que el Derecho a la intimidad “pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado.



9

3. Regulación del Derecho Fundamental a la Protección de Datos Fig. 3 Diapositiva nº 6

El desarrollo legislativo del artículo 18.4 de la Constitución tiene lugar en el año 1992,

cuando se aprueba la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del

Tratamiento Automatizado de los Datos de Carácter Personal, ley más conocida por sus

siglas LORTAD y vigente hasta el 14 de enero de 2000. La citada disposición, como

bien expresa en su Exposición de Motivos, desarrolla el artículo 18.4 CE y emplaza al

legislador a limitar el uso de la informática para garantizar el honor, la intimidad

personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos”. La

citada norma, articula diversas garantías “contra la posible utilización torticera de ese

fenómeno de la contemporaneidad que es la informática”.

Igualmente, la LORTAD, destaca el peligro en el que se encuentra lo que denominada

“privacidad” como consecuencia del progresivo desarrollo de las técnicas de

recolección y almacenamiento de datos y de acceso a los mismos que ha expuesto a la

misma a una amenaza potencial antes desconocida”. Para la citada normativa, la

privacidad es un concepto más amplio que intimidad en tanto que “la privacidad

constituye un conjunto, más amplio, más global, de facetas de su personalidad que,



10

aisladamente consideradas, pueden carecer de significación intrínseca pero que,

coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la

personalidad del individuo que éste tiene derecho a mantener reservado”.

En el año 1999, la LORTAD es derogada por la Ley Orgánica 15/1999, de 15 de

diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), norma

ésta, posteriormente desarrollada por el Real Decreto 1720/2007, de 21 de diciembre,

por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 15 de

diciembre, de Protección de Datos de Carácter Personal (en adelante, RLOPD).

La normativa antes señalada determina el régimen básico y obligatorio del Derecho a la

Protección de Datos, pero no es la única. Existe un importante grupo de normas que

complementan esta regulación en sectores concretos. Baste señalar, a mero título de

ejemplo:

a) La Ley 41/2002, de Ley 41/2002, de 14 de noviembre, básica reguladora de la

autonomía del paciente y de derechos y obligaciones en materia de información y

documentación clínica, que contiene una regulación muy importante en materia de datos

sanitarios, a la que se debe sumar la regulación autonómica existente en la materia.

c) La Ley 14/2007, de 3 de julio, de Investigación biomédica, es otro ejemplo. Esta

norma junto con su normativa reglamentaria, es esencial a la hora de estudiar la

Protección de Datos en materia de investigación médica y resulta de especial mención,

la regulación que la misma contiene, sobre el dato genético.

d) La nueva Ley 9/2014, de 9 de mayo, de Telecomunicaciones, regula la interceptación

legal de las telecomunicaciones y la conservación de datos, entre muchos otros temas de

interés en este sector y traspone Directivas europeas específicas de protección de datos2

2 Véase al respecto la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, más conocida como Directiva sobre la privacidad y las comunicaciones electrónicas y que presente Directiva afecta principalmente al tratamiento de datos de carácter personal en el marco de la prestación de servicios de comunicaciones.



11

e) Finalmente, no podemos dejar de mencionar, la Ley 34/2002, de 11 de julio, de

servicios de la sociedad de la información y de comercio electrónico, cuya incidencia en

este ámbito es por todos conocida.

4. El régimen jurídico de la Protección de Datos

4.1 Concepto de dato de carácter personal Fig. 4 Diapositiva nº 8

De acuerdo con lo dispuesto por el artículo 2.3 de la LOPD

“La presente Ley Orgánica será de aplicación a los datos de carácter personal

registrados en soporte físico que los haga susceptibles de tratamiento, y a toda

modalidad de uso posterior de estos datos por los sectores público y privado”

La propia LOPD - artículo 3 a) -define los datos de carácter personal como:

“Cualquier información concerniente a personas físicas identificadas o identificables”

Téngase en cuenta también que esta Directiva europea ha sido objeto de múltiples modificaciones.



12

Y el RLOPD precisa aquellos como

“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de

cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Por su parte, se define el Tratamiento de datos: como “Operaciones y procedimientos

técnicos de carácter automatizado o no, que permitan la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación, así como las

cesiones”

En este sentido, es preciso señalar que, cuando se menciona el concepto de dato, éste

sólo se refiere a aquellos datos que conciernen a las personas físicas, no a las personas

jurídicas –salvo alguna excepción-.

Sin embargo, no se consideran datos de carácter personal los datos disociados o

anonimizados que son aquellos que

“no permite la identificación de un afectado o interesado”

Por otro lado, los datos no se reducen sólo a los datos íntimos de la persona física sino

que comprende también cualquier tipo de dato personal, sea o no íntimo, y cuyo

conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no

fundamentales. De ahí que la protección comprenda todos los datos de una persona,

incluso aquellos que en principio puedan parecer poco relevantes, como el color de pelo

o de ojos, el número de calzado, los colores preferidos, etc..

También dentro del concepto de dato, se comprende los datos personales públicos, que

por el hecho de serlo, es decir, ser accesibles al conocimiento de cualquiera, no escapan

al poder de disposición del afectado porque así lo garantiza su derecho a la protección

de datos. Igualmente, el que los datos sean de carácter personal, no significa que sólo

tengan protección los relativos a la vida privada o íntima de la persona, sino que los

datos amparados por este Derecho, son todos aquellos que identifiquen o permitan la

identificación de la persona, pudiendo servir para la confección de su perfil ideológico,



13

racial, sexual, económico o de cualquier otra índole, o para cualquier otra utilidad que

en determinadas circunstancias constituya una amenaza para el individuo.

Por tanto, el concepto de dato es muy amplio y, dentro de él se comprende a todos los

datos que se refieren a las personas físicas, incluidas las imágenes.

4.2 Ámbito de aplicación


De acuerdo con la LOPD, todos los datos de carácter personal de las personas físicas, en

los términos antes expuestos, se encuentran sujetos a su regulación, salvo los que ella

expresamente excluya de su aplicación y, baste aclarar, que sólo ellos son los excluidos

y no otros. Por tanto, se rige por la LOPD, todo tratamiento de datos de carácter

personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.



14

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

No será de aplicación la LOPD, en los siguientes supuestos:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Finalmente, señalar que existe una aplicación supletoria de la LOPD y se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la LOPD, los siguientes tratamientos de datos personales:

a) Los ficheros regulados por la legislación de régimen electoral.

b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.

d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

4.3 El Tratamiento de datos registrados en soporte físico

Cabe destacar que el régimen jurídico de la protección de datos se extiende a los datos

de carácter personal que estén registrados en un soporte físico que los haga susceptibles

de tratamiento y a toda modalidad de uso posterior de los datos por los sectores público

y privado ( artículo 2. 1 de la Ley Orgánica 15/1999), que viene a trasponer el artículo 3



15

de la Directiva 95/46 CE, del Parlamento Europeo y del Consejo, de 24 de octubre de

1995 que señala que “sus disposiciones se aplicarán al tratamiento total o parcialmente

automatizado de datos de carácter personal, así como al tratamiento no automatizado

de datos personales contenidos o destinados a ser incluidos en un fichero.”

Por tanto comprende tanto los tratamientos automatizados como aquellos no

automatizados, que comprende también aquellos que se encuentran en papel.

4.4 Tipos de ficheros


Los datos de carácter personal, que acabamos de definir, para ser objeto de protección

deben ser tratados, es decir, y estar incluidos en un fichero, considerado por la propia

norma (artículo 3.b).), como

"conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o

modalidad de su creación, almacenamiento, organización y acceso".

El fichero que así se vaya a constituir, se encuentra sometido a la LOPD y,

consecuentemente, es obligatoria su inscripción en el Registro General de Protección de



16

Datos por parte del responsable del fichero antes de la introducir ningún dato. En este

sentido, cabe señalar que el artículo 26 de la LOPD, titulado “Notificación e inscripción

registral” expresa que:

"Toda persona o entidad que proceda a la creación de ficheros de datos de carácter

personal lo notificará previamente a la Agencia Española de Protección de Datos. Por

vía reglamentaria se procederá a la regulación detallada de los distintos extremos que

debe contener la notificación, entre los cuales figurarán necesariamente el responsable

del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal

que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto

exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su

caso, las transferencias de datos que se prevean a países terceros. Deberán

comunicarse a la Agencia Española de Protección de Datos los cambios que se

produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección

de su ubicación. El Registro General de Protección de Datos inscribirá el fichero si la

notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se

completen los datos que falten o se proceda a su subsanación. Transcurrido un mes

desde la presentación de la solicitud de inscripción sin que la Agencia Española de

Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero

automatizado a todos los efectos."

En consecuencia, la notificación de los ficheros siempre debe ser previa a la

introducción de datos y cabe señalar que la ausencia de dicha notificación es

constitutiva de infracción leve, con arreglo a lo dispuesto en el artículo 44.2.c) de la

propia Ley y puede conllevar una sanción de 900 a 40.000 euros. De ahí que todos los

ficheros en los que se incluyan datos de las personas, cualquiera sean éstos, siempre que

permitan identificar a quien pertenecen –o ser identificables- deben estar inscriptos.

La LOPD diferencia entre ficheros de titularidad pública y ficheros de titularidad

privada. Ambos cuentan con un régimen distinto.



17

Para los Ficheros de Titularidad Pública se indica que pueden ser responsables los

Órganos constitucionales o con relevancia constitucional del Estado o las Instituciones

Autonómicas con funciones análogas a los mismos, las Administraciones Públicas

territoriales, así como las entidades u organismos vinculados o dependientes de las

mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio

de potestades de derecho público. La creación de los citados ficheros se debe realizar

mediante disposición de carácter general publicada en el «Boletín Oficial del Estado» o

Diario oficial correspondiente. Las citadas disposiciones, deben indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter

personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero y la descripción de los tipos de datos de

carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de

datos que se prevean a países terceros.

f) Los órganos de las Administraciones responsables del fichero.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de

acceso, rectificación, cancelación y oposición.

h) Las medidas de seguridad con indicación del nivel básico, medio o alto

exigible.

Por su parte, los responsables de los Ficheros de Titularidad Privada, pueden ser las

personas, empresas o entidades de derecho privado, con independencia de quien ostente

la titularidad de su capital o de la procedencia de sus recursos económicos, así como los

ficheros de los que sean responsables las Corporaciones de derecho público, en cuanto

dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de

derecho público que a las mismas atribuye su normativa específica” . Su creación sólo

es posible cuando resulte necesario para el logro de la actividad u objeto legítimos de la

persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para

la protección de las personas. Su creación se debe notificar previamente a la Agencia de



18

Protección de Datos y una vez aceptada por ésta se procederá a la inscripción, momento

en el cual puede comenzarse a introducir los datos. Dicha notificación debe contener

necesariamente la personas que será responsable del fichero, la finalidad del mismo, su

ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad,

con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter

personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean

a países terceros. Siempre se debe comunicar a la Agencia de Protección de Datos los

cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y

en la dirección de su ubicación3.

Todo fichero, debe cumplir con los principios de protección de datos recogidos en la

LOPD. Se trata de los principios recogidos en el artículo 4, es decir, de calidad de los

datos, el derecho de información en la recogida de los mismos, el principio de datos

especialmente protegidos, la seguridad de los datos, el deber de secreto, la

comunicación de los datos y el acceso a los mismos por cuenta de terceros.

3 Véase, al respecto, la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático («B.O.E.» 31 julio)



19

4.5 El consentimiento

Fig. 7 Diapositiva 11

Con carácter general y, de acuerdo con la LOPD y su normativa de desarrollo, todo

tratamiento de datos personales precisa del “consentimiento” del titular del dato, en

nuestro caso, de la persona mayor o, en su caso, de su representante. Recordemos en

este sentido que el Tribunal Constitucional –STC 292/2000- ha indicado que constituye

un elemento característico del Derecho Fundamental de Protección de Datos, el derecho

del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los

mismos. Como bien indica el citado Tribunal, “el contenido del derecho fundamental a

la protección de datos consiste en un poder de disposición y de control sobre los datos

personales que faculta a la persona para decidir cuáles de esos datos proporcionar a

un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que

también permite al individuo saber quién posee esos datos personales y para qué,

pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre

los datos personales, que constituyen parte del contenido del derecho fundamental a la

protección de datos se concretan jurídicamente en la facultad de consentir la recogida,

la obtención y el acceso a los datos personales, su posterior almacenamiento y



20

tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un

particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o

no, de los datos personales, requiere como complementos indispensables, por un lado,

la facultad de saber en todo momento quién dispone de esos datos personales y a qué

uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.”

En consecuencia el consentimiento es clave en el Derecho fundamental a la Protección

de Datos. El consentimiento es definido como “toda manifestación de voluntad, libre,

inequívoca, específica e informada, mediante la que el interesado consienta el

tratamiento de datos personales que le conciernen” (art. 3.h). De acuerdo condicha

definición el consentimiento debe reunir las siguientes características:

a) Manifestación voluntaria: es decir, que exprese que se está conforme con el

fin para el que el dato personal es tratado.

b) Libre, que el consentimiento se obtenga sin la intervención de vicio alguno

del consentimiento en los términos regulados por el Código Civil.

c) Inequívoca: que no exista duda alguna sobre la prestación de dicho

consentimiento, que aparezca como evidente4.

c) Específica, referido a una determinada operación de tratamiento y para una

finalidad concreta, explícita y legítima del responsable del tratamiento, tal y

como impone el artículo 4.2 de la LOPD.

d) Informada: el consentimiento, además de previo, específico e inequívoco,

deberá ser informado. Esta información debe ser plena y exacta acerca del tipo 4 La Sentencia de la Audiencia Nacional de 21 de noviembre de 2007 indicaba al respecto que el legislador, al utilizar este término acudió a un criterio sustantivo, es decir, indicativo de que cualquiera que sea la forma que revista el consentimiento éste ha de aparecer como evidente, es decir, que no admite duda o equivocación. Es por tanto, éste y no otro es el significado del adjetivo utilizado –inequívoco- para calificar al consentimiento. Por ello, cuando existan presunciones o alusiones a la publicidad de sus datos en otro lugar, resulta, a todas luces, irrelevante, pues dar carta de naturaleza a este tipo de interpretaciones pulverizaría esta exigencia esencial del consentimiento, porque dejaría de ser inequívoco para ser “equivoco”, es decir, su interpretación admitiría varios sentidos y, por esta vía, se desvirtuaría la naturaleza y significado que desempeña como garantía en la protección de los datos, e incumpliría la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde únicamente a su titular.



21

de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o

retirar el consentimiento. La información así configurada debe tomarse como un

presupuesto necesario para otorgar validez a la manifestación de voluntad del

afectado

Por su parte, el artículo 6 de la LOPD y, en igual sentido el art. 10 del Reglamento,

determina que: “1. El tratamiento de los datos de carácter personal requerirá el

consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

Al respecto, el apartado 2 del artículo 6 señala que no es preciso contar con el mismo

en los siguientes supuestos:

a) Cuando los datos de carácter personal se recojan para el ejercicio de las funciones

propias de las Administraciones Públicas en el ámbito de sus competencias;

b) Cuando se refieran a las partes de un contrato o precontrato de una relación

negocial, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento;

c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del

interesado en los términos del artículo 7, apartado 6, de la presente Ley,

d) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el responsable del

fichero o por el del tercero a quien se comuniquen los datos, siempre que no se

vulneren los derechos y libertades fundamentales del interesado.

Ahora bien, el consentimiento se puede otorgar de distintas formas5:

a) De forma expresa, manifestado mediante un acto positivo y declarativo la

voluntad del sujeto afectado

5 Véase en este sentido las numerosas Sentencias del Tribunal Supremo que al respecto existen, entre las que cabe destacar, las STSs de 26 de mayo de 1.986 o la de 11 de junio de 1.991que interpretan el artículo 1.253 del Código Civil.



22

b) De forma tácita, es decir, cuando pudiendo manifestar un acto de voluntad

contrario, éste no se lleva a cabo. En otras palabras, cuando el silencio se

presume o se presupone como un acto de aquiescencia o aceptación.

c) De forma presunta, no se deduce ni de una declaración ni de un acto de

silencio positivo, sino de un comportamiento o conducta que implica aceptación

de un determinado compromiso u obligación.

A efectos de lo dispuesto en la LOPD, tan sólo son aceptables los dos primeros modos

de prestar el consentimiento, es decir, el expreso y el tácito, no admitiéndose bajo

ningún punto de vista el consentimiento presunto.

4.6 La comunicación de los datos a un tercero

Los datos de carácter personal objeto de tratamiento sólo pueden ser comunicados a un

tercero para el cumplimiento de fines directamente relacionados con las funciones

legítimas del cedente y del cesionario y siempre que exista previo consentimiento del

interesado. Esta figura, se denomina Comunicación de datos o también cesión de datos.

La misma es definida como:

“toda revelación de datos realizada a una persona distinta del interesado” –art. 3 i

LOPD.

Para que dicha cesión sea legítima la regulación legal establece ciertas limitaciones e

indica que sólo se podrán comunicar a un tercero para el cumplimiento de fines

directamente relacionados con las funciones legítimas del cedente y del cesionario con

el previo consentimiento del interesado y siempre que el cesionario cumpla con lo

dispuesto en la normativa de protección de datos. La Ley sólo permite ceder los datos

sin el consentimiento del titular en los siguientes supuestos:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.



23

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación

jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión

de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será

legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del

Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el

ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento

cuando la comunicación tenga como destinatario a instituciones autonómicas con

funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el

tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para

solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios

epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o

autonómica.

Finalmente, destacar que la LOPD considera nulo el consentimiento para la

comunicación de los datos de carácter personal a un tercero, cuando la información que

se facilita al interesado no le permita conocer la finalidad a que se destinan los datos

cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden

comunicar. En todo caso, tal como establece la LOPD, aquel a quien se comunican los

datos de carácter personal, cesionario, se obliga, por el solo hecho de la comunicación, a

la observancia de las disposiciones de la LOPD.



24

4.7 El Responsable del Fichero y otras figuras


De acuerdo con la LOPD, el Responsable del fichero o tratamiento, se define como

aquella “persona física o jurídica, de naturaleza pública o privada u órgano

administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Sobre

este sujeto recaen múltiples obligaciones que la propia Ley establece y en especial el

cumplimiento de lo dispuesto en el Título II. Garantizar, el cumplimiento de estos

preceptos resulta esencial en el ámbito de protección de datos, y su principal

responsable es el “Responsable del Fichero”. Así por ejemplo, el artículo 4 de la LOPD,

titulado Calidad de los Datos, dispone:

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.



25

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Igual de importante resulta el cumplimiento por parte de este sujeto, el “Responsable

del Fichero”, lo dispuesto por el artículo 5, que regula el Derecho de Información, o lo

dispuesto en el artículo 9, que se titular “Seguridad de los datos” o el artículo 10, que

concreta el “Deber de secreto”.

Todas aquellas funciones son esenciales para el correcto cumplimiento de la LOPD. En

este sentido son numerosas las resoluciones de la Agencia Española de Protección de

Datos. Así, por ejemplo, siempre, a quien corresponde acreditar que el consentimiento

fue otorgado por el titular del dato, es al responsable del fichero, a quien le corresponde

la obligación de guardar prueba documental, por cualquier medio valido en derecho,

conjugado con circunstancias concurrentes, para acreditar el consentimiento. Así el

artículo 12 RLOPD, al señalar que “corresponderá al responsable del tratamiento la

prueba de la existencia del consentimiento del afectado por cualquier medio de prueba

admisible en derecho.”.



26

Todas aquellas obligaciones conllevan para el responsable del tratamiento, en caso de

incumplimiento una sanción. Así por ejemplo, es una infracción grave, tipificada en el

artículo 44.3.d) de la LOPD, d) Tratar los datos de carácter personal o usarlos

posteriormente con conculcación de los principios y garantías establecidos en la

presente Ley o con incumplimiento de los preceptos de protección que impongan las

disposiciones reglamentarias de desarrollo, cuando no constituye infracción muy

grave.”; infracción que, de acuerdo con lo establecido en el artículo 45.2 y 4 de la

LOPD: será sancionada con multa de 60.101,21 € a 300.506,05 € (…)

Además del responsable del tratamiento, encontramos al “encargado del tratamiento”,

sujeto definido por el RLOPD como “La persona física o jurídica, pública o privada, u

órgano administrativo que, solo o conjuntamente con otros, trate datos personales por

cuenta del responsable del tratamiento o del responsable del fichero, como

consecuencia de la existencia de una relación jurídica que le vincula con el mismo y

delimita el ámbito de su actuación para la prestación de un servicio”.

En este caso, es precisa la existencia de un contrato que debe constar por escrito o en

alguna otra forma que permita acreditar su celebración y contenido. En el mismo, se

debe indicar, con carácter expreso que el encargado del tratamiento únicamente tratará

los datos conforme a las instrucciones del responsable del tratamiento, que no los

aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni

siquiera para su conservación, a otras personas. En el contrato, además, se deben

concretar las medidas de seguridad que el encargado del tratamiento está obligado a

implementar.

Una vez finalizada la prestación contractual, los datos de carácter personal deben ser

destruidos o devueltos por el encargado al responsable del tratamiento, al igual que

cualquier soporte o documentos en que conste algún dato de carácter personal objeto del

tratamiento.

Finalmente, destacar, que si el encargado del tratamiento destina los datos a otra

finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será



27

considerado también responsable del tratamiento, respondiendo de las infracciones en

que hubiera incurrido personalmente.

Por último, cabe mencionar al Exportador de datos y al importador de datos personales

definidos ambos por el RLOPD.

El primero se define como “la persona física o jurídica, pública o privada, u órgano

administrativo situado en territorio español que realice, conforme a lo dispuesto en el

presente Reglamento, una transferencia de datos de carácter personal a un país

tercero”.

Por su parte, se considera Importador de datos personales a “la persona física o

jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de

transferencia internacional de los mismos a un tercer país, ya sea responsable del

tratamiento, encargada del tratamiento o tercero.”

4.8 Los datos especialmente protegidos




28

Existen una serie de datos de carácter personal que cuentan con una protección especial,

singularmente reforzada, ya que forman parte la esfera más íntima de las personas.

Estos datos se los conoce como “datos especialmente protegidos”. La regulación de los

mismos se encuentra recogida en el artículo 7 de la LOPD.

Dentro de esta categoría de datos, se encuentran los siguientes grupos. Aquellos a) datos

relativos a su ideología, afiliación sindical, religión o creencias; b) los datos que aludan

al origen racial, a la salud y a la vida sexual y c) los datos relativos a la comisión de

infracciones penales o administrativas. Cada uno de ellos cuenta con un régimen

particular.

El régimen de los datos relativos a ideología, afiliación sindical, religión o creencias, es el siguiente:

a) Nadie podrá ser obligado a declarar sobre ellos

b) Cuando se proceda a recabar el consentimiento es obligatorio advertir al interesado

acerca de su derecho a no prestarlo.

c) Es necesario el consentimiento expreso y por escrito del afectado para tratarlos, a

excepción de los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,

confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin

ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a

los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos

datos precisará siempre el previo consentimiento del afectado.

d) Está prohibido crear ficheros con la finalidad exclusiva de almacenar este tipo de

datos de carácter personal.

En relación con el régimen de los datos de carácter personal relativos al origen racial, a

la afiliación sindical, a la salud y a la vida sexual cabe destacar:

a) Sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general,

así lo disponga una Ley o el afectado consienta expresamente.



29

b) Queda prohibidos crear ficheros con la finalidad exclusiva de almacenar estos datos

de carácter personal

c) Pueden ser tratados cuando dicho tratamiento resulte necesario para la prevención o

para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos

o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice

por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta

asimismo a una obligación equivalente de secreto.

d) También se pueden tratar estos datos cuando el tratamiento sea necesario para

salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el

afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Por último, en cuanto a los datos de carácter personal relativos a la comisión de

infracciones penales o administrativas indicar que sólo pueden ser incluidos en ficheros

de las Administraciones Públicas competentes en los supuestos previstos en las

respectivas normas reguladoras.

4.9 Límites al ejercicio del Derecho a la Protección de Datos

Como bien ha destacado el Tribunal Constitucional, recordando la doctrina recogida en

numerosas sentencias, el derecho fundamental a la protección de datos cuenta con unos

límites claros. Recuerda el citado Tribunal que la Constitución menciona en el art. 105

b) que la ley regulará el acceso a los archivos y registros administrativos "salvo en lo

que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la

intimidad de las personas" (en relación con el art. 8.1 y 18.1 y 4 CE). En diversas

ocasiones, también el Tribunal ha dicho que la persecución y castigo del delito

constituye, asimismo, un bien digno de protección constitucional, a través del cual se

defienden otros como la paz social y la seguridad ciudadana. Bienes igualmente

reconocidos en los arts. 10.1 y 104.1 CE, que consideran a la distribución equitativa del

sostenimiento del gasto público y a las actividades de control en materia tributaria (art.

31 CE) como bienes y finalidades constitucionales legítimas capaces de restringir los

derechos del art. 18.1 y 4 CE.



30

Esta limitaciones, para ser válidas, deben estar legalmente previstas y ser indispensables

en una sociedad democrática, lo que implica que la ley que establezca esos límites sea:

a)Accesible al individuo concernido por ella,

b) Resulten previsibles las consecuencias que para él pueda tener su aplicación

c) Que los límites respondan a una necesidad social imperiosa

d) Que los mismos sean adecuados y proporcionados para el logro de su

propósito.

5. La Agencia Española de Protección de Datos y las Agencias Autonómicas


La Directiva 95/46/CE, indica en sus considerandos -62 y 63- que la existencia de una

autoridad de control que ejerza sus funciones con plena independencia en cada uno de

los Estados miembros constituye un elemento esencial de la protección de las personas

en lo que respecta al tratamiento de datos personales. Para cumplir con su finalidad, la



31

citada autoridad debe disponer de los medios necesarios para cumplir su función, ya se

trate de poderes de investigación o de intervención, en particular en casos de

reclamaciones presentadas a la autoridad o de poder comparecer en juicio. Igualmente,

la autoridad debe contribuir a la transparencia de los tratamientos de datos efectuados en

el Estado miembro del que dependa.

Para hacer efectivo dicho mandato, la LOPD crea a la Agencia Española de Protección

de datos, como un ente de derecho público, con personalidad jurídica propia y plena

capacidad pública y privada, que actúa con plena independencia de las

Administraciones públicas en el ejercicio de sus funciones. Se le atribuye bienes y

medios y se le permite elaborar su anteproyecto de presupuesto que será posteriormente

integrado, con la debida independencia, en los Presupuestos Generales del Estado. La

citada norma legal, le reconoce múltiples funciones, entre las que cabe destacar:

a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su

aplicación, en especial en lo relativo a los derechos de información, acceso,

rectificación, oposición y cancelación de datos.

b) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley

c) Atender las peticiones y reclamaciones formuladas por las personas afectadas y

proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal.

d) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de

éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos

a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la

cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

e) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la

presente Ley y publicar las resoluciones emitidas.



32

Las Comunidades Autónomas también pueden crear su órganos de protección de datos

para velar por la aplicación de la normativa de protección de datos correspondientes de

las Comunidades Autónomas siempre que afecten a ficheros de datos de carácter

personal creados o gestionados por las Comunidades Autónomas y por la

Administración Local de su ámbito territorial, por los órganos correspondientes de cada

Comunidad. Dichos órganos tendrán la consideración de autoridades de control, a los

que también se les debe garantizar plena independencia y objetividad en el ejercicio de

su cometido. Actualmente, existen en España la Agencia de Protección de Datos del

País Vasco y la Agencia de Protección de Datos Catalana. En el primer caso, su

regulación se contiene en la normativa básica que regula la Agencia, la Ley 2/2004, de

25 de febrero, del Parlamento Vasco, de Ficheros de Datos de Carácter Personal de

Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en el

caso de Cataluña, es la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de

Protección de Datos.

6. El régimen sancionador




33

Finalmente, baste señalar el régimen sancionador establecido por la LOPD. En primer

lugar, hay que partir destacando que dicho régimen es distinto según que la infracción

se cometa en un fichero de titularidad privada o en un fichero de titularidad pública. En

el primer caso, el régimen sancionador establecido en la propia LOPD es el aplicable

con imposición de las sanciones correspondientes. Sin embargo, si la infracción la

cometen las Administraciones públicas, la LOPD contiene un régimen distinto. En este

último caso, el órgano de protección de datos autonómico o, en su defecto, el estatal,

dictará una resolución estableciendo las medidas que procede adoptar para que cesen o

se corrijan los efectos de la infracción. Esta resolución se notifica al responsable del

fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera pero

no se aplica una sanción económica. El órgano sancionador, en este caso, también

puede proponer la iniciación de actuaciones disciplinarias, si procedieran, de acuerdo la

legislación sobre régimen disciplinario de las Administraciones Públicas.

Las infracciones que la LOPD se califican en leves, graves y muy graves y las multas

que se puede aplicar oscilan entre 900 a 40.000 euros para las leves, .entre 40.001 a

300.000 euros para las graves y entre 300.001 a 600.000 euros para las muy graves.

El artículo 45, apartado 4 establece los criterios para su graduación, la que atenderá a la

naturaleza de los derechos personales afectados, al volumen de los tratamientos

efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a

los daños y perjuicios causados a las personas interesadas y a terceras personas, y a

cualquier otra circunstancia que sea relevante para determinar el grado de

antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Si se aprecia por el órgano sancionador una cualificada disminución de la culpabilidad

del imputado o de la antijuridicidad del hecho, puede establece la cuantía de la sanción

aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en

gravedad a aquella en que se integra la considerada en el caso que se trate.

Excepcionalmente el órgano sancionador también puede, no acordar la apertura del

procedimiento sancionador y, en su lugar, apercibir al sujeto responsable. El



34

apercibimiento persigue que el responsable del tratamiento o fichero adopte medidas

correctoras que en cada caso resultasen pertinentes en el plazo que se determine . Para

que se pueda aplicar el apercibimiento es preciso que concurran los siguientes

presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido por el responsable en el plazo que se estableció

se debe proceder a la apertura del correspondiente procedimiento sancionador por

dicho incumplimiento.



35

7. Bibliografía

Resulta imposible citar en este lugar toda la bibliografía existente sobre esta

materia

DAVARA RODRIGUEZ, M.A; La protección de datos en Europa, Madrid, 1998

de la SERNA BILBAO, M.N. “Comentario al artículo 3.j) de la LOPD”, en Comentario

a la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,

Madrid, 2010

de la SERNA BILBAO, M.N; “La agencia de Protección de datos española: con

especial referencia a su característica de independiente”, en Actualidad Informática

Aranzadi, núm. 22, 1997, págs. 1 y ss

FONSECA FERRANDIS, F, “Comentario al artículo 2 de la LOPD”, en Comentario a

la Ley Orgánica de protección de datos de carácter personal, edit. Thomson Civitas,

Madrid, 2010.

HEREDERO HIGUERAS, M.; Comentarios a la Ley Orgánica 5/1992, de 6 de

octubre, Reguladora del Tratamiento Automatizado de Datos de Carácter Personal,

edit. Civitas, Madrid, 1993

MARTINEZ MARTINEZ, R; Una aproximación crítica a la autodeterminación

informativa, Thomson/Civitas, Madrid, 2004

MURILLO DE LA CUEVA, P.L; El derecho a la autodeterminación informativa, edit.

Tecnos, Madrid, 1990;

MURILLO DE LA CUEVA, P.L; Informática y protección de datos, en Centro de

Estudios Constitucionales, Madrid, 1993

MURILLO DE LA CUEVA, P.L “La construcción del derecho a la autodeterminación

informativa y las garantías para su efectividad, en El Derecho a la Autodeterminación

informativa, edit. Fundación Coloquio Jurídico Europeo, Madrid, 2009.



36

PEREZ LUÑO, A “Los Derechos Humanos en la sociedad tecnológica”, en Cuadernos

y Debates, Centro de Estudios Constitucionales, Madrid, 1989.

PIÑAR MAÑAS, J.L., “La protección de datos: origen, situación actual y retos de

futuro”, en El derecho a la autodeterminación informativa, Fundación Coloquio

jurídico Europeo, Madrid, 2009

RALLO, ARTEMI; Derecho y redes sociales; edit Civitas/Thomson; 2010.

ROMEO CASABONA, C. Persona identificada o identificable, el afectado o interesado

y el procedimiento de disociación en la protección de datos de carácter personal; en

Comentario a la Ley Orgánica de protección de datos de carácter personal, edit.

Thomson Civitas, Madrid, 2010

TRONCOSO REIGADA, A; La Protección de Datos Personales , edit. Tirant lo Blanch, 2011

VIZCAINO CALDERON M; Comentarios a la Ley Orgánica de Protección de Datos

de carácter personal, edit Civitas, Madrid, 2001

VVAA, Comentario a la Ley Orgánica de protección de datos de carácter personal,

Director TRONCOSO REIGADA A, edit. Thomson/Civitas, Madrid, 2010

VVAA, Comentarios al reglamento de desarrollo de la Ley orgánica 15/1999, de 13

de diciembre, de protección de datos de carácter personal, Directores PALOMAR

OLMEDA y GONZALEZ-ESPEJO, Thomson/Cívitas, Madrid, 2009.

LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE...

Documents

Transcript of LECCIÓN 3: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE...