You are on page 1of 118

INDICE

UNIDAD 1: CONCEPTOS BSICOS


1-Definiciones
2-Objeto y mbito de Aplicacin de la Ley Orgnica de Proteccin de Datos
(L.O.P.D.)

UNIDAD 2: PRINCIPIOS DE LA LOPD
1- Consentimiento del afectado
2- Informacin en la Recogida de Datos
3- Deber de secreto
4- Calidad de los datos
5- Seguridad de los datos

Unidad 3 DERECHOS DE LOS AFECTADOS
1- Derechos de Acceso, Rectificacin y Cancelacin
2- Otros derechos de los titulares de los datos

Unidad 4 TRATAMIENTO DE DATOS PERSONALES Y FICHEROS
1-Los Datos Personales
2-Los ficheros y sus niveles de seguridad

Unidad 5 MEDIDAS DE SEGURIDAD A ADOPTAR
1-Medidas de Seguridad para ficheros automatizados
2-Medidas de Seguridad para ficheros no automatizados
3- Medidas Organizativas
4.- Roles y funciones en materia de LOPD

Unidad 6 - LA AGENCIA DE PROTECCIN DE DATOS
1-Funciones de la Agencia
2-Las Infracciones y las Sanciones

Unidad 7 EL DOCUMENTO DE SEGURIDAD

1- Delimitacin de los ficheros
2.- Redaccin del Documento de Seguridad

Unidad 8 LA AUDITORA BIENAL
1-Objeto y Alcance
2- Equipo Auditor
3- Tipos de Auditora
4-Estructura de un Informe de Auditora

Unidad 9 - INSCRIPCIN DE FICHEROS EN LA AGENCIA DE
PROTECCIN DE DATOS
1-Pasos a seguir
2-Instrucciones para cumplimentar el modelo de notificacin de ficheros

Unidad 10 - LA WEB DE LA AGENCIA
1-Bsqueda de ficheros
2-Canal del Responsable del fichero

Unidad 11 APLICACIN PRCTICA DEL RLOPD EN SISTEMAS
OPERATIVOS WINDOWS

Unidad 12 CASOS CONCRETOS LOPD: FICHEROS ESPECFICOS
1- Ficheros de Solvencia Patrimonial y Crdito
2- Ficheros de Bolsa Empleo, Tratamiento de currculums vital
3- Tratamiento para actividades de publicidad y prospeccin comercial
4- Ficheros de Comunidad de Propietarios
5- Ficheros de Videovigilancia
6- Fichero de Nminas Personal
7- Fichero de Plizas

Unidad 13 OTRAS NORMATIVAS RELACIONADAS CON LA LOPD

Unidad 14 NO OLVIDAR

Unidad 15 - CASOS PRCTICOS: IMPLANTACIN DE LA LOPD EN
EMPRESA


OBJETIVOS DEL CURSO:

El curso AUTO IMPLANTACIN PRCTICA DE LA LOPD, es un curso dirigido a
directores de seguridad, auditores, consultores de seguridad, directores de
tecnologa y en definitiva a todos aquellos profesionales que estn interesados
en la implantacin de la LOPD en una empresa.
El objetivo del curso en profundizar y conocer los conceptos, interpretaciones,
principios inspiradores y procesos prcticos para la implantacin y plena
adecuacin de la organizacin a la normativa vigente en materia de proteccin
de datos personales.
Durante el curso estudiaremos y trabajaremos en:
Estudio de antecedentes y marco normativo.
Adecuacin del tratamiento de los datos de la Organizacin a la Ley
Orgnica 15/1999, de 11 de diciembre, de proteccin de datos de
carcter personal: Anlisis e interpretacin de conceptos recogidos en la
normativa.
Anlisis de las obligaciones, principios y derechos referenciados al
rgimen de infracciones y sanciones recogidas en este ordenamiento.
Identificacin de activos de informacin y anlisis de situacin de
empresa.
Estudio de Implementacin de las obligaciones legales recogidas en la
LOPD.
Estudio prctico del Documento de Seguridad en la Ley de proteccin de
Datos (RD 1720/2007, de 21 de diciembre, por el que se aprueba el
reglamento de medidas de seguridad: Anlisis jurdico / tcnico y
elaboracin del Documento de Seguridad)














INDICE
UNIDAD 1: CONCEPTOS BSICOS
1-Definiciones
2-Objeto y mbito de Aplicacin de la Ley Orgnica de Proteccin de Datos
(L.O.P.D.)

UNIDAD 2: PRINCIPIOS DE LA LOPD
1- Consentimiento del afectado
2- Informacin en la Recogida de Datos
3- Deber de secreto
4- Calidad de los datos
5- Seguridad de los datos

Unidad 3 DERECHOS DE LOS AFECTADOS
1- Derechos de Acceso, Rectificacin y Cancelacin
2- Otros derechos de los titulares de los datos

Unidad 4 TRATAMIENTO DE DATOS PERSONALES Y FICHEROS
1-Los Datos Personales
2-Los ficheros y sus niveles de seguridad

Unidad 5 MEDIDAS DE SEGURIDAD A ADOPTAR
1-Medidas de Seguridad para ficheros automatizados
2-Medidas de Seguridad para ficheros no automatizados
3- Medidas Organizativas
4.- Roles y funciones en materia de LOPD

Unidad 6 - LA AGENCIA DE PROTECCIN DE DATOS
1-Funciones de la Agencia
2-Las Infracciones y las Sanciones

Unidad 7 EL DOCUMENTO DE SEGURIDAD

1- Delimitacin de los ficheros
2.- Redaccin del Documento de Seguridad

Unidad 8 LA AUDITORA BIENAL
1-Objeto y Alcance
2- Equipo Auditor
3- Tipos de Auditora
4-Estructura de un Informe de Auditora

Unidad 9 - INSCRIPCIN DE FICHEROS EN LA AGENCIA DE
PROTECCIN DE DATOS
1-Pasos a seguir
2-Instrucciones para cumplimentar el modelo de notificacin de ficheros

Unidad 10 - LA WEB DE LA AGENCIA
1-Bsqueda de ficheros
2-Canal del Responsable del fichero

Unidad 11 APLICACIN PRCTICA DEL RLOPD EN SISTEMAS
OPERATIVOS WINDOWS

Unidad 12 CASOS CONCRETOS LOPD: FICHEROS ESPECFICOS
1- Ficheros de Solvencia Patrimonial y Crdito
2- Ficheros de Bolsa Empleo, Tratamiento de currculums vital
3- Tratamiento para actividades de publicidad y prospeccin comercial
4- Ficheros de Comunidad de Propietarios
5- Ficheros de Videovigilancia
6- Fichero de Nminas Personal
7- Fichero de Plizas

Unidad 13 OTRAS NORMATIVAS RELACIONADAS CON LA LOPD

Unidad 14 NO OLVIDAR

Unidad 15 - CASOS PRCTICOS: IMPLANTACIN DE LA LOPD EN
EMPRESA


OBJETIVOS DEL CURSO:

El curso AUTO IMPLANTACIN PRCTICA DE LA LOPD, es un curso dirigido a
directores de seguridad, auditores, consultores de seguridad, directores de
tecnologa y en definitiva a todos aquellos profesionales que estn interesados
en la implantacin de la LOPD en una empresa.
El objetivo del curso en profundizar y conocer los conceptos, interpretaciones,
principios inspiradores y procesos prcticos para la implantacin y plena
adecuacin de la organizacin a la normativa vigente en materia de proteccin
de datos personales.
Durante el curso estudiaremos y trabajaremos en:
Estudio de antecedentes y marco normativo.
Adecuacin del tratamiento de los datos de la Organizacin a la Ley
Orgnica 15/1999, de 11 de diciembre, de proteccin de datos de
carcter personal: Anlisis e interpretacin de conceptos recogidos en la
normativa.
Anlisis de las obligaciones, principios y derechos referenciados al
rgimen de infracciones y sanciones recogidas en este ordenamiento.
Identificacin de activos de informacin y anlisis de situacin de
empresa.
Estudio de Implementacin de las obligaciones legales recogidas en la
LOPD.
Estudio prctico del Documento de Seguridad en la Ley de proteccin de
Datos (RD 1720/2007, de 21 de diciembre, por el que se aprueba el
reglamento de medidas de seguridad: Anlisis jurdico / tcnico y
elaboracin del Documento de Seguridad)



NORMATIVA
Ley Orgnica 15/1999, de 21 de diciembre, de proteccin de datos de
carcter personal
El Objeto de la L.O.P.D. es garantizar y proteger, en lo que concierne al
tratamiento de datos personales (automatizados o no), las libertades pblicas y
los derechos fundamentales de las personas fsicas y, especialmente, de su
honor e intimidad personal y familiar.

La ley se aplica slo a los datos de carcter personal en ficheros que contengan
datos personales que los hagan susceptibles de tratamiento y uso posterior de
esos datos.
La L.O.P.D. ha entrado en vigor para los ficheros automatizados el 14 de Enero
de 2.000. Los ficheros no automatizados (los que estn registrados en soportes
fsicos) tenan de plazo hasta 24 de Octubre de 2.007 para adecuarse a la
L.O.P.D.
La Ley de Proteccin de Datos tiene sus orgenes en la Ley Orgnica 15/1992,
de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal
(LORTAD) Las motivaciones de la LOPD en su creacin fueron corregir
deficiencias de la LORTAD y proteger no slo los datos de carcter personal sino
tambin a las personas a las que se refieren.

Descargar Ley Orgnica de Proteccin de Datos

Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el
Reglamento de Desarrollo de la LOPD.
Reglamento que desarrolla las medidas de seguridad para los ficheros de
carcter personal. Se public en el BOE N 17 el 19 de Enero de 2008 y entr
en vigor el 14 de Abril de ese mismo ao.
Este reglamento ampla, define y modifica, algunos artculos del anterior
Reglamento (Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de carcter personal) en cuanto al tratamiento de los Datos de
Carcter Personal automatizados y define tambin el tratamiento que debe
hacerse de los mismos en ficheros no automatizados.
Los plazos de adecuacin para la adaptacin de las medidas de seguridad del
nuevo Reglamento de Desarrollo de la LOPD, respecto a los ficheros creados
antes del 19 de Enero de 2008 se indican en el cuadro adjunto.

NIVEL AUTOMATIZADOS
NO
AUTOMATIZADOS
BASICO - 1 AO
MEDIO 1 AO 1 AO Y MEDIO
ALTO 1 AO Y MEDIO 2 AOS

Descargar Reglamento de Desarrollo de la LOPD (R.D. 1720/2007)

Muy Importante!!.-Se ofrece para su consulta el anterior Reglamento
de Medidas de Seguridad de la LOPD, derogado por la entrada en vigor
del R. D. 1720/2007. Se facilita al usuario por el hecho de que puede
ser mencionado a lo largo del presente curso, especialmente en los
informes y resto de documentacin de la Agencia, que se incluyen como
apoyo en diferentes apartados del temario. Pero es importante que se
recuerde que ya no se encuentra en vigor.

Descargar Reglamento de Medidas de Seguridad (DEROGADO) (R.D.
994/1999)

ALCANCE Y EXCLUSIONES
La L.O.P.D. se aplica tanto a los ficheros de titularidad Pblica como de
titularidad Privada, quedando excluidos de la aplicacin de la norma los
siguientes ficheros o tratamientos:
Los ficheros que posean personas fsicas en el ejercicio de actividades
exclusivamente personales o domsticas (por ejemplo, los de una
agenda electrnica o PDA)
Los sometidos a la normativa sobre proteccin de materias clasificadas
(por ejemplo, los secretos del CESID)
Los ficheros establecidos para la investigacin del terrorismo y de formas
graves de delincuencia organizada.
Los ficheros regulados por la legislacin de rgimen electoral (sobre todo,
el censo)
Los que se utilicen para fines estadsticos y estn amparados por la
legislacin sobre la funcin estadstica pblica.
Los que almacenen datos en informes personales de calificacin que se
encuentran amparados por la legislacin del Rgimen del personal de las
Fuerzas Armadas, los del Registro Civil, el Registro Central de penados y
rebeldes, los que contengan imgenes y sonidos obtenidos de
videocmaras de las Fuerzas y Cuerpos de Seguridad del Estado y se
encuentren amparados por su legislacin especfica, etc.

SUPUESTO PRCTICO

Muchas personas tienen en su domicilio un fichero en el que guardan los datos
de contacto de otras personas, ya sea en formato papel o en programas
informticos de gestin de contactos. Dichos ficheros tienen la consideracin
de ficheros con datos de carcter personal, segn la normativa reguladora de
esta materia?
Las agendas personales, no debern notificarse, al considerarse que, tal y como
se indica, son ficheros creados con finalidades exclusivamente domsticas y
personales.


Desde el punto de vista del mbito territorial, se regir por el presente
reglamento todo tratamiento de datos de carcter personal cuando:
El establecimiento del responsable del tratamiento (instalacin en la que
se desarrolla el ejercicio de la actividad) se encuentre ubicado en
territorio espaol, o exista un encargado del tratamiento ubicado en
Espaa (en cuyo caso le ser de aplicacin las medidas de seguridad
indicadas en la Unidad 4).
Cuando al responsable del tratamiento no establecido en territorio
espaol, le sea de aplicacin la legislacin espaola.
Cuando el responsable del tratamiento no est establecido en territorio de
la Unin Europea y utilice en el tratamiento de datos medios situados en
territorio espaol. En este supuesto, el responsable del tratamiento
deber designar un representante establecido en territorio espaol.
Del mismo modo, el Real Decreto 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de
diciembre, de proteccin de datos de carcter personal, no ser de aplicacin a:
Los tratamientos de datos referidos a personas jurdicas, ni a los ficheros
que se limiten a incorporar los datos de las personas fsicas que presten
sus servicios en aqullas, consistentes nicamente en su nombre y
apellidos, las funciones o puestos desempeados, as como la direccin
postal o electrnica, telfono y nmero de fax profesionales
Los datos relativos a empresarios individuales, cuando hagan referencia a
ellos en su calidad de comerciantes, industriales o navieros, tambin se
entendern excluidos del rgimen de aplicacin de la proteccin de datos
de carcter personal
Los datos referidos a personas fallecidas. No obstante, las personas
vinculadas al fallecido, por razones familiares o anlogas, podrn dirigirse
a los responsables de los ficheros o tratamientos que contengan datos de
ste con la finalidad de notificar el bito.

SUPUESTO PRCTICO
En el caso que todos los clientes sean personas jurdicas (empresas,
asociaciones, administraciones, etc.) y no haya clientes que sean
personas fsicas, es necesario notificar un fichero de clientes?
La LOPD nicamente obliga a notificar ante la Agencia de Proteccin de Datos
aquellos ficheros que contengan datos de carcter personal, con lo cual, no es
necesario notificar dichos ficheros, siempre y cuando no hayan datos de clientes
personas fsicas.
Tal y como se indica, la LOPD no aplica sobre los datos de personas jurdicas o
empresarios individuales, as como a los ficheros que se limiten a incorporar
datos de las personas que presten sus servicios en entidades empresariales.
Ahora bien, es importante destacar que estos ser as siempre que se cumplan
dos factores fundamentales.
En primer lugar, refirindonos a los datos de contacto de personas que trabajen
en las empresas, no ser de aplicacin la LOPD, siempre y cuando los datos que
de ellas se manejen se cian exclusivamente a los necesarios para cumplir con
la finalidad de mantener el contacto o la relacin comercial con la empresa a la
que pertenecen, no pudiendo tener de estas personas ms datos que no sean
exclusivamente los de nombre, apellidos, funcin o puesto desempeado,
direccin postal o electrnica, telfono y nmero de fax profesionales. Toda vez
que se disponga de ms informacin del individuo que la mencionada, como
puede ser el disponer del DNI o del historial acadmico o titulaciones, s
entraramos dentro del mbito de aplicacin de la LOPD.
Asimismo, al tratamiento tanto para estas personas de contacto que trabajen
en las empresas, como con los empresarios individuales o personas jurdicas no
le ser de aplicacin la normativa de proteccin de datos, en cuanto sus datos
se utilicen nicamente con finalidades relacionadas con las actividades
empresariales de la persona jurdica, como puede ser la de mantener la relacin
comercial con la entidad. S entraramos dentro del mbito de la LOPD, siempre
que los datos que se dispongan sean utilizados con una finalidad diferente, es
decir, si sus datos se utilizan para perseguir una relacin directa con el titular
de los datos, no con la entidad que constituyen o a la que pertenecen, siendo el
destinatario del tratamiento, no la empresa, sino, por ejemplo, el propio
empresario. No se podra por lo tanto, utilizar datos de autnomos que
tengamos en nuestra base de datos de proveedores para enviarles publicidad
de nuestros servicios o productos en su condicin de consumidores individuales.

Descargar Informe datos de personas jurdicas o de contacto.
SUPUESTO PRCTICO
Deben de protegerse y adecuarse a las exigencias de la LOPD el
tratamiento de los datos personales que maneje, por ejemplo, una
funeraria, de personas fallecidas?
Efectivamente, la LOPD establece que no entran dentro del mbito de la LOPD
los datos de personas fallecidas en cuanto que se entiende el derecho de
proteccin de datos como el derecho del individuo a decidir sobre la posibilidad
de que un tercero pueda conocer y tratar la informacin que le es propia, as
como el ejercicio por el afectado de sus derechos de acceso, rectificacin,
cancelacin y oposicin. Entendindose por lo tanto que este derecho se
extingue con la muerte de las personas.
As pues, no sera necesario adecuar el tratamiento de los datos a las exigencias
de la LOPD. Sin embargo, conviene aclarar que existen otros derechos
constitucionalmente reconocidos que otorgan a los cnyuges, descendientes o
dems familiares, la posibilidad de tomar medidas o acciones que permitan
garantizar el derecho al honor y la intimidad personal y familiar.
Descargar Informe Tratamiento de datos de fallecidos.


1. CONSENTIMIENTO DEL AFECTADO.
El tratamiento de los datos de carcter personal requiere el consentimiento
inequvoco del afectado, salvo que la ley disponga otra cosa. Este principio
quiebra ante las siguientes excepciones:
- Cuando los datos de carcter personal se recojan para el ejercicio de las
funciones propias de las Administraciones Pblicas.
- Cuando se refieran a las partes de un contrato precontrato de una relacin
negocial, laboral administrativa.
- Cuando el tratamiento de los datos tenga por finalidad proteger un inters
vital del interesado.
- Cuando los datos figuren en fuentes accesibles al pblico.
Las excepciones indicadas, no eximen del cumplimiento del deber de informado,
al que se hace referencia en el presente captulo.
El consentimiento que exige la LOPD, puede manifestarse de dos formas
distintas segn los casos:
- Tcito: Voluntad deducible no de una actividad realizada, como es el caso del
consentimiento presunto, sino de la inactividad, falta de oposicin, o silencio.
- Expreso: El consentimiento expreso exige que el interesado declare de forma
inequvoca que acepta el tratamiento. A diferencia de los dos anteriores ste se
deber efectuar mediante una expresin de voluntad realizada de forma
fehaciente que podr ser escrita (obligatorio para los datos de carcter personal
de nivel alto: ideologa, afiliacin sindical, religin y creencias)
Articulo 6. L.O.P.D.
1. El tratamiento de los datos de carcter personal requerir el consentimiento
inequvoco del afectado, salvo que la ley disponga otra cosa.
2. No ser preciso el consentimiento cuando los datos de carcter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
Pblicas en el mbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relacin negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un inters vital del interesado en los
trminos del artculo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la
satisfaccin del inters legtimo perseguido por el responsable del fichero o por
el del tercero a quien se comuniquen los datos, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artculo podr ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para
el tratamiento de los datos de carcter personal, y siempre que una ley no
disponga lo contrario, ste podr oponerse a su tratamiento cuando existan
motivos fundados y legtimos relativos a una concreta situacin personal. En tal
supuesto, el responsable del fichero excluir del tratamiento los datos relativos
al afectado.

Descargar Caracteres de consentimiento

Siempre habr de tenerse en cuenta que el afectado podr, en todo momento,
revocar el consentimiento que haya otorgada, para lo cual se debern de poner
a su disposicin un medio sencillo y gratuito, que no implique un gasto por
parte del afectado, como pueden ser el envo de cartas certificadas o mediante
servicios telefnicos con tarificacin adicional. S se consideran admisibles otros
medios, como los envos prefranqueados o llamadas a travs de nmeros
telefnicos gratuitos.

SUPUESTO PRCTICO
Se entiende que hay consentimiento cuando se firma un contrato y una
de sus clusulas informa sobre el tratamiento de datos de carcter
personal. Tambin se entiende que hay consentimiento cuando se
cumplimenta un formulario y en el mismo se informa que dichos datos
sern tratados.

SUPUESTO PRCTICO
En el caso de pginas Web, se entiende que existe consentimiento si el
usuario enva los datos mediante un formulario, haciendo "clic" en el
botn de enviar, contratar o darse de alta, y al lado hay un texto (aviso
legal) en el que se informa al usuario de los aspectos relativos al
tratamiento de datos de carcter personal.

Cuando se pretenda, en el marco de una relacin contractual, recabar el
consentimiento del afectado para fines no relacionados directamente con dicha
relacin, deber de permitirse al afectado que manifieste expresamente su
negativa a ese tratamiento o comunicacin de datos. Este es el caso por
ejemplo de:

SUPUESTO PRCTICO
Cmo puedo obtener, durante la firma del contrato, consentimiento de
mis clientes para poder enviarles publicidad sobre diversos productos y
servicios de mi empresa ?.
Dentro de una relacin negocial, se entiende que se dispone del consentimiento
de los afectados para el tratamiento de sus datos siempre y cuando estos se
utilicen para cumplir con los servicios que el cliente haya contratado, debiendo,
igualmente de cumplir con el deber de informacin que se expone ms
adelante. As pues, durante la firma del contrato con el cliente, en este se
deber de incluir una clusula indicando el uso que se va a realizar de esos
datos, y los derechos que asisten a sus titulares.
Ahora bien, si, adems, como se expone, se pretende obtener consentimiento
de los afectados para otros fines, como puede ser el envo de publicidad o
informacin sobre productos o servicios, deber de mencionarse expresamente
y dar la posibilidad, de algn modo, de que el afectado manifieste de manera
expresa que se opone a ese tratamiento, no relacionado directamente con los
servicios contratados. Prctica habitual, que permite cumplir con este aspecto,
es incorporar en las clusulas informativas casillas seleccionables que
permitan al cliente indicar, con su marcado, si autoriza o no a que se utilicen
sus datos con la finalidad indicada. As, por ejemplo, la clusula informativa en
este caso quedara:
"En cumplimiento de lo establecido en la LOPD, le informamos que los datos
que nos facilite pasarn a formar parte de un fichero propiedad de [nombre del
responsable] para cumplir con los servicios contratados. Asimismo, le
informamos que puede ejercer los derechos de acceso, rectificacin, cancelacin
y oposicin en [indicar la direccin donde poder ejercitarlos].
Marque esta casilla si, adems, usted autoriza el tratamiento de sus datos
personales para poder enviarle publicidad o informacin sobre productos o
servicios que puedan resultar de su inters.

SUPUESTO PRCTICO
Cmo debera de obtener el consentimiento para el tratamiento de los
datos personales un abogado para el desarrollo de sus funciones?
En lo que respecta al tratamiento de datos personales por parte de un abogado
o procurador nos encontraramos con dos casos diferentes:
En primer lugar, en lo que respecta a los clientes de los mismos, no sera
preciso obtener el consentimiento de los mismos en cuanto nos encontramos en
un supuesto del artculo 6.2 de la LOPD segn el cual no ser preciso el
consentimiento de los interesados cuando los datos se refieran a las partes de
un contrato o precontrato de una relacin negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento. No eximira esto del
derecho de informacin, debiendo de informar a los interesados del tratamiento
que se va a realizar de sus datos, as como de los derechos que les asisten.

En segundo lugar, en lo que respecta al tratamiento de los datos personales de
los oponentes del cliente, debemos de tener en cuenta que precisar del
consentimiento de los titulares de los datos podra impedir un correcto ejercicio
de la asistencia letrada, derecho consagrado por el artculo 24 del Texto
Constitucional. Nos encontraramos en este caso con un conflicto entre dos
derechos fundamentales: el derecho a la proteccin de datos de carcter
personal, y el derecho a la asistencia letrada, como manifestacin del derecho
de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales.
Considerando que la LOPD, en su artculo 6.1, exime de la necesidad de obtener
el consentimiento de los afectados en caso de que una Ley lo disponga, se debe
de entender que en este caso, esa autorizacin al tratamiento de los datos
viene derivada por la propia Constitucin.
En situacin similar nos encontraramos ante el derecho de informacin indicado
por el artculo 5 de la LOPD, pues informar al oponente del cliente de los datos
de los que el abogado dispone, as como del uso que les va a dar, podran
perjudicar igualmente el adecuado de las facultades vinculadas con el derecho
del cliente a obtener la tutela efectiva de los Jueces y Tribunales, al quedar en
conocimiento de la otra parte los datos que pudieran ser aportados a juicio en
defensa de su derecho.
Descargar el Informe de Consentimiento de abogados y procuradores



Consentimiento de menores de edad.
En el caso del tratamiento de los datos personales de los menores de edad,
deber de cumplirse con especial diligencia el derecho de informacin
estipulado por la LOPD.

En estos casos, han de considerarse dos supuestos. En primer lugar, se
entiende que en el caso de los mayores de 14 aos, se les atribuye la capacidad
suficiente como para poder tomar decisiones y, en este caso, decidir sobre
facilitar o no el consentimiento al tratamiento de sus datos personales, de modo
que la informacin obligada por Ley puede ser facilitada a los mismos.
Por otro lado, en lo que respecta a los nios menores de 14 aos, con carcter
general, y entendindose que sus condiciones de madurez no garantizan la
comprensin de la informacin facilitada, deber de optarse por informar, y por
lo tanto recabar el consentimiento, directamente de los padres o tutores legales
del menor.
Todo esto, ha de entenderse con carcter general, debiendo de, en cada caso,
adecuarse al grado de madurez del menor, y a su capacidad para tomar
decisiones en este sentido. Esto es, no en todos los casos, los mayores de 14
aos pueden tener la madurez suficiente para dar su consentimiento.
Debe tambin de tenerse en cuenta que, en todos los casos, el lenguaje
utilizado para facilitar la informacin correspondiente al tratamiento de los
datos personales, ha de adecuarse a la edad y las facultades del menor a quien
va dirigida, debiendo de utilizarse un lenguaje fcil y asequible para su edad, de
modo que no le queden dudas acerca del tratamiento que se va a realizar de
sus datos.
Por otro lado, cabe destacar que se prohbe recabar del menor datos personales
de los progenitores u otros miembros de la familia, siendo preciso obtener para
ello el consentimiento de los mismos, a excepcin de los datos identificativos o
de contacto, que se podrn recabar pero nicamente con la finalidad de solicitar
de los mismos sus propios datos personales, as como el consentimiento para su
tratamiento.

Descargar Informe de consentimiento de menores de edad
Descargar Recomendaciones a menores

Los interesados a los que se soliciten datos personales debern ser previamente
informados de modo expreso, preciso e inequvoco:
a) De la existencia de un fichero o tratamiento de datos de carcter personal,
de la finalidad de la recogida de stos y de los destinatarios de la informacin.
b) Del carcter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
c) De las consecuencias de la obtencin de los datos o de la negativa a
suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin.
e) De la identidad y direccin del responsable del tratamiento o, en su caso, de
su representante.
El deber de informacin deber llevarse a cabo a travs de un medio que
permita acreditar su cumplimiento, debiendo conservarse mientras persista el
tratamiento de los datos del afectado.
El responsable del fichero o tratamiento deber conservar el soporte en el que
conste el cumplimiento del deber de informar. Para el almacenamiento de los
soportes, el responsable del fichero o tratamiento podr utilizar medios
informticos o telemticos. En particular podr proceder al escaneado de la
documentacin en soporte papel, siempre y cuando se garantice que en dicha
automatizacin no ha mediado alteracin alguna de los soportes originales.
Este derecho de informacin, ha de cumplirse igualmente, con carcter general,
cuando los datos de carcter personal no hayan sido recabados directamente
del interesado. En este caso, se admite como excepcin a cumplir con el
derecho de informacin cuando expresamente una ley lo prevea, cuando el
tratamiento tenga fines histricos, estadsticos o cientficos, o cuando la
informacin al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de Proteccin de Datos o del
organismo autonmico equivalente, en consideracin al nmero de interesados,
a la antigedad de los datos y a las posibles medidas compensatorias (asrt. 5.5
de la LOPD).

SUPUESTO PRCTICO
A continuacin, presentamos un modelo de advertencia legal para dar
cumplimiento a las obligaciones relativas a la informacin que se ha de
facilitar al afectado en el momento de la recogida de sus datos:

CLUSULA RECOGIDA DE DATOS
"En cumplimiento de lo establecido en la Ley Orgnica 15/99, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal, le informamos que los
datos que nos facilite mediante la cumplimentacin del presente formulario
pasarn a formar parte de un fichero propiedad de [nombre del responsable]
para [indicar los fines]. Asimismo, le informamos que puede ejercer los
derechos de acceso, rectificacin, cancelacin y oposicin en [indicar la
direccin donde poder ejercitarlos]."
Ser necesario que en los supuestos en los que se utilicen formularios,
se incluya en el mismo formulario dicho texto legal.
Este aviso legal puede ser ms amplio en el caso que se deba informar
o pedir el consentimiento del afectado en los casos de cesin de datos o
transferencia internacional de datos, es decir, cuando los datos
recabados quieran cederse posteriormente a otra empresa o vayan a
ser transferidos a otro pas. En los supuestos de cesin deber,
adems, informarse de cuales son las finalidades a las que se aplicarn
los datos por parte del cesionario.

CLUSULA RECOGIDA DE DATOS CON CESIN
A los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, sobre
Proteccin de Datos de Carcter Personal, se le informa que los datos
personales proporcionados se incorporarn (o actualizarn) a los ficheros de
ORGANIZACIN, con direccin en DIRECCIN.
Los datos personales solicitados en este documento son de carcter obligatorio,
por lo que su no cumplimentacin supone la imposibilidad de su inclusin en los
ficheros antes descritos y de cumplir con la finalidad definida en el prrafo
anterior.
La finalidad del tratamiento de los datos ser la de realizar los servicios
contratados de DESCRIPCIN DEL SERVICIO, y su posterior comunicacin OTRA
EMPRESA con direccin en DIRECCIN, para MOTIVO POR EL CUAL SE CEDEN
LOS DATOS.
Ud. Tiene derecho al acceso, rectificacin, cancelacin y oposicin en los
trmino previsto en la Ley, que podr ejercitar mediante escrito dirigido al (a
los) responsable(s) de los mismos, en las direcciones anteriormente indicadas.
A los empleados de la empresa, tambin es necesario informarles sobre
sus derechos en materia de Proteccin de Datos, as como del
tratamiento que se va a realizar de los mismos:

CLUSULA PROTECCIN DE DATOS TRABAJADORES

ORGANIZACIN, en su constante esfuerzo por mejorar y adaptarse a la
normativa actual, con la finalidad de dar el mejor servicio a sus trabajadores
informa de lo siguiente:
Los datos que tenemos de nuestros trabajadores son los nicos precisos, para
la relacin laboral, elaboracin de nminas, contratos, etc. Esta informacin
queda registrada en un fichero de datos de carcter personal, cuyo uso es
exclusivo ORGANIZACIN, para los fines aludidos, prevaleciendo el deber de
secreto.
As mismo ORGANIZACIN, comunica a los interesados, de sus derechos de
acceso, rectificacin, cancelacin y oposicin, todo ello de acuerdo con la ley
orgnica 15/99 de 13 de diciembre de Proteccin de Datos de Carcter Personal
(LOPD).
El responsable del fichero es ORGANIZACIN. con domicilio en DOMICILIO,
en donde el afecto se podr dirigir por escrito en caso de que lo encontrara
necesario

SUPUESTO PRCTICO
Qu ocurre cuando los datos personales son recogidos por el
Responsable por telfono?
Es necesario cumplir en todos los casos con el derecho de informacin siempre
que se proceda a recabar datos personales, sea cual sea el mtodo utilizado
para la recogida de datos. As pues, en el caso de que los datos personales se
recaben por va telefnica, deber igualmente de informarse del tratamiento
que se va a realizar de esos datos, as como de los derechos que asisten al
afectado.

Es importante sealar en este sentido que, si bien la Ley no especifica el
mtodo que ha de emplearse para cumplir con el derecho de informacin,
corresponde al Responsable del Fichero, la prueba del cumplimiento del deber
de informar. Esto es, es necesario que el Responsable del Fichero disponga de
pruebas que permitan demostrar que ha cumplido con el derecho de
informacin al recoger los datos personales, siendo, por lo tanto, ideal, el
facilitar la informacin correspondiente por escrito, mediante el envo de cartas
o mediante formularios en papel de recogida de datos. En el caso de obtener los
datos a travs de conversacin telefnica, podra ser conveniente que estas
conversaciones quedasen grabadas, pero esto implicara informar al afectado
tanto del tratamiento que se va a realizar de los datos recogidos, como de los
datos personales que se obtengan como de las grabaciones realizadas, y
debiendo, por lo tanto de crear el nuevo fichero (GRABACIONES) que deber
de ser notificado ante la APD.
Otra opcin, que puede resultar ms prctica y sencilla sera la de utilizar
mensajes pregrabados en los que antes de iniciar la conversacin, se informe
de los aspectos relacionados con la LOPD.

Descargar Informe Informacin conversacin telefnica


SUPUESTO PRCTICO
Cuando es posible acogerse a la excepcin del derecho a la
informacin cuando esta resulte imposible o exija esfuerzos
desproporcionados?
En primer lugar es importante tener en cuenta que esto es aplicable nicamente
en los casos en los que los datos no hayan sido obtenidos directamente del
interesado. Y dentro de esto, la LOPD seala que el hecho de considerar que
informar a los interesados es imposible o exige esfuerzos desproporcionados,
queda a criterio de la Agencia de Proteccin de Datos. Esto implica
necesariamente tener que dirigirse mediante solicitud escrita a la APD, para que
inicie el procedimiento de exencin del deber de informar correspondiente. No
debe de entenderse en ningn caso que queda en manos de los Responsables
de los ficheros decidir si es o no un esfuerzo desproporcionado informar a todos
los interesados de los que maneje datos personales.

Descargar Informe Informacin a clientes antiguos
Descargar Informe de exencin de Informacin


SUPUESTO PRCTICO
Tambin es posible acogerse a la exencin de cumplir con el derecho de
informacin impuesto por el artculo 5 de la LOPD, cuando los datos
personales no hayan sido recabados directamente de los interesados y
una Ley prevea el tratamiento o comunicacin de datos.
Se muestran a continuacin, como ejemplo, dos informes de la APD,
como consecuencia de dos consultas planteadas al respecto:
En primer lugar, si se debe informar a los afectados del acceso
realizado al Padrn Municipal por parte de la Direccin General de
Polica, y, en segundo lugar, si se debe de cumplir con el derecho de
informacin en el caso de una entidad que pretende editar una gua
telefnica.

Descargar Informe Exencin de Informacin ante una Ley
Descargar Informe Informacin para Guas Telefnicas

En ambos casos nos encontramos, con la excepcin de que existe una
Ley (Ley Reguladora de las Bases del Rgimen Local, y Ley General de
Telecomunicaciones, respectivamente) que prev expresamente el
tratamiento y la comunicacin de estos datos personales, sin que sea
preciso, por lo tanto, cumplir con el derecho de informacin,
amparndonos en el art. 5.5 de la LOPD.

SUPUESTO PRCTICO
Que ocurre si una empresa asegura haber cumplido con el derecho de
informacin a sus clientes mediante el envo de una carta, mediante
correo ordinario, y uno de los clientes (titular de los datos) niega haber
recibido dicha informacin, llegando incluso a denunciar ante la
Agencia por un tratamiento de datos sin consentimiento del afectado?
Es importante que quede claro que, si bien la LOPD no indica ni exige que el
consentimiento dado por los afectados sea expreso y por escrito salvo para los
datos de nivel ALTO, s es cierto que ante una posible denuncia es
responsabilidad del Responsable del Tratamiento demostrar que ha cumplido
con el derecho de informacin, de modo que el afectado ha sido claramente
informado de qu se va a realizar con sus datos y, por lo tanto, ha consentido a
su tratamiento. En caso de no poder demostrarlo, sera motivo de sancin al
Responsable del Fichero por infraccin del artculo 5.
As pues, parece que lo ms conveniente es que en todos los casos la
informacin facilitada sea a travs de documentos en papel, que queden
firmados por el afectado. Ciertamente, el mtodo a priori ms aconsejable y
efectivo para cumplir con el derecho de informacin y que quede prueba de ello,
es realizar la recogida de los datos personales a travs de formularios o
plantillas en papel, que sean cubiertos por el propio titular de los datos, y que
incluyan (en el pie de pgina, por ejemplo) una clusula informativa en la cual
se indiquen de los aspectos sealados por la LOPD. Conservar ese documento
en papel, cubierto por el propio afectado, servir como prueba en un futuro de
haber cumplido con el derecho impuesto por el artculo 5 de la Ley. Lo mismo
ocurre si la relacin comercial con los clientes requiere la firma de un contrato,
en cuyo caso lo ideal es incluir en dicho contrato una clusula destinada a
cumplir con este derecho.
En caso de no existir un documento fsico, en papel, donde poder incluir este
texto informativo, deber de buscarse algn mtodo que nos permite informarle
del tratamiento que se va a realizar de esos datos de algn modo que en un
futuro nos permita asegurar su cumplimiento: facilitarle un documento en papel
con la informacin y que lo devuelva firmado, enviarle un correo electrnico con
acuse de recibo, mediante correo certificado, a travs de empresas de
mensajera
Es prctica habitual en algunas empresas incluir esta informacin aprovechando
el envo de otros documentos que son enviados a los clientes. Por ejemplo, es
muy comn aprovechar el envo de las propias facturas para incluir en las
mismas esta informacin, quedando probado, por lo tanto, que todo aquel que
recibe la factura, ha sido informado. En este sentido cabe destacar que el
derecho de informacin ha de ser cumplido en el momento de la recogida de los
datos, para que el afectado pueda dar o no su consentimiento al tratamiento de
los datos. No sera muy conveniente informarle a posteriori de haber realizado
el tratamiento de los datos.
Como ya hemos comentado, cuando los datos se recojan mediante
conversacin telefnica, se puede optar por informar de palabra (grabando las
conversaciones) o utilizar grabaciones que salten antes de iniciar la
conversacin y, por lo tanto, la recogida de los datos.
En el caso de los formularios de las pginas web a travs de los cuales se
recogen datos de los clientes, la inclusin de textos informativos, debajo o al
lado del formulario, permite cumplir con este deber, siendo lo ideal que el
usuario antes de enviar la informacin al hacer click en el botn ACEPTAR,
haya marcado o sealado que ha ledo y acepta las condiciones legales
expuestas.

Descargar Informe Prueba Cumplimiento del deber de informar
Descargar Informe cumplimiento deber de infomracin
Descargar Informe, Tratamiento de Datos a travs de pgina web


El personal est obligado al secreto profesional respecto a los datos a los que
tiene acceso. No se comunicarn datos a terceras personas para un fin distinto
para el que fueron recabados.
Artculo 10. L.O.P.D.:
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carcter personal estn obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirn aun despus de finalizar sus relaciones con el titular del fichero o, en
su caso, con el responsable del mismo

SUPUESTO PRCTICO
A continuacin, presentamos un modelo de clusula de confidencialidad
de trabajadores para dar cumplimiento a las obligaciones relativas al
deber de secreto:

CLUSULA COMPROMISO CONFIDENCIALIDAD TRABAJADORES
El trabajador se compromete, durante su relacin con la ORGANIZACIN, e
incluso despus de haber finalizado sta relacin:
Conocer y cumplir lo establecido con la normativa vigente en proteccin de
datos de carcter personal, as como en otros documentos de rgimen interior
en la medida que sean aplicables, por la naturaleza de las actividades,
funciones y responsabilidades que se le encomienden.
No realizar ninguna actividad que sea incompatible con su independencia de
juicio e integridad profesional en relacin con las actividades de la
ORGANIZACIN.
Mantener absoluta confidencialidad y discrecin sobre la informacin obtenida
en el ejercicio de su trabajo acerca de las actividades de la ORGANIZACIN,
de sus clientes, proveedores, y organismos relacionados. Especialmente en lo
que se refiere a Datos de Carcter Personal.


SUPUESTO PRCTICO
Clusulas similares a la anterior han de ser igualmente utilizadas con el
personal de empresas externas que puedan acceder a los ficheros de
datos personales durante el desarrollo de sus funciones, como pueden
ser las empresas de mantenimiento informtico o las empresas de
limpieza, que puedan acceder a los equipos o a las salas donde se
almacenen los datos de carcter personal.

NOMBRE_EMPRESA_MANTENIMIENTO, con C.I.F________________, como
encargada del mantenimiento de los equipos informticos, y por lo tanto con
acceso a los ficheros pertenecientes a la entidad
NOMBRE_RESPONSABLE_FICHEROS con C.I.F. _____________________ se
compromete a que sus empleados no revelarn ni emplearn en uso propio o
de terceros la informacin que conozcan en funcin de su cometido tanto
durante el tiempo que dure su contrato, como posteriormente al finalizar dicha
relacin.
As mismo, NOMBRE_EMPRESA_MANTENIMIENTO respetar las medidas de
seguridad que se deben de aplicar de nivel alto, medio o bsico segn
corresponda al nivel de los ficheros de NOMBRE_RESPONSABLE_FICHEROS

En el caso de que estas empresas externas, no slo puedan disponer de
acceso a los datos, sino que, adems, realicen algn tratamiento con
los mismos, deber de firmarse un contrato de tratamiento externo, tal
y como se explicar en la Unidad 4 del presente curso.
El personal deber mantener en las bases de datos la informacin necesaria
para el desarrollo de sus funciones, es decir, que no se deben ser excesivos en
relacin con el mbito y las finalidades determinadas. Los datos de carcter
personal sern exactos y puestos al da de forma que respondan con veracidad
a la situacin actual del afectado.
Artculo 8. Real Decreto 1720/2007 (Artculo 4 de la LOPD).- Principios relativos
a la calidad de los datos:
1. Los datos de carcter personal debern ser tratados de forma leal y lcita. Se
prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos.
2. Los datos de carcter personal slo podrn ser recogidos para el
cumplimiento de finalidades determinadas, explcitas y legtimas del
responsable del tratamiento.
3. Los datos de carcter personal objeto de tratamiento no podrn usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos.
4. Slo podrn ser objeto de tratamiento los datos que sean adecuados,
pertinentes y no excesivos en relacin con las finalidades determinadas,
explcitas y legtimas para las que se hayan obtenido.
5. Los datos de carcter personal sern exactos y puestos al da de forma que
respondan con veracidad a la situacin actual del afectado. Si los datos fueran
recogidos directamente del afectado, se considerarn exactos los facilitados por
ste.
Si los datos de carcter personal sometidos a tratamiento resultaran ser
inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados en el plazo de
diez das desde que se tuviese conocimiento de la inexactitud, salvo que la
legislacin aplicable al fichero establezca un procedimiento o un plazo especfico
para ello.
Cuando los datos hubieran sido comunicados previamente, el responsable del
fichero o tratamiento deber notificar al cesionario, en el plazo de diez das, la
rectificacin o cancelacin efectuada, siempre que el cesionario sea conocido.
En el plazo de diez das desde la recepcin de la notificacin, el cesionario que
mantuviera el tratamiento de los datos, deber proceder a la rectificacin y
cancelacin notificada.
Esta actualizacin de los datos de carcter personal no requerir comunicacin
alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los
interesados reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre.
Lo dispuesto en este apartado se entiende sin perjuicio de las facultades que a
los afectados reconoce el ttulo III de este reglamento.
6. Los datos de carcter personal sern cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o
registrados. No obstante, podrn conservarse durante el tiempo en que pueda
exigirse algn tipo de responsabilidad derivada de una relacin u obligacin
jurdica o de la ejecucin de un contrato o de la aplicacin de medidas
precontractuales solicitadas por el interesado.
7. Los datos de carcter personal sern tratados de forma que permitan el
ejercicio del derecho de acceso, en tanto no proceda su cancelacin

Debe de entenderse, tal y como se indica, que los datos de carcter personal
han de ser destruidos una vez ya no sean tiles para la finalidad con la que se
recabaron.
Ahora bien, en determinadas circunstancias, los tratamientos de los datos
personales, pueden estar sujetos a normativas o legislaciones, que obliguen a
mantener dichos datos durante un tiempo determinado. Es el caso, por
ejemplo, de las facturas, que han de ser conservadas por un periodo de 5 aos,
y encontrarse a disposicin de la Agencia Tributaria, no pudiendo, por lo tanto,
cancelarse Clusulas similares a la anterior han de ser igualmente utilizadas con
el personal de empresas externas que puedan acceder a los ficheros de datos
personales durante el desarrollo de sus funciones, como pueden ser las
empresas de mantenimiento informtico o las empresas de limpieza, que
puedan acceder a los equipos o a las salas donde se almacenen los datos de
carcter personal.
En el caso de que estas empresas externas, no slo puedan disponer de acceso
a los datos, sino que, adems, realicen algn tratamiento con los mismos,
deber de firmarse un contrato de tratamiento externo, tal y como se explicar
en la Unidad 4 del presente curso.
Por otro lado, es importante entender el hecho de que los datos han de ser
adecuados, pertinentes y no excesivos en funcin de la finalidad con la que se
hayan recabado. Esto implica que no podrn ser objeto de tratamiento datos de
carcter personal que realmente no se necesiten para cumplir con la finalidad
para la cual el afectado facilit sus datos personales.

SUPUESTO PRCTICO
A modo de ejemplo de esto ltimo reflejamos una consulta a la Agencia
en la que se planteaba si proceda la cancelacin del dato, que figuraba
en una historia clnica de si la paciente llevaba o no el cinturn de
seguridad en un accidente sufrido.
Efectivamente, esa informacin realmente no es necesaria para las
finalidades que deben de cumplir las historias clnicas de los pacientes,
pues no resulta relevante para facilitar su asistencia sanitaria ni aporta
informacin veraz y actualizada acerca del estado de salud del
paciente. As pues, por el principio de proporcionalidad derivado del
artculo 4 de la LOPD, desarrollado en el artculo 8 del R.D. 1720/2007,
esa informacin sera excesiva y procedera su cancelacin, ya que esos
datos ya no son necesarios ni pertinentes para la finalidad con la que
fueron obtenidos.

Descargar Informe Proporcionalidad en las historias clnicas


SUPUESTO PRCTICO
Tomando el caso anterior, si la paciente quisiese cancelar todos los
datos de su historia clnica solicitando se eliminase toda su informacin
podra hacerlo acogindose al derecho de cancelacin de sus datos?
Es importante destacar que segn el artculo mencionado, por calidad de los
datos de carcter personal sern cancelados cuando hayan dejado de ser
necesarios para la finalidad para la cual hubieran sido recabados. Esto,
adems, se complementa con el derecho de cancelacin de los afectados, que
como veremos, permite solicitar a los titulares de los mismos la posibilidad de
que se eliminen los datos de los ficheros de datos en los que se encuentren.
Ahora bien, cabe sealar que la cancelacin de los datos no ser posible y
podrn seguir conservndose esos datos, tal y como se indica en el artculo de
la LOPD que nos ocupa, durante el tiempo en que pueda exigirse algn tipo de
responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin
de un contrato o de la aplicacin de medidas precontractuales solicitadas por el
interesado.

As pues, en este caso, nos encontraramos con la excepcin de que la
conservacin de las historias clnicas viene amparado por la Ley 41/2002 de la
documentacin clnica, que obliga a conservar las historias clnicas un tiempo
mnimo de 5 aos, con lo que no procedera a atender la peticin de eliminacin
de los datos de la paciente, pudiendo nicamente proceder al bloqueo de los
datos, lo que significa la identificacin y reserva de los mismos con el fin de
impedir su tratamiento excepto para su puesta a disposicin de las
Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles
responsabilidades nacidas del tratamiento, nicamente durante el plazo
impuesto por la Ley, plazo despus del cual los datos han de ser destruidos.
En anlogo caso nos encontraramos con, por ejemplo las facturas emitidas por
las empresas, cuya conservacin viene obligada por Ley (Ley General
Tributaria), igualmente durante al menos 5 aos, al menos a disposicin de la
Agencia Tributaria.
Artculo 9. L.O.P.D.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento
debern adoptar las medidas de ndole tcnica y organizativas necesarias que
garanticen la seguridad de los datos de carcter personal y eviten su alteracin,
prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn
expuestos, ya provengan de la accin humana o del medio fsico o natural.
2. No se registrarn datos de carcter personal en ficheros que no renan
las condiciones que se determinen por va reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
sistemas y programas.
3. Reglamentariamente se establecern los requisitos y condiciones que
deban reunir los ficheros y las personas que intervengan en el tratamiento de
los datos a que se refiere el artculo 7 de esta Ley.

La LOPD exige que el tratamiento de los datos personales se ajuste a unos
niveles de seguridad que garanticen la confidencialidad, integridad y
disponibilidad dichos datos. Para ello, el Responsable de Seguridad deber de
elaborar un Documento de Seguridad en el que se recojan las normas y
procedimientos que han de adoptarse para alcanzar estos niveles de seguridad.
Las medidas de seguridad a las que hacemos referencia vienen indicadas por el
R. D. 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la
LOPD, y en el que se engloban las medidas de seguridad de ndole tcnico y
organizativo necesarias para garantizar la seguridad de los datos, de obligado
cumplimiento por parte del Responsable del Fichero y cuya inobservancia,
conllevara sanciones por parte de la APD.
A lo largo de las siguientes unidades se irn especificando las medidas de
seguridad que habrn de adoptarse en relacin con el tipo de datos que se
manejen, sealando que a mayor relevancia de los datos tratados, mayores
sern las exigencias en cuanto a los niveles de seguridad.
EJERCICIO 1
Los datos personales de un interesado se encuentran en un fichero
automatizado, titularidad de la Empresa X, debidamente inscrito en la
Agencia de Proteccin de Datos por el responsable del mismo. En el
supuesto de denuncia por parte del interesado que sostiene que no fue
debidamente informado de que sus datos iban a ser objeto del
tratamiento, sobre quien recae la carga?

EJERCICIO 2

La Empresa Y realiza un cuestionario a sus asociados. El cuestionario
incluye los siguientes datos de carcter personal: nombre, apellidos,
edad, direccin, estado civil y nmero de hijos. Asimismo se contiene
en el mismo una serie de preguntas acerca de la calidad y del servicio
que ofrecen. En el formulario se ha informado de la existencia de un
fichero, de la identidad del responsable del fichero, de la finalidad el
mismo, de la obligatoriedad o no de las respuestas a las preguntas
planteadas, de la posibilidad de ejercitar sus derechos de acceso,
rectificacin, cancelacin y oposicin. La actuacin de la Empresa es
conforme a derecho?

EJERCICIO 3

La Empresa Z, contrata a un candidato para cubrir un puesto especfico
de la misma. La Empresa recaba del candidato los siguientes datos de
carcter personal: nombre y apellidos, sexo, NIF, direccin, telfono,
hijos con o sin minusvalas o deficiencias mentales, cnyuge, afiliacin
sindical, fecha de alta, departamento, y datos bancarios. La empresa no
solicita el consentimiento del trabajador para llevar a cabo el
tratamiento de los datos de carcter personal, es correcta esta
actuacin?

Descargar Solucin Ejercicios Unidad 2





Cualquier persona, cuyos datos personales figuren en un fichero, cuenta con un
conjunto de derechos a su alcance, que podr ejercitar en el caso de no
respetarse las garantas establecidas cuando sus tratos sean objeto de
tratamiento. En este sentido, todo responsable de ficheros con datos de
carcter personal tendr unas obligaciones para garantizar el ejercicio de estos
derechos a los afectados. Estos derechos revisten un carcter personalsimo, en
la medida que slo pueden ser ejercidos por el afectado o titular de los datos
por lo que es necesario acreditar su identidad frente al responsable del fichero.
Por otra parte, la Ley configura estos derechos como derechos independientes,
de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea
requisito previo para el ejercicio de otro. Los principales derechos que todos los
afectados tienen, hacen referencia al acceso, rectificacin, cancelacin de datos
y a la oposicin a su tratamiento.

En primer lugar, tal y como hemos visto, siempre que se proceda a la recogida
de datos de carcter personal, hay que informar a los interesados de la
posibilidad de ejercer los derechos mencionados sobre sus datos personales,
debiendo de indicarse los medios que el Responsable ponga a su disposicin
para el ejercicio de los mismos (comnmente la direccin del Responsable).

El Responsable deber conceder al interesado un medio sencillo y gratuito para
el ejercicio de los derechos, que deber llevarse a cabo mediante comunicacin
dirigida al responsable del fichero, que contendr:
a) Nombre y apellidos del interesado, fotocopia de su documento nacional de
identidad, o de su pasaporte u otro documento vlido que lo identifique y, en su
caso, de la persona que lo represente, o instrumentos electrnicos
equivalentes.
b) Peticin en que se concreta la solicitud.
c) Direccin a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la peticin que formula, en su caso.

Debe de resaltarse el hecho de que el medio que se ponga a disposicin de los
interesados para el ejercicio de los derechos ha de ser gratuito, no siendo
admisible que dichos medios consistan en el envo de cartas certificadas o
semejantes, el uso de servicios telefnicos que impliquen una tarificacin
adicional al afectado, o cualquier otro medio que implique un gasto al
interesado que pretende ejercer sus derechos.

Si la solicitud enviada por el interesado no rene los requisitos establecidos, el
Responsable del Fichero deber de dirigirse al mismo para solicitar la
subsanacin de los errores en la solicitud.

El responsable del tratamiento deber contestar la solicitud que se le dirija en
todo caso, con independencia de que figuren o no datos personales del afectado
en sus ficheros. Esto implica que, en el caso de que el Responsable nunca haya
dispuesto de los datos del interesado o haya cesado en el uso de los datos que
dispona, deber de dirigirse igualmente al solicitante indicndole que no
dispone de esos datos, o que ha procedido a la cancelacin de los mismos.

Cuando los afectados ejercitasen sus derechos ante un encargado del
tratamiento, el encargado deber dar traslado de la solicitud al responsable, a
fin de que por el mismo se resuelva.

En el caso de que la solicitud de los derechos sea ejercitada por parte del
interesado sobre una entidad que acta como encargada del tratamiento de
esos ficheros (no Responsable), esta deber de dirigirse al Responsable del
Fichero para trasladarle la solicitud recibida, a fin de que el mismo la resuelva.

De esto se entiende que como norma general, los derechos de acceso,
rectificacin y cancelacin se suelen ejercer por escrito y adjuntando cualquier
documento identificativo del afectado. Ahora bien, cuando el Responsable del
Fichero dispone de servicios especficos para la atencin al pblico o ejercicio de
reclamaciones relacionadas con los servicios o productos prestados y ofertados,
podr establecersela posibilidad del ejercicio de dichos deberes a travs de
estos medios, debiendo de utilizar algn medio que permita acreditar la
identidad del interesado.

- Carcter personalsimo de los derechos
Los derechos de acceso, rectificacin, cancelacin y oposicin son
personalsimos y sern ejercidos por el afectado.

Lo cual implica que, en principio, slo el afectado, acreditando su identidad
mediante fotocopia del DNI o documento equivalente, podr ejercer los
derechos sobre sus datos. Ahora bien cuando el afectado se encuentre en
situacin de incapacidad, o sea menor de edad, el ejercicio de los derechos
podr efectuarse por parte de su representante legal, debiendo este de
acreditar tal condicin.

Por otro lado, el ejercicio de los derechos tambin podr realizarse a travs de
un representante voluntario, esto es, a travs de un tercero a quien el titular de
los datos haya asignado como representante. En estos casos, el representante,
a la hora de ejercer los derechos, deber de presentar fotocopia del DNI del
representado (o documento equivalente que lo identifique), as como
autorizacin por escrito en el que el titular de los datos acredite su condicin.

En el caso de que la solicitud de los derechos sea realizado por una persona
diferente al interesado, y no se acredite con claridad que dicha persona acta
en su representacin, el Responsable deber de denegar el ejercicio de los
derechos.

- Derecho de acceso (art. 15 LORD).
Contenido
El interesado tendr derecho a solicitar y obtener gratuitamente informacin de
sus datos de carcter personal incluidos en ficheros sometidos a tratamiento,
conocer el origen de dichos datos, as como las comunicaciones realizadas o que
se prevn hacer de los mismos. El ejercicio de este derecho deber facilitarse
por parte del responsable del fichero al afectado y no podr imponerse trabas ni
requisitos complicados.

Sistemas de consulta
Al ejercitar el derecho de acceso, el afectado podr recibir la informacin a
travs de una o varios de los siguientes medios:

Visualizacin en pantalla.
Escrito, copia o fotocopia remitida por correo, certificada no.
Telecopia.
Correo electrnico u otros sistemas de comunicaciones electrnicas.
Cualquier otro procedimiento que sea adecuado a la configuracin e
implantacin material del fichero.

Si el Responsable del fichero ofreciese un procedimiento a para hacer efectivo el
derecho de acceso y el afectado exigiese otro procedimiento que implicase un
coste desproporcionado, los gastos derivados de la eleccin corrern a cargo del
afectado.

Ejercicio

Tiempo:
El derecho de acceso slo podr ser ejercitado a intervalos no inferiores a doce
meses, salvo que el interesado acredite un inters legtimo, en cuyo caso
podrn ejercitarlo antes.

Forma:
El afectado deber dirigir una peticin o solicitud al responsable del fichero, por
cualquier medio que garantice la identificacin del afectado y en la que conste
el fichero o ficheros a consultar. El afectado deber remitir fotocopia de su
Documento Nacional de Identidad con la solicitud de acceso, o cualquier otro
documento que lo identifique.

Procedimiento
El responsable del fichero deber resolver sobre la solicitud de acceso en el
plazo mximo de un mes desde la recepcin de la solicitud. En el caso de que el
Responsable no disponga de datos del interesado, deber de igualmente
dirigirse al mismo, en idntico plazo, para comunicarle la no existencia de datos
en sus ficheros.

La informacin se proporcionar de manera clara y (legible e inteligible), sin
utilizar claves o cdigos que requieran el uso de dispositivos especficos. La
informacin incluir todos los datos del afectado que disponga, as como el uso
que se est realizando de los mismos. Se facilitar igualmente cualquier
informacin referente al origen de los datos, as como de las cesiones (y los
cesionarios) realizadas.

Si la solicitud fuera estimada y en la comunicacin dirigida al afectado
admitiendo su solicitud, no se incluya la informacin indicada, esta deber de
facilitarse a travs de uno de los medios indicados, en los 10 das siguientes
desde la recepcin de la comunicacin.

El Responsable podr denegar el acceso a los datos personales cuando:

La solicitud haya sido formulada por persona distinta del afectado, salvo los
supuestos en que proceda la representacin legal.
El derecho de acceso se haya ejercitado en un intervalo inferior a doce meses
sin acreditarse inters legtimo.
Una Ley o norma de derecho comunitario lo prevea o impida al Responsable
del Fichero revelar a los afectados el tratamiento que se est realizando de sus
datos.

Artculo 15. L.O.P.D.
1. El interesado tendr derecho a solicitar y obtener gratuitamente informacin
de sus datos de carcter personal sometidos a tratamiento, el origen de dichos
datos, as como las comunicaciones realizadas o que se prevn hacer de los
mismos.
2. La informacin podr obtenerse mediante la mera consulta de los
datos por medio de su visualizacin, o la indicacin de los datos que son objeto
de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no,
en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso
de dispositivos mecnicos especficos.
3. El derecho de acceso a que se refiere este artculo slo podr ser
ejercitado a intervalos no inferiores a doce meses, salvo que el interesado
acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes.

Se facilita a continuacin una Plantilla, que se puede encontrar en la pgina web
de la Agencia de Proteccin de Datos para ejercitar el derecho de acceso a los
datos personales. Los Responsables de los ficheros debern de tener plantillas
similares a esta, que permiten un ejercicio de los derechos por parte de las
personas de las que manejen datos personales.

Descargar Plantillas Solicitud de Derechos de Acceso

SUPUESTO PRCTICO
Se facilita un Informe de la Agencia de Proteccin de Datos, referente a
una consulta planteada sobre una solicitud de derecho de acceso en la
que se solicita informacin acerca de las personas que hayan podido
acceder a los datos personales del solicitante. Esto es, por ejemplo,
informacin de los trabajadores de una determinada empresa
(Responsable del Fichero) que hayan accedido a dichos datos
personales durante el desarrollo de sus funciones en la empresa.
Efectivamente, el derecho de acceso a los datos, nicamente obliga al
Responsable facilitar informacin sobre qu datos dispone y que uso se est
realizando a los mismos, no sobre las personas que han accedido o acceden a
los mismos. El facilitar esta informacin, de hecho, supondra incluso una
comunicacin de datos personales (en este caso de los propios usuarios o
trabajadores de la empresa), que no estara autorizada por la propia Ley.

En el Informe se mencionan, adems, dos aspectos que se vern con ms
detenimiento a lo largo del presente curso. En primer lugar, que la obligacin
de llevar un registro de los accesos producidos a los ficheros existira
nicamente para los ficheros de datos personales de un determinado nivel de
seguridad, no siendo exigible para todos los casos, y que el cumplimiento del
Artculo 14 de la LOPD implica la notificacin de los ficheros ante la Agencia de
Proteccin de Datos, lo cual significa que se debe de indicar ante la Agencia la
existencia de un determinado tratamiento de datos por parte de un
Responsable, sin que esto implique en ningn caso que haya comunicar
directamente los datos personales tratados en s, hecho este que, por
desconocimiento de la LOPD, puede generar confusin en ocasiones.

Descargar Alcance de Derecho de Acceso

SUPUESTO PRCTICO
Es posible el ejercicio del derecho de acceso a los datos de una
persona fallecida por parte de los herederos de la misma?.
En este sentido hemos de recordar lo expuesto anteriormente en este curso, en
donde se explicaba la no aplicacin de los trminos de la LOPD sobre los datos
personales de las personas fallecidas, no amparndoles a estas los derechos
derivados de dichas Ley.
Sin embargo, se ha sealado que an as existen leyes y normativas (Ley
Orgnica 1/1982) que otorgan proteccin frente a las intromisiones que
supongan una vulneracin de los derechos al honor y a la intimidad de las
personas.
Por otro lado, debe de tenerse en cuenta el derecho que todo heredero tiene a
conocer la informacin del fallecido directamente relacionada con su propia
condicin de heredero, tal y como se indica en el Cdigo Civil.
As pues, si bien los datos personales de los fallecidos no entran dentro del
mbito de la LOPD, en el supuesto planteado el acceso a los datos de un
fallecido por parte de los herederos, vendra autorizado por el derecho a la
defensa del honor y la intimidad personal y familiar, as como por el derecho
establecido por el Cdigo Civil a todo heredero a conocer los datos necesarios
para conocer el estado de determinados bienes de la herencia.

Descargar Derecho de Acceso por Herederos

- Derechos de rectificacin y cancelacin.

Contenido
Consisten en la facultad del afectado por la que puede instar al responsable del
fichero a cumplir con la obligacin de mantener la exactitud, complitud y
adecuacin de los datos. A tal efecto, puede solicitar del responsable la
rectificacin o, en su caso, la cancelacin de los mismos. Sin perjuicio de estas
facultades, si los datos de carcter personal registrados resultaran ser
inexactos, total o parcialmente, o incompletos, sern cancelados y sustituidos
de oficio por los correspondientes datos rectificados o completados, si el
responsable del fichero conociera de su inexactitud.

La cancelacin de los datos dar lugar a la supresin de los mismos sin perjuicio
del deber de bloqueo de los mismos, el cual implica la identificacin y reserva
de los mismos con el fin de impedir su tratamiento excepto para su puesta a
disposicin de las Administraciones pblicas, Jueces y Tribunales, para la
atencin de las posibles responsabilidades nacidas del tratamiento y slo
durante el plazo de prescripcin de dichas responsabilidades. Transcurrido ese
plazo deber procederse a la supresin de los datos.

Procedimiento
La solicitud de rectificacin deber indicar el dato que es errneo y la correccin
que debe realizarse, aportando a tal efecto la documentacin justificativa de la
rectificacin solicitada. Por su parte, la solicitud de cancelacin indicar si el
afectado revoca el consentimiento otorgado, en los casos en que la revocacin
proceda, o si se trata de un dato inexacto o errneo, acompaando igualmente
la documentacin justificativa.

El Responsable del fichero deber de resolver sobre la solicitud de ambos
ficheros dentro de los diez das siguientes a la recepcin de la solicitud,
debiendo de tener en cuenta igualmente que, en el caso de que el Responsable
del Fichero no disponga de datos personales del afectado, deber igualmente de
dirigirse por escrito al titular de los mismos, en el mismo plazo, para
comunicarle al solicitante la no existencia de datos personales del mismo en sus
ficheros.

En el caso de que los datos personales sobre los que se solicitan los derechos
de rectificacin o cancelacin hubieran sido cedidos previamente, el
Responsable debe de comunicrselo al cesionario para que ste, en el mismo
plazo de diez das proceda a la modificacin o cancelacin de esos datos en sus
ficheros.

Podr denegarse el ejercicio de los derechos de acceso, rectificacin y
cancelacin, en el supuesto que as lo prevea una Ley o norma de derecho
comunitario o cuando la solicitud no cumpla con los requisitos indicados.

Si el responsable del fichero considera que no procede atender la solicitud del
afectado, se lo comunicar motivadamente en el plazo de diez das desde su
recepcin por un medio fehaciente. Transcurrido este plazo sin contestacin, se
entender la solicitud desestimada.

Peculiaridades de la cancelacin.
No proceder la cancelacin de los datos cuando sta sea susceptible de causar
un perjuicio a los intereses legtimos del propio afectado o de terceros, o
cuando los datos deban de ser conservados durante los plazos previstos en las
disposiciones aplicables o en las relaciones contractuales entre el Responsable y
el interesado.

Para el ejercicio del derecho de cancelacin no es suficiente una marca
indicativa ni el mantenimiento de otro fichero alternativo en el que se registren
las bajas producidas.

SUPUESTO PRCTICO

En este sentido, en febrero de 2001 la Agencia de Proteccin de Datos
sancion a una entidad bancaria por no eliminar de sus listas de
morosos el nombre de aquellas personas que ya haban saldado sus
deudas. Hasta entonces, su prctica habitual consista en mantener el
nombre del deudor durante seis meses, si bien acompaado de la
expresin "saldo cero".
En virtud de lo establecido en el art. 4.3 de la LOPD, "los datos de
carcter personal sern exactos y puestos al da de forma que
respondan con veracidad a la situacin actual del afectado". En la
medida que es una obligacin que compete, en este caso, a la entidad
suministradora del dato al fichero comn, el banco fue sancionado por
incurrir en una infraccin grave, segn lo establecido en el art. 44.3.
de la LOPD.
Veremos ms adelante y con mayor claridad, en temas posteriores, el
tratamiento que ha de realizarse de los ficheros de datos sobre
solvencia patrimonial (los denominados ficheros de morosos)

Cuando no sea posible la extincin fsica de los datos, por razones tcnicas o
por el procedimiento o soporte utilizado, el responsable del fichero proceder al
bloqueo de los datos con el fin de impedir su ulterior proceso o utilizacin. Sin
embargo, si los datos personales hubieran sido recogidos o registrados por
medios ilcitos o fraudulentos, la cancelacin comportar siempre la destruccin
del soporte en el que figuran.

Artculo 16. L.O.P.D.
1. El responsable del tratamiento tendr la obligacin de hacer efectivo el
derecho de rectificacin o cancelacin del interesado en el plazo de diez das.
2. Sern rectificados o cancelados, en su caso, los datos de carcter
personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en
particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelacin dar lugar al bloqueo de los datos, conservndose
nicamente a disposicin de las Administraciones pblicas, Jueces y Tribunales,
para la atencin de las posibles responsabilidades nacidas del tratamiento,
durante el plazo de prescripcin de stas. Cumplido el citado plazo deber
procederse a la supresin.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deber notificar la rectificacin o
cancelacin efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este ltimo, que deber tambin proceder a la
cancelacin.
5. Los datos de carcter personal debern ser conservados durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado.

Descargar Plantilla ejercicio Derecho de Rectificacin

Descargar Plantilla ejercicio Derecho de Cancelacin


SUPUESTO PRCTICO
Cmo actuar en caso de que en un hospital se reciba una solicitud de
cancelacin por parte de un paciente?.

Como se ha venido sealando a lo largo del presente curso,
independientemente de la posibilidad de ejercer los derechos de acceso,
rectificacin y cancelacin sobre los datos personales, hay que tener en cuenta
que los datos personales debern de ser conservados durante los plazos
previstos en las disposiciones aplicables. En el presente caso, nos encontramos
con que segn la Ley 41/2002, referente a la conservacin de la historia
clnica, se obliga a los centros sanitarios a conservar la documentacin clnica
durante un tiempo mnimo de 5 aos, con lo que en este caso no procedera
procederse a la cancelacin de los datos.
Pasado ese plazo si habra que cumplir con el derecho de cancelacin,
procediendo al bloqueo o a la supresin de los datos personales incluidos en la
historia clnica.

Descargar Derecho de cancelacin historia clnica

SUPUESTO PRCTICO
Puedo solicitar la cancelacin de fotografas de mis hijos, publicadas
en la pgina web de su colegio sin haber recabado mi consentimiento?.
Efectivamente, y considerando las imgenes como datos de carcter personal,
el tratamiento de dichas fotografas, y su posterior comunicacin a terceros
(que es lo que implica su publicacin a travs de la pgina web) requerir el
consentimiento inequvoco del afectado, o en este caso, al tratarse de menores
de edad, de sus padres o tutores legales.
Toda vez que, tal y como se indica, este tratamiento de datos se ha realizado
sin obtener dicho consentimiento, se podr ejercer el derecho de cancelacin de
dichas imgenes, como mecanismo reactivo sobre el tratamiento de las
imgenes. En este caso, adems, sera adecuado presentar denuncia ante la
Agencia de Proteccin de Datos, al haberse vulnerado artculos bsicos en la
LOPD, como son los artculos 5 (derecho de informacin), 6 (consentimiento del
afectado) y 11 (comunicacin de datos).
Descargar Derecho de Cancelacin imgenes pgina web

Contenido
El derecho de oposicin consiste en el derecho del afectado a solicitar que se
cese o no se lleve a cabo el tratamiento de sus datos personales en los
siguientes supuestos:
a) Cuando no sea necesario el consentimiento del titular de los datos para su
tratamiento, siempre que una Ley no disponga lo contrario. Recordar que no es
preciso el consentimiento del titular de los datos:
Cuando los datos de carcter personal se recojan para el ejercicio de las
funciones propias de las Administraciones pblicas en el mbito de sus
competencias.
Cuando se refieran a las partes de un contrato o precontrato de una relacin
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
Cuando el tratamiento de los datos tenga por finalidad proteger un inters
vital del interesado.
Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento
sea necesario para la satisfaccin del inters legtimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos,
siempre que no se vulneren los derechos y libertades fundamentales del
interesado.
b) Cuando se trate de ficheros que tengan por finalidad la realizacin de
actividades de publicidad y prospeccin comercial,
c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin
referida al afectado y basada esta nicamente en un tratamiento de sus datos
de carcter personal.

En el supuesto de ejercerse el derecho de oposicin, el responsable del fichero
excluir del tratamiento los datos relativos al afectado. El plazo para hacer
efectivo el derecho de oposicin, ser de 10 das a contar desde la recepcin de
la solicitud. Si el Responsable no dispone de datos personales del solicitante,
este deber igualmente de dirigirse al afectado, para comunicarle este aspecto.

En el supuesto de ejercerse el derecho de oposicin, el responsable del fichero
excluir del tratamiento los datos relativos al afectado

Descargar Plantilla ejercicio Derecho de Oposicin

SUPUESTO PRCTICO
Como Responsable de un Fichero de datos, como debo proceder para
contestar ante una solicitud del ejercicio de los derechos de acceso,
rectificacin o cancelacin?.
Se facilitan a continuacin unas plantillas que pueden utilizarse como
modelos para dirigirse a los titulares de los datos en caso de que estos
ejerzan sus derechos de acceso, rectificacin y cancelacin.

Descargar Plantilla Contestacin Derecho de Acceso

Descargar Plantilla Contestacin Derecho de Rectificacin/Cancelacin

Caso particular de ficheros de publicidad
Los interesados tienen derecho a oponerse al tratamiento de sus datos
personales con fines de publicidad, venta a distancia, recopilacin de
direcciones y prospeccin comercial, previa peticin y sin gastos. En este caso,
sern dados de baja del tratamiento, cancelndose las informaciones que sobre
ellos figuren en aqul.

Veremos ms informacin, y con ms de detenimiento, sobre el tratamiento de
los datos personales con fines de publicidad o prospeccin comercial en
sucesivos temas del presente curso (Unidad 12).
- Derecho de impugnacin.
El afectado podr impugnar los actos administrativos o decisiones privadas que
impliquen una valoracin de su comportamiento cuyo nico fundamento sea un
tratamiento de datos de carcter personal que ofrezca una definicin de sus
caractersticas o personalidad. Todo afectado podr impugnar aquellas
decisiones con efectos jurdicos sobre su persona que hayan sido tomadas con
base nica y exclusivamente a datos destinados a evaluar determinados
aspectos de su personalidad.

Excepciones a este aspecto son el que este tratamiento se realice en el marco
de la celebracin o ejecucin de un contrato a peticin del interesado, o que
este tratamiento est autorizado por una norma con rango de Ley.

- Derecho de consulta.
Cualquier persona puede acudir al Registro General de Proteccin de Datos para
recabar informacin sobre la existencia de tratamientos de datos de carcter
personal, sus finalidades y la identidad del responsable del tratamiento. El
Registro General de Proteccin de Datos ser de consulta pblica y gratuita. En
este Registro queda inscrita una descripcin de los ficheros (finalidad,
estructura, identidad del responsable, ubicacin), a efectos de que el afectado
pueda ejercer los derechos que la LORD le reconoce. Es el responsable del
fichero quien dispone de los datos personales de los afectados y quien debe
permitir, previa solicitud adecuada, el acceso a los mismos, su rectificacin o
cancelacin.

El Registro General de Proteccin de Datos, se encuentra parta su consulta en
la pgina web de la Agencia (www.agpd.es), la cual ser estudiada con
detenimiento en unidades sucesivas del presente cursos (Unidad 10), donde se
explicar, entre otras cosas, como consultar el contenido de dicho registro.

- Reclamacin frente a la AGPD. Tutela de derechos.
El ejercicio de este derecho proceder en los siguientes supuestos:

a) Por cualquier actuacin contraria a lo dispuesto en la LOPD. Por ejemplo, el
incumplimiento por parte del responsable del fichero de su obligacin de
facilitar determinada informacin al interesado en el momento de la recogida de
sus datos de carcter personal; o no notificar al cesionario la rectificacin o
cancelacin efectuada cuando los datos hubieran sido cedidos previamente.

a) Por denegacin, total o parcial, del ejercicio de los derechos de oposicin,
acceso, rectificacin o cancelacin. La Agencia de Proteccin de Datos o, en su
caso, el organismo competente de cada Comunidad Autnoma, deber
asegurarse de la procedencia o improcedencia de la denegacin.

Procedimiento:

a) Iniciacin: el procedimiento se iniciar a instancia del afectado o afectados,
que debern expresar con claridad el contenido de su reclamacin y los
preceptos de la LOPD que se entienden vulnerados.

b) Alegaciones: una vez se reciba la reclamacin, se le dar traslado al
responsable del fichero para que formule sus alegaciones en el plazo de 15 das.

Se facilitan a continuacin las plantillas (descargables desde la pgina web de la
Agencia) para ejercer ante la Agencia de Proteccin de datos la reclamacin de
tutela por denegacin de los ejercicios de acceso, rectificacin, cancelacin y
oposicin.

Descargar Plantilla Tutela de Derecho de Acceso
Descargar Plantilla Tutela Derecho de Rectificacin
Descargar Plantilla Tutela Derecho de Cancelacin
Descargar Plantilla Tutela Derecho de Oposicin

c) Resolucin: recibidos las alegaciones e informes, practicadas las pruebas
pertinentes y dada audiencia del afectado y del responsable, la Agencia de
Proteccin de Datos resolver expresamente en un plazo mximo de seis
meses.
d) Recurso: contra las resoluciones de la Agencia de Proteccin de Datos
proceder recurso contencioso-administrativo.

- Derecho a indemnizacin.
Las lesiones que el incumplimiento de lo previsto en la LOPD pueda ocasionar al
afectado, en sus bienes o derechos, generan derecho a indemnizacin. Para el
ejercicio de este derecho ser necesario acudir a los Tribunales ordinarios.










Para la implantacin de la L.O.P.D. es necesario que la organizacin inscriba en
el Registro General de Proteccin de Datos cada uno de los ficheros de datos
que utiliza. En cada inscripcin es necesario determinar qu tipo de datos
contiene el fichero. (Datos de Carcter Identificativo, datos de circunstancias
sociales, acadmicos y profesionales, etc.).

Datos especialmente protegidos:

Ideologa, Afiliacin Sindical, Religin, Creencias, Origen racial o tnico, Salud,
Vida sexual
Datos de carcter identificativo:
DNI / NIF, N SS / Mutualidad, Nombre y Apellidos, Direccin (postal,
electrnica), Telfono, Firma / Huella digitalizada, Imagen /Voz, Marcas fsicas,
Firma electrnica, Otros (indicar)
Datos de caractersticas personales:
- Estado civil
- Datos de familia
- Fecha de nacimiento
- Lugar de nacimiento
- Edad
- Sexo
- Nacionalidad
- Lengua materna
- Caractersticas fsicas antropomtricas
- Otros (indicar)

Datos de circunstancias sociales:
- Caractersticas de alojamiento, vivienda
- Situacin miliar
- Propiedades, posesiones
- Aficiones y estilos de vida
- Pertenencia a clubes, asociaciones
- Licencias, permisos, autorizaciones
- Otros (indicar)

Datos acadmicos y profesionales:
- Formacin, titulaciones
- Historial de estudiante
- Experiencia Profesional
- Pertenencia a colegios o asociaciones
- Otros (indicar)
Datos de detalle de empleo:
- Profesin
- Puestos de trabajo
- Datos no econmicos de nmina
- Historial del trabajador
- Otros (indicar)
Datos de informacin comercial:
- Actividades y negocios
- Suscripciones a publicaciones / Medios de comunicacin
- Licencias comerciales
- Creaciones artsticas, literarias, cientficas o tcnicas.
- Otros (indicar)

Datos econmico-financieros y de seguros:

- Ingresos, rentas
- Inversiones, Bienes patrimoniales
- Crditos, prstamos, avales
- Datos bancarios
- Planes de pensiones, jubilacin
- Datos econmicos de nmina
- Datos deducciones impositivas
- Seguros
- Hipotecas
- Subsidios / Beneficios
- Historial crditos
- Tarjetas de crdito
- Otros (indicar)
Datos de transacciones:
- Bienes y servicios suministrados por el afectado
- Transacciones financieras
- Bienes y servicios recibidos por el afectado
- Compensaciones / Indemnizaciones
- Otros (indicar)

PROCEDENCIA DE LOS DATOS
Generalmente los datos de carcter personal provienen:

Directamente del interesado o su representante legal
La normativa de esta ley establece que para obtener datos de una persona es
necesario contar con su consentimiento adems de informarle al respecto de
modo expreso, preciso e inequvoco.
A travs de terceras personas distintas del interesado o su
representante legal
Cuando los datos de carcter personal no hayan sido recabados del interesado,
ste deber ser informado de forma expresa, precisa e inequvoca, por el
responsable del fichero o su representante, dentro de los tres meses siguientes
al momento del registro de los datos, salvo que ya hubiera sido informado con
anterioridad.
De fuentes accesibles al pblico
Cuando los datos provengan de estas fuentes y se destinen a la publicidad o la
prospeccin comercial, en cada comunicacin que se dirija al interesado se le
informar del origen de los datos y de la identidad del responsable del
tratamiento, as como de los derechos que le asisten. Son fuentes accesibles
al pblico por ejemplo el censo promocional y las guas de servicios de
telecomunicaciones.
Tambin se puede indicar la procedencia de:
- Registros pblicos Administraciones Pblicas
- Entidad privada
Los datos personales que se recaben de los interesados deben ser adecuados,
pertinentes y no excesivos en relacin con el mbito y las finalidades
determinadas, explcitas y legtimas para las que hayan sido obtenidos. Adems
no podrn ser mantenidos en el fichero por tiempo mayor al necesario para
cumplir con la finalidad para la cual se obtuviero, debiendo de ser cancelados
por parte del Responsable del Fichero, una vez se haya concluido la finalidad
con la que fueron recabados, pudiendo conservarse nicamente durante el
tiempo que pueda exigirse algn tipo de responsabilidad derivada de la relacin
jurdica o la ejecucin de un contrato.
Ejemplo de las finalidades ms frecuentes previstas por la AGPD:



Las finalidades previstas por la Agencia de Proteccin de Datos son las
siguientes:
Gestin contable, fiscal y administrativa: Gestin de proveedores, Gestin de
cobros y pagos, Administracin de fincas, etc.
Recursos Humanos: Gestin de nminas, Formacin, Prestaciones sociales,
Seleccin de personal, Prevencin de riesgos laborales, etc.
Servicios econmico-financieros y de seguros: Cuenta de crdito, gestin de
patrimonios, Seguros de vida, Gestin de tarjetas de crdito, etc.
Publicidad y prospeccin comercial: Encuestas de opinin, Anlisis de perfiles,
Segmentacin de mercados, Venta a distancia, etc.
Servicios de telecomunicaciones: Comercio electrnico, Guas / Repertorios de
telecomunicaciones, etc.
Actividades asociativas, culturales, recreativas, deportivas y sociales:
Asistencia social, Gestin de socios de entidades no lucrativas, etc.
Educacin: Enseanza infantil, primaria, secundaria, universitaria, especial,
etc.
Sanidad: Historial clnico, Investigacin epidemiolgica, Gestin y control
sanitario, etc.
Seguridad: Investigaciones privadas a personas, Seguridad y control de
acceso a edificios, etc.
Finalidades varias: Fines histricos, cientficos o estadsticos, Reservas y
emisin de billetes, fidelizacin de clientes, etc.

EL FLUJO DE LOS DATOS
El permanente movimiento de datos personales entre las organizaciones
actuales crece de forma vertiginosa. La normativa de la ley distingue 2 figuras
distintas para categorizar estos flujos:

Cesin o Comunicacin de datos
Toda revelacin de datos realizada por persona distinta del interesado.
Este concepto es muy amplio, puesto que revelacin recoge tanto la entrega,
comunicacin, consulta, interconexin, transferencia, difusin o cualquier otra
forma que facilite el acceso a los datos de un fichero a un tercero, distinto del
interesado.
La comunicacin o cesin de datos de carcter personal es una de las
cuestiones ms conflictivas en orden a la proteccin de la intimidad de las
personas, ya que esta cesin posibilita el cruce de datos haciendo posible que
sean utilizados para un fin distinto al original. Por eso se hace imprescindible el
consentimiento del interesado en la cesin de sus datos personales desde un
fichero originario hasta el fichero de un tercero.
Articulo 11. L.O.P.D.
1. Los datos de carcter personal objeto del tratamiento slo podrn ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legtimas del cedente y del cesionario con el
previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no ser preciso:
a) Cuando la cesin est autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al pblico.
c) Cuando el tratamiento responda a la libre y legtima aceptacin de una
relacin jurdica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexin de dicho tratamiento con ficheros de terceros. En
este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad
que la justifique.
d) Cuando la comunicacin que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser
preciso el consentimiento cuando la comunicacin tenga como destinatario a
instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e) Cuando la cesin se produzca entre Administraciones pblicas y tenga
por objeto el tratamiento posterior de los datos con fines histricos, estadsticos
o cientficos.
f) Cuando la cesin de datos de carcter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o para
realizar los estudios epidemiolgicos en los trminos establecidos en la
legislacin sobre sanidad estatal o autonmica.
3. Ser nulo el consentimiento para la comunicacin de los datos de
carcter personal a un tercero, cuando la informacin que se facilite al
interesado no le permita conocer la finalidad a que destinarn los datos cuya
comunicacin se autoriza o el tipo de actividad de aquel a quien se pretenden
comunicar.
4. El consentimiento para la comunicacin de los datos de carcter
personal tiene tambin un carcter de revocable.
5. Aquel a quien se comuniquen los datos de carcter personal se obliga,
por el solo hecho de la comunicacin, a la observancia de las disposiciones de la
presente Ley
6. Si la comunicacin se efecta previo procedimiento de disociacin, no
ser aplicable lo establecido en los apartados anteriores


Los requisitos que se deben cumplir para realizar cesiones o
comunicaciones de datos son los siguientes:

Slo ser posible la comunicacin de los datos para el
cumplimiento de fines directamente relacionados con las
funciones de cedente y cesionario. Este es el principal punto de
inters, puesto que la ley pretende evitar que se realicen cesiones por
cualquier motivo o que tengan poco que ver con el mbito de las
funciones, atribuciones o competencias de la empresa cedente y la
empresa cesionaria.

SUPUESTO PRCTICO
Si una empresa se dedica a prestar servicios contables y financieros no
podra ceder los datos de sus clientes a otra empresa que se dedicase a
la venta de automviles. Siempre debe existir una relacin entre las
actividades y fines de la comunicacin de las empresas cedente y
cesionaria.

El previo consentimiento informado del interesado; es decir, que
antes de proceder a la cesin es necesario recabar el
consentimiento expreso del afectado para realizar la cesin de sus
datos, informndole de:
o Identificacin, actividad y direccin del cesionario.
o Finalidad a la cual se destinarn los datos cedidos.

Adems, el art.27 de la LOPD referente a la comunicacin de la cesin de datos
en los ficheros de titularidad privada, establece la obligacin al cedente
responsable del fichero a informar a los afectados, en el momento en que se
efecte la cesin de los datos al cesionario, de:
La identidad y direccin del cesionario,
La naturaleza de los datos cedidos,
La finalidad del fichero.

Con esta comunicacin la Ley pretende que se informe al interesado del
momento en que se produce efectivamente la cesin de sus datos, pudiendo
contrastar de esa forma que se han cumplido los requisitos, finalidad, tipologa
de datos cedidos, etc, a la que l, el interesado, previamente haba dado su
consentimiento.

No ser necesario proporcionar esta informacin al interesado cuando resulte
imposible o exija esfuerzos desproporcionados a criterio de la Agencia Espaola
de Proteccin de Datos, en consideracin al nmero de interesados, a la
antigedad de los datos y a las posibles medidas compensatorias.

SUPUESTO PRCTICO
Modelo de Clusula de Recogida de Datos del Interesado con posterior
cesin de datos:

RECOGIDA DE DATOS PERSONALES CON CESIN

A los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, sobre
Proteccin de Datos de Carcter Personal, se le informa que los datos
personales proporcionados se incorporarn (o actualizarn) a los ficheros de
EMPRESA, con direccin en DIRECCIN.

Los datos personales solicitados en este documento son de carcter obligatorio,
por lo que su no cumplimentacin supone la imposibilidad de su inclusin en los
ficheros antes descritos y de cumplir con la finalidad de realizar los servicios
contratados de DESCRIPCIN DEL SERVICIO, y su posterior comunicacin OTRA
EMPRESA con direccin en DIRECCIN, para MOTIVO POR EL CUAL SE CEDEN
LOS DATOS. En cumplimiento de la normativa en vigor sobre proteccin de
datos y comercio electrnico, marque con una cruz en el caso de que no
autorice el tratamiento y cesin de sus datos de carcter personal: ___ (cruz).

Ud. Tiene derecho al acceso, rectificacin, cancelacin y oposicin en los
trmino previsto en la Ley, que podr ejercitar mediante escrito dirigido al (a
los) responsable(s) de los mismos, en las direcciones anteriormente indicadas.

El consentimiento previo del interesado no es necesario para la
cesin de los datos en los siguientes casos:

La LOPD establece supuestos tasados en los que no ser preceptivo informar y
recabar el consentimiento previo de los interesados para ceder los datos. Estos
supuestos son:
Cuando la cesin est autorizada por una Ley. Supuestos en los que
estn permitidas las cesiones de datos como en la Ley General Tributaria
y en la Ley de Enjuiciamiento Civil.
Cuando se trate de datos recogidos de fuentes accesibles al
pblico, siempre que el tratamiento de los datos sea necesario para la
satisfaccin del inters legtimo perseguido por el cedente o por el
cesionario y se respeten los derechos de los interesados.

SUPUESTO PRCTICO
Dentro de este caso encontramos los casos de venta de bases de datos;
bases de datos que se adquieren a empresas especializadas,
principalmente para realizar acciones de publicidad o prospeccin
comercial, que han obtenido los datos de fuentes accesibles al pblico.
El cesionario que utilice estas bases de datos para acciones de
publicidad y prospeccin comercial deber informar al interesado, en
cada comunicacin que le realice, del origen de los datos y de la
identidad del cesionario, as como los derechos que le asisten.

Cuando el tratamiento responda a la libre y legtima aceptacin de
una relacin jurdica cuyo desarrollo, cumplimiento y control
implique necesariamente conexin de dicho tratamiento con
ficheros de terceros. En este caso la comunicacin slo ser legtima en
cuanto se limite a la finalidad que la justifique.
Cuando la comunicacin que deba efectuarse tenga por
destinatario al Defensor del Pueblo, el Ministerio Fiscal o los
Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las
funciones que tiene atribuidas. Tampoco ser preciso el
consentimiento cuando la comunicacin tenga como destinatario a
instituciones autonmicas con funciones anlogas al Defensor del Pueblo o
al Tribunal de Cuentas.
Cuando la cesin se produzca entre Administraciones Pblicas y
tenga por objeto el tratamiento posterior de los datos con fines
histricos, estadsticos y cientficos. Adems, no se permiten por ley
las cesiones de datos entre distintas Administraciones Pblicas para el
ejercicio de competencias diferentes o para fines distintos a los que
motivaron la recogida de los datos.
Cuando la cesin de datos de carcter personal relativos a la salud
sea necesaria para solucionar una urgencia que requiera acceder a
un fichero o para realizar los estudios epidemiolgicos en los
trminos establecidos en la legislacin sobre sanidad estatal o
autonmica.


Transferencias Internacionales
Surgen cuando los datos de carcter personal de una organizacin son
transferidos a otros pases. Se suele dar en los mbitos de la economa y en los
sectores bancarios y de seguros, telecomunicaciones y comercio electrnico.
La LOPD prohbe las transferencias internacionales a pases sin un nivel de
seguridad equiparable al espaol, salvo autorizacin del Director de la Agencia
de Proteccin de Datos. Sin embargo el art. 34 de la LOPD establece una serie
de excepciones a la citada afirmacin.

Requisitos para las transferencias Internacionales de datos

El artculo 33 de la LOPD establece que no se podrn realizar Transferencias
Internacionales de Datos con destino a pases que no proporcionen un nivel de
proteccin equiparable al establecido en la LOPD, sin la previa autorizacin del
Director de la Agencia de Proteccin de Datos.

En principio, los requisitos generales necesarios para poder realizar la
Transferencia Internacional de Datos son los siguientes:
Cumplimiento del deber de informacin y de las obligaciones
establecidas por la ley para la cesin de datos (previo
consentimiento informado de la cesin, informar a los sujetos sobre la
transferencia internacional de datos, tipologa de los datos ceditos,
finalidad del fichero y la identidad del destinatario) o para el acceso a
datos por cuenta de terceros (contrato de acceso a datos).
Notificacin de la Transferencia Internacional de Datos a la
Agencia Espaola de Proteccin de Datos, indicando el pas de
destino y, en su caso, el supuesto al que se acoge de las excepciones
establecidas en el art.34 de la LOPD para que no sea necesaria la
autorizacin previa del Director de la Agencia Espaola de Proteccin de
Datos.

Una vez notificada la Transferencia Internacional, la AEPD podr solicitar al
Responsable del Fichero que aporte documentacin complementaria para
autorizar dicha Transferencia; principalmente, en relacin con el cumplimiento
del deber de informacin, consentimiento de los interesados, existencia de
clusulas contractuales tipo para la cesin y/o acceso por cuenta de terceros,
finalidades de la transferencia, etc
El artculo 34 establece las excepciones a los supuestos en los que no ser
necesaria la previa autorizacin del Director de la Agencia para la Transferencia
Internacional de Datos.
Los supuestos ms habituales son los establecidos en las letras e
(consentimiento inequvoco del afectado), f (contratos y precontratos entre el
afectado y el responsable del fichero) y k (transferencia con destino a Estados
miembros de la UE y Estados no comunitarios que tengan nivel de proteccin
equivalente).
Las excepciones son las siguientes:
Cuando la transferencia internacional de datos de carcter personal
resulte de la aplicacin de los tratados o convenios en los que sea parte
Espaa.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio
judicial internacional.
Cuando la transferencia sea necesaria para la prevencin o para el
diagnsticos mdicos, la prestacin de asistencia o tratamientos mdicos
o la gestin de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislacin
especfica.
Cuando el afectado haya dado su consentimiento inequvoco a la
transferencia prevista. Este consentimiento debe ser previo, inequvoco e
informado.
Cuando la transferencia sea necesaria para la ejecucin de un contrato
entre el afectado y el responsable del fichero o para la adopcin de
medidas precontractuales adoptadas a peticin del afectado.
Cuando la transferencia sea necesaria para la celebracin o ejecucin de
un contrato celebrado o por celebrar, en inters del afectado, por el
responsable del fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la
salvaguarda de un inters pblico. Tendr esta consideracin la
transferencia solicitada por una Administracin fiscal o aduanera para el
cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
Cuando la transferencia se efecte, a peticin de persona con inters
legtimo, desde un Registro Pblico y aquella sea acorde con la finalidad
del mismo.
Cuando la transferencia tenga como destino un Estado miembro de la
Unin Europea, o un Estado respecto del cual la Comisin de las
Comunidades Europeas, en el ejercicio de sus competencias, haya
declarado que garantiza un nivel de proteccin adecuado.

A continuacin se detallan los requisitos para la Transferencia Internacional de
Datos con destino a Estados no comunitarios sin nivel de proteccin de los
datos equivalente al establecido en la LOPD y que no se puedan acoger a las
excepciones previstas en el art.34
Ser preceptiva la Autorizacin del Director de la Agencia antes de
proceder a la realizacin de la Transferencia. Esta autorizacin tiene por
finalidad determinar si se prestan garantas adecuadas para el
tratamiento de los datos, tomando en consideracin para otorgarla o
denegarla los siguientes criterios:
o Naturaleza de los datos.
o Finalidad y duracin del tratamiento previsto.
o Estado de origen y destino de la transferencia.
o Normas legales vigentes en el Estado destino.
o Informes de la Comisin Europea,
o Normas profesionales y medidas de seguridad en vigor en el Estado
de destino.
o Cumplimiento de la LOPD por parte del Responsable del Fichero que
quiere realizar la transferencia.
Para los supuestos de cesin de datos:
Cumplimiento del deber de informacin (informar a los afectados sobre la
identidad del destinatario de los datos, finalidad del tratamiento que justifica la
transferencia y tipologa de datos cedidos).
Aportar contrato escrito, celebrado entre transmitente y destinatario en el
que consten los siguientes extremos:
-Que el transmitente ha cumplido con las normas establecidas en la LOPD en
cuanto a la recogida, tratamiento e inscripcin del fichero.
-Que el destinatario utilizar los datos exclusivamente para la finalidad que
motiva la transferencia y el tratamiento de los mismos se realizar de
conformidad con lo dispuesto en la LOPD, comprometindose adems a no
ceder los datos a terceros.
-Que el destinatario se compromete a la adopcin de las medidas de seguridad
establecidas en la legislacin espaola.
-Se establecer la responsabilidad solidaria de transmitente y destinatario
frente a los afectados, AEPD y rganos jurisdiccionales cuando el
incumplimiento del contrato por el destinatario suponga una infraccin
establecida en la LOPD.
-Se garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin
y oposicin por parte del afectado, quien podr solicitar la tutela de la AEPD.
-Compromiso del destinatario de autorizar el acceso a las instalaciones donde
se realice el tratamiento de los datos a la Agencia Espaola de Proteccin de
Datos.
-El destinatario se obligar a que, una vez cumplida la finalidad del tratamiento,
se proceder a la destruccin de los datos o, en su caso, a la devolucin de los
mismos al transmitente.
-Por ltimo, se dispondr que los afectados podrn solicitar el cumplimiento de
lo dispuesto en el contrato que les sea favorable.

SUPUESTO PRCTICO
Cules son los casos ms habituales en los que se producen
Transferencias Internacionales de Datos?
- Supuestos de Transferencia Internacional de Datos en el acceso a
datos por cuenta de terceros; por ejemplo, en el caso de una pgina Web
que recoge datos de carcter personal y los almacena, con la finalidad de
proporcionar a los usuarios registrados acceso a funcionalidades especficas,
contenidos, reas de descarga, etc.., y que se encuentra alojadas en un
Servidor con ubicacin fsica de fuera del territorio nacional.
- Supuestos de Transferencia Internacional de Datos por cesin o
comunicacin de datos; por ejemplo, el caso de una empresa que transfiere
los datos de carcter personal de sus ficheros de clientes, proveedores,
trabajadores, etc.. a su Empresa central con domicilio fuera de Espaa, por
motivos de centralizacin de informacin, gestin de recursos, etc
Es necesario tener en cuenta para poder delimitar las obligaciones que se
imponen por la ley el pas de destino de la Transferencia Internacional de
Datos, a efectos de recabar o no la autorizacin previa del Director de la
Agencia Espaola de Proteccin de Datos:
- Estados Miembros de la Unin Europea,
- Estados no comunitarios que ofrecen un nivel de proteccin y regulacin legal
similar al establecido por la LOPD y la Directiva, o
- Estados no comunitarios que no ofrecen nivel de proteccin y regulacin legal
al establecido por la LOPD y la Directiva.

PRINCIPALES FICHEROS EN EL MBITO EMPRESARIAL
La implantacin de la L.O.P.D. en una Empresa est delimitada por los ficheros
existentes en la misma. Los ficheros ms frecuentemente usados son los
siguientes:

Fichero de Clientes
Incluye los datos personales de los clientes de la organizacin. La finalidad del
mismo radica en la llevanza de la gestin integral de quienes mantienen
relaciones comerciales con la organizacin.
Fichero de Proveedores
Contiene los datos de los proveedores de la entidad, necesarios para la gestin
de los mismos y la facturacin y la contabilidad de la entidad.
Fichero de Contabilidad y declaraciones a la Hacienda Pblica
Su finalidad es el seguimiento, control, centralizacin y gestin de las cuentas y
cumplimiento de las obligaciones tributarias de la organizacin.
Fichero de Marketing
La finalidad del mismo es la realizacin de las campaas y promociones
publicitarias.
Fichero de Bolsa Empleo
Suele tener como finalidad el archivo, anlisis, evaluacin e histrico de los
currculos de vida de los candidatos a trabajar en una organizacin.
Fichero de gestin de personal
La finalidad de este fichero es llevar un registro, control y seguimiento de los
datos del personal (trabajadores y directivos) de la organizacin.

NIVELES DE FICHEROS
A partir de los datos contenidos en los ficheros de una empresa se establecer
el nivel de medidas de seguridad aplicables. Estas medidas de seguridad tienen
un carcter acumulativo. Por tanto, todos los ficheros deben adoptar como
mnimo las medidas de seguridad del nivel bsico. A continuacin se presentan
cada uno de los niveles de seguridad:

Nivel Bsico
Son de este nivel todos los ficheros con datos de carcter personal y tienen que
adoptar las medidas de nivel bsico.

Nivel Medio
Se considerarn ficheros de nivel medio, y, por lo tanto, debern de tenerse en
cuenta las medidas de seguridad correspondientes los siguientes ficheros de
datos personales:
- Los relativos a la comisin de infracciones administrativas o penales.
- Aquellos de los que sean responsables las Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
- Aqullos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestacin de servicios financieros.
- Aqullos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social as como las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
- Aqullos que contengan un conjunto de datos de carcter personal que
ofrezcan una definicin de la personalidad del individuo.

SUPUESTO PRCTICO

En el caso de que se disponga del dato del nmero de tarjeta de crdito
o el nmero de la cuenta bancaria de un cliente, tienen estos datos la
consideracin de datos de carcter personal financiero?
El hecho de disponer del nmero de tarjeta de crdito o el nmero de
cuenta bancaria no se consideran datos financieros.

Nivel Alto
Se considerarn ficheros de nivel alto, aquellos ficheros que:

- se refieran a datos de ideologa, afiliacin sindical, religin, creencias, origen
racial, salud o vida sexual.
- los que contengan datos recabados para fines policiales sin consentimiento de
las personas afectadas.
- contengan datos derivados de actos de violencia de gnero.
- los ficheros de los que sean responsables los operadores que presten servicios
de comunicaciones electrnicas disponibles al pblico respecto a los datos de
trfico y a los datos de localizacin.

Excepciones
Ser suficiente con implantar las medidas de seguridad de nivel bsico para los
ficheros de datos de ideologa, afiliacin sindical, religin, creencias, origen
racial, salud o vida sexual, siempre y cuando se utilicen con con la nica
finalidad de realizar una transferencia dineraria a las entidades de las que los
afectados sean asociados o miembros.

Del mismo modo, bastar la implantacin de las medidas de seguridad de nivel
bsico en el caso de los ficheros o tratamientos que contengan datos relativos a
la salud, referentes exclusivamente al grado de discapacidad o la simple
declaracin de la condicin de discapacidad o invalidez del afectado, con motivo
del cumplimiento de deberes pblicos.



EJERCICIO 1

Uno de los ficheros de la Empresa X contiene los siguientes datos de
carcter personal: nombre y apellidos, departamento, NIF, datos de
estado civil, fecha de nacimiento, datos bancarios, sexo, lengua,
direccin, telfono, nmero de hijos, fecha de alta / baja en la
empresa.
En orden a la tipologa de datos establecida en la Agencia de Proteccin
de Datos, cul ser su clasificacin?

EJERCICIO 2
Una empresa ha identificado dentro de su sistema de informacin, los
siguientes ficheros con datos de carcter personal:
- Un fichero creado mediante un procesador de textos en el que
se registran, por orden cronolgico, cada uno de los puestos de trabajo
que se hayan cubierto a travs de la mediacin de la agencia.
- Varios ficheros con datos de carcter personal que eran utilizados
como recursos de un antiguo programa de gestin de candidatos, que
se ha desinstalado del sistema.
- Un fichero que se remite mensualmente a una entidad
aseguradora, que contiene una relacin de los empleados a fin de
gestionar los seguros contra accidentes laborales. En el mismo constan,
entre otros, los datos de las revisiones mdicas a las que cada
candidato debe someterse.
Qu finalidad tiene cada fichero?

EJERCICIO 3

La Empresa Z posee los datos relativos a la prevencin de riesgos
laborales de sus empleados en ficheros automatizados de exclusivo uso
interno y acceso restringido .Se le plantean dos cuestiones tiene que
notificar los ficheros a la Agencia de Proteccin de Datos? Y es preciso
obtener el consentimiento expreso de las personas cuyos datos son
objeto de tratamiento?

Descargar Solucin Ejercicios Unidad 4


La organizacin deber garantizar la proteccin de los datos personales de los
trabajadores mediante el cumplimiento de la LOPD y el R.D. 1720/2007, y la
adopcin de las medidas tcnicas y organizativas de forma que se impida su
prdida, acceso, utilizacin, modificacin o comunicacin no autorizados.
Las medidas de seguridad exigibles a los ficheros que contienen datos de
carcter personal se clasifican en los tres niveles: bsico, medio y alto. Los
citados niveles de seguridad se establecen atendiendo a la naturaleza de la
informacin tratada en relacin con la mayor menor necesidad de garantizar
la confidencialidad, integridad y disponibilidad de la informacin.
El REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de
proteccin de datos de carcter personal, establece las medidas de seguridad a
adoptar para los ficheros de datos personales automatizados (datos
almacenados en soporte informtico) y los ficheros no automatizados (datos
almacenados en soporte papel).

PRINCIPALES MEDIDAS DE SEGURIDAD

Control de Accesos
Los empleados de la empresa tendrn acceso nicamente a aquellos recursos
que precisen para el desarrollo de sus funciones. Deber de existir una relacin
actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para
cada uno de ellos.
Identificadores de usuario y contraseas

Todos los usuarios que tengan acceso autorizado al sistema de informacin
debern tener asignados un nombre de
usuario y una contrasea, que son personales, intransferibles
y confidenciales.

Gestin de soportes


Todo soporte informtico que contenga datos personales deber permitir,
respecto a los mismos, lo siguiente:
Identificacin. Los soportes que se utilicen deben estar claramente
identificados.
Inventariado. El Reglamento de Desarrollo de la LOPD exige que los
soportes estn recogidos en un inventario y que sea el responsable del
fichero quin decida el medio que estime ms adecuado.
Almacenamiento. Los soportes de datos deben ser guardados en lugares
seguros.
Destruccin. Habr que eliminar siempre los datos personales de los
soportes que se desechen o reutilicen.

Envo de datos por correo electrnico

El correo electrnico permite enviar datos personales al exterior con facilidad,
por ello habr que tomar medidas de seguridad para protegerlos tal como la ley
exige. Algunas de las medidas de seguridad a adoptar son:
Enviar nicamente los datos que sean estrictamente necesarios,
eliminando los campos que no sean indispensables.
Inventariado. El Reglamento de Desarrollo de la LOPD exige que los
soportes estn recogidos en un inventario y que sea el responsable del
fichero quin decida el medio que estime ms adecuado.
Cuando los DATOS PERSONALES DE NIVEL ALTO, es decir, datos
especialmente protegidos en la L.O.P.D. tales como los relativos a la
salud, el sexo, las creencias religiosas etc. tengan que ser enviados por
correo electrnico (en general cuando viajan por redes telemticas) deben
cifrarse para que evitar que espas intermedios puedan acceder a los
mismo

Uso del sistema informtico

Cada empresa deber tener un documento de seguridad que recoja la
normativa interna de proteccin de datos de carcter personal incluyendo al
menos las exigencias legales establecidas en el Reglamento de Desarrollo de la
LOPD. Respecto al uso del sistema informtico estas son algunos ejemplos de
medidas mnimas a adoptar:
Se prohbe la instalacin de cualquier programa o producto
informtico en el sistema sin la autorizacin del responsable de seguridad.
No se permite la utilizacin de recursos informticos de la empresa para fines
privados o diferentes a los estrictamente laborales.
Se prohbe utilizar cualquier informacin que se haya obtenido por la
condicin de empleado de la empresa con cualquier fin que no est
directamente relacionado con su funcin laboral.
Como norma general no descargar programas de Internet pueden
contener virus.
Disponer de un sistema antivirus actualizado.

SUPUESTO PRCTICO

Una empresa tiene una aplicacin de gestin de alumnos para la cul en
cada ficha del alumno aparece un campo denominado observaciones. A
la hora de realizar anotaciones en este campo de texto libre ser
necesario tener presente lo siguiente:
Recordar que no se pueden introducir datos en un fichero que:
Tengan un nivel superior al declarado para el fichero, por ejemplo, introducir
datos de enfermedades en un fichero de nivel bsico.
No sean adecuados a la finalidad del fichero, por ejemplo, introducir datos
sobre la apariencia fsica de una persona en un fichero de clientes.
En general, no introducir datos despectivos, insultantes o sobre la
personalidad del individuo.
El usuario es el nico que puede controlar qu tipo de datos se introduce y,
por tanto, el mximo responsable.

MEDIDAS DE SEGURIDAD POR NIVELES

NIVEL BSICO
Documento de Seguridad
Rgimen de funciones y obligaciones del personal
Registro de incidencias
Identificacin y autenticacin de usuarios
Control de acceso
Gestin de soportes y documentos
Copias de respaldo y recuperacin

Descargar Medidas de Nivel Bsico (RLOPD 1720/200/)
NIVEL MEDIO
Medidas de seguridad del nivel bsico
Responsable de Seguridad
Controles peridicos de verificacin
Auditora bianual
Medidas adicionales de identificacin y autenticacin
Control de acceso fsico
Medidas adicionales de gestin de soportes
Registro de incidencias
Pruebas con o sin datos reales
Descargar medidas automatizadas nivel medio (RLOPD 1720/2007)
NIVEL ALTO
Medidas de seguridad de nivel bsico y medio
Seguridad en la distribucin de soportes
Registro de accesos
Medidas adicionales para copias de respaldo
Cifrado de telecomunicaciones

Descargar Medidas de nivel Alto (RLOPD 1720/2007)


SUPUESTO PRCTICOS
Cmo se podra implementar la Medida de Seguridad de Nivel Alto
(Registro de Accesos) en una organizacin?
Los registros de acceso se almacenan en ficheros auxiliares de seguimiento
(comnmente denominados logs), que incluyen al menos la identificacin del
usuario, la fecha y la hora de acceso, operacin realizada, registros accedidos y
toda otra informacin que permita identificar la informacin tratada, as como
cualquier incidencia de restriccin de acceso que se produzca. Los mecanismos
que permiten el registro de datos detallado estarn bajo el control directo del
responsable de seguridad, durante un periodo mnimo de dos aos.
Los responsable de seguridad se encargar de revisar peridicamente (al menos
una vez al mes) la informacin de control registrada, elaborando un informe de
dicha revisin y los problemas detectados.

No ser necesario el registro de accesos en el caso de que el responsable del
fichero tratamiento sea una persona fsica y garantice que nicamente l tiene
acceso y trata los datos personales.

Se elaborarn y mantendrn los siguientes registros en relacin a los logs de
acceso:
Logs de acceso (Se deber comprobar su existencia, as como si el
contenido se adecua al procedimiento establecido y al RLOPD)
Informe de revisin de logs (Se deber evidenciar la existencia de las
comprobaciones mensuales, a travs de los registros generados)


Cules son las medidas habituales para poder transmitir datos
personales de nivel alto a travs de telecomunicaciones?

Las medidas habituales consisten en la existencia de redes VPN (IPSCE SSL),
que garantizan la confidencialidad de la informacin transmitida normalmente
mediante protocolos seguros, as como otras tecnologas para la securizacin de
los accesos va Web a las aplicaciones de intranet Internet. Otras opciones
consisten en el cifrado de origen a extremo llevado a cabo por los propios
usuarios mediante el uso de software especfico, certificados digitales, etc.


Una empresa desea controlar mediante un procedimiento el
cumplimiento de las medidas de seguridad de acceso fsico (nivel
medio), principalmente el registro de acceso a los Servidores (salas
dnde se encuentran los ficheros de carcter personal) A continuacin
se muestra un ejemplo de Procedimiento.
Los centros y locales tienen una gran importancia en orden a asegurar la
confidencialidad, integridad y disponibilidad de la informacin de los sistemas y
ficheros. Para ejercer este control de acceso fsico, el responsable de seguridad
elaborar y mantendr actualizado un registro de accesos para el personal
interno y externo, velando especialmente por la permanencia en las
dependencias de la empresa fuera del horario establecido, as como para toda
persona ajena al mbito laboral de la organizacin.

El acceso fsico a las salas ubicaciones donde se encuentran los ficheros
estar restringido a:
- Personal de la organizacin autorizado.
- Terceras personas acompaadas y supervisadas por los empleados,
siempre que cuenten con una autorizacin del responsable de seguridad.
- Miembros del departamento de informtica, autorizados por el responsable de
seguridad para realizar labores de mantenimiento.
El responsable de seguridad verificar que todos los sistemas y medios de
seguridad funcionan correctamente, resolviendo las posibles deficiencias e
incidentes que pudieran detectarse.
Para esa finalidad, se pueden implantar sistemas de control de acceso y/o
presencia. El control de presencia es una herramienta que gestiona el control
horario de acceso a las reas comunes de la empresa. Adems, el control de
acceso trata de limitar el acceso a las zonas protegidas, como el centro de
proceso de datos (CPD). El acceso de cualquier otra persona al CPD debe tener
carcter excepcional y debe ser autorizado por el responsable de seguridad.

Para el control de acceso fsico, debern elaborarse y mantenerse los siguientes
registros:

Listado de autorizaciones: Se podr comprobar la lista del personal
autorizado por el responsable de seguridad.
Registro de entrada: Se evidenciar el registro de entrada a las salas
dnde se ubiquen los ficheros, cuando dichas personas no estn
autorizadas previamente en el Documento de Seguridad.
PRINCIPALES MEDIDAS DE SEGURIDAD
Control de accesos

Al igual que ocurre con los ficheros automatizados, deber de asegurarse que
los empleados de la empresa tendrn acceso nicamente a aquellos recursos
que precisen para el desarrollo de sus funciones. Deber de existir una relacin
actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para
cada uno de ellos.
Criterios de archivo
Los documentos que contengan datos personales, debern de ser archivados de
manera que se permita la correcta conservacin de los documentos, la
localizacin y consulta de la informacin y la posibilidad del ejercicio de los
derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin.
El archivo de los soportes y documentos se realizar de acuerdo con los
criterios previstos en su respectiva legislacin. En los casos en los que no exista
norma aplicable, el responsable del fichero establecer los criterios y
procedimientos de actuacin que deban seguirse para el archivo.
Se deber mantener registro y evidencia de los documentos archivados, as
como de los mecanismos de acceso a la documentacin de forma eficaz.

Almacenamiento de la informacin
Los dispositivos de almacenamiento de los documentos debern de disponer de
mecanismos que obstaculicen su apertura. En el caso de los documentos que
contengan datos personales de nivel ALTO, los armarios o archivadores donde
sean almacenados debern de encontrarse en zonas cerradas con llave, que
debern de permanecer cerradas cuando no sea preciso el acceso a los
documentos.
Del mismo modo, el acceso a los documentos de nivel ALTO se limitar
exclusivamente al personal autorizado, debiendo de establecerse mecanismos
que permitan identificar los accesos realizados a los documentos.
Si no fuera posible cumplir lo establecido, el responsable adoptar medidas
alternativas que debern incluirse en el Documento de Seguridad, junto a la
justificacin de su aplicacin frente a las medidas establecidas en el RLOPD.

Gestin de soportes o documentos
Siempre que los documentos con datos personales no estn archivados, la
persona que est utilizando el documento, deber de custodiarla e impedir el
acceso a dicho documento por parte de usuarios no autorizados.

Estas situaciones suponen un riesgo alto de acceso no autorizado a los
documentos, y por ello se recomienda tener en cuenta las siguientes
recomendaciones:

- La informacin sensible en papel en otros soportes debe almacenarse de
manera protegida, especialmente cuando se abandona el puesto de trabajo.
- Los puntos de correo, envo de fax, fotocopiadoras, escner, deben de
estar protegidos para evitar un uso no autorizado.
- Se deben recoger los documentos impresos enviados por fax
confidenciales y con informacin personal inmediatamente.
Por otro lado, siempre que se proceda al traslado fsico de los documentos que
contengan datos personales de nivel ALTO, debern de adoptarse las medidas
que impidan el acceso por parte de usuarios no autorizados a la informacin
trasladada.

Copia o reproduccin
Las copias o reproducciones (fotocopias o impresos) de los documentos que
contengan datos de carcter personal de nivel ALTO, slo podrn ser realizadas
por parte de personal autorizado, y han de ser destruidas una vez desechadas,
de manera que se impida el acceso a la informacin por parte de personal no
autorizado.

NIVEL BSICO
Documento de Seguridad
Rgimen de funciones y obligaciones del personal
Criterios de archivo
Dispositivos de almacenamiento
Custodia de los soportes

Descargar Medidas de nivel Bsico (RLOPD 1720/2007)

NIVEL MEDIO
Medidas de seguridad del nivel bsico
Responsable de Seguridad
Controles peridicos de verificacin
Auditora bianual

Descargar Medidas de nivel Medio (RLOPD 1720/2007)
NIVEL ALTO
Medidas de seguridad de nivel bsico y medio
Criterios de copia o reproduccin
Almacenamiento de la informacin
Traslado de la documentacin
Acceso a la documentacin

Descargar Medidas de nivel Alto (RLOPD 1720/2007)
CONFIDENCIALIDAD

La confidencialidad o deber de secreto regulado en la L.O.P.D. es una
obligacin que incumbe a todos los empleados de la empresa que en el ejercicio
de sus funciones tengan acceso a ficheros que estn bajo la responsabilidad de
esa organizacin. Algunas de las obligaciones ms importantes son:
Debe guardarse secreto profesional respecto a los datos conocidos durante el
desempeo de las funciones profesionales, incluso despus de finalizada la
relacin laboral.
No deben revelarse datos personales a personas distintas del interesado.
Slo se debe acceder a los ficheros para los que se tiene autorizacin
expresa del responsable.
Slo se utilizarn los datos personales con la finalidad que se les ha
asignado.
No se pueden trasladar ficheros fuera del sistema sin autorizacin del
responsable del fichero.
Es obligado notificar cualquier disfuncin o incidencia en los sistemas de
informacin o en su tratamiento.

PRESTACION DE SERVICIOS SIN ACCESO A DATOS
Se deber de adoptar las medidas de seguridad adecuadas para limitar el
acceso del personal a datos personales, para la realizacin de trabajos que no
impliquen el tratamiento de datos personales, como puede ser el personal de
limpieza o de seguridad de la entidad. Cuando se trate de personal ajeno, el
contrato de prestacin de servicios recoger expresamente la prohibicin de
acceder a los datos personales y la obligacin de secreto respecto a los mismos.

ELABORACIN DE NORMATIVAS INTERNAS
La implantacin y la aplicacin de una poltica de proteccin de datos en una
empresa exigen la implicacin de todo el personal que participe en el
tratamiento de datos. Ser necesario planificar esta implantacin ya que sta
conlleva cambios en la infraestructura de sistemas, operaciones y organizacin
de la empresa. Y, adems, habr que elaborar normativas de uso interno que
debern ser aprendidas y aplicadas por todo el personal.
Los principales requisitos que una normativa interna deben reunir son:

Que sea eminentemente prctica a la hora de establecer:
- Los principios bsicos.
- Las tcnicas a utilizar.
- La documentacin que se manejar.
- Los objetivos a alcanzar.
Consistente y Eficaz.
Fcil de transmitir.
Clara y Concreta.

FORMACIN Y CONCIENCIACIN
En el momento de establecer una adecuada poltica de proteccin de datos en la
empresa es muy importante la concienciacin y formacin de los miembros de
la empresa. La formacin que se dispense en la organizacin ha de girar
fundamentalmente en torno a:
Los aspectos jurdicos de la proteccin de datos.
Los aspectos tcnicos relacionados con las medidas de seguridad.
Medidas de carcter organizativo adoptadas.
Las consecuencias negativas de la falta de cumplimiento de la LOPD.

NOTIFICACIN DE INCIDENCIAS
Denominamos incidencia a cualquier anomala extraordinaria que afecte o
pueda afectar a la seguridad de los datos. Las incidencias deben NOTIFICARSE
con la celeridad que aconseje su gravedad al responsable correspondiente.

Ejemplos de Incidencias:

Se ha extraviado un soporte o documento con datos personales
Mi contrasea de acceso no es vlida y yo no la he cambiado.
Borrado fortuito intencionado de datos de carcter personal.

SUPUESTO PRCTICO
A continuacin, presentamos un modelo de procedimiento para el
cumplimiento de la gestin de incidencias de la LOPD:
Descargar Ejemplo de Procedimiento de Gestin de Incidencias

AUDITORA
Para los ficheros de nivel MEDIO en adelante, los sistemas de informacin e
instalaciones de tratamiento y almacenamiento de datos se sometern, al
menos cada dos aos, a una auditora interna o externa que verifique el
cumplimiento de las medidas y controles establecidos por la Ley y su desarrollo
reglamentario, as como para identificar las deficiencias en dichas medidas y
proponer las medidas correctoras o complementarias necesarias para
subsanarlas.
Los informes de auditora sern analizados por el responsable de seguridad
competente, y quedarn a disposicin de la Agencia Espaola de Proteccin de
Datos o, en su caso, de las autoridades de control de las comunidades
autnomas.
Este tema se detalla en la unidad 7
EL RESPONSABLE DEL FICHERO

El responsable del fichero es el titular del mismo, quin decide los fines y los
medios del tratamiento. Es la persona o entidad titular de la organizacin en
cuyo marco se realizan las actividades que constituyen el tratamiento.
El responsable podr ser tanto una persona fsica como jurdica y algunas de
sus funciones principales son:
Elaborar e implantar la normativa de seguridad.
Adoptar las medidas de ndole tcnica y organizativa necesarias.
Adoptar las medidas necesarias para que el personal conozca las normas de
seguridad que afecten al desarrollo de sus funciones y las consecuencias en que
pudiera incurrir en caso de incumplimiento.
Designar al coordinador de seguridad y al administrador del sistema.
Garantizar y promover la difusin del documento de seguridad.
Actualizar el documento de seguridad adecundolo a las disposiciones
vigentes.
Establecer los mecanismos para el acceso restringido a los sistemas.
Controlar la correcta asignacin de cdigo de usuario y contrasea a todos
los usuarios autorizados.
Autorizar expresamente la salida de soportes.
Verificar la definicin y correcta aplicacin de copias de seguridad.
Adoptar las medidas correctoras adecuadas despus del informe de auditora
emitido por el responsable de seguridad.

EL RESPONSABLE DE SEGURIDAD

Es la persona designada por el responsable del fichero para coordinar y
controlar las medidas de seguridad aplicables. Debe ser una persona con los
conocimientos suficientes para llevar a cabo esa funcin, por tanto, debe
estar al da en temas tcnico-informticos y tambin en temas jurdicos
relativos al documento de seguridad y a la propia normativa. Algunas de sus
funciones concretas son:
Coordinar la puesta en marcha de las medidas establecidas en la normativa y
en el documento de seguridad.
Colaborar con el responsable del fichero en la difusin del documento de
seguridad y coordinase con ste en el cumplimiento de las medidas de
seguridad.
Habilitar el libro de incidencias.
Analizar las incidencias registradas y tomar las medidas oportunas.
Analizar los informes de auditora y elaborar un informe de conclusiones para
el responsable del fichero.
Controlar directamente los mecanismos de registro de los datos de acceso.
Revisar peridicamente la informacin de control registrada y elaborar un
informe de las previsiones realizadas y problemas detectados.
Autorizar por escrito la ejecucin de los procedimientos de recuperacin.

SUPUESTO PRCTICO
A continuacin, presentamos un ejemplo de Nombramiento Formal del
responsable de seguridad
Fecha
Asunto: Nombramiento Responsable de Seguridad

Con fecha de de 20,
D es nombrado Responsable de
Seguridad de la empresa con
dependencia y coordinacin directa de la Direccin para todos los
aspectos relativos a temas de seguridad de la informacin de la
empresa.
Las funciones y responsabilidades de este puesto abarcan toda la
seguridad de la informacin de la empresa, incluyendo seguridad
informtica, aspectos organizativos, y legislativos (tratamiento de
datos personales). Ello incluye garantizar la seguridad de las
instalaciones y de los datos en general y velar por el cumplimiento de
los principios de la LOPD, estableciendo las medidas necesarias para su
cumplimiento.
De igual manera todos los profesionales de la sociedad, acreditan el
conocimiento y cumplimiento de lo establecido en el Documento de
Seguridad, as como de guardar secreto sobre los datos de carcter
personal y cualesquiera otras informaciones circunstancias que
conociera a las que haya tenido acceso en el ejercicio de las funciones
que le hubiesen sido asignadas por la empresa. Las anteriores
obligaciones se extienden a cualquier fase del tratamiento de los
citados datos y subsistirn an despus de concluidas las funciones en
el marco de las cuales ha tenido acceso a los datos concluida su
relacin laboral con la sociedad.
Todos los profesionales de la empresa deben colaborar con el
Responsable de Seguridad en el ejercicio de sus funciones, as como
transmitirle cualquier incidente, duda consulta que pueda existir en
relacin con el tema.
D. Recibido

Director

EL ADMINISTRADOR DEL SISTEMA

El administrador del sistema es el encargado de garantizar a los
responsables y usuarios la seguridad de los datos que se procesan en la
organizacin. Este rol puede ser desempeado tanto por personal de la
empresa como por una persona externa. Habitualmente suelen coincidir
los cargos de administrador de sistemas y responsable de seguridad. En
cualquier caso, las funciones bsicas del cargo de administrador de
sistemas son:
Proponer estndares y procedimientos relacionados con la seguridad.
Desarrollar los planes de seguridad.
Gestionar los perfiles de usuarios de los sistemas informticos y los accesos
de cada uno.
Controlar y realizar el seguimiento de la seguridad fsica y lgica del entorno
informtico.
Promover, de acuerdo con el responsable del fichero, la clasificacin de los
datos y, en coordinacin con los usuarios, la de las aplicaciones.
Dar soporte a los usuarios en materia de seguridad.
Evaluar los riesgos.
Implantar equipos, dispositivos y paquetes relacionados con la seguridad
fsica y lgica.
Ofrecer a los usuarios finales los medios para posibilitar la actualizacin de
los programas antivirus y canalizar las notificaciones de existencia de virus


EL USUARIO

Los usuarios son todas aquellas personas pertenecientes a una empresa u
organizacin que participan en alguna fase del tratamiento de los datos de
carcter personal. Entre sus obligaciones fundamentales se encuentran las
siguientes:
Es responsable de la confidencialidad y custodia de su contrasea
No deben revelar nunca sus contraseas ni mantenerlas escritas en lugares
visibles de su puesto de trabajo.
Son responsables ante la empresa de todas las actividades y accesos que se
realicen con su cdigo de usuario.
Asimismo es responsable de la custodia y utilizacin del ordenador que le ha
sido asignado.
En el caso de las impresoras, deber asegurarse que no quedan impresos en
la bandeja de salida que contengan datos protegidos.
Si el terminal es porttil, deber ser guardado bajo llave o llevarlo consigo.
Durante los viajes, no debe facturarse como equipaje en aeropuertos y
estaciones.
El usuario final es responsable exclusivo de la utilizacin del antivirus y la
salvaguarda de los terminales.
Ante cualquier incidencia, el usuario es responsable de la comunicacin de la
misma al responsable de seguridad. La falta de notificacin de una incidencia
conocida por un usuario, ser considerada como falta contra la seguridad de los
ficheros.
Los usuarios firmarn por escrito que conocen y se comprometen a cumplir
las polticas, normas, estndares y procedimientos establecidos en la empresa.

SUPUESTO PRCTICO
A continuacin, presentamos un ejemplo de Procedimiento de
Organizacin y gestin de responsabilidades LOPD.
Las medidas de ndole organizativas afectan en primera instancia a la actividad
propia de la empresa y a la asignacin de funciones relacionadas con la
seguridad. Por tanto, el responsable del fichero debe asegurar la implantacin
de las medidas tcnicas y organizativas en sus sistemas de informacin y
delimitar el acceso a los datos de carcter personal mediante asignacin de
perfiles entre su personal. Los perfiles a definir son:
- Responsable del fichero.
- Responsable de seguridad
- Administradores de sistemas
- Usuarios

Los registros que se deben mantener en cumplimiento con lo exigido en el
RLOPD son
- Aprobacin y publicacin del Documento de Seguridad: Se indicar
evidencia de la publicacin de las normas que afecten a las distintas personas
que traten informacin.
- Comunicacin del Documento de Seguridad: Se indicar medio y
evidencia de la comunicacin sobre la disponibilidad del Documento de
Seguridad las normas de aplicacin.
- Controles peridicos de verificacin: Se indicar evidencia de las
comprobaciones peridicas sobre lo contenido en el Documento de Seguridad.
- Nombramiento del Responsable de Seguridad. Se reflejar el
nombramiento formal del responsable de seguridad.

SUPUESTO PRCTICO
Qu nivel de seguridad ha de aplicarse a un fichero en el que se
almacenan los datos necesarios para la tramitacin de becas (en
universidades), como pueden ser datos de minusvala o grado de
discapacidad?
Se adjunta informe de la Agencia de Proteccin de Datos en el que se refleja
aclaracin a esta consulta planteada por una determinada universidad. En el
mismo se aclara que en este caso, para la tramitacin de becas, sera suficiente
con implantar las medidas de seguridad de nivel bsico siempre y cuando los
datos referidos a la salud se limiten a la condicin de minusvlido o a su grado
de discapacidad, y sean destinados, adems, con para el cumplimiento de
deberes pblicos.
S se aclara, igualmente, la condicin de fichero de nivel de seguridad alto, si
incorporase otros datos de salud, o si incorporasen otro tipo de datos,
necesarios para la tramitacin de becas, que puedan ser de nivel alto, como
pueden ser los datos referentes a la violencia de gnero.

Descargar Informe datos de nivel alto para tramitacin de becas
SUPUESTO PRCTICO
Qu nivel de seguridad debe de aplicarse a los ficheros que se
incorporen datos estadsticos relativos a los siniestros laborales
ocurridos en una empresa, sin referencia a los trabajadores afectados?
Conviene recordar en este sentido el concepto de disociacin, segn el cual,
siempre que los datos sean almacenados de manera que no se puedan asociar a
ninguna persona fsica, no les ser de aplicacin la normativa en materia de
proteccin de datos.
As pues, si, tal como parece en este caso, este tipo de datos, aunque sean
referentes a accidentes o siniestros, siempre y cuando su tratamiento o
almacenamiento no pueda asociarse a ninguna persona a travs de datos
identificativos asociados, y se limiten a incorporar el tipo y nmero de
accidentes, se vern exentos de cumplir con la LOPD y su desarrollo
reglamentario.

Descargar Informe siniestralidad sin datos asociados




DEFINICIN

La Agencia de Proteccin de datos es un rgano de control con funciones
especficas relativas a la proteccin de datos de carcter personal. La L.O.P.D.
la define como ente de derecho pblico, con personalidad jurdica propia y
plena capacidad pblica y privada que acta con plena independencia de las
Administraciones Pblicas en el ejercicio de sus funciones.

La caracterstica fundamental de la Agencia de Proteccin de Datos es su
independencia, es decir, que puede actuar con plena independencia de las
Administraciones Pblicas en el ejercicio de sus funciones, relacionndose con el
Gobierno a travs del Ministerio de Justicia.

ESTRUCTURA
La estructura de la Agencia de Proteccin de Datos est compuesta por:
Director es el representante de la Agencia y dicta las resoluciones e
instrucciones que requiera el ejercicio de las funciones atribuidas a la Agencia.
Consejo Consultivo, rgano colegiado de asesoramiento del Director.
Registro General de Proteccin de Datos (R.G.P.D.)
Se crea con el de facilitar a los ciudadanos el ejercicio de sus derechos de
acceso, cancelacin, rectificacin y oposicin. Para ello el registro le brinda al
interesado informacin acerca de: * la existencia del fichero, * la finalidad para
la que fue creado y * la identidad del responsable. Tiene carcter pblico y su
acceso es gratuito.
Inspeccin de Datos
Secretara General
Estos tres ltimos rganos estn subordinados jerrquicamente al Director de la
Agencia.


FUNCIONES

Algunas de las funciones ms importantes de la Agencia de Proteccin de Datos
son:
Velar por el cumplimiento de la legislacin sobre proteccin de datos y
controlar su aplicacin.
Dictar las instrucciones precisas para adecuar los tratamientos a los
principios de la ley.
Atender las peticiones y reclamaciones formuladas por las personas
afectadas.
Proporcionar informacin a las personas acerca de sus derechos en materia
de tratamiento de datos personales.
Requerir a los responsables y encargados de los tratamientos la adopcin de
las medidas necesarias para que cumplan con la L.O.P.D. y cuando no se ajuste
a sus disposiciones, ordenar la cancelacin de los ficheros.
Sancionar en los trminos previstos por la Ley.

Otras funciones
Velar por la publicidad en los tratamientos, publicando anualmente una lista
de los mismos (CD).
Cooperacin Internacional.
Representacin de Espaa en los foros internacionales en la materia.
Control y observancia de lo dispuesto en la Ley reguladora de la Funcin
Estadstica Pblica.
Elaboracin de una Memoria Anual, presentada por conducto del Ministro de
Justicia a las Cortes.

INFRACCIONES

Estn sujetos al rgimen sancionador de la Ley el responsable del fichero y el
encargado del tratamiento. Algunos ejemplos de infracciones se describen a
continuacin. Se detallan en el ttulo VII de la L.O.P.D.:
LEVES:
No atender, por motivos formales, la solicitud del interesado de rectificacin
o cancelacin de sus datos personales cuando legalmente proceda.
No proporcionar la informacin que la Agencia de Proteccin de Datos
solicite en el ejercicio de sus competencias.
No solicitar la inscripcin del fichero de datos personales en el RGPD
cuando no sea constitutivo de infraccin grave.
Proceder a la recogida de datos de carcter personal de los propios
afectados sin proporcionarles la informacin estipulada por la Ley.
Incumplir el deber de secreto establecido por la L.O.P.D., salvo que
constituya infraccin grave.

GRAVES:
Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida
de datos de carcter personal para los mismos, sin autorizacin de disposicin
general, publicada en el B.O.E. o Diario Oficial correspondiente.
Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida
de datos personales con finalidades distintas a las que constituyen el objeto
legtimo de la empresa o entidad.
Proceder a la recogida de datos personales sin recabar el consentimiento
expreso de las personas afectadas, en los casos en que ste sea exigible.
Tratar los datos de carcter personal o usarlos posteriormente con
conculcacin de los principios y garantas establecidas en la Ley.
El impedimento del ejercicio de los derechos de acceso y oposicin y la
negativa a facilitar la informacin que sea solicitada.
Mantener los datos de carcter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente procedan.
Incumplir el deber de guardar secreto sobre los datos de nivel medio.

MUY GRAVES
La recogida de datos en forma engaosa y fraudulenta.
La comunicacin o cesin de datos de carcter personal, fuera de los casos
en que estn permitidas.
Recabar y tratar los datos personales de nivel alto cuando no medie el
consentimiento expreso del afectado.
No cesar en el uso ilegtimo de los tratamientos de datos personales cuando
sea requerido para ello por el Director.
La transferencia de datos a pases que no tengan un nivel de proteccin de
los mismos similar al de la legislacin espaola, sin autorizacin del Director de
la Agencia.
La vulneracin del deber de guardar secreto sobre los datos personales de
nivel alto as como los que hayan sido recabados para fines policiales sin
consentimiento de las personas afectadas.
No atender u obstaculizar de forma sistemtica el ejercicio de los derechos
de acceso, rectificacin, cancelacin u oposicin.
No atender de forma sistemtica el deber legal de notificacin de la inclusin
de datos personales en un fichero.


SANCIONES

La L.O.P.D. solamente establece sanciones pecuniarias, consistentes en multas,
en tanto otros pases llegan a incluir penas de prisin de hasta dos aos. Las
penas impuestas ante la comisin de sanciones deben distinguirse segn se
refieran a ficheros pblicos o privados.
A continuacin se exponen las cuantas con que sern sancionados los tipos de
infracciones cometidas sobre ficheros privados, en funcin de su gravedad:
INFRACCIONES SANCIONES
LEVES Multa de 601,01 a 60.101.21
GRAVES Multa de 60.101,21 a 300.506,05
MUY GRAVES Multa de 300.506,05 a 601.106,03

Descargar Ejemplos Sanciones y Titulares de Prensa

La cuanta de las sanciones se graduar atendiendo a:
A los daos y perjuicios causados a las personas interesadas y a terceras
personas.
A la reincidencia.
Al grado de intencionalidad.
A los beneficios obtenidos.
Al volumen de los tratamientos efectuados.
A la naturaleza de los derechos personales afectados.
Si estudiando las circunstancias se observara una disminucin de la culpabilidad
del imputado, el rgano sancionador establecer la cuanta de la sancin
aplicando la escala relativa a la clase de infracciones que precede
inmediatamente en gravedad a aquella que precede en gravedad a la que se
trate.
No se podr poner una sancin ms grave que la fijada en la Ley para la clase
de infraccin en la que se integre la que se pretende sancionar.
Prescripcin de las sanciones
En cuanto a la prescripcin, se establecen en el artculo 47 de la LOPD los
siguientes plazos:
Las sanciones muy graves prescribirn a los tres aos, las graves a los dos
aos y las leves al ao.
El plazo de prescripcin comenzar a contarse desde el da en que la
infraccin se hubiera cometido.
Interrumpir la prescripcin la iniciacin, con conocimiento del interesado,
procedimiento sancionador, reanudndose el plazo de prescripcin si el
expediente sancionador estuviere paralizado durante ms de seis meses por
causas no imputables al presente infractor.
Las sanciones impuestas por faltas muy graves prescribirn a los tres aos,
las impuestas por faltas graves a los dos aos y las impuestas por faltas leves
al ao.
El plazo de prescripcin de las sanciones comenzar a contarse desde el da
siguiente a aquel en que adquiera firmeza la resolucin por la que se impone la
sancin.
La prescripcin se interrumpir por la iniciacin, con conocimiento del
interesado, del procedimiento de ejecucin, volviendo a transcurrir el plazo si el
mismo est paralizado durante ms de seis meses por causa no imputable al
infractor.

SUPUESTO PRCTICO
Qu probabilidades hay de que se anule una sancin?
Las posibilidades de que una sancin impuesta por la AEPD sea anulada son
muy escasas. Al ser el recurso de reposicin presentado ante el rgano que
dict la resolucin sancionadora, se torna casi imposible el conseguir que dicho
rgano modifique su decisin a favor del sancionado.

Sin embargo, en lo que respecta a los sucesivos rganos jurisdiccionales, las
estadsticas indican que se ratifican las sanciones impuestas debido a que
consideran que la AEPD se excedi en sus consideraciones.

Ejemplo: Sentencia de la Audiencia Nacional de fecha 14 de junio de 2007, por
la que oblig a la AEPD a devolver una multa de 30.000 euros a un ciudadano
sancionado por SPAM.

Qu sectores son los ms proclives a sanciones?
- Sector bancario y financiero
- Sector de las telecomunicaciones
- Entidades de publicidad
- Entidades de Solvencia Patrimonial y Crdito.

FORMA DE EFECTUAR UNA DENUNCIA
Cuando se detecte un incumplimiento de la LOPD, ha cuando se haya visto
afectado por un mal uso o tratamiento de sus datos personales, se podr
presentar denuncia ante la Agencia de Proteccin de Datos, la cual se encargar
de tomar las acciones pertinentes, y, en su caso, sancionar, al Responsable del
tratamiento.
Para presentar una denuncia ante la Agencia, deber de enviarse un escrito en
el que figure, al menos la siguiente informacin:
- Nombre y apellidos del interesado y, en su caso, de la persona que lo
represente, as como la identificacin del medio preferente o del lugar que se
seale a efectos de notificaciones.
- Hechos, razones y peticin en que se concrete, con toda claridad, la
solicitud.
- Lugar y fecha.
- Firma del solicitante o acreditacin de la autenticidad de su voluntad
expresada por cualquier medio.
- rgano, centro o unidad administrativa a la que se dirige. (En su caso
sera la Subdireccin General de Inspeccin de Datos de esta Agencia).
- Igualmente deber acompaar los documentos o cualquier otro tipo de
prueba que pueda corroborar los hechos denunciados.

En la pgina web de la Agencia (www.agpd.es), medio que la Agencia pone a
disposicin de los ciudadanos como va de comunicacin, y que veremos con
detenimiento en unidades posteriores, se puede encontrar un modelo o plantilla
de denuncia, con los campos y apartados pertinentes y que, una vez cubierta,
podr remitirse a la propia Agencia.
Dejamos la plantilla para su descarga, si bien esta puede encontrarse en la
citada pgina en el apartado DENUNCIAS/RECLAMACIONES del CANAL DEL
CIUDADANO.

Descargar Modelo de Denuncia




La Agencia Espaola de Proteccin de Datos har pblicas sus resoluciones, con
excepcin de las correspondientes a la inscripcin de un fichero o tratamiento
en el Registro General de Proteccin de Datos y de aqullas por las que se
resuelva la inscripcin en el mismo de los cdigos tipo. La publicacin de estas
resoluciones se realizar preferentemente mediante su insercin en el sitio Web
de la Agencia Espaola de Proteccin de Datos (www.agpd.es):

Los procedimientos que pueden ser tramitados por la AGPD son:
- Procedimiento de tutela de los derechos de acceso, rectificacin, cancelacin y
oposicin
- Procedimientos relativos al ejercicio de la potestad sancionadora atribuida por
la LOPD
- Procedimientos relacionados con la inscripcin o cancelacin de ficheros
- Procedimientos relacionados con las transferencias internacionales de datos
- Procedimiento de inscripcin de cdigos tipo
- Procedimiento de exencin del deber de informacin al interesado
- Procedimiento para la autorizacin de conservacin de datos para fines
histricos, estadsticos o cientficos

Procedimiento de tutela de los derechos de acceso, rectificacin,
cancelacin y oposicin

Artculo 117 RLOPD Instruccin del procedimiento.

1. El procedimiento se iniciar a instancia del afectado o afectados, expresando
con claridad el contenido de su reclamacin y de los preceptos de la Ley
Orgnica 15/1999, de 13 de diciembre, que se consideran vulnerados.
2. Recibida la reclamacin en la Agencia Espaola de Proteccin de Datos, se
dar traslado de la misma al responsable del fichero, para que, en el plazo de
quince das, formule las alegaciones que estime pertinentes.
3. Recibidas las alegaciones o transcurrido el plazo previsto en el apartado
anterior, la Agencia Espaola de Proteccin de Datos, previos los informes,
pruebas y otros actos de instruccin pertinentes, incluida la audiencia del
afectado y nuevamente del responsable del fichero, resolver sobre la
reclamacin formulada.

Artculo 118. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento de
tutela de derechos ser de seis meses, a contar desde la fecha de entrada en la
Agencia Espaola de Proteccin de Datos de la reclamacin del afectado o
afectados.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el
afectado podr considerar estimada su reclamacin por silencio administrativo
positivo.

Artculo 119. Ejecucin de la resolucin.

Si la resolucin de tutela fuese estimatoria, se requerir al responsable del
fichero para que, en el plazo de diez das siguientes a la notificacin, haga
efectivo el ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por
escrito de dicho cumplimiento a la Agencia Espaola de Proteccin de Datos en
idntico plazo.

- Procedimientos relativos al ejercicio de la potestad sancionadora
atribuida por la LOPD

Artculo 120 RLOPD. mbito de aplicacin.

1. Las disposiciones contenidas en el presente captulo sern de aplicacin a los
procedimientos relativos al ejercicio por la Agencia Espaola de Proteccin de
Datos de la potestad sancionadora que le viene atribuida por la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de datos de carcter personal, en la
Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de
comercio electrnico, y en la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones.
2. No obstante, las disposiciones previstas en el ar-tculo 121 y en la seccin
cuarta de este captulo nicamente sern aplicables a los procedimientos
referidos al ejercicio de la potestad sancionadora prevista en la Ley Orgnica
15/1999, de 13 de diciembre.

Artculo 121. Inmovilizacin de ficheros.

1. En el supuesto previsto como infraccin muy grave en la Ley Orgnica
15/1999, de 13 de diciembre, consistente en la utilizacin o cesin ilcita de los
datos de carcter personal en la que se impida gravemente o se atente de igual
modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo
de la personalidad que la Constitucin y las leyes garantizan, el Director de la
Agencia Espaola de Proteccin de Datos podr, en cualquier momento del
procedimiento, requerir a los responsables de ficheros o tratamientos de datos
de carcter personal, tanto de titularidad pblica como privada, la cesacin en
la utilizacin o cesin ilcita de los datos.
2. El requerimiento deber ser atendido en el plazo improrrogable de tres das,
durante el cual el responsable del fichero podr formular las alegaciones que
tenga por convenientes en orden al levantamiento de la medida.
3. Si el requerimiento fuera desatendido, el Director de la Agencia Espaola de
Proteccin de Datos podr, mediante resolucin motivada, acordar la
inmovilizacin de tales ficheros o tratamientos, a los solos efectos de restaurar
los derechos de las personas afectadas.

Artculo 122. Iniciacin.

1. Con anterioridad a la iniciacin del procedimiento sancionador, se podrn
realizar actuaciones previas con objeto de determinar si concurren
circunstancias que justifiquen tal iniciacin. En especial, estas actuaciones se
orientarn a determinar, con la mayor precisin posible, los hechos que
pudieran justificar la incoacin del procedimiento, identificar la persona u
rgano que pudiera resultar responsable y fijar las circunstancias relevantes
que pudieran concurrir en el caso.
2. Las actuaciones previas se llevarn a cabo de oficio por la Agencia Espaola
de Proteccin de Datos, bien por iniciativa propia o como consecuencia de la
existencia de una denuncia o una peticin razonada de otro rgano.
3. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia
de una denuncia o de una peticin razonada de otro rgano, la Agencia
Espaola de Proteccin de Datos acusar recibo de la denuncia o peticin,
pudiendo solicitar cuanta documentacin se estime oportuna para poder
comprobar los hechos susceptibles de motivar la incoacin del procedimiento
sancionador.
4. Estas actuaciones previas tendrn una duracin mxima de doce meses a
contar desde la fecha en la que la denuncia o peticin razonada a las que se
refiere el apartado 2 hubieran tenido entrada en la Agencia Espaola de
Proteccin de Datos o, en caso de no existir aqullas, desde que el Director de
la Agencia acordase la realizacin de dichas actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio
de procedimiento sancionador producir la caducidad de las actuaciones
previas.

Artculo 123. Personal competente para la realizacin de las
actuaciones previas.

1. Las actuaciones previas sern llevadas a cabo por el personal del rea de la
Inspeccin de Datos habilitado para el ejercicio de funciones inspectoras.
2. En supuestos excepcionales, el Director de la Agencia Espaola de
Proteccin de Datos podr designar para la realizacin de actuaciones
especficas a funcionarios de la propia Agencia no habilitados con carcter
general para el ejercicio de funciones inspectoras o a funcionarios que no
presten sus funciones en la Agencia, siempre que renan las condiciones de
idoneidad y especializacin necesarias para la realizacin de tales actuaciones.
En estos casos, la autorizacin indicar expresamente la identificacin del
funcionario y las concretas actuaciones previas de inspeccin a realizar.
3. Los funcionarios que ejerzan la inspeccin a los que se refieren los dos
apartados anteriores tendrn la consideracin de autoridad pblica en el
desempeo de sus cometidos.
Estarn obligados a guardar secreto sobre las informaciones que conozcan en el
ejercicio de las mencionadas funciones, incluso despus de haber cesado en las
mismas.

Artculo 124. Obtencin de informacin.

Los inspectores podrn recabar cuantas informaciones precisen para el
cumplimiento de sus cometidos. A tal fin podrn requerir la exhibicin o el envo
de los documentos y datos y examinarlos en el lugar en que se encuentren
depositados, como obtener copia de los mismos, inspeccionar los equipos fsicos
y lgicos, as como requerir la ejecucin de tratamientos y programas o
procedimientos de gestin y soporte del fichero o ficheros sujetos a
investigacin, accediendo a los lugares donde se hallen instalados.

Artculo 125. Actuaciones presenciales.

1. En el desarrollo de las actuaciones previas se podrn realizar visitas de
inspeccin por parte de los inspectores designados, en los locales o sede del
inspeccionado, o donde se encuentren ubicados los ficheros, en su caso. A tal
efecto, los inspectores habrn sido previamente autorizados por el Director de
la Agencia Espaola de Proteccin de Datos.
Las inspecciones podrn realizarse en el domicilio del inspeccionado, en la sede
o local concreto relacionado con el mismo o en cualquiera de sus locales,
incluyendo aqullos en que el tratamiento sea llevado a cabo por un encargado.
La autorizacin se limitar a indicar la habilitacin del inspector autorizado y la
identificacin de la persona u rgano inspeccionado.
2. En el supuesto contemplado en el apartado anterior, las inspecciones
concluirn con el levantamiento de la correspondiente acta, en la que quedar
constancia de las actuaciones practicadas durante la visita o visitas de
inspeccin.
3. El acta, que se emitir por duplicado, ser firmada por los inspectores
actuantes y por el inspeccionado, que podr hacer constar en la misma las
alegaciones o manifestaciones que tenga por conveniente.
En caso de negativa del inspeccionado a la firma del acta, se har constar
expresamente esta circunstancia en la misma. En todo caso, la firma por el
inspeccionado del acta no supondr su conformidad, sino tan slo la recepcin
de la misma.
Se entregar al inspeccionado uno de los originales del acta de inspeccin,
incorporndose el otro a las actuaciones.

Artculo 126. Resultado de las actuaciones previas.

1. Finalizadas las actuaciones previas, stas se sometern a la decisin del
Director de la Agencia Espaola de Proteccin de Datos.
Si de las actuaciones no se derivasen hechos susceptibles de motivar la
imputacin de infraccin alguna, el Director de la Agencia Espaola de
Proteccin de Datos dictar resolucin de archivo que se notificar al
investigado y al denunciante, en su caso.
2. En caso de apreciarse la existencia de indicios susceptibles de motivar la
imputacin de una infraccin, el Director de la Agencia Espaola de Proteccin
de Datos dictar acuerdo de inicio de procedimiento sancionador o de infraccin
de las Administraciones pblicas, que se tramitarn conforme a lo dispuesto,
respectivamente, en las secciones tercera y cuarta del presente captulo.


Artculo 127. Iniciacin del procedimiento.

Con carcter especfico el acuerdo de inicio del procedimiento sancionador
deber contener:
a) Identificacin de la persona o personas presuntamente responsables.
b) Descripcin sucinta de los hechos imputados, su posible calificacin y las
sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la
instruccin.
c) Indicacin de que el rgano competente para resolver el procedimiento es el
Director de la Agencia Espaola de Proteccin de Datos.
d) Indicacin al presunto responsable de que puede reconocer voluntariamente
su responsabilidad, en cuyo caso se dictar directamente resolucin.
e) Designacin de instructor y, en su caso, secretario, con expresa indicacin
del rgimen de recusacin de los mismos.
f) Indicacin expresa del derecho del responsable a formular alegaciones, a la
audiencia en el procedimiento y a proponer las pruebas que estime
procedentes.
g) Medidas de carcter provisional que pudieran acordarse, en su caso,
conforme a lo establecido en la seccin primera del presente captulo.

Artculo 128. Plazo mximo para resolver.

1. El plazo para dictar resolucin ser el que determinen las normas aplicables a
cada procedimiento sancionador y se computar desde la fecha en que se dicte
el acuerdo de inicio hasta que se produzca la notificacin de la resolucin
sancionadora, o se acredite debidamente el intento de notificacin.
2. El vencimiento del citado plazo mximo, sin que se haya dictada y notificada
resolucin expresa, producir la caducidad del procedimiento y el archivo de las
actuaciones.



- Procedimientos relacionados con la inscripcin o cancelacin de
ficheros

Artculo 130. Iniciacin del procedimiento.

1. El procedimiento se iniciar como consecuencia de la notificacin de la
creacin, modificacin o supresin del fichero por el interesado o, en su caso,
de la comunicacin efectuada por las autoridades de control de las comunidades
autnomas, a la que se refiere el presente reglamento.
2. La notificacin se deber efectuar cumplimentando los modelos o
formularios electrnicos publicados al efecto por la Agencia Espaola de
Proteccin de Datos, en virtud de lo dispuesto en el apartado 1 del artculo 59
de este reglamento.
Tratndose de la notificacin de la modificacin o supresin de un fichero,
deber indicarse en la misma el cdigo de inscripcin del fichero en el Registro
General de Proteccin de Datos.
3. La notificacin se efectuar en soporte electrnico, ya mediante
comunicacin electrnica a travs de Internet mediante firma electrnica o en
soporte informtico, utilizando al efecto el programa de ayuda para la
generacin de notificaciones que la Agencia pondr a disposicin de los
interesados de forma gratuita.
Ser igualmente vlida la notificacin efectuada en soporte papel cuando para
su cumplimentacin hayan sido utilizados los modelos o formularios publicados
por la Agencia.

4. En la notificacin, el responsable del fichero deber declarar un domicilio a
efectos de notificaciones en el procedimiento.

Artculo 131. Especialidades en la notificacin de ficheros de titularidad
pblica.

1. Cuando se trate de la notificacin de ficheros de titularidad pblica, deber
acompaarse a la notificacin una copia de la norma o acuerdo de creacin,
modificacin o supresin del fichero a que hace referencia el ar-tculo 52 del
presente reglamento.
Cuando el diario oficial en el que se encuentre publicada la citada norma o
acuerdo sea accesible a travs de Internet, bastar con indicar en la notificacin
la direccin electrnica que permita su concreta localizacin.
2. Recibida la notificacin, si la misma no contuviera la informacin preceptiva
o se advirtieran defectos formales, el Registro General de Proteccin de Datos
requerir al responsable del fichero para que complete o subsane la
notificacin. El plazo para la subsanacin o mejora de la solicitud ser de tres
meses, en el caso de que se precise la modificacin de la norma o acuerdo de
creacin del fichero.

Artculo 132. Acuerdo de inscripcin o cancelacin.

Si la notificacin referida a la creacin, modificacin o supresin del fichero
contuviera la informacin preceptiva y se cumplieran las restantes exigencias
legales, el Director de la Agencia Espaola de Proteccin de Datos, a propuesta
del Registro General de Proteccin de Datos, acordar, respectivamente, la
inscripcin del fichero, asignando al mismo el correspondiente cdigo de
inscripcin, la modificacin de la inscripcin del fichero o la cancelacin de la
inscripcin correspondiente.


Artculo 133. Improcedencia o denegacin de la inscripcin.

El Director de la Agencia Espaola de Proteccin de Datos, a propuesta del
Registro General de Proteccin de Datos, dictar resolucin denegando la
inscripcin, modificacin o cancelacin cuando de los documentos aportados por
el responsable del fichero se desprenda que la notificacin no resulta conforme
a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre.
La resolucin ser debidamente motivada, con indicacin expresa de las causas
que impiden la inscripcin, modificacin o cancelacin.

Artculo 134. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin acerca de la inscripcin,
modificacin o cancelacin ser de un mes.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se
entender inscrito, modificado o cancelado el fichero a todos los efectos.

- Procedimiento de cancelacin de oficio de ficheros inscritos
Artculo 135. Iniciacin del procedimiento.

El procedimiento de cancelacin de oficio de los ficheros inscritos en el Registro
General de Proteccin de Datos se iniciar siempre de oficio, bien por propia
iniciativa o en virtud de denuncia, por acuerdo del Director de la Agencia
Espaola de Proteccin de Datos.

Artculo 136. Terminacin del expediente.

La resolucin, previa audiencia del interesado, acordar haber lugar o no a la
cancelacin del fichero.
Si la resolucin acordase la cancelacin del fichero, se dar traslado de la
misma al Registro General de Proteccin de Datos, para que proceda a la
cancelacin.


- Procedimientos relacionados con las transferencias internacionales
de datos
Artculo 137. Iniciacin del procedimiento.

1. El procedimiento para la obtencin de la autorizacin para las transferencias
internacionales de datos a pases terceros a las que se refiere el artculo 33 de
la Ley Orgnica 15/1999, de 13 de diciembre, y el artculo 70 de este
reglamento se iniciar siempre a solicitud del exportador que pretenda llevar a
cabo la transferencia.

2. En su solicitud, adems de los requisitos legalmente exigidos, el exportador
deber consignar, en todo caso:
a) La identificacin del fichero o ficheros a cuyos datos se refiera la
transferencia internacional, con indicacin de su denominacin y cdigo de
inscripcin del fichero en el Registro General de Proteccin de Datos.
b) La transferencia o transferencias respecto de las que se solicita la
autorizacin, con indicacin de la finalidad que la justifica.
c) La documentacin que incorpore las garantas exigibles para la obtencin de
la autorizacin as como el cumplimiento de los requisitos legales necesarios
para la realizacin de la transferencia, en su caso.
Cuando la autorizacin se fundamente en la existencia de un contrato entre el
exportador y el importador de los datos, deber aportarse copia del mismo,
acreditndose asimismo la concurrencia de poder suficiente en sus otorgantes.
Si la autorizacin se pretendiera fundar en lo dispuesto en el apartado 4 del
artculo 70, debern aportarse las normas o reglas adoptadas en relacin con el
tratamiento de los datos en el seno del grupo, as como la documentacin que
acredite su carcter vinculante y su eficacia dentro del grupo. Igualmente
deber aportarse la documentacin que acredite la posibilidad de que el
afectado o la Agencia Espaola de Proteccin de Datos puedan exigir la
responsabilidad que corresponda en caso de perjuicio del afectado o vulneracin
de las normas de proteccin de datos por parte de cualquier empresa
importadora.

Artculo 138. Instruccin del procedimiento.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde,
conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de
noviembre, la apertura de un perodo de informacin pblica, el plazo para la
formulacin de alegaciones ser de diez das a contar desde la publicacin en el
Boletn Oficial del Estado del anuncio previsto en dicha Ley.
2. No ser posible el acceso a la informacin del expediente en que concurran
las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de
noviembre.
3. Transcurrido el plazo previsto en el apartado 1, en caso de que se hubieran
formulado alegaciones, se dar traslado de las mismas al solicitante de la
autorizacin, a fin de que en el plazo de diez das alegue lo que estime
procedente.

Artculo 139. Actos posteriores a la resolucin.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva
autorizar la transferencia internacional de datos, se dar traslado de la
resolucin de autorizacin al Registro General de Proteccin de Datos, a fin de
proceder a su inscripcin.
El Registro General de Proteccin de Datos inscribir de oficio la autorizacin de
transferencia internacional.
2. En todo caso, se dar traslado de la resolucin de autorizacin o denegacin
de la autorizacin de la transferencia internacional de datos al Ministerio de
Justicia, al efecto de que se proceda a su notificacin a la Comisin Europea y a
los dems Estados miembros de la Unin Europea de acuerdo a lo previsto en el
artculo 26.3 de la Directiva 95/46/CE.

Artculo 140. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin ser de tres meses, a
contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos
de la solicitud.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se
entender autorizada la transferencia internacional de datos.

- Procedimiento de inscripcin de cdigos tipo
La LOPD y el RLOPD contemplan la existencia de cdigos tipo para adecuar lo
establecido en la citada Ley Orgnica y en el reglamento a las peculiaridades de
los tratamientos efectuados por quienes se adhieren a los mismos.
Se trata de cdigos deontolgicos o de buenas prcticas profesionales de
carcter sectorial y voluntarios, pero vinculantes para quienes se adhieran a los
mismos. Podrn referirse:
- A la totalidad o a parte de los tratamientos llevados a cabo por entidades
pertenecientes a un mismo sector, debiendo ser formulados por organizaciones
representativas de dicho sector, al menos en su mbito territorial de aplicacin,
y sin perjuicio de la potestad de dichas entidades de ajustar el cdigo tipo a sus
peculiaridades.
- A la totalidad de los tratamientos llevados a cabo por una empresa.

Debern contenerse en el cdigo:

- Clusulas tipo para la obtencin del consentimiento de los afectados al
tratamiento o cesin de sus datos;
- Clusulas tipo para informar a los afectados del tratamiento, cuando los
datos no sean obtenidos de los mismos;
- Modelos para el ejercicio por los afectados de sus derechos de acceso,
rectificacin, cancelacin y oposicin;
- Modelos de clusulas para el cumplimiento de los requisitos formales
exigibles para la contratacin de un encargado del tratamiento, en su caso.

Los cdigos tipo adems debern incluir:
- Procedimientos de supervisin independientes para garantizar el
cumplimiento de las obligaciones asumidas por los adheridos, y establecer un
rgimen sancionador adecuado y eficaz.
- El procedimiento que se prevea deber garantizar la independencia e
imparcialidad del rgano responsable de la supervisin.

El cdigo tipo deber incorporar como anexo una relacin de adheridos, que
deber mantenerse actualizada, a disposicin de la Agencia Espaola de
Proteccin de Datos, e inscribirse en el Registro General de Proteccin de Datos.
La AEPD dar publicidad a los cdigos tipo inscritos, preferentemente a travs
de medios informticos o telemticos.

Artculo 145 RLOPD. Iniciacin del procedimiento.

1. El procedimiento para la inscripcin en el Registro General de Proteccin de
Datos de los cdigos tipo se iniciar siempre a solicitud de la entidad, rgano o
asociacin promotora del cdigo tipo.
2. La solicitud, que deber reunir los requisitos legalmente establecidos, habr
de acompaarse de los siguientes documentos:
a) Acreditacin de la representacin que concurra en la persona que presente la
solicitud.
b) Contenido del acuerdo, convenio o decisin por la que se aprueba, en el
mbito correspondiente el contenido del cdigo tipo presentado.
c) En caso de que el cdigo tipo proceda de un acuerdo sectorial o una decisin
de empresa certificacin referida a la adopcin del acuerdo y legitimacin del
rgano que lo adopt.
d) En el supuesto contemplado en la letra anterior, copia de los estatutos de la
asociacin, organizacin sectorial o entidad en cuyo marco haya sido aprobado
el cdigo.
e) En caso de cdigos tipo presentados por asociaciones u organizaciones de
carcter sectorial, documentacin relativa a su representatividad en el sector.
f) En caso de cdigos tipo basados en decisiones de empresa, descripcin de los
tratamientos a los que se refiere el cdigo tipo.
g) Cdigo tipo sometido a la Agencia Espaola de Proteccin de Datos.

Artculo 146. Anlisis de los aspectos sustantivos del cdigo tipo.

1. Durante los treinta das siguientes a la notificacin o subsanacin de los
defectos el Registro General de Proteccin de Datos podr convocar a los
solicitantes, a fin de obtener aclaraciones o precisiones relativas al contenido
sustantivo del cdigo tipo.
2. Transcurrido el plazo sealado en el apartado anterior, el Registro General de
Proteccin de Datos elaborar un informe sobre las caractersticas del proyecto
de cdigo tipo.
3. La documentacin presentada y el informe del Registro sern remitidos al
Gabinete Jurdico, a fin de que por el mismo se informe acerca del cumplimiento
de los requisitos establecidos en el Ttulo VII de este Reglamento.

Artculo 147. Informacin pblica.

1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde,
conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de
noviembre, la apertura de un perodo de informacin pblica, el plazo para la
formulacin de alegaciones ser de diez das a contar desde la publicacin en el
Boletn Oficial del Estado del anuncio previsto en dicha ley.
2. No ser posible el acceso a la informacin del expediente en que concurran
las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de
noviembre.

Artculo 148. Mejora del cdigo tipo.

Si durante la tramitacin del procedimiento resultase necesaria la aportacin de
nuevos documentos o la modificacin del cdigo tipo presentado, la Agencia
Espaola de Proteccin de Datos podr requerir al solicitante, a fin de que en el
plazo de treinta das introduzca las modificaciones que sean precisas,
remitiendo el texto resultante a la Agencia Espaola de Proteccin de Datos.
Se declarar la suspensin del procedimiento en tanto el solicitante no d
cumplimiento al requerimiento.

Artculo 149. Trmite de audiencia.

En caso de que durante el trmite previsto en el artculo 148 se hubieran
formulado alegaciones, se dar traslado de las mismas al solicitante de la
autorizacin, a fin de que en el plazo de diez das alegue lo que estime
procedente.

Artculo 150. Resolucin.

1. Cumplidos los trminos establecidos en los artculos precedentes, el Director
de la Agencia resolver sobre la procedencia o improcedencia de la inscripcin
del cdigo tipo en el Registro General de Proteccin de Datos.
2. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva
autorizar la inscripcin del cdigo tipo, se dar traslado de la resolucin al
Registro General de Proteccin de Datos, a fin de proceder a su inscripcin.

Artculo 151. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin ser de seis meses, a
contar desde la fecha de entrada de la solicitud en la Agencia Espaola de
Proteccin de Datos.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el
solicitante podr considerar estimada su solicitud.

Artculo 152. Publicacin de los cdigos tipo por la Agencia Espaola de
Proteccin de Datos.

La Agencia Espaola de Proteccin de Datos dar publicidad al contenido de los
cdigos tipo inscritos en el Registro General de Proteccin de Datos, utilizando
para ello, con carcter preferente, medios electrnicos o telemticos.

- Procedimiento de exencin del deber de informacin al interesado

Artculo 153. Iniciacin del procedimiento.

1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos
la exencin del deber de informar al interesado acerca del tratamiento de sus
datos de carcter personal cuando resulte imposible o exija esfuerzos
desproporcionados, prevista en el apartado 5 del artculo 5 de la Ley Orgnica
15/1999, de 13 de diciembre, se iniciar siempre a peticin del responsable que
pretenda obtener la aplicacin de la exencin.
2. En el escrito de solicitud, adems de los requisitos recogidos en el art. 70 de
la Ley 30/1992, de 26 de noviembre, el responsable deber:
a) Identificar claramente el tratamiento de datos al que pretende aplicarse la
exencin del deber de informar.
b) Motivar expresamente las causas en que fundamenta la imposibilidad o el
carcter desproporcionado del esfuerzo que implicara el cumplimiento del
deber de informar.
c) Exponer detalladamente las medidas compensatorias que propone realizar en
caso de exoneracin del cumplimiento del deber de informar.
d) Aportar una clusula informativa que, mediante su difusin, en los trminos
que se indiquen en la solicitud, permita compensar la exencin del deber de
informar.

Artculo 154. Propuesta de nuevas medidas compensatorias.

1. Si la Agencia Espaola de Proteccin de Datos considerase insuficientes las
medidas compensatorias propuestas por el solicitante, podr acordar la
adopcin de medidas complementarias o sustitutivas a las propuestas por aqul
en su solicitud.
2. Del acuerdo se dar traslado al solicitante, a fin de que exponga lo que a su
derecho convenga en el plazo de quince das.

Artculo 155. Terminacin del procedimiento.

Concluidos los trmites previstos en los artculos precedentes, el Director de la
Agencia dictar resolucin, concediendo o denegando la exencin del deber de
informar. La resolucin podr imponer la adopcin de las medidas
complementarias a las que se refiere el artculo anterior.

Artculo 156. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de
seis meses, a contar desde la fecha de entrada en la Agencia Espaola de
Proteccin de Datos de la solicitud del responsable del fichero.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el
afectado podr considerar estimada su solicitud por silencio administrativo
positivo.

- Procedimiento para la autorizacin de conservacin de datos para
fines histricos, estadsticos o cientficos

Artculo 157. Iniciacin del procedimiento.

1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos
la declaracin de la concurrencia en un determinado tratamiento de datos de
valores histricos, cientficos o estadsticos, a los efectos previstos en la Ley
Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento, se iniciar
siempre a peticin del responsable que pretenda obtener la declaracin.
2. En el escrito de solicitud, el responsable deber:
a) Identificar claramente el tratamiento de datos al que pretende aplicarse la
excepcin.
b) Motivar expresamente las causas que justificaran la declaracin.
c) Exponer detalladamente las medidas que el responsable del fichero se
propone implantar para garantizar el derecho de los ciudadanos.
3. La solicitud deber acompaarse de cuantos documentos o pruebas sean
necesarios para justificar la existencia de los valores histricos, cientficos o
estadsticos que fundamentaran la declaracin de la Agencia.

Artculo 158. Duracin del procedimiento y efectos de la falta de
resolucin expresa.

1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de
tres meses, a contar desde la fecha de entrada en la Agencia Espaola de
Proteccin de Datos de la solicitud del responsable del fichero.
2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el
afectado podr considerar estimada su solicitud.

Disposicin adicional nica. Productos de software.

Los productos de software destinados al tratamiento automatizado de datos
personales debern incluir en su descripcin tcnica el nivel de seguridad,
bsico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el
ttulo VIII de este reglamento.

Disposicin final nica. Aplicacin supletoria.

En lo no establecido en el captulo III del ttulo IX sern de aplicacin a los
procedimientos sancionadores tramitados por la Agencia Espaola de Proteccin
de Datos las disposiciones contenidas en el Reglamento del Procedimiento para
el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993,
de 4 de agosto.

LAS AGENCIAS AUTONMICAS
La LOPD establece las funciones de la AEPD sern gestionadas por las
autoridades de control de cada comunidad autnoma, cuando afecten a ficheros
gestionados por ellas.
Las comunidades autnomas que tienen Agencia de Proteccin de Datos propia
son Madrid, Catalua y Pas Vasco.
Todas son entes de Derecho Pblico, con personalidad jurdica propia y plena
capacidad pblica y privada, de forma que tienen competencias para actuar con
plena independencia de las administraciones pblicas en el ejercicio de sus
funciones.

SUPUESTO PRCTICO
El fichero de una empresa ubicada en Bilbao, se notifica ante la
Agencia de Proteccin de Datos vasca o ante la AEPD?
Aunque la empresa tenga su domicilio fiscal y social en Bilbao, la notificacin de
ficheros deber hacerse ante la Agencia Espaola de Proteccin de Datos que es
la que tiene la competencia para la inscripcin de ficheros de titularidad
privada.

You might also like