T 35 La política de Protección de Datos de carácter personal.

Normativa
La Agencia Española de Protección de Datos.

I. La Política de Protección de Datos. Normativa

Legislación Europea:
• Directiva 95/46/CE
➢ relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
➢ se transpone en LO 15/1999
➢ se deroga con efecto de 25 Mayo 2018 por el Reglamento UE/2016/679
• Directiva 2002/58/CE
➢ relativa al tratamiento de datos en el sector de las comunicaciones electronicas
• Directiva 2006/24/CE
➢ modifica la Directiva 2002/58/CE
➢ Se traspone en Ley 25/2007, conservación de datos relativos a comunicaciones electrónicas
Legislación Española:
• art. 18.4 CE “La ley limitará el uso de la informatica para garantizar el honor y la intimidad”
• LO 15/1999
➢ Ley orgánica de protección de datos
• RD 1720/2007
➢ reglamento de desarrollo de la LOPD
• RD 428/93, se aprueba el estatuto de la Agencia Española de Protección de Datos

II. LO 15/1999
• Objeto
➢ garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas y
➢ especialmente de su honor e intimidad personal y familiar.
• Ámbito
➢ tratamiento efectuado en territorio español
➢ responsable no establecido en España pero que le aplique la legislación española. Dº Internacional Público
➢ responsable no establecido en la UE pero que utilice MEDIOS situados en España, salvo tránsito
• La LOPD NO aplica a:
➢ datos recogidos para uso doméstico
➢ datos de las materias clasificadas
➢ datos sobre investigación de terrorismo y delincuencia organizada:
▪ No obtante, el Responsable del fichero comunicará la existencia del fichero y su finalidad a la AEPD.
• Se rigen por Disposiciones Específicas y por lo especialmente previsto en esta Ley:
➢ datos referentes al régimen electoral
➢ datos con fines estadísticos
➢ datos de calificación de las Fuerzas Armadas
➢ datos derivados del Registro Civil y del Registro Central de Penados y Rebeldes
➢ datos procedentes de imágenes y sonidos obtenidos mediante la utilización de viodeocámaras por las FF y
Cuerpos de Seguiridad.
• Definiciones
➢ Dato de Carácter personal.
▪ Toda información sobre persona fisica identificada o identificable
➢ Responsable del Fichero o del Tratamiento.
▪ Persona f/j que decide sobre la finalidad, contenido y uso dado.
➢ Encargado del Tratamiento.
▪ Persona f/j que trata datos por cuenta del Responsable.
➢ Procedimiento de Disociación.
▪ La info no puede asociarse a persona identificada o identificable.
➢ Fuente Accesible al Público.
▪ Ficheros cuya consulta puede ser realizada por cualquier persona
▪ Serán Fuentes de Acceso Público:

1 de 16
 ➔ Censo promocional,
➔ repertorios telefónicos,
➔ Listas de personas pertenecientes a grupos profesionales,
➔ Diarios y boletines oficiales,
➔ Medios de comunicación
• Principios de la Protección de Datos
➢ Calidad de los datos
▪ sólo se podrán recoger los datos adecuados, pertinentes y no excesivos en relación a la finalidad
▪ no podrán usarse para finalidades incompatibles
▪ los datos serán exactos y puestos al día
▪ si los datos registrados fueran inexactos o incompletos serán cancelados y sustituidos de oficio
▪ los datos serán cancelados cuando hayan dejado de ser necesarios para el fin.
▪ Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.
➢ Derecho de Info en la recogida de datos (art 5)
▪ Los interesados serán informados previamente de modo expreso, preciso e inequívoco:
➔ de la existencia del fichero, de la finalidad y de los destinatarios de la info.
➔ del carácter obligatorio u opcional de facilitar los datos
➔ de las consecuencias de darlos o de la negativa a suministrarlos
➔ de los derechos ARCO
➔ de la identidad y direccion del Responsable del tto o su representante.
▪ Cuando los datos no hayan sido recabados del interesado éste deberá ser informado por el
responsable del fichero dentro de los 3 meses siguientes al momento del registro de los datos.
➔ No se aplica lo anterior cuando:
◦ cuando lo prevea una Ley
◦ si el tratamiento tiene fines HEC
◦ cuando la info al interesado resulte imposible o exija esfuerzos desproporcionados
◦ cuando los datos procedan de fuentes accesibles al publico y se dediquen a publicidad.
➢ Consentimiento del afectado (art 6).
▪ El tratamiento de datos requiere el consentimiento INEQUÍVOCO del afectado, salvo Ley en contra.
➔ El Responsable concede un plazo de 30 días para que el afectado manifieste su negativa al
tratamiento, entendiéndose si no se pronuncia que consiente el tratamiento de sus datos.
◦ El Consentimiento Inequívoco será Expreso o Tácito, nunca presunto.
▪ No es preciso el consentimiento:
➔ datos recogidos para las funciones propias de las AAPP
➔ datos referidos a las partes de un contrato o precontrato
➔ cuando el tratamiento tenga por objeto un interes vital para el interesado
➔ cuando los datos figuren en fuentes accesibles al publico
▪ El Consentimiento puede ser revocado con causa justificada y sin efectos retroactivos
➢ Datos Especialmente Protegidos (art 7).
▪ Según el art 16.2 CE “nadie puede ser obligado a declarar sobre su ideologia, religion o creencias”
▪ Se requiere Consentimiento Expreso y por Escrito: ideología, afiliación sindical, religión y creencias.
▪ Se requiere Consentimiento Expreso o cuando lo disponga una Ley: origen racial, salud, vida sexual
➢ Seguridad de los datos (art 9).
▪ El responsable y el encargado del tto adoptarán medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos y eviten alteración, pérdida, tratamiento o acceso no
autorizado.
▪ Los requisitos y condiciones que deben reunir los ficheros se definirán en reglamento (T 8 RD 1720/7)
➢ Deber de secreto
▪ El responsable y cualquiera que intervenga en la fase del tto están obligados al secreto profesional.
▪ Esta obligación subsistirá aún después de finalizar la relación con el titular del fichero
➢ Comunicación de los datos
▪ Sólo se pueden comunicar datos a un tercero con el consentimiento previo del interesado.
▪ No se requiere consentimiento cuando:

2 de 16
 ➔ cesión autorizada por Ley
➔ son datos recogidos de fuentes accesibles al público
➔ existe relacion juridica que implica conexión con ficheros de terceros
➔ si el destinatario es Mº Fiscal-Jueces-Tribunales, Tribunal de Cuentas o Dfsor del Pueblo
➔ Cesión entre AAPP para fines HEC
➔ Datos de salud para solucionar una urgencia
➔ Cesión previo procedimiento de disociación
▪ El consentimiento para comunicar datos será NULO cuando el interesado no conozca la finalidad o el
tipo de actividad de aquel a quien se comunican.
▪ El consentimiento para la comunicación de datos a terceros es revocable.
➢ Acceso a datos por cuenta de terceros (art 12).
▪ El Acceso a datos NO se considera comunicación
➔ cuando el acceso sea necesario para prestar un servicio
▪ La realización de tratamientos por cuenta de terceros deberá estar regulada por un contrato.
▪ En el contrato se estipularán las medidas de seguridad.
▪ Si el Encargado del tto destina los datos a otra finalidad, los cede o incumple el contrato será
considerado Responsable del tto respondiendo de las infracciones como tal.
▪ Una vez concluido el contrato, los datos deberán ser destruidos o devueltos
• Derechos de las personas
➢ Derecho de Impugnación de valoraciones (art 13).
▪ impugnar actos admvos o decisiones privadas que impliquen valoración en el comportamiento
➢ Derecho de consulta al RGPD (art 14).
▪ de la Existencia y finalidad de los tratamientos
▪ de la identidad del responsable.
▪ La Consulta al RGPD es pública y gratuita.
➢ Derecho de Acceso (art 15).
▪ Obtener Info sobre el tratamiento, origen y comunicaciones realizadas/previstas sobre sus datos.
▪ En intervalos no inferiores a 12 meses, salvo interés legítimo.
▪ El afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas:
➔ visualización en pantalla
➔ escrito, copia o fotocopia remitida por correo, certificado o no
➔ telecopia
➔ correo electrónico u otro sistema de comunicación electrónica
➔ cualquier otro adecuado a la configuración del fichero o a la naturaleza del tratamiento
▪ El responsable del fichero resolverá sobre la solicitud de acceso en el plazo de 1 MES
➔ si la solicitud fuese estimada el acceso se hará efectivo durante los 10 días siguientes
➢ Derecho de Rectificación y Cancelación (art 16).
▪ El responsable tiene la obligación de hacer efectivo este derecho en el plazo de 10 días.
▪ Se rectifican o cancelan:
➔ los datos cuyo tratamiento NO se ajusta a la Ley, y
➔ los datos que sean inexactos o incompletos
▪ La Cancelación da lugar al Bloqueo, conservándose sólo para AAPP, Jueces y Tribunales durante el
plazo de prescripción de las responsabilidades
➔ Pasado el plazo de prescripción los datos se suprimen.
▪ El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo de 10
días
▪ Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
fichero deberá notificar la rectificación o cancelación efectuada al CESIONARIO en el plazo de 10
días, para que éste también en el plazo de 10 días proceda a rectificar o modificar los datos.
➔ La rectificación o cancelación hecha por el cesionario no requiere comunicación al interesado
▪ El Derecho de Rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser
INEXACTOS o INCOMPLETOS
▪ El ejercicio del Derecho de Cancelación dará lugar a que se supriman los datos que resulten ser
INADECUADOS o EXCESIVOS

3 de 16
 ▪ Si se denegase el derecho de rectificación o cancelación el responsable del fichero informará al
afectado de su derecho a recabar la tutela de la AEPD
➔ se denegará este derecho por las siguientes razones:
◦ relaciones contractuales
◦ previsto por una Ley o norma de derecho comunitario de aplicación directa
➢ Derecho de Oposición
▪ Es el Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo
en los siguientes supuestos:
➔ cuando no sea necesario su consentimiento
➔ cuando se trate de ficheros con finalidad de actividades de publicidad y prospección comercial
➔ cuando el tratamiento tenga la finalidad de adopción de una decisión referida al afectado
▪ El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de 10 días
➢ Existe Procedimiento para ejercitar los Derechos ARCO.
➢ Los derechos ARCO son PERSONALÍSIMOS y serán ejercidos por el afectado
▪ los afectados en situación de incapacidad o menores de edad ejercitarán su derecho a través de
representante legal
▪ los derechos también podrán ejercitarse a través de representante voluntario, expresamente
designado
➢ Los derechos ARCO son INDEPENDIENTES por lo que el ejercicio de uno no es requisito previo para el
ejercicio de otro.
➢ Tutela de los derechos (art 18).
▪ El interesado al que se deniegue, total o parcialmente, el ejercicio de sus derechos ARCO podrá
ponerlo en conocimiento de la AEPD que se asegurará de la procedencia o no de dicha denegación.
▪ El plazo máximo para dictar resolución expresa de Tutela de derechos es de 6 meses.
▪ Contra resolución de AEPD procederá Recurso contencioso-admvo.
➢ Derecho a Indemnización (art 19)
▪ Con Ficheros de Titularidad Pública, la responsabilidad se exigirá de acuerdo con la legislación
reguladora del régimen de responsabilidad de las AAPP.
▪ Con Ficheros de Titularidad Privada, la acción se ejercitará ante los órganos de la jurisdicción
ordinaria.
• Disposiciones Sectoriales (T IV → carácter ordinario)
➢ Cap. 1 Ficheros de Titularidad Pública
▪ Creación, modificación o supresión
➔ Mediante Disposición General o Acuerdo publicados en el BOE o diario oficial correspondiente.
◦ Contenido:
✔ La finalidad y los usos previstos
✔ Las personas/colectivos sobre los que se pretenda obtener datos o estén obligados
✔ El procedimiento de recogida
✔ La estructura básica del fichero y la descripción del tipo de datos
✔ Las cesiones y las transferencias a otros paises que se prevean
✔ Los órganos de las Administraciones responsables del fichero
✔ Los servicios o unidades ante los que pudiesen ejercitarse los derechos ARCO
✔ Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
◦ En las disposiciones generales para la Supresión se indicará:
✔ el destino de los ficheros o las previsiones adoptadas para su destrucción.
➔ Cuando la Disposición General sea en la AGE → Orden Ministerial o Resolución del titular
➔ DISPONE → herramienta de la AEPD para la elaboración de la disposición
▪ Todo fichero Público será notificado a la AEPD para su Inscripción en el RGPD en el plazo de 30 días
desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente.
▪ Comunicación de datos entre AAPP.
➔ Los datos recogidos por AAPP NO pueden ser comunicados a otras AAPP para competencias
diferentes, salvo fines HEC.
➔ Una AP los podrá recoger con destino a otra.
➔ No es necesario el Consentimiento del afectado

4 de 16
 ▪ Ficheros de las Fuerzas y Cuerpos de Seguridad.
➔ Los ficheros creados para fines ADMINISTRATIVOS estarán sujetos a esta Ley.
➔ Los ficheros creados para fines POLICIALES tienen régimen especial.
▪ Excepciones a los derechos de Acceso, Rectificación y Cancelación
➔ Los responsables de ficheros con fines Policiales podrán denegar estos derechos
➔ Los responsables de ficheros de Hacienda Pública podrán denegar
➔ La denegación de derechos se puede poner en conocimiento de la AEPD.
▪ Excepción al derecho de Información en la recogida de datos, según art 5
➔ se denegará este derecho al afectado cuando afecte a Defensa Nacional, Seguridad Pública o a la
persecución de infracciones penales (si afecta a las infracciones admvas es Inconstitucional)
➢ Cap. 2 para Ficheros de Titularidad Privada
▪ Creación
➔ Podrán crearse cuando sea necesario.
▪ Notificación e Inscripción Registral
➔ Se notificará PREVIAMENTE a su creación a la AEPD (también los cambios)
➔ La notificación incluirá:
◦ el responsable del fichero
◦ la identificación del fichero
◦ el colectivo de personas sobre el que se obtienen los datos
◦ el procedimiento y procedencia de los datos
◦ el servicio o unidad de acceso
◦ la finalidad del fichero
◦ su ubicación
◦ el tipo de datos (las categorías de datos)
◦ las medidas de seguridad con indicación del nivel básico, medio o alto
◦ identificación del encargado del tratamiento
◦ las cesiones y transferencias que se prevean realizar
◦ el sistema de tratamiento empleado
➔ Transcurrido 1 mes desde la presentación de la inscripción sin que la APD resuelva se considerará
al fichero inscrito.
➔ Cuando la obligación de notificar afecte a ficheros (no se especifica si públicos o privados) sujetos
a la competencia de la autoridad de control de una CA que haya creado su propio registro, la
notificación se realizará a la autoridad Autonómica que dará traslado de la inscripción al RGPD.
▪ Comunicacion de la cesión de datos.
➔ El responsable del fichero, en la 1ª cesión de datos, deberá:
◦ informar de ello a los afectados, indicando
✔ la finalidad,
✔ la naturaleza de los datos cedidos y
✔ el nombre y dirección del cesionario
◦ NO informará a los afectados cuando:
✔ la cesión venga impuesta por ley,
✔ exista relación jurídica
✔ el destinatario sea Mº Fiscal-Jueces-Tribunales, Tribunal de Cuentas o Dfsor del Pueblo,
✔ el destinatario sea AAPP para fines HEC, o bien
✔ existe procedimiento previo de disociación.
▪ Datos incluidos en las fuentes de acceso público.
➔ Los interesados tienen en Dº de exigir la exclusión de sus datos que consten en el censo
promocional
◦ la atención a la solicitud de exclusión deberá realizarse en el plazo de 10 días
➔ Las Fuentes de Acceso Público perderán el carácter de Fuente de Acceso Público:
◦ las que se editen en forma de libro u otro soporte físico, con la nueva edición que se publique
◦ en el caso de formato electrónico, en el plazo de 1 año
➔ Las Guías de servicios de telecomunicaciones disponibles al público se rigen por su normativa
especifica.

5 de 16
▪ Prestación de servicios de información sobre Solvencia patrimonial y Crédito.
➔ Quienes se dediquen a esto sólo podrán tratar datos obtenidos de:
◦ las Fuentes Accesibles al Público o
◦ de informaciones facilitadas por el interesado o con su consentimiento.
◦ Podrán tratarse datos facilitados por el ACREEDOR para enjuiciar la solvencia económica del
afectado siempre que concurran los siguientes requisitos:
✔ existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada
✔ que no hayan transcurrido 6 años desde la fecha de vencimiento de la obligación
✔ requerimiento previo de pago a quien corresponda el cumplimiento de la obligación
➔ El Acreedor deberá informar al deudor que en caso de no producirse el pago, los datos relativos
al IMPAGO podrán ser comunicados a ficheros relativos el cumplimiento/incumplimiento de
obligaciones dinerarias.
➔ El responsable del fichero común notificará a los interesados respecto de los que haya registrado
datos, en plazo de 30 días desde el registro, una REFERENCIA de los que hubiesen sido incluidos.
◦ Se efectuará una notificación por cada deuda concreta
◦ la notificación se efectuará a través de un medio FIABLE, AUDITABLE e INDEPENDIENTE de la
entidad notificante
➔ Es necesario que el responsable del fichero pueda conocer si la notificación ha sido objeto de
devolución, en cuyo caso NO podrá proceder al tratamiento de los datos de ese interesado
◦ en caso de devolución, el responsable del fichero común comprobará con la entidad
acreedora que la dirección utilizada para realizar la notificación se corresponde con la
contractualmente pactada con el cliente y NO procede al tratamiento de datos si la
mencionada entidad acreedora no confirma la exactitud de la dirección.
➔ Si el destinatario ha rehusado recibir el envío de la Notificación, esto NO será suficiente para que
NO se pueda proceder al tratamiento de los datos.
➔ Los datos contenidos en el fichero común sólo podrán ser consultados por terceros que precisen
enjuiciar la solvencia económica del afectado, en los siguientes supuestos:
◦ que el afectado mantenga con el tercero algún tipo de relación contractual
◦ que el afectado pretenda celebrar con el tercero un contrato que implique pagos aplazados
◦ que el afectado pretenda contratar con el tercero la prestación de un servicio de facturación
periódica
➔ Los terceros deben informar por ESCRITO a los afectados de su derecho a consultar el fichero.
◦ En caso de contratación telefónica la información se realizará de forma no escrita,
correspondiendo al tercero la PRUEBA del cumplimiento del deber de informar.
➔ El Acreedor será responsable de la inexistencia o inexactitud de los datos facilitados para su
inclusión en el fichero
➔ Cuando el interesado ejerza su derecho de:
◦ ACCESO.
✔ Si la solicitud se dirige al titular del fichero común, éste comunicará además de todos los
datos relativos, las Evaluaciones y Apreciaciones que sobre el afectado se hayan
comunicado en los últimos 6 meses, y el nombre y dirección de los cesionarios
✔ Si la solicitud se dirige a otra entidad participante en el sistema, ésta comunicará todos
los datos relativos a los que pueda acceder, así como la identidad y dirección del
fichero común para poder completar el ejercicio de su derecho de acceso.
◦ RECTIFICACIÓN o CANCELACIÓN
✔ Si la solicitud se dirige al titular del fichero común, éste traslada la solicitud a la entidad
que haya facilitado los datos para que la resuelva. Si en 7 días no se recibe respuesta se
procederá a la Rectificación o Cancelación cautelar de los datos
✔ Si la solicitud se dirige a quien haya facilitado los datos al fichero común se procederá a
la R/C en el plazo de 10 días
✔ Si la solicitud se dirige a otra entidad participante en el sistema que no haya facilitado
datos al fichero común, ésta informará al afectado en 10 días dándole información
sobre la identidad y dirección del titular del fichero común.
▪ Tratamiento con fines de publicidad y prospección comercial.
➔ Quienes se dediquen a esto utilizarán datos obtenidos de:

6 de 16
 ◦ las Fuentes Accesibles al Público y no han manifestado su negativa al tratamiento, o
◦ facilitados por los interesados o con su consentimiento.
➔ En CADA comunicación dirigida al interesado se indicará:
◦ el origen de los datos,
◦ la identidad del responsable del tratamiento,
◦ los derechos que le asisten.
➔ Tratamiento de datos en Campañas Publicitarias
◦ Si una entidad contrata a un tercero la realización de una Campaña se aplicarán estas
normas:
✔ si los parámetros identificativos son fijados por el que contrata la campaña, está será
responsable del tratamiento de los datos
✔ si los parámetros identificativos son determinados por la entidad contratante, ésta será
la responsable del tratamiento
✔ si los parámetros identificativos son fijados por ambas entidades, ambas serán
responsables del tratamiento.
▪ Censo Promocional.
➔ La Ley prevé su creación por el INE.
➔ El uso de la lista del Censo Promocional tendrá una vigencia de 1 año.
◦ Transcurrido el año la lista pierde su condición de Fuente Accesible al Público.
➔ Trimestralmente se editará una lista actualizada.
➔ Se podrá exigir una contraprestación por la facilitación de la lista del Censo Promocional.
➔ Los interesados pueden solicitar no aparecer en el Censo Promocional.
▪ Códigos Tipo.
➔ Los Responsables de tratamientos de titularidad Pública o Privada podrán formular Códigos Tipo.
➔ Tendrán carácter deontológico o de buena práctica profesional.
➔ Deberán ser inscritos en el RGPD o en el Registro autonómico
➔ Las entidades promotoras, órganos o personas que se designen en el Código Tipo tendrán las
siguientes obligaciones:
◦ mantener accesible al público la información sobre el contenido, procedimiento de adhesión
y la relación de adheridos
◦ remitir a la AEPD una MEMORIA anual sobre las actividades realizadas para difundir el
Código, las qujas tramitadas, las verificaciones de cumplimiento del código (la memoria se
remite a la Autoridad de Control de la CA si existe, que dará traslado al RGPD)
◦ evaluar, al menos CADA 4 AÑOS, la eficacia del Código Tipo, midiendo grado de satisfación
◦ favorecer la accesibilidad de todos, especialmente de discapacitados o de edad avanzada
➢ Notificación e Inscripción de Ficheros públicos y Privados
▪ Todo fichero público será notificado a la AEPD para su inscripción en el RGPD en el plazo de 30 días
desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente
▪ Los ficheros privados serán notificados a la AEPD con carácter previo a su creación.
▪ Cuando la obligación de notificar afecte a ficheros sujetos a competencia de una Autoridad de control
de una CA, la notificación se realizará a dicha autoridad, que dará traslado de la inscripción al RGPD.
➔ El propio RGPD podrá solicitar a las Autoridades de las CCAA el traslado de las inscripciones de los
ficheros. En tal caso realizará la inscripción de OFICIO del fichero en el RGPD.
▪ Tratamiento de Datos en distintos soportes
➔ Cuando los datos estén almacenados en diferentes soportes, automatizados y no automatizados
o exista una copia en soporte no automatizado de un fichero automatizado sólo se precisa UNA
sola NOTIFICACIÓN, referida a dicho fichero.
▪ Un fichero con varios responsables → CADA UNO de ellos deberá notificar a fin de proceder a la
inscripción en el RGPD.
▪ Se debe notificar a la AEPD:
➔ cualquier modificación que afecte al contenido de la inscripción del fichero
➔ la supresión del fichero, para que se proceda a la cancelación de la inscripción en el registro.
▪ Formulario Electrónico para Notificación Telemática a la AEPD → NOTA
▪ El Director de la AEPD, a propuesta del RGPD, dicta resolución acordando la inscripción una vez
tramitado el procedimiento previsto.

7 de 16
 ▪ La Inscripción contiene:
➔ el código asignado por el Registro
➔ la identificación del responsable del fichero
➔ la identificación del fichero o tratamiento
➔ la descripción de su finalidad
➔ el sistema de tratamiento
➔ el colectivo de personas sobre el que se obtienen los datos
➔ el procedimiento y procedencia de los datos
➔ las categorías de datos
➔ el servicio o unidad de acceso
➔ indicación del nivel de medidas de seguridad exigible
➔ en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el
fichero
➔ en su caso, los destinatarios de cesiones y transferencias internacionales
➔ En caso de fichero públicos, también consta la REFERENCIA a la Disposición General de creación.
▪ Inscripción de OFICIO
➔ El Director de la AEPD podrá acordar, a propuesta del RGPD, la inscripción del fichero PÚBLICO en
el Registro, notificándose el ACUERDO al órgano responsable del fichero.
▪ El Director de la AEPD dicta resolución acordando la cancelación de la inscripción
➔ podrá acordarla de OFICIO
▪ El RGPD podrá rectificar de oficio o a instancia de los interesados los errores materiales, de hecho o
aritméticos en las inscripciones.
• Movimiento Internacional de Datos
➢ No podrán realizarse transferencias de datos a paises que no proporcionen un nivel de protección
equiparable al de la presente Ley, salvo que se obtenga autorización del Director de la AEPD
➢ Lo anterior NO se aplica cuando:
▪ la transferencia sea por aplicación de tratados o convenios en los que sea parte España
▪ la transferencia sea a efectos de prestar o solicitar auxilio internacional
▪ sea necesaria para la prevención médica o asistencia sanitaria...
▪ se refiera a transferencias dinerarias
▪ el afectado haya dado su consentimiento INEQUÍVOCO a la transferencia
▪ sea necesaria para la celebración de un contrato
▪ sea necesaria para el ejercicio o defensa de un derecho en un proceso judicial
▪ la transferencia tenga como destino:
➔ un EM de la UE o
➔ un Estado declarado por la Comisión de las Comunidades Europeas con un nivel de protección
adecuado
➢ Las Transferencias Internacionales deberán ser notificadas para proceder a su inscripción en el RGPD
• Infracciones y Sanciones (T VII → carácter ordinario)
➢ Estarán sujetos al régimen sancionador los Responsables de los ficheros y los Encargados de los Ttos.
➢ Tipos de Infracciones:
▪ Leves:
➔ No remitir a la AEPD las notificaciones previstas
➔ No solicitar la inscripción del fichero en el RGPD
➔ Incumplimiento del deber de Info cuando los datos FUERON recabados del interesado
➔ Transmitir los datos a un encargado de tto sin dar cumplimiento al art. 12 (contrato)
▪ Graves:
➔ Crear fichero Tit Púb sin Disposición General publicada en BOE o diario oficial corresp.
➔ Tratar datos sin el consentimiento cuando éste fuera necesario
➔ Vulneración del Deber de Guardar Secreto
➔ Impedimento del ejercicio de los derechos ARCO
➔ Incumplimiento del deber de Info cuando los datos NO FUERON recabados del interesado.
➔ Incumplimiento de los deberes de notificación o requerimiento al afectado
➔ Mantener ficheros sin condiciones de seguridad

8 de 16
 ➔ Ignorar o no colaborar con la AEPD
➔ obstruccion al ejercicio de la funcion inspectora
➔ comunicación o cesion de datos sin legitimacion para ello, salvo infraccion Muy Grave.
▪ Muy Graves
➔ Recogida de datos en forma fraudulenta o engañosa
➔ Tratar o ceder DEP sin consentimiento expreso (y escrito)
➔ No cesar en el tto ilícito cuando lo requiera el Dtor de la APD
➔ Transferencia a países sin nivel de protección adecuado sin autorización del Dtor APD
➢ Sanciones
▪ Infracciones Leves: 900 a 40.000 €. Prescriben: 1 año (Infracciones y Sanciones)
▪ Infracciones Graves: 40.001 a 300.000 €. Prescriben: 2 años
▪ Infracciones Muy Graves 300.001 a 600.000 €. Prescriben: 3 años
➢ Las Infracciones y las sanciones prescriben con el mismo tiempo.
➢ La cuantía de la sanción se graduará según:
▪ la naturaleza de los derechos personales afectados
▪ volumen de los ttos efectuados
▪ beneficios obtenidos
▪ grado de intencionalidad,
▪ reincidencia
▪ daños y perjuicios causados
➢ La prescripción de infracciones se interrumpirá por inicio de un procedimiento sancionador
➢ La prescripción de sanciones se interrumpirá por inicio de un procedimiento de ejecución
➢ Volverá a trascurrir si estuviese paralizado más de 6 meses por causas no imputables al infractor.
➢ Las resoluciones de la AEPD agotan la vía administrativa
➢ Los procedimientos sancionadores de la AEPD tendrán una duración máxima de 6 meses salvo
▪ los referidos a infracciones de la LGT.

9 de 16
III. La Agencia Española de Protección de Datos
• Las referencias hechas a la Agencia de PD deben entenderse hechas a la Agencia Española de PD, según
establece el art 79 de la Ley 62/2003
• La AEPD está regulada en el Título VI de la LO 15/1999
➢ el título VI tiene carácter ordinario, salvo último inciso del párrafo 4 del art 36
• Naturaleza y Régimen Jurídico
➢ Es un Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada
➢ actúa con plena independencia de las AAPP en el ejercicio de sus funciones.
➢ Se rige por la LO 15/1999 y su Estatuto propio (RD 428/1993)
➢ Se relaciona con el Gobierno a través del Ministerio de Justicia.
➢ En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado.
➢ Los puestos de trabajo serán desempeñados por funcionarios de las AAPP y por personal contratado
➢ Cuenta con los siguientes medios económicos:
▪ asignaciones anuales con cargo a los PGE
▪ bienes y valores que constituyan su patrimonio, así como sus productos y rentas
➢ Elabora y aprueba, anualmente, el anteproyecto de presupuesto y lo remite al Gobierno para su
integración en los Presupuestos Generales del Estado, con la debida independencia.
• Director (art 36)
➢ nombrado por el Gobierno, mediante Real Decreto, a propuesta del Ministro de Justicia, de entre quienes
componen el Consejo Consultivo.
➢ Periodo de 4 años
➢ Tiene consideración de Alto Cargo. Mismo honor y tratamiento que los Subsecretarios.
➢ Los actos dictados por el Director agotan la vía administrativa.
➢ Realiza funciones de dirección y de gestión
▪ Funciones de Dirección

10 de 16
 ▪ Funciones de Gestión

• El Consejo Consultivo
➢ Es un órgano colegiado de asesoramiento del Director de la Agencia de Protección de Datos
➢ Formado por los siguientes Miembros:
▪ 1 Diputado, 1 Senador (propuestos por Congreso y Senado)
▪ 1 Representante de la AGE (designado por el Gobierno, propuesto por el Ministro de Justicia)
▪ 1 representante de cada CA que haya creado una Agencia de PD en su ámbito territorial
▪ 1 Representante de la Admón Local (propuesto por la Federación Española de Municipios y Provincias)
▪ 1 miembro propuesto por la Real Academia de la Historia, de entre los miembros de su corporación.
▪ 1 Vocal experto en la materia (propuesto por el Consejo de Universidades)
▪ 1 Vocal de los Usuarios y Consumidores, propuesto mediante terna por el Consejo de Consumidores y
Usuarios
▪ 1 Vocal del Sector de ficheros privados, propuesto mediante terna por el Consejo Superior de Cámaras
de Comercio, industria y Navegación.
➢ Las propuestas de los Vocales serán elevadas al Gobierno por conducto del Ministro de Justicia.
➢ Los Miembros del Consejo Consultivo son nombrados y cesados por el Gobierno.
➢ Periodo de 4 años.
➢ Se reúne:
▪ cuando lo decide el Director (6 meses min) o
▪ a petición de mayoría de los miembros del Consejo Consultivo.
• El Registro General de Protección de Datos.
➢ Le corresponde velar por la PUBLICIDAD de la existencia de los ficheros
➢ Son objeto de inscripción
▪ los ficheros públicos de cualquier AP, ente u organismo dependiente (plazo 30 días desde publi)
▪ los ficheros privados de persona f/j, con carácter previo a su creación
▪ las autorizaciones de transferencias internacionales;
▪ los códigos tipo;
▪ los datos relativos a los ficheros para el ejercicio de los derechos de info y ARCO.
➢ Al RGPD le corresponde:
▪ instruir los exptes de inscripción de ficheros automatizados y de códigos tipo,
▪ instruir los exptes de modificación y cancelación,
▪ instruir los exptes de autorización de las transferencias internacionales,
▪ publicar relación anual de ficheros inscritos o notificados y códigos tipo.
➢ NOTA (NOtificación Telemática APD). Notificación de ficheros para inscripción en registro.
• La Inspección de Datos.
➢ Le corresponde la función Inspectora
➢ Le corresponde:
▪ instruir los exptes sancionadores
▪ instruir los procedimientos de tutela de derechos.
• La Secretaría General → Encargada de la Gestión Administrativa.

11 de 16
• Procedimientos Tramitados por la AEPD
➢ La AEPD Publica sus resoluciones con excepción de las correspondientes a inscripciones en el RGPD
▪ la publicación se realiza en el sitio web de la AEPD, dentro del plazo de 1 mes, a contar desde la fecha
de notificación a los interesados
▪ la publicación se realiza aplicando criterios de DISOCIACIÓN de datos establecidos por el Director.
➢ Pr. de Tutela de derechos ARCO
▪ el Pr se inicia a instancia del afectado
▪ Recibida la reclamación en la AEPD, se dará traslado de la misma al responsable del fichero, que
tendrá 15 días para formular alegaciones
▪ Plazo máx. Para dictar resolución: 6 meses
▪ Silencio admvo positivo: se considera estimada la reclamación.
▪ Si la reclamación es estimada se requerirá al responsable para que haga efectivo el ejercicio de
derechos ARCO en plazo de 10 días
➢ Pr. Sancionador
▪ En caso de infracción Muy Grave consistente en utilización o cesión ilícita de datos, el Director podrá
requerir el CESE en la utilización o cesión ilícita.
▪ Se debe de atender al requerimiento anterior en 3 días.
▪ Antes de iniciar el Pr Sancionador se pueden realizar ACTUACIONES PREVIAS
➔ duración máxima: 12 meses
➔ lo realiza la Inspección de Datos (se les considera Autoridad Pública)
➔ se pueden realizar Actuaciones Presenciales (se precisa autorización del Director de la AEPD)
➔ como resultado se dicta resolución de archivo o se inicia Pr Sancionador
➢ Pr de Inscripción o Cancelación de ficheros
▪ Plazo máx. para dictar resolución acerca de la inscripción, modificación o cancelación será de 1 Mes.
▪ Si no hay resolución se considerará inscrito, modificado o cancelado.
▪ El Pr de Cancelación de oficio se inicia o bien por propia iniciativa del RGPD o en virtud de denuncia.
➢ Pr relacionados con la Transferencias Internacionales
▪ Para obtener la Autorización para una Transferencia Internacional se iniciará SIEMPRE a solicitud del
exportador
▪ Cuando la transferencia se justifique por la existencia de un contrato, se aportará copia del mismo
▪ La Resolución de autorización del Director de la AEPD se inscribirá en el RGPD
▪ Las Resoluciones de Autorización o Denegación se trasladarán al Ministerio de Justicia, que notificará
a la Comisión Europea y resto de EEMM
▪ Plazo máx. para dictar resolución: 3 meses
▪ Si no se realiza resolución se entenderá Autorizada.
➢ Pr Inscripción de Códigos Tipo
▪ Se inicia SIEMPRE a solicitud de la entidad promotora del código tipo
▪ el RGPD elabora un INFORME sobre las características del proyecto de código tipo.
▪ La solicitud y el informe se remiten al Gabinete Jurídico que emitirá nuevo Informe.
▪ El Director resolverá sobre la procedencia o improcedencia de la inscripción del Código Tipo.
▪ Si se resuelve la inscripción se dará traslado al RGPD para que se inscriba.
▪ Plazo máx para dictar resolución: 6 meses
▪ La AEPD dará PUBLICIDAD de los códigos tipo inscritos en el RGPD.
➢ Otros Procedimientos:
▪ de exención del deber de información al interesado
▪ de autorización de conservación de datos para fines HEC
➢ Plazo Máx de Resolución de los Procedimientos:
▪ 6 meses Dº de Tutela, Inscripción Códigos-Tipo, Exención del deber de informar al interesad
▪ 3 meses Transferencias Internacionales, Autorización de conservación de datos para fines HEC
▪ 1 mes Incripción o cancelación de ficheros

12 de 16
IV. Reglamento de desarrollo de la LOPD. RD 1720/2007
No está en el ámbito del RD 1720/2007:
• ficheros de empleados en personas jurídicas
• datos de empresarios
• personas fallecidas
Las Medidas de Seguridad:
• se recogen en el Título VIII del RD
• tendrán 3 niveles: Básico, Medio y Alto.
Nivel Básico. Serán aplicables a todos los ficheros de datos personales
Nivel Medio. Se aplicarán a ficheros y ttos referentes a:
• Infracciones Administrativas o Penales
• Hacienda, solvencia Patrimonial y Crédito
• Entidades Gestoras
• Mutuas de Accidentes Laborales de SS
• Datos que permitan evaluar personalidad o comportamiento (CV)
• Ficheros de Operadores con datos de tráfico y localización (Registro de Acceso: Nivel Alto)
Nivel Alto. Se aplicarán a ficheros y ttos referentes a:
• Datos Especialmente Protegidos:
➢ Grado Discapacidad o invalidez: Nivel Básico. Dar cumplimiento deberes públicos
➢ DEP: Nivel Básico. Finalidad de realizar transferencias dinerarias.
• Datos derivados de actos de violencia de género
• Datos para fines policiales recabados sin consentimiento.
Documento de Seguridad.
• En él se recogen las Medidas de Seguridad (de obligado cumplimiento) aplicables a datos o ttos.
• Lo elabora el Responsable del fichero o tratamiento.
• Podrá ser uno único para todos o individual para cada fichero o tto.
• Deberá estar actualizado y de acuerdo a disposiciones vigentes.
• El encargado del tratamiento No podrá subcontratar con un 3º la realización de ningún tratamiento SIN
autorización del responsable del tratamiento.
• La contratación se hará por nombre y cuenta del responsable del tratamiento.
• No hará falta autorización del responsable del tratamiento para la subcontratación cuando exista un contrato
de servicios con el nombre de la empresa.
• Si no existe el nombre de la empresa subcontratada en el contrato el encargado del tratamiento comunicará el
nombre de la empresa al responsable del tratamiento.
• Cuando existe Encargado de Tratamiento hay que tener en cuenta si el servicio se presta:
➢ en los locales del Responsable del Tratamiento.
▪ Constará en el documento y el encargado del tto deberá cumplir las normas
➢ mediante acceso remoto.
▪ Constará en el documento de seguridad y el encargado deberá cumplir las normas de seguridad.
➢ en los locales del Encargado del Tratamiento.
▪ El encargado del tto elaborará el documento de seguridad o completará el existente.
• Contenido del Documento de Seguridad.
➢ Ámbito de aplicación,
➢ Medidas, Normas y Procedimiento de actuación para garantizar el nivel de seguridad
➢ Procedimiento ante incidencias
➢ Procedimiento de copias de respaldo y recuperación,
➢ Procedimiento de destrucción o reutilización de soportes
➢ Medidas para transporte de soportes
➢ Estructura de los ficheros
➢ Funciones y Obligaciones
➢ Ficheros de tto por terceros
➢ Además para los datos de nivel Medio y Alto
▪ Identificación de los Responsables de Seguridad
▪ Controles Periódicos

13 de 16
• Ficheros y Tratamientos Automatizados
Nivel Básico
- Funciones y Obligaciones del Personal. Definición y documentación
- Gestión de Soportes y Documentos (inventario, protección en traslados, etiquetado)
- Identificación y autorización de los usuarios (cambio de claves cada año, al menos)
- Control de acceso a recursos en funcion de derechos asignados a los usuarios
- Registro de Incidencias (tipo de incidencia, momento, persona que notifica, a quién, efectos)
- Procedimiento de copias de respaldo y recuperación (mínimo semanal). Revisión 6 meses.
- No hacer pruebas con datos reales, salvo que se asegure el nivel de seguridad acorde al tto.
Nivel Medio
- Nombrar Responsable(s) de seguridad
- Control de Acceso. Se limitará el numero de reintentos de acceso
- Control de Acceso físico a los locales
- Registro de Incidencias (Básico + Procedimiento recuperación de datos)
- Gestión de Soportes y Documentos. Sistema de Registro de Entrada y Salida
- Realización de Auditoría Externa o Interna (cada 2 años)
- Las pruebas con datos reales sólo si se garantiza el nivel de seguridad
Nivel Alto
- Control de Acceso. Registro exhaustivo de Acceso. Se conservará durante 2 años, al menos.
- Gestión de soportes. Contenido cifrado. Identificación codificada. Datos en portátiles cifrados
- Procedimiento de Copias de respaldo y recuperación almacenadas en lugar diferente
- La transmisión de datos cifrados por redes de telecomunicación públicas o inalámbricas
- El Responsable de Seguridad analiza los “logs” cada mes. (log → info de control registrada)

14 de 16
• Ficheros y Tratamientos NO Automatizados
Nivel Básico
- Se aplica lo indicado para ficheros automatizados, y además específicamente
- archivar los documentos garantizando la conservación, la localización y la consulta.
- Elegir dispositivos de almacenamiento que obstaculicen la apertura de los armarios
Nivel Medio
- Nombrar Responsable(s) de Seguridad
- Auditoría Externa o Interna cada 2 años
Nivel Alto
- Acceso físico protegido por llave. Recinto Cerrado
- Las copias se harán bajo control del personal autorizado. Destrucción copias desechadas
- Mecanismo para identificar accesos de personal autorizado o no autorizado.
- Traslado físico de documentación. Medidas para impedir acceso o manipulación

15 de 16
V. Implicaciones prácticas del Reglamento UE/2016/679
• Entró en vigor: 25 de Mayo 2016
• Se comenzará a aplicar: 25 Mayo 2018
➢ hasta esa fecha, tanto la Directiva 95/46/CE como la LOPD LO 15/1999 siguen siendo válidas y aplicables.
• Aspectos más Importantes:
➢ Consentimiento
▪ el consentimiento debe ser una manifestación INEQUÍVOCA o una clara ACCIÓN AFIRMATIVA
▪ Además debe ser EXPLÍCITO en algunos casos, como para el tratamiento de datos sensibles
▪ Se excluye el consentimiento tácito (actualmente permitido)
▪ El consentimiento debe ser verificable ante una auditoría
➢ Ámbito
▪ el Reglamento se aplica a responsables o encargados establecidos en la UE (como hasta ahora) y
▪ se amplía a responsables y encargados no establecidos en la UE que realicen tratamientos derivados
de una oferta de bienes o servicios destinados a ciudadanos de la UE.
▪ Las organizaciones deben nombrar un Representante en la UE, que actuará como punto de contacto
de las Autoridades y de los ciudadanos
➔ los datos del representante se facilitarán a los interesados entre la información dada.
▪ Actualmente, para tratar datos NO es necesario mantener una presencia física sobre el territorio
➢ Nuevas Herramientas de Control
▪ El Derecho al Olvido
➔ los ciudadanos pueden solicitar que se supriman sus datos
◦ cuando ya no sean necesarios para la finalidad para la que fueron recogidos
◦ cuando se haya retirado el consentimiento
◦ cuando se hayan recogido de forma ilícita
➔ los ciudadanos pueden solicitar que se bloqueen en las listas de resultados de los buscadores los
vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas,
falsas o irrelevantes y no sean de interés público.
▪ El Derecho a la Portabilidad
➔ el interesado podrá solicitar recuperar sus datos en un formato que le permita su traslado a otro
responsable
➔ cuando sea técnicamente posible, el responsable deberá transferir los datos directamente al
nuevo responsable designado por el interesado
➢ Edad de los menores
▪ El reglamento establece la edad de 16 años para que los menores puedan prestar su consentimiento
para el tratamiento de datos en el ámbito de los SSI (p ej. Redes Sociales)
▪ El Reglamento permite rebajar esa edad y que cada EM establezca la suya hasta un límite inferior de
13 años.
▪ En España el límite está en 14 años
➢ Responsabilidad Activa
▪ Las empresas deben adoptar medidas para cumplir principios, derechos y garantías
▪ El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente
como estrategia
➢ Sistema de Ventanilla Única
▪ Utilizarán una única Autoridad de Protección de Datos
➔ para responsables establecidos en varios EEMM, o
➔ responsable que están en un solo EM pero hacen tratamientos a ciudadanos de varios EEMM
▪ Habrá supuestos de carácter transfronterizo que aplicará a todas las Autoridades de PD afectadas.
➔ Si hay discrepancias insalvables se elevará el problema al Comité Europeo de Protección de Datos
▪ Los ciudadanos sólo se relacionan con la Autoridad del Estado donde residan
➔ En España la Autoridad de Protección de Datos será la AEPD.

16 de 16