BI-8. La protección de datos personales.

La Ley Orgánica 15/1999 de Protección de Datos de Carácter

Personal y Normativa en Desarrollo. La Agencia de Protección de Datos: competencias y funciones.

1. HISTORIA DE LA PROTECCIÓN DE DATOS EN EL MARCO NORMATIVO ESPAÑOL.

La protección de datos personales es uno de los derechos fundamentales garantizados

constitucionalmente. La Constitución Española de 1978 establece en su 0
ar tículo 18.4 lo siguiente: “La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

En 1981, España firma el Convenio del Consejo de Europa, donde se recogen los principios de la
regulación de protección de datos.

La normativa española en el marco de la protección de datos ensaya un primer borrador de ley en el año
1985, pero es en el año 1992 cuando se publica la Ley 5/1992 de 29 de Octubre conocida como
LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal).
Para desarrollar esta ley entran en vigor los Reales Decretos: R.D.428/1993 (Estatuto de la Agencia de
Protección de Datos), R.D.1332/1994 (desarrollo de la LORTAD) y R.D.994/1999 (Reglamento de
Medidas de Seguridad de los ficheros automatizados). Con la entrada en vigor de la LORTAD se creó la
Agencia de Protección de Datos (APD).

Posteriormente a la LORTAD, en 1995, entra en vigor la Dir ectiva 95/46 CE del Par lamento Eur opeo
y el Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. Con el fin de adaptar la normativa
española a la legislación europea, se publica en 1999 la Ley Or gánica 15/1999, de 13 de Diciembre, de
Protección de Datos de carácter personal, conocida como LOPD. La LOPD derogaba la LORTAD, pero
seguían estando en vigor los Reales Decretos que la desarrollaban, en cuanto no se oponían a la LOPD,
éstos eran: R.D.428/1993 (Estatuto de la Agencia de Protección de Datos), R.D.1332/1994 (desarrollo de
la LORTAD) y R.D.994/1999 (Reglamento de Medidas de Seguridad de los ficheros automatizados).
Con fecha 19 de ener o de 2008, se publicó en el BOE el Real Decr eto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desar r ollo de la Ley Or gánica 15/1999. Este r eglamento
der oga los siguientes: R.D.1332/1994 (desar r ollo de la LORTAD) y R.D.994/1999 (Reglamento de
Medidas de Segur idad de los ficher os automatizados)

2. LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL (LOPD).

(Cambio denominación por artículo 79 Ley 62/2003, de 30 de noviembre: Las referencias a la Agencia
de Protección de Datos deberán entenderse realizadas a la Agencia Española de Protección de Datos).

Estr uctur a de la Ley.

La LOPD no tiene exposición de motivos, y consta de siete títulos que son:

• Título I: Disposiciones generales
• Título II: Principios de la Protección de Datos
• Título III: Derechos de las personas
• Título IV: Disposiciones sectoriales
o Capítulo I: Ficheros de Titularidad Pública
o Capítulo II: Ficheros de Titularidad Privada
• Título V: Movimiento Internacional de datos
• Título VI: Agencia de Protección de Datos
• Título VII: Infracciones y sanciones

1
Título I: Disposiciones Gener ales

En este Título se exponen los siguientes conceptos:

• Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o

identificables.
• Fichero: conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.
• Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
• Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
• Afectado o interesado: Persona física titular de los datos objeto de tratamiento.
• Encargado del tratamiento: (Esta figura no existía en la LORTAD): persona física o jurídica.
Autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento.
• Disociación: Tratamiento de datos personales para que la información no pueda asociarse a persona o
identificable.
• Consentimiento del interesado: Manifestación consintiendo el tratamiento.
• Cesión o comunicación de datos: Revelación de datos a una persona distinta del interesado.
• Fuentes accesibles al público: Ficheros accesibles por cualquier persona. Se consideran fuentes
accesibles al público, exclusivamente: censo promocional, repertorios telefónicos (según normativa
específica), listas de grupos profesionales, Diarios y Boletines oficiales y medios de comunicación.
La característica de “fuente accesible al público” se pierde a los dos años de su publicación, cuando
aparezca una nueva guía impresa o un año si la información se ha obtenido en formato digital.

Además, el Título I delimita el alcance de este ley, ya que la LOPD aplica a:

o Tratamientos efectuados en territorio español o cuando al responsable del tratamiento le sea de

aplicación la legislación española o cuando el responsable del tratamiento no esté establecido en la
Unión Europea y los medios para el tratamiento de datos estén situados en España y no sean sólo de
tránsito.

La LOPD NO aplica a:

o Ficheros de datos personales para actividades exclusivamente personales o domésticas.

o Ficheros sometidos a la normativa sobre protección de materias clasificadas.
o Ficheros para la investigación del terrorismo y formas graves de delincuencia organizada (se
comunicará su existencia, características y finalidad a la Agencia de Protección de Datos).

También quedan fuer a del ámbito de la ley aquellas materias regidas por disposiciones pr opias como
son:

o Régimen electoral.
o Datos con función estadística.
o Régimen de personal de las Fuerzas armadas.
o Registro Civil y Registro Central de penados y rebeldes.
o Imágenes y sonidos obtenidos por las Fuerzas y Cuerpos de seguridad.

2
Título II: Pr incipios de la Pr otección de Datos

Calidad de los datos

Se entiende por calidad de los datos, aquellos datos que son adecuados, pertinentes y no excesivos para el
fin para el que son recabados.

No se considerará incompatible el tratamiento con fines históricos, estadísticos o científicos.

Los datos deben ser exactos y estar actualizados. El almacenamiento de datos permitirá el ejercicio del
derecho de acceso. Los datos se deben cancelar cuando dejen de ser necesario para la finalidad para la
cual fueron recabados. Se determinará (por su normativa específica), qué datos se mantiene con fines
históricos, estadísticos o científicos.

Queda prohibida la recogida de datos de forma fraudulenta.

Der echo de infor mación en la r ecogida de datos.

Se informará al afectado:

o De la existencia de un fichero automatizado, de la finalidad del mismo y de los destinatarios de

la información.
o Del carácter obligatorio o facultativo de sus respuestas a las preguntas planteadas.
o De las consecuencias de la obtención o negativa a suministrar los datos.
o De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
o De la identidad y dirección del responsable del fichero.

Cuando el responsable del tratamiento no esté en el territorio de la Unión Europea, debe designarse un
representante en España.

Debe informarse en los formularios e impresos de recogida de datos.

Cuando los datos personales no se recaben directamente del afectado, éste debe ser informado por el
responsable del fichero dentro de los tres meses siguientes al registro de datos.

Consentimiento del afectado.

El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo
que la Ley disponga otra cosa.

No será preciso el consentimiento cuando:

- los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el
ámbito de sus competencias.
- cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento.
- cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
- cuando los datos figuren en fuentes accesibles al público y no se vulneren los derechos de los
afectados.

El consentimiento podrá ser revocado, pero sin efectos retroactivos.

En los casos en los que no sea necesario el consentimiento, el afectado puede oponerse al tratamiento
cuando existan motivos fundados y legítimos. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.

3
Datos especialmente pr otegidos.

Se consideran datos especialmente protegidos, los siguientes:

Ideología, afiliación y religión o creencias => se precisa consentimiento expreso y por escrito del
interesado para ser recabados. (Excepto los ficheros mantenidos por partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de
lucro, cuya finalidad sea política, filosófica, religiosa o sindical; (salvo la cesión que sí requiere
consentimiento del afectado).

Origen racial, salud y vida sexual => se podrán recabar mediante consentimiento del interesado o
mediante una ley que lo dictaminase por razones de interés general.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo
podrán ser incluidos en ficheros de las Administraciones Públicas competentes.

Segur idad de los datos.

Se entiende por seguridad de los datos: Evitar la alteración, pérdida y tratamiento o acceso no autorizado
(ref. al RD 994/1999 DEROGADO por Real Decreto 1720/2007)

Deber de secr eto.

Se exige mantener el deber de secreto por el responsable del fichero y demás personas que intervengan en
el tratamiento, incluso una vez finalizado éste.

Acceso a datos por cuenta de ter cer os.

Debe estar regulado por contrato.

Título III: Der echos de las Per sonas

Las personas, en el marco de la protección de datos de carácter personal, gozan de los siguientes
derechos:

o Impugnación de valoraciones: de los actos administrativos o decisiones privadas que impliquen una
valoración de su comportamiento basada en el tratamiento de datos de carácter personal.

o De información en la recogida de datos.

o De consulta al Registro de General de Protección de datos: (está en la Agencia de Protección de

datos): La consulta es pública y gratuita. Los datos personales no están en este registro, sólo está la
estructura de campos – Se podrá consultar la dirección de la oficina o dependencia del responsable
del fichero o tratamiento.

o De acceso: facultad del interesado/afectado de recabar información de sus datos personales (se
realiza en plazos no inferiores a 12 meses, salvo interés legítimo acreditado) Se ejerce mediante
solicitud al responsable del fichero. El derecho de acceso podrá ser denegado cuando:
o Tratándose de ficheros de titularidad privada, los datos sean solicitados por persona distinta al
interesado.
o Para los ficheros de titularidad pública, podrá denegarse el acceso en los casos de:
 Ficheros de las Fuerzas y Cuerpos de seguridad.
 Hacienda Pública (el afectado está siendo objeto de actuaciones inspectoras)

4
  Administraciones Públicas: en casos de interés general o intereses de terceros más dignos de
protección.

o De rectificación y cancelación: El interesado podrá instar al responsable del fichero o tratamiento a

modificar o bloquear los datos, cuando éstos resulten inexactos, sean inadecuados o excesivos o cuyo
tratamiento no se ajuste a la ley. El derecho de rectificación y cancelación se ejerce mediante
solicitud al responsable del fichero. El responsable del archivo o tratamiento debe hacer efectivo el
derecho en el plazo de 10 días. La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales hasta el plazo de
prescripción de responsabilidades. Cumplido el citado plazo debe procederse a la supresión.

o De oposición: en los casos en que no es necesario el consentimiento del interesado, éste podrá
oponerse por motivos fundados y legítimos.

La tutela de los derechos anteriores se puede realizar mediante:

o Reclamaciones en vía administrativa (ante la Agencia de protección de datos).
o Recursos ante los tribunales (contra las resoluciones de la Agencia).
o Derecho de Indemnización.

Título IV: Disposiciones Sector iales

Este título habla en sus dos capítulos de dos tipos de ficheros: los de titularidad pública y los de
titularidad privada.

o Capítulo I: Ficheros de Titularidad Pública:

o Estos ficheros deben publicarse en el BOE o diario oficial correspondiente.
o Se comunicará de su existencia y características a la Agencia de Protección de Datos.
o Comunicaciones de datos entre Administraciones Públicas: no podrán comunicarse para
competencias que versen sobre materias distintas, salvo que hubiera sido previsto en la creación
del fichero, o que provenga de una disposición de grado superior o sea con fines históricos,
estadísticos o científicos.

o Capítulo II: Ficheros de Titularidad Privada:

o Estos ficheros pueden ser responsabilidad de cualquier persona física o jurídica.
o Debe comunicarse su estructura y características a la APD para su posterior introducción en el
Registro General de Datos Personales.
o Transcurrido un mes desde la solicitud de inscripción sin que la Agencia de Protección de Datos
hubiera resuelto sobre la misma, se entenderá inscrito el fichero.

Título V: Movimiento Inter nacional de Datos

Podrán transferirse datos de carácter personal fuera de nuestro país en los siguientes casos:

o A países con el mismo nivel o superior de seguridad.

o Si dicho país está incluido en la lista de países autorizados que proporciona la APD.
o Cuando la Comunidad Europea reconozca que son países seguros – de puerto seguro (Directiva
45/96/CE del Parlamento y del Consejo)

5
Título VI: Agencia de Pr otección de Datos

Este título recoge los principios básicos de la APD:

o La APD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y
privada, que actúa con plena independencia de las AAPP en el desarrollo de sus funciones.

o La APD se creó al entrar en vigor la LORTAD.

o Sus funciones son:

o Velar por el cumplimiento de la legislación de protección de datos.
o Atender las peticiones solicitadas por las personas afectadas.
o Proporcionar información sobre los derechos de las personas.
o Ejercer la potestad sancionadora.
o Velar por la publicidad de la existencia de ficheros de carácter personal.
o Redactar una memoria anual y remitirla al Ministerio de Justicia.
o Funciones de cooperación internacional.
o Cuantas otras le sean atribuidas.

o El Director de Agencia de Protección de Datos será nombrado por 4 años y se elegirá entre quienes
componen el consejo consultivo.

o El Consejo consultivo estará formado por:

o Un diputado.
o Un senador.
o Un miembro de la Administración Central designado por el Gobierno.
o Un representante de la Administración local.
o Un representante de cada Comunidad Autónoma que tenga una APD.
o Un experto en la materia.
o Un representante de usuarios y consumidores.
o Un representante del sector de ficheros privados.
o Un representante de la Real Academia de Historia.

o El Registro general de protección de datos estará integrado en la APD.

Título VII: Infr acciones y Sanciones

Las infr acciones pueden ser leves, graves y muy graves:

 Infr acciones leves:

a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de

los datos personales objeto de tratamiento cuando legalmente proceda.
b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de
las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la
protección de datos.
c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de
protección de Datos, cuando no sea constitutivo de infracción grave.
d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles
la información que señala el artículo 5 de la presente Ley.
e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya
infracción grave.

La prescripción de la infracción Leve es de 1 año.

6
 Infr acciones Gr aves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter

personal para los mismos, sin autorización de disposición general, publicada en el "Boletín
Oficial del Estado" o diario oficial correspondiente.
b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter
personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la
empresa o entidad.
c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las
personas afectadas, en los casos en que éste sea exigible.
d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios
y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección
que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción
muy grave.
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la
negativa a facilitar la información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones
de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas
que la presente Ley ampara.
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a
ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales,
Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y
crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter
personal suficientes para obtener una evaluación de la personalidad del individuo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin
las debidas condiciones de seguridad que por vía reglamentaria se determinen.
i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus
disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e
informaciones deba recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección de
Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de
Datos.
l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley,
cuando los datos hayan sido recabados de persona distinta del afectado.

La prescripción de la infracción Grave es de 2 años.

 Infr acciones Muy Gr aves:

a) La recogida de datos en forma engañosa y fraudulenta.

b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén
permitidas.
c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7
cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el
apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido
expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.
d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea
requerido para ello por el Director de la Agencia de Protección de Datos o por las personas
titulares del derecho de acceso.
e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de
tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que
no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia
de Protección de Datos.
f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y
garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de
los derechos fundamentales

7
 g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen
referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines
policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,
rectificación, cancelación u oposición.
i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de
carácter personal en un fichero.

La prescripción de la infracción Muy Grave es de 3 años.

Las sanciones varían según se apliquen a infracciones leves, graves o muy graves:

 Sanciones de Infr acciones Leves: 100.000 a 10.000.000 ptas. (601,01 € a 60.101,21 €). Prescripción
al año.
Sanciones de Infr acciones Gr aves: 10.000.000 a 50.000.000 ptas. (60.101,21 € a 300.506,05 €).
Prescripción a los 2 años.
Sanciones de Infr acciones Muy Gr aves: 50.000.000 a 100.000.000 ptas. ( 300.506,05 € a
601.012,10 € ). Prescripción a los 3 años.

8
3. REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE, REGLAMENTO DE DESARROLLO
DE LA LEY ORGÁNICA 15/1999.

Con fecha 19 de enero de 2008, se publicó en el BOE el Real Decr eto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desar r ollo de la Ley Or gánica 15/1999. Este r eglamento
der oga a los r eglamentos R.D.1332/1994 (desar r ollo de la LORTAD) y R.D.994/1999 (Reglamento
de Medidas de Segur idad de los ficher os automatizados).

El R.D. 1720/2007, comprende tanto ficher os automatizados como no automatizados. Su entrada en

vigor se fija a los tr es meses de su publicación en el BOE. A continuación se incluye un resumen del
citado reglamento:

TÍTULO I. DISPOSICIONES GENERALES

Ámbito de aplicación:

El reglamento aplica a datos de carácter personal registrados en soporte físico, que los haga susceptibles
de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

En cuanto al ámbito territorial, el reglamento es de aplicación cuando el responsable del tratamiento está
establecido en territorio español ó le sea de aplicación la legislación española ó utilice medios – no de
tránsito - en territorio español (debe designarse un representante en España)

El reglamento NO aplica a:
o Personas jurídicas, ni a los datos de personas físicas que presten sus servicios en aquéllas,
consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como
la dirección postal o electrónica, teléfono y número de fax profesionales.
o Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de
comerciantes, industriales o navieros.
o Datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, podrán
dirigirse a los responsables de los ficheros o tratamientos y solicitar la cancelación de los datos.
o Se excluyen los siguientes ficheros:
 Los mantenidos por personas físicas para actividades personales o domésticas (vida privada o
familiar).
 Los establecidos para investigación del terrorismo y otras formas de delincuencia organizada (el
responsable debe comunicar previamente la existencia de los ficheros a la Agencia Española de
Protección de Datos – AEPD).

Cómputo de plazos
En el reglamento, los plazos por días serán hábiles. Los plazos por meses computarán de fecha a fecha.

Fuentes accesibles al público

Sólo se considerarán como tal:

o Censo promocional.
o Guías de servicios de comunicaciones electrónicas.
o Listas de grupos profesionales.
o Diarios y boletines oficiales.
o Medios de comunicación social.

Estas fuentes podrán ser consultadas por cualquier persona, sin más exigencia que el abono de una
contraprestación.

9
TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Calidad de los datos de car ácter per sonal

o Deberán ser recogidos y tratados de forma leal y lícita. Se prohíbe la recogida por medios
fraudulentos, desleales o ilícitos.
o No podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos.
o Deben ser adecuados, pertinentes y no excesivos.
o Serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del
afectado. Los datos inexactos serán cancelados y sustituidos de oficio por los correspondientes datos
rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la
inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo
específico para ello.
o Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios para la
finalidad que tuvieran. No obstante, podrán conservarse durante el tiempo en que pueda exigirse
algún tipo de responsabilidad. Además, el responsable del tratamiento puede solicitar a la AEPD o
las autoridades de control de las CCAA el mantenimiento íntegro de determinados datos con fines
históricos, estadísticos o científicos

Supuestos que legitiman el tr atamiento o cesión de los datos.

Los datos de carácter personal únicamente podrán ser objeto de tr atamiento o cesión si el interesado
hubiera prestado previamente su consentimiento para ello. Sin embargo, NO ser á necesar io el
consentimiento del inter esado cuando:

 Lo autorice una norma con rango de ley y, en particular, cuando concurra uno de los supuestos
siguientes:
o La satisfacción de un interés legítimo del responsable del tratamiento o del cesionario
amparado por dichas normas, siempre que no prevalezca el interés o los derechos y
libertades fundamentales de los interesados.
o Sea necesario para que el responsable del tratamiento cumpla un deber que le imponga una
de dichas normas.

 Los datos figuren en fuentes accesibles al público y el responsable del fichero, o el cesionario, tenga
un interés legítimo, siempre que no se vulneren los derechos y libertades fundamentales del
interesado. No obstante, las Administraciones públicas sólo podrán comunicar los datos recogidos de
fuentes accesibles al público a responsables de ficheros de titularidad privada estén autorizadas por
ley para ello.

Podrán realizarse el tr atamiento de datos sin consentimiento del interesado cuando:

 Los datos se recojan para el ejercicio de las funciones de las AAPP en el ámbito de sus competencias.
 El responsable del tratamiento las recabe con motivo de la celebración de un contrato.
 Se quiera proteger un interés vital del interesado.

Podrán realizarse la cesión de datos sin consentimiento del interesado cuando:

 Los fines sean históricos, estadísticos o científicos.
 Los datos sean recogidos o elaborados por una Admón. Pública con destino a otra.
 Ejercicio de competencias idénticas o sobre mismas materias.
 Entre organismos del Sistema Nacional de Salud cuando se realice la atención sanitaria de personas.

Consentimiento par a el tr atamiento de datos y deber de infor mación.

 El consentimiento deberá ir referida a una finalidad que debe ser informada al afectado.
 En el caso de menores de catorce años, se precisa el consentimiento de sus padres o tutores. No
podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del
grupo familiar, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse
los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la
autorización.

10
 Recabar el consentimiento: El responsable podrá dirigirse al afectado, y deberá concederle un
plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no
pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter.
 Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados
directamente con la misma: “El responsable del tratamiento [...] deberá permitir al afectado que
manifieste expresamente su negativa al tratamiento”.
 Revocación del consentimiento: El afectado puede ejercer este derecho de manera gratuita. El
responsable, en el plazo máximo de diez días, cesará en el tratamiento y en su caso, lo comunicará
a los cesionarios.
 Deber de información al interesado: Acreditable mediante medios informáticos o telemáticos.
 Si cambiara el responsable del fichero, como consecuencia de una fusión mercantil, escisión,
cesión global de activos y pasivos, etc. no se considera cesión de datos.

Encar gado del tr atamiento

 El acceso del encargado del tratamiento a los datos no se considera comunicación de datos.
 Debe ofrecer las garantías previstas por la ley.
 No puede subcontratar el tratamiento, salvo autorización o se haya previsto en el contrato de
tratamiento.
 Finalizada la prestación contractual, debe destruir o devolver al responsable los datos.

Der echos de acceso, r ectificación, cancelación y oposición

 Son derechos personalísimos, serán ejercidos por el afectado, su representante legal o voluntario.
En el caso de las AAPP, se ejercerán de acuerdo a la ley.
 Son derechos independientes entre sí. Se ejercerán de manera sencilla y gratuita.
 Podrán modularse por razones de seguridad pública, de acuerdo a la ley.

Derecho de acceso:
 El responsable del fichero resolverá en el plazo máximo de un mes.
 Se podrá denegar de acuerdo a la ley ó cuando el acceso cuando se haya ejercido en los doce
meses anteriores (salvo que se acredite interés legítimo).

Derechos de rectificación y cancelación:

 El responsable del fichero resolverá en el plazo máximo de diez días.

Derecho de oposición (negativa del afectado al tratamiento de sus datos):

 El responsable del fichero resolverá en el plazo máximo de diez días.
 Supuestos para ejercer el derecho:
o Cuando no es necesario el consentimiento del afectado y una ley no diga lo contrario.
o Ficheros de actividades publicitarias y prospección comercial.
o Cuando el tratamiento lleve a la adopción con efectos jurídicos sobre el afectado,
evaluándose aspectos de su personalidad (rendimiento laboral, crédito, fiabilidad o
conducta). Excepciones:
 Lo autorice una ley.
 El tratamiento sea con motivo de un contrato a petición del interesado. Se informará
previamente a éste, que podrá realizar alegaciones.

11
TITULO IV. FICHEROS DE TITULARIDAD PRIVADA

Ficher os de infor mación sobr e solvencia patr imonial y cr édito

Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados

por el acreedor o por quien actúe por su cuenta o interés:

Sólo se permite la inclusión en estos ficheros si:

 Existe previamente una deuda cierta, vencida, exigible y no se haya reclamado.

 No han pasado seis años desde la fecha en que debió abonarse la deuda.
 Se ha requerido previamente el pago.

El acreedor informará de la inclusión al deudor, en el plazo de treinta días desde dicho registro.

Estos ficheros pueden ser consultados por terceros que precisen enjuiciar la solvencia económica del
afectado, como consecuencia de una relación contractual con pretensión de aplazamiento de pagos o
facturación periódica.

Tr atamientos par a actividades de publicidad y pr ospección comer cial

Sólo podrán utilizarse nombres y direcciones, cuando hayan sido facilitados por el afectado o cuando
figuren en las fuentes accesibles al público y el interesado no haya manifestado su negativa al tratamiento.
Será posible la creación de ficheros comunes de exclusión del envío de comunicaciones comerciales.

TÍTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO DE LOS DATOS

Cr eación, modificación o supr esión de ficher os de titular idad pública

Sólo puede accederse mediante disposición general o acuerdo previo publicado en el BOE o diario oficial
correspondiente.

Notificación e inscr ipción de los ficher os de titular idad pública o pr ivada

Titularidad pública: En el plazo de treinta días desde la publicación en el diario correspondiente, todo
fichero será notificado a la AEPD e inscrito en el Registro General de Protección de Datos (RGPD).

Titularidad privada: Con carácter previo a su creación, será notificado a la AEPD u órgano de control de
la Com.Autónoma correspondiente, que dará traslado de la inscripción al Registro General de Protección
de Datos.en el plazo de treinta días desde la publicación en el diario correspondiente.

La notificación es independiente del sistema de tratamiento y del soporte. En el caso de varios

responsables del fichero, cada responsable deberá llevar a cabo la notificación.

La inscripción del fichero debe estar actualizada en todo momento.

Existen modelos telemáticos/papel de notificación, etc publicados por la AEPD (mediante Resolución del
Director). Son gratuitos.

TÍTULO VI. TRANSFERENCIAS INTERNACIONALES DE DATOS

 Deben ser autorizadas por el Director de la AEPD.

 No es necesaria la autorización cuando el Estado destino ofrezca un nivel adecuado de protección.
 Deben inscribirse en el RGPD.

12
TÍTULO VII. CÓDIGOS TIPO

 Contendrán reglas y estándares para armonizar tratamientos.

 Tiene carácter voluntario.
 Pueden ser sectoriales.
 Los promovidos por una empresa deben referirse a la totalidad de tratamientos que lleven a cabo.
 Relación de adheridos: Actualizada, a disposición de la AEPD.

TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE

CARÁCTER PERSONAL

Las medidas de seguridad exigibles a ficheros y tratamientos se clasifican en básico, medio y alto. El
reglamento establece las medidas mínimas exigibles sin perjuicio de disposiciones legales.

A todos los ficher os con datos per sonales les será de aplicación las medidas de nivel básico.

Además se aplicarán las medidas de nivel medio en el caso de ficheros con datos personales:
 Referentes a la comisión de infracciones administrativas o penales.
 Relativos a la Hacienda Pública, servicios financieros y solvencia patrimonial y crédito. Aquellos
de los que son responsables las Entidades de la Seguridad Social. Los ficheros de mutuas de
accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Que permitan evaluar
la personalidad del individuo. Ficheros de operadores con datos de tráfico y datos de localización.
(Además se les aplicará la medida de registro de accesos del nivel alto).

Se aplicarán además las medidas de nivel alto en el caso de ficheros con datos personales:
 Referentes a ideología, afiliación y religión o creencias, origen racial, salud y vida sexual.
Excepción: Se podrá aplicar a estos datos únicamente las medidas de nivel básico si: Los
datos se utilizan para transferencias dinerarias a las entidades a las que los afectados
están asociados. Son datos accesorios no automatizados y no se utilizan como finalidad
del tratamiento.En el caso de datos de declaración de discapacidad (salud) con motivo
del cumplimiento de deberes públicos.Con fines policiales recabados sin
consentimiento de las personas afectadas.Relativos a actos de violencia de género.
 Si el responsable del fichero facilita el acceso a un tercero, encargado del tratamiento, esto debe
reflejarse en el documento de seguridad. Se limitará el acceso a los datos personales. En caso de
personal ajeno encargado del tratamiento, se recogerá por contrato las clausulas pertinentes (deber
de secreto, confidencialidad, etc).
 Las redes de comunicaciones – públicas o no – deben tener un nivel de seguridad equivalente al
modo local.
 El trabajo fuera de los locales debe ser autorizado (para un usuario o perfil de usuarios) para un
periodo de validez y reflejarse en el documento de seguridad.
 Los ficheros temporales deben cumplir el nivel de seguridad pertinente y serán destruidos una vez
dejen de ser necesarios.

13
Documento de segur idad

 De carácter interno, recoge medidas de índole técnica y organizativa de obligado cumplimiento

para la organización.
 Puede ser único para todos los ficheros o individualizado para cada fichero o tratamiento.
 Debe contener como mínimo:
- Ámbito de aplicación.
- Medidas, normas y procedimientos de actuación.
- Funciones y obligaciones del personal.
- Estructura de los ficheros.
- Procedimientos de gestión y respuesta ante las incidencias.
- Procedimientos de realización de copias de respaldo y recuperación.
- Medidas de seguridad para el transporte de soportes y documentos.
- Además, para los datos de nivel medio y alto, contendrá Identificación del responsable(s) de
seguridad.
 Controles periódicos a realizar para verificar el cumplimiento del documento de
seguridad.
- Ficheros cuyo tratamiento los realizan terceros.
- Se podrá delegar la realización del documento en terceros, cuando los datos se incorporen de
modo exclusivo en los sistemas del encargado. (Estose indicará en el contrato con el tercero).
 El documento de seguridad debe estar actualizado.

FICHEROS AUTOMATIZADOS

Medidas de nivel básico

 Elaboración de un Documento de Seguridad.

 Funciones y obligaciones del personal: Usuarios o perfiles de usuarios. Conocimiento por parte de
los implicados.
 Registro de incidencias.
 Control de acceso: Acceso sólo a los recursos precisos (personal propio y ajeno). Lista actualizada
de accesos autorizados.
 Gestión de soportes y documentos: Inventario, protección en traslados, etiquetado.
 Identificación y autorización. En el caso de uso de contraseñas, la periodicidad de cambio no
puede ser superior a un año.
 Copias de respaldo y recuperación: Respaldo semanal como mínimo, salvo que no se produzcan
cambios. Verificar cada seis meses los procedimientos.
 No realizar pruebas con datos reales, salvo que se asegure el nivel de seguridad y antes se haga
copia de seguridad.

Medidas de nivel medio

 Nombrar Responsable(s) de Seguridad.

 Realización de auditoría interna o externa cada dos años. El informe de auditoría quedará a
disposición de la AEPD, o autoridades de control de las CCAA, en su caso.
 Gestión de soportes y documentos: Elaboración de los Registros de entrada y de Salida.
 Identificación y autenticación: Se limitará el número de reintentos de acceso.
 Control de acceso físico: Únicamente tendrán acceso a las instalaciones el personal autorizado en
el documento de seguridad.
 Registro de incidencias: Se indicarán los procedimientos de recuperación de datos, que necesitarán
para su ejecución de la autorización del responsable del fichero.

Medidas de nivel alto

 Cifrado de los datos en los soportes.

 Copias de respaldo y recuperación en lugar diferente a donde están los ficheros.
 Registro de accesos. Se conservarán los datos registrados dos años como mínimo.
 Transmisión de datos cifrados en redes de telecomunicaciones.

14
FICHEROS NO AUTOMATIZADOS

Medidas de nivel básico

 El archivo de soportes o documentos se realizará de acuerdo a su respectiva legislación. Si no

existe norma aplicable, será el responsable del fichero quién establezca los criterios pertinentes.
 Se garantizará la conservación, localización y consulta, así como se posibilitará el ejercicio de los
derechos de oposición, acceso, rectificación y cancelación.
 Se establecerán mecanismos que obstaculicen la apertura de los dispositivos de almacenamiento.
 Custodia de soportes para información temporalmente no archivada: será responsable la persona al
cargo.

Medidas nivel medio

 Se designará Responsable(s) de seguridad.

 Auditoría interna o externa cada dos años.

Medidas nivel alto

 Almacenamiento: Acceso protegido por llave o similar. Recinto cerrado.

 Copias: Se realizarán bajo control del personal autorizado en el documento de seguridad.
 Destrucción de las copias desechadas.
 Mecanismo para identificar accesos de personal autorizado.
 Traslado físico de documentación: Medidas para impedir acceso o manipulación.

15