Académique Documents
Professionnel Documents
Culture Documents
En 1981, España firma el Convenio del Consejo de Europa, donde se recogen los principios de la
regulación de protección de datos.
La normativa española en el marco de la protección de datos ensaya un primer borrador de ley en el año
1985, pero es en el año 1992 cuando se publica la Ley 5/1992 de 29 de Octubre conocida como
LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal).
Para desarrollar esta ley entran en vigor los Reales Decretos: R.D.428/1993 (Estatuto de la Agencia de
Protección de Datos), R.D.1332/1994 (desarrollo de la LORTAD) y R.D.994/1999 (Reglamento de
Medidas de Seguridad de los ficheros automatizados). Con la entrada en vigor de la LORTAD se creó la
Agencia de Protección de Datos (APD).
Posteriormente a la LORTAD, en 1995, entra en vigor la Dir ectiva 95/46 CE del Par lamento Eur opeo
y el Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. Con el fin de adaptar la normativa
española a la legislación europea, se publica en 1999 la Ley Or gánica 15/1999, de 13 de Diciembre, de
Protección de Datos de carácter personal, conocida como LOPD. La LOPD derogaba la LORTAD, pero
seguían estando en vigor los Reales Decretos que la desarrollaban, en cuanto no se oponían a la LOPD,
éstos eran: R.D.428/1993 (Estatuto de la Agencia de Protección de Datos), R.D.1332/1994 (desarrollo de
la LORTAD) y R.D.994/1999 (Reglamento de Medidas de Seguridad de los ficheros automatizados).
Con fecha 19 de ener o de 2008, se publicó en el BOE el Real Decr eto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desar r ollo de la Ley Or gánica 15/1999. Este r eglamento
der oga los siguientes: R.D.1332/1994 (desar r ollo de la LORTAD) y R.D.994/1999 (Reglamento de
Medidas de Segur idad de los ficher os automatizados)
(Cambio denominación por artículo 79 Ley 62/2003, de 30 de noviembre: Las referencias a la Agencia
de Protección de Datos deberán entenderse realizadas a la Agencia Española de Protección de Datos).
1
Título I: Disposiciones Gener ales
La LOPD NO aplica a:
También quedan fuer a del ámbito de la ley aquellas materias regidas por disposiciones pr opias como
son:
o Régimen electoral.
o Datos con función estadística.
o Régimen de personal de las Fuerzas armadas.
o Registro Civil y Registro Central de penados y rebeldes.
o Imágenes y sonidos obtenidos por las Fuerzas y Cuerpos de seguridad.
2
Título II: Pr incipios de la Pr otección de Datos
Se entiende por calidad de los datos, aquellos datos que son adecuados, pertinentes y no excesivos para el
fin para el que son recabados.
Los datos deben ser exactos y estar actualizados. El almacenamiento de datos permitirá el ejercicio del
derecho de acceso. Los datos se deben cancelar cuando dejen de ser necesario para la finalidad para la
cual fueron recabados. Se determinará (por su normativa específica), qué datos se mantiene con fines
históricos, estadísticos o científicos.
Se informará al afectado:
Cuando el responsable del tratamiento no esté en el territorio de la Unión Europea, debe designarse un
representante en España.
Cuando los datos personales no se recaben directamente del afectado, éste debe ser informado por el
responsable del fichero dentro de los tres meses siguientes al registro de datos.
El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo
que la Ley disponga otra cosa.
- los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el
ámbito de sus competencias.
- cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento.
- cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
- cuando los datos figuren en fuentes accesibles al público y no se vulneren los derechos de los
afectados.
En los casos en los que no sea necesario el consentimiento, el afectado puede oponerse al tratamiento
cuando existan motivos fundados y legítimos. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.
3
Datos especialmente pr otegidos.
Ideología, afiliación y religión o creencias => se precisa consentimiento expreso y por escrito del
interesado para ser recabados. (Excepto los ficheros mantenidos por partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de
lucro, cuya finalidad sea política, filosófica, religiosa o sindical; (salvo la cesión que sí requiere
consentimiento del afectado).
Origen racial, salud y vida sexual => se podrán recabar mediante consentimiento del interesado o
mediante una ley que lo dictaminase por razones de interés general.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo
podrán ser incluidos en ficheros de las Administraciones Públicas competentes.
Se entiende por seguridad de los datos: Evitar la alteración, pérdida y tratamiento o acceso no autorizado
(ref. al RD 994/1999 DEROGADO por Real Decreto 1720/2007)
Se exige mantener el deber de secreto por el responsable del fichero y demás personas que intervengan en
el tratamiento, incluso una vez finalizado éste.
Las personas, en el marco de la protección de datos de carácter personal, gozan de los siguientes
derechos:
o Impugnación de valoraciones: de los actos administrativos o decisiones privadas que impliquen una
valoración de su comportamiento basada en el tratamiento de datos de carácter personal.
o De acceso: facultad del interesado/afectado de recabar información de sus datos personales (se
realiza en plazos no inferiores a 12 meses, salvo interés legítimo acreditado) Se ejerce mediante
solicitud al responsable del fichero. El derecho de acceso podrá ser denegado cuando:
o Tratándose de ficheros de titularidad privada, los datos sean solicitados por persona distinta al
interesado.
o Para los ficheros de titularidad pública, podrá denegarse el acceso en los casos de:
Ficheros de las Fuerzas y Cuerpos de seguridad.
Hacienda Pública (el afectado está siendo objeto de actuaciones inspectoras)
4
Administraciones Públicas: en casos de interés general o intereses de terceros más dignos de
protección.
o De oposición: en los casos en que no es necesario el consentimiento del interesado, éste podrá
oponerse por motivos fundados y legítimos.
Este título habla en sus dos capítulos de dos tipos de ficheros: los de titularidad pública y los de
titularidad privada.
Podrán transferirse datos de carácter personal fuera de nuestro país en los siguientes casos:
5
Título VI: Agencia de Pr otección de Datos
o La APD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y
privada, que actúa con plena independencia de las AAPP en el desarrollo de sus funciones.
o El Director de Agencia de Protección de Datos será nombrado por 4 años y se elegirá entre quienes
componen el consejo consultivo.
6
Infr acciones Gr aves:
7
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen
referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines
policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,
rectificación, cancelación u oposición.
i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de
carácter personal en un fichero.
Las sanciones varían según se apliquen a infracciones leves, graves o muy graves:
Sanciones de Infr acciones Leves: 100.000 a 10.000.000 ptas. (601,01 € a 60.101,21 €). Prescripción
al año.
Sanciones de Infr acciones Gr aves: 10.000.000 a 50.000.000 ptas. (60.101,21 € a 300.506,05 €).
Prescripción a los 2 años.
Sanciones de Infr acciones Muy Gr aves: 50.000.000 a 100.000.000 ptas. ( 300.506,05 € a
601.012,10 € ). Prescripción a los 3 años.
8
3. REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE, REGLAMENTO DE DESARROLLO
DE LA LEY ORGÁNICA 15/1999.
Con fecha 19 de enero de 2008, se publicó en el BOE el Real Decr eto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desar r ollo de la Ley Or gánica 15/1999. Este r eglamento
der oga a los r eglamentos R.D.1332/1994 (desar r ollo de la LORTAD) y R.D.994/1999 (Reglamento
de Medidas de Segur idad de los ficher os automatizados).
Ámbito de aplicación:
El reglamento aplica a datos de carácter personal registrados en soporte físico, que los haga susceptibles
de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
En cuanto al ámbito territorial, el reglamento es de aplicación cuando el responsable del tratamiento está
establecido en territorio español ó le sea de aplicación la legislación española ó utilice medios – no de
tránsito - en territorio español (debe designarse un representante en España)
El reglamento NO aplica a:
o Personas jurídicas, ni a los datos de personas físicas que presten sus servicios en aquéllas,
consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como
la dirección postal o electrónica, teléfono y número de fax profesionales.
o Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de
comerciantes, industriales o navieros.
o Datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, podrán
dirigirse a los responsables de los ficheros o tratamientos y solicitar la cancelación de los datos.
o Se excluyen los siguientes ficheros:
Los mantenidos por personas físicas para actividades personales o domésticas (vida privada o
familiar).
Los establecidos para investigación del terrorismo y otras formas de delincuencia organizada (el
responsable debe comunicar previamente la existencia de los ficheros a la Agencia Española de
Protección de Datos – AEPD).
Cómputo de plazos
En el reglamento, los plazos por días serán hábiles. Los plazos por meses computarán de fecha a fecha.
o Censo promocional.
o Guías de servicios de comunicaciones electrónicas.
o Listas de grupos profesionales.
o Diarios y boletines oficiales.
o Medios de comunicación social.
Estas fuentes podrán ser consultadas por cualquier persona, sin más exigencia que el abono de una
contraprestación.
9
TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS
o Deberán ser recogidos y tratados de forma leal y lícita. Se prohíbe la recogida por medios
fraudulentos, desleales o ilícitos.
o No podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos.
o Deben ser adecuados, pertinentes y no excesivos.
o Serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del
afectado. Los datos inexactos serán cancelados y sustituidos de oficio por los correspondientes datos
rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la
inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo
específico para ello.
o Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios para la
finalidad que tuvieran. No obstante, podrán conservarse durante el tiempo en que pueda exigirse
algún tipo de responsabilidad. Además, el responsable del tratamiento puede solicitar a la AEPD o
las autoridades de control de las CCAA el mantenimiento íntegro de determinados datos con fines
históricos, estadísticos o científicos
Los datos de carácter personal únicamente podrán ser objeto de tr atamiento o cesión si el interesado
hubiera prestado previamente su consentimiento para ello. Sin embargo, NO ser á necesar io el
consentimiento del inter esado cuando:
Lo autorice una norma con rango de ley y, en particular, cuando concurra uno de los supuestos
siguientes:
o La satisfacción de un interés legítimo del responsable del tratamiento o del cesionario
amparado por dichas normas, siempre que no prevalezca el interés o los derechos y
libertades fundamentales de los interesados.
o Sea necesario para que el responsable del tratamiento cumpla un deber que le imponga una
de dichas normas.
Los datos figuren en fuentes accesibles al público y el responsable del fichero, o el cesionario, tenga
un interés legítimo, siempre que no se vulneren los derechos y libertades fundamentales del
interesado. No obstante, las Administraciones públicas sólo podrán comunicar los datos recogidos de
fuentes accesibles al público a responsables de ficheros de titularidad privada estén autorizadas por
ley para ello.
El consentimiento deberá ir referida a una finalidad que debe ser informada al afectado.
En el caso de menores de catorce años, se precisa el consentimiento de sus padres o tutores. No
podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del
grupo familiar, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse
los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la
autorización.
10
Recabar el consentimiento: El responsable podrá dirigirse al afectado, y deberá concederle un
plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no
pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter.
Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados
directamente con la misma: “El responsable del tratamiento [...] deberá permitir al afectado que
manifieste expresamente su negativa al tratamiento”.
Revocación del consentimiento: El afectado puede ejercer este derecho de manera gratuita. El
responsable, en el plazo máximo de diez días, cesará en el tratamiento y en su caso, lo comunicará
a los cesionarios.
Deber de información al interesado: Acreditable mediante medios informáticos o telemáticos.
Si cambiara el responsable del fichero, como consecuencia de una fusión mercantil, escisión,
cesión global de activos y pasivos, etc. no se considera cesión de datos.
El acceso del encargado del tratamiento a los datos no se considera comunicación de datos.
Debe ofrecer las garantías previstas por la ley.
No puede subcontratar el tratamiento, salvo autorización o se haya previsto en el contrato de
tratamiento.
Finalizada la prestación contractual, debe destruir o devolver al responsable los datos.
Son derechos personalísimos, serán ejercidos por el afectado, su representante legal o voluntario.
En el caso de las AAPP, se ejercerán de acuerdo a la ley.
Son derechos independientes entre sí. Se ejercerán de manera sencilla y gratuita.
Podrán modularse por razones de seguridad pública, de acuerdo a la ley.
Derecho de acceso:
El responsable del fichero resolverá en el plazo máximo de un mes.
Se podrá denegar de acuerdo a la ley ó cuando el acceso cuando se haya ejercido en los doce
meses anteriores (salvo que se acredite interés legítimo).
11
TITULO IV. FICHEROS DE TITULARIDAD PRIVADA
El acreedor informará de la inclusión al deudor, en el plazo de treinta días desde dicho registro.
Estos ficheros pueden ser consultados por terceros que precisen enjuiciar la solvencia económica del
afectado, como consecuencia de una relación contractual con pretensión de aplazamiento de pagos o
facturación periódica.
Sólo podrán utilizarse nombres y direcciones, cuando hayan sido facilitados por el afectado o cuando
figuren en las fuentes accesibles al público y el interesado no haya manifestado su negativa al tratamiento.
Será posible la creación de ficheros comunes de exclusión del envío de comunicaciones comerciales.
Sólo puede accederse mediante disposición general o acuerdo previo publicado en el BOE o diario oficial
correspondiente.
Titularidad pública: En el plazo de treinta días desde la publicación en el diario correspondiente, todo
fichero será notificado a la AEPD e inscrito en el Registro General de Protección de Datos (RGPD).
Titularidad privada: Con carácter previo a su creación, será notificado a la AEPD u órgano de control de
la Com.Autónoma correspondiente, que dará traslado de la inscripción al Registro General de Protección
de Datos.en el plazo de treinta días desde la publicación en el diario correspondiente.
Existen modelos telemáticos/papel de notificación, etc publicados por la AEPD (mediante Resolución del
Director). Son gratuitos.
12
TÍTULO VII. CÓDIGOS TIPO
Las medidas de seguridad exigibles a ficheros y tratamientos se clasifican en básico, medio y alto. El
reglamento establece las medidas mínimas exigibles sin perjuicio de disposiciones legales.
A todos los ficher os con datos per sonales les será de aplicación las medidas de nivel básico.
Además se aplicarán las medidas de nivel medio en el caso de ficheros con datos personales:
Referentes a la comisión de infracciones administrativas o penales.
Relativos a la Hacienda Pública, servicios financieros y solvencia patrimonial y crédito. Aquellos
de los que son responsables las Entidades de la Seguridad Social. Los ficheros de mutuas de
accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Que permitan evaluar
la personalidad del individuo. Ficheros de operadores con datos de tráfico y datos de localización.
(Además se les aplicará la medida de registro de accesos del nivel alto).
Se aplicarán además las medidas de nivel alto en el caso de ficheros con datos personales:
Referentes a ideología, afiliación y religión o creencias, origen racial, salud y vida sexual.
Excepción: Se podrá aplicar a estos datos únicamente las medidas de nivel básico si: Los
datos se utilizan para transferencias dinerarias a las entidades a las que los afectados
están asociados. Son datos accesorios no automatizados y no se utilizan como finalidad
del tratamiento.En el caso de datos de declaración de discapacidad (salud) con motivo
del cumplimiento de deberes públicos.Con fines policiales recabados sin
consentimiento de las personas afectadas.Relativos a actos de violencia de género.
Si el responsable del fichero facilita el acceso a un tercero, encargado del tratamiento, esto debe
reflejarse en el documento de seguridad. Se limitará el acceso a los datos personales. En caso de
personal ajeno encargado del tratamiento, se recogerá por contrato las clausulas pertinentes (deber
de secreto, confidencialidad, etc).
Las redes de comunicaciones – públicas o no – deben tener un nivel de seguridad equivalente al
modo local.
El trabajo fuera de los locales debe ser autorizado (para un usuario o perfil de usuarios) para un
periodo de validez y reflejarse en el documento de seguridad.
Los ficheros temporales deben cumplir el nivel de seguridad pertinente y serán destruidos una vez
dejen de ser necesarios.
13
Documento de segur idad
FICHEROS AUTOMATIZADOS
14
FICHEROS NO AUTOMATIZADOS
15