.Ley de Proteccion de Datos

Ley de Proteccin
de Datos
Todos
los
nombres
programas,
propios
sistemas
de
operativos,
equipos hardware, etc. que aparecen en

este manual son marcas registradas de
sus
respectivas
compaas
organizaciones.
Reservados
todos
conformidad
con
Cdigo
Penal
castigados
privacin
los
lo
derechos.
dispuesto
vigente,
con
penas
de
en
podrn
de
libertad
multa
De
el
ser
y
quienes
reprodujeren o plagiaren, en todo o en

parte,
una
obra
literaria,
artstica
cientfica fijada en cualquier tipo de

soporte, sin la preceptiva autorizacin
del editor.
CDIGO: F12_00075
Edita: Interconsulting Bureau S.L.
Imprime:
Depsito Legal:
PRLOGO
La profunda experiencia de profesionales dedicados a la enseanza ha
hecho posible la elaboracin de este manual. Se caracterizan por su
hondo conocimiento sobre las necesidades del alumnado, por el uso de
una innovadora metodologa de aprendizaje as como por aplicar
diferentes tcnicas de motivacin garantizando de este modo el xito de
la formacin que imparten.
El propsito de este manual es el de ser una gua til para el aprendizaje,
siendo eminentemente prctica y didctica.
La estructura del manual en mdulos, temas y epgrafes facilita la
comprensin
de
los
contenidos,
que
pueden
estar
apoyados
por
ilustraciones, esquemas, resmenes, bibliografa, glosario,

Adems,
tambin
puede
incluir
diferentes
tests,
cuestionarios
de
evaluacin, actividades o casos prcticos con el objeto de que el alumno

asimile los conceptos terico-prcticos del curso.
Para lograr la calidad educativa se ha precisado del asesoramiento de
pedagogos, profesionales de la enseanza y expertos conocedores en
cada una de las disciplinas, con el objeto de que el resultado final sea
ptimo y el ms apropiado a las necesidades educativas.
Desde la humildad del formador, queremos aportar a este apasionante
mundo
en
el
que
vivimos,
caracterizado
por
profundos
cambios
tecnolgicos, de mentalidad y de actitud ante los acontecimientos,

herramientas que faciliten la adaptacin a un futuro condicionado por el
Por ltimo, agradecer la colaboracin de todos los compaeros en este

proyecto, sin la cual ste no habra sido una realidad.
prlogo
cambio continuo.
MDULO 1: Ley de Proteccin de Datos

TEMA 1. Introduccin a la Proteccin de Datos
Introduccin
Definiciones y Conceptos Bsicos
Objeto y mbito de Aplicacin de la LOPD
La Agencia Espaola de Proteccin de Datos
Lo que hemos aprendido
Test
TEMA 2. Deber de Notificacin de Ficheros

Introduccin
Creacin y Notificacin de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Cdigos Tipo
Los Ficheros de Titularidad Pblica
Test
TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos

El Principio de Calidad de los Datos
El Derecho a la Informacin durante la Recogida de Datos
El Consentimiento del Afectado
Datos Especialmente Protegidos
Datos Relativos a la Salud
Seguridad de los Datos
Deber de Secreto
Movimiento de Datos
Test
TEMA 4. Ejercicio de Derechos

Derecho de Informacin
Derecho a que le Sea Recabado su Consentimiento.
Derechos ARCO
Derecho a Indemnizacin
Derecho de Impugnacin de Valoraciones
Derecho de Exclusin de Guas Telefnicas
Derecho a No Recibir Publicidad No Deseada
Derechos de Abonados y Usuarios de Comunicaciones Electrnicas
Derechos
de
los
Destinatarios
Electrnicas
Tutela de los Derechos
Test
de
Servicios
de
Comunicaciones
ndice
Introduccin
TEMA 5. Medidas de Seguridad

Introduccin
El Documento de Seguridad
Niveles de Seguridad de los Datos
Contenido Mnimo del Documento de Seguridad
Medidas de Seguridad Aplicables a los Ficheros
Modelo de Documento de Seguridad de la AEPD
Test
TEMA 6. Rgimen Sancionador

Infracciones y Sanciones
Prescripcin
Procedimiento Sancionador
Test
Anexos
Glosario
Bibliografa
Cuestionarios de Evaluacin
Ley
de Proteccin
de Datos
Ley de Proteccin de Datos

TEMA 1. Introduccin a la Proteccin de Datos
TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos

TEMA 4. Ejercicio de Derechos
TEMA 5. Medidas de Seguridad
TEMA 6. Rgimen Sancionador
mdulo 1
TEMA 2. Deber de Notificacin de Ficheros
Ley de Proteccin
de Datos
la
Proteccin
Introduccin
de
Objetivos:
Familiarizarse con los diferentes conceptos utilizados en la

normativa de proteccin de datos.
Conocer el mbito de aplicacin de la Ley Orgnica de

Proteccin de Datos.
Conocer la naturaleza, rgimen jurdico, funciones y estructura

de la Agencia Espaola de Proteccin de Datos.
tema 1
Introduccin
Datos
Introduccin
El derecho a la intimidad de las personas fue reconocido por vez primera en la
Declaracin Universal de Derechos Humanos de 1944. Desde entonces, numerosas han
sido las leyes que han tratado la proteccin de datos, siendo pionera Alemania, que en
1970 ya promulg la primera ley europea. Pocos aos despus, en 1974, Estados
Unidos dict la conocida como Privacy Act.
Por su parte, en Espaa, se reconoce este derecho en la Constitucin, concretamente en
el
Captulo
Segundo
Derechos
libertades,
Seccin
De
los
derechos
fundamentales y de las libertades pblicas, artculo 18.1, cuya expresin literal es la

siguiente:
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia

imagen.
En 1992, se redacta la Ley Orgnica 5/92, de 29 de octubre, de regulacin del
tratamiento automatizado de datos de carcter personal (LORTAD), desarrollndose el
mandato constitucional recogido en el artculo 18.4 de nuestra Constitucin, que
dispona que La Ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Como desarrollo de la LORTAD se promulg el Real Decreto 1332/1994, de 20 de junio y
el Real Decreto 994/1999 por el que se aprobaba el Reglamento de Medidas de
Seguridad de los ficheros automatizados que contienen datos de carcter personal.
En 1995, la Unin Europea aprob la Directiva 95/46/CE, de 24 de octubre, relativa a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales
y a la libre circulacin de los datos, establecindose de esa forma una serie de requisitos
mnimos comunes para todos los miembros de la Unin Europea.
En 1999 se dicta la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos
de carcter personal (LOPD), adaptando el sistema jurdico espaol a lo establecido en la
citada Directiva. Esta Ley mejora las carencias de la LORTAD, que nicamente se
aplicaba a los ficheros automatizados.
Por ltimo, en 2007 se aprueba el Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgnica de proteccin de datos
de carcter personal. Su finalidad, al igual que la de la LOPD es hacer frente a los riesgos
que para los derechos de la personalidad pueden suponer el acopio y tratamiento de
datos personales. Nos dice el prembulo del Reglamento que la norma nace con
vocacin de no reiterar los contenidos de la norma que desarrolla, dando mayor
contenido no slo a los mandatos de la misma, sino tambin a aquellos que en los aos
de vigencia de la Ley se ha demostrado que precisan un mayor desarrollo normativo.

A continuacin podemos ver una serie de definiciones y conceptos que nos ayudarn a
comprender los diferentes trminos empleados en la LOPD y en su Reglamento:
Datos de carcter personal: cualquier informacin numrica, alfabtica, grfica,

fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas
identificadas o identificables.
Datos
de
carcter
personal
relacionados
con
la
salud:
las
informaciones
concernientes a la salud pasada, presente y futura, fsica o mental, de un

individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su informacin
gentica.
Afectado o interesado: Persona fsica titular de los datos que sean objeto del
tratamiento.
Fichero: todo conjunto organizado de datos de carcter personal, que permita el

acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la
forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos,
as
como
los
ficheros
de
los
que
sean
responsables
las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho pblico que a las
mismas atribuye su normativa especfica.
Ficheros de titularidad pblica: los ficheros de los que sean responsables los
rganos constitucionales o con relevancia constitucional del Estado o las
instituciones
autonmicas
con
funciones
anlogas
los
mismos,
las
Administraciones pblicas territoriales, as como las entidades u organismos

vinculados o dependientes de las mismas y las Corporaciones de derecho pblico
siempre que su finalidad sea el ejercicio de potestades de derecho pblico.
Fichero no automatizado: todo conjunto de datos de carcter personal organizado

de forma no automatizada y estructurado conforme a criterios especficos
relativos
personas
desproporcionados
fsicas,
sus
datos
que
permitan
personales,
ya
acceder
sea
sin
aqul
esfuerzos
centralizado,
descentralizado o repartido de forma funcional o geogrfica.
Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son
necesarios para un tratamiento ocasional o como paso intermedio durante la
realizacin de un tratamiento.
Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no

automatizado, que permita la recogida, grabacin, conservacin, elaboracin,
modificacin,
consulta,
utilizacin,
modificacin,
cancelacin,
bloqueo
supresin, as como las cesiones de datos que resulten de comunicaciones,

consultas, interconexiones y transferencias.
Responsable del fichero o del tratamiento: Persona fsica o jurdica, de naturaleza

pblica o privada, u rgano administrativo, que slo o conjuntamente con otros
decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente. Podrn ser tambin responsables del fichero o del tratamiento los
entes
sin
personalidad
jurdica
que
acten
en
el
trfico
como
sujetos
diferenciados.
Responsable de seguridad: persona o personas a las que el responsable del

fichero ha asignado formalmente la funcin de coordinar y controlar las medidas
de seguridad aplicables.
Encargado del tratamiento: La persona fsica o jurdica, pblica o privada, u

rgano
administrativo
que,
solo
conjuntamente
con
otros,
trate
datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de su actuacin para la prestacin de
un servicio. Podrn ser tambin encargados del tratamiento los entes sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.
Cesin o comunicacin de datos: Tratamiento de datos que supone su revelacin

a una persona distinta del interesado.
Destinatario o cesionario: la persona fsica o jurdica, pblica o privada u rgano

administrativo, al que se revelen los datos. Podrn ser tambin destinatarios los
entes
sin
personalidad
jurdica
que
acten
en
el
trfico
como
sujetos
diferenciados.
Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser

realizada, por cualquier persona, no impedida por una norma limitativa o sin ms
exigencia que, en su caso, el abono de una contraprestacin.
Sistema de informacin: conjunto de ficheros, tratamientos, programas, soportes

y en su caso, equipos empleados para el tratamiento de datos de carcter
personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de

informacin. Atendiendo al sistema de tratamiento, los sistemas de informacin
podrn ser automatizados, no automatizados o parcialmente automatizados.
Soporte: objeto fsico que almacena o contiene datos o documentos, u objeto

susceptible de ser tratado en un sistema de informacin y sobre el cual se
pueden grabar y recuperar datos.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la

consideracin de usuarios los procesos que permitan acceder a datos o recursos
sin identificacin de un usuario fsico.
Recurso: cualquier parte componente de un sistema de informacin.
Autenticacin: procedimiento de comprobacin de la identidad de un usuario.
Contrasea: informacin confidencial, frecuentemente constituida por una cadena

de caracteres, que puede ser usada en la autenticacin de un usuario o en el
acceso a un recurso.
Control de acceso: mecanismo que en funcin de la identificacin ya autenticada

permite acceder a datos o recursos.
Copia de respaldo: copia de los datos de un fichero automatizado en un soporte

que posibilite su recuperacin.
Identificacin: procedimiento de reconocimiento de la identidad de un usuario.

Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los
datos.
Perfil de usuario: accesos autorizados a un grupo de usuarios.
Documento: todo escrito, grfico, sonido, imagen o cualquier otra clase de

informacin que puede ser tratada en un sistema de informacin como una
unidad diferenciada.
Cancelacin: Procedimiento en virtud del cual el responsable cesa en el uso de

los datos. La cancelacin implicar el bloqueo de los datos, consistente en la
identificacin y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y
Tribunales, para la atencin de las posibles responsabilidades nacidas del
tratamiento y slo durante el plazo de prescripcin de dichas responsabilidades.
Transcurrido ese plazo deber procederse a la supresin de los datos.
Consentimiento
del
interesado:
Toda
manifestacin
de
voluntad,
libre,
inequvoca, especfica e informada, mediante la que el interesado consienta el

tratamiento de datos personales que le conciernen.
Exportador de datos personales: la persona fsica o jurdica, pblica o privada, u

rgano administrativo situado en territorio espaol que realice, conforme a lo
dispuesto en el Reglamento, una transferencia de datos de carcter personal a un
pas tercero.
Importador de datos personales: la persona fsica o jurdica, pblica o privada, u

rgano
administrativo
receptor
de
los
datos
en
caso
de
transferencia
internacional de los mismos a un tercer pas, ya sea responsable del tratamiento,

encargada del tratamiento o tercero.
Tercero: la persona fsica o jurdica, pblica o privada u rgano administrativo

distinta
del
afectado
interesado,
del
responsable
del
tratamiento,
del
responsable del fichero, del encargado del tratamiento y de las personas

autorizadas para tratar los datos bajo la autoridad directa del responsable del
tratamiento o del encargado del tratamiento. Podrn ser tambin terceros los
entes
sin
personalidad
jurdica
que
acten
en
el
trfico
como
sujetos
diferenciados.
Persona identificable: toda persona cuya identidad pueda determinarse, directa o

indirectamente, mediante cualquier informacin referida a su identidad fsica,
fisiolgica, psquica, econmica, cultural o social. Una persona fsica no se
considerar identificable si dicha identificacin requiere plazos o actividades
desproporcionados.
Procedimiento de disociacin: Todo tratamiento de datos personales que permita

la obtencin de datos disociados.
Dato disociado: aqul que no permite la identificacin de un afectado o

interesado

El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los
datos personales, las libertades pblicas y los derechos fundamentales de las personas
fsicas, y especialmente a su honor e intimidad personal y familiar.
La LOPD es de aplicacin a los datos de carcter personal registrados en soporte fsico,
que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los sectores pblico y privado.
Como hemos visto con anterioridad, el artculo 5.1.f) del Reglamento considera datos de
carcter personales a cualquier informacin numrica, alfabtica, grfica, fotogrfica,
acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o
identificables.
Segn la Directiva Comunitaria 95/46/CE, una persona ser identificable cuando pueda
determinarse su identidad, directa o indirectamente, en particular mediante un nmero
de identificacin o uno o varios elementos caractersticos de su identidad fsica,
fisiolgica, psquica, econmica, cultural o social.
Por otra parte, para la aplicacin de la norma, no se requiere nicamente la simple

posibilidad de utilizacin de datos de carcter personal, sino que se precisa que estos
datos estn registrados en un soporte fsico que permita realizar operaciones con ellos.
Es decir, debe existir un soporte fsico organizado o estructurado conforme a
determinados criterios que permita el tratamiento de estos datos, o lo que es lo mismo,
deber existir un fichero.
En resumen, para que sea de aplicacin la normativa sobre proteccin de datos hay que
cumplir las siguientes premisas:
Deben existir datos de carcter personal que permitan identificar a una persona
fsica.
De existir un tratamiento de esos datos (almacenamiento, conservacin, etc.),

entendiendo como tratamiento de datos a aquellas operaciones y procedimientos
tcnicos de carcter automatizado o no, que permita la recogida, grabacin,
conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Debe existir una organizacin de los datos en un fichero. Entendiendo como

fichero a todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geogrfica.
Respecto al mbito de aplicacin territorial la normativa de proteccin de datos se aplica:
Cuando el tratamiento sea efectuado en territorio espaol en el marco de las

actividades de un establecimiento del responsable del tratamiento.
Cuando al responsable del tratamiento no establecido en territorio espaol, le sea

de aplicacin la legislacin espaola en aplicacin de normas de Derecho
Internacional pblico.
Cuando el responsable del tratamiento no est establecido en territorio de la

Unin Europea y utilice en el tratamiento de datos medios situados en territorio
espaol, salvo que tales medios se utilicen nicamente con fines de trnsito. En
este supuesto, el responsable del tratamiento deber designar un representante
establecido en territorio espaol.
Sin embargo, la LOPD no se aplicar en los siguientes casos:
A los ficheros realizados o mantenidos por personas fsicas en el ejercicio de

actividades
exclusivamente
personales
domsticas,
es
decir,
aquellos
tratamientos relativos a las actividades que se inscriben en el marco de la vida

privada o familiar de los particulares.
10
A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas.

A los ficheros establecidos para la investigacin del terrorismo y de formas
graves de delincuencia organizada.
No obstante, en este caso, el responsable del fichero comunicar previamente la
existencia del mismo, sus caractersticas generales y su finalidad a la Agencia
Espaola de Proteccin de Datos (AEPD).
A su vez, el Reglamento especifica, dentro de su mbito subjetivo de aplicacin que:
No ser aplicable a los tratamientos de datos referidos a personas jurdicas, ni a

los ficheros que se limiten a incorporar los datos de las personas fsicas que
presten sus servicios en aqullas, consistentes nicamente en su nombre y
apellidos, las funciones o puestos desempeados, as como la direccin postal o
electrnica, telfono y nmero de fax profesionales.
No ser aplicable a los datos relativos a empresarios individuales, cuando hagan

referencia a ellos en su calidad de comerciantes, industriales o navieros.
No ser de aplicacin a los datos referidos a personas fallecidas. No obstante, las

personas vinculadas al fallecido, por razones familiares o anlogas, podrn
dirigirse a los responsables de los ficheros o tratamientos que contengan datos
de ste con la finalidad de notificar el bito, aportando acreditacin suficiente del
mismo, y solicitar, cuando hubiere lugar a ello, la cancelacin de los datos.
Por ltimo conviene destacar que existen una serie de ficheros no regulados por la LOPD
y que se regirn por sus disposiciones especficas, y por lo especialmente previsto, en su
caso, por la LOPD, siendo estos:
Los ficheros regulados por la legislacin de rgimen electoral.
Los ficheros que sirvan a fines exclusivamente estadsticos, y estn amparados

por la legislacin estatal o autonmica sobre la funcin estadstica pblica.
Los ficheros que tengan por objeto el almacenamiento de los datos contenidos en
los informes personales de calificacin a que se refiere la legislacin del rgimen
del personal de las Fuerzas Armadas.
Los ficheros derivados del Registro Civil y del Registro Central de penados y
rebeldes.
Los ficheros procedentes de imgenes y sonidos obtenidos mediante la utilizacin

de videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislacin sobre la materia.
11

La Agencia Espaola de Proteccin de Datos (AEPD) se trata de un Ente de Derecho
Pblico con personalidad jurdica propia y plena capacidad pblica y privada que acta
con independencia de las Administraciones Pblicas en el ejercicio de sus funciones.
La AEPD se presenta en la normativa espaola como el rgano de control y fiscalizacin
del cumplimiento de la LOPD, si bien, de cara al exterior se percibe como un rgano
meramente sancionador.
Las funciones de la AEPD son las siguientes (art. 37 LOPD):
Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar

su aplicacin, en especial en lo relativo a los derechos de informacin, acceso,
rectificacin, oposicin y cancelacin de datos.
Emitir
las
autorizaciones
previstas
en
la
Ley
en
sus
disposiciones
reglamentarias.
Dictar, en su caso, y sin perjuicio de las competencias de otros rganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la
presente Ley.
Atender las peticiones y reclamaciones formuladas por las personas afectadas.
Proporcionar informacin a las personas acerca de sus derechos en materia de

tratamiento de los datos de carcter personal.
Requerir a los responsables y los encargados de los tratamientos, previa

audiencia de stos, la adopcin de las medidas necesarias para la adecuacin del
tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la
cesacin de los tratamientos y la cancelacin de los ficheros, cuando no se ajuste
a sus disposiciones.
Ejercer la potestad sancionadora.
Informar, con carcter preceptivo, los proyectos de disposiciones generales que

desarrollen esta Ley.
Recabar de los responsables de los ficheros cuanta ayuda e informacin estime

necesaria para el desempeo de sus funciones.
Velar por la publicidad de la existencia de los ficheros de datos con carcter

personal, a cuyo efecto publicar peridicamente una relacin de dichos ficheros
con la informacin adicional que el Director de la Agencia determine.
Redactar una memoria anual y remitirla al Ministerio de Justicia.
12
Ejercer el control y adoptar las autorizaciones que procedan en relacin con los
movimientos internacionales de datos, as como desempear las funciones de
cooperacin internacional en materia de proteccin de datos personales.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Al artculo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de diciembre, de

medidas fiscales, administrativas y de orden social, le aadi el apartado 2 que
establece que se harn pblicas las resoluciones de la Agencia, una vez hayan sido
notificadas a los interesados. Dicha publicacin se llevar a cabo preferentemente a
travs de medios informticos o telemticos.
La composicin de la AEPD es la siguiente:
El Director: ostenta la representacin de la Agencia y la dirige. Es nombrado de

entre los componentes del Consejo Consultivo por un periodo de 4 aos.
El Consejo Consultivo: asesora al Director, emite informes sobre todas las

cuestiones que solicite el Director y formula propuestas en materia de proteccin
de datos. Se rene como mnimo semestralmente.
El Registro General de Proteccin de Datos: se encarga de velar por la publicidad

de los tratamientos de datos, mediante la inscripcin de los ficheros de titularidad
pblico y privada.
La Inspeccin de datos: se encarga de la comprobacin de la legalidad de los

tratamientos.
La Secretara General de la Agencia: apoya en el funcionamiento de la Agencia.
Una herramienta fundamental de la Agencia de Proteccin de Datos es su pgina web:

www.agpd.es que permite entre otras cosas:
Consulta de dudas en materia de proteccin de datos.
Conocer los derechos de los afectados.
Consulta del Registro General de la Agencia Espaola de Proteccin de Datos, en

el cual se encuentran inscritos los ficheros de las empresas de todo el territorio
espaol.
Conocer las ltimas novedades sobre proteccin de datos, etc.
13
LO QUE HEMOS APRENDIDO
El derecho a la intimidad de las personas fue reconocido por vez primera en la

Declaracin Universal de Derechos Humanos de 1944.
La Constitucin espaola garantiza el derecho al honor, a la intimidad personal y

familiar y a la propia imagen.
En 1999 se dicta la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de

datos de carcter personal.
Un dato de carcter personal es cualquier informacin numrica, alfabtica,

grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas
fsicas identificadas o identificables.
Un fichero es todo conjunto organizado de datos de carcter personal, que

permita el acceso a los datos con arreglo a criterios determinados, cualquiera que
fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de

los datos personales, las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente a su honor e intimidad personal y familiar.
La LOPD es de aplicacin a los datos de carcter personal registrados en soporte

fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores pblico y privado.
La Agencia Espaola de Proteccin de Datos (AEPD) se trata de un Ente de

Derecho Pblico con personalidad jurdica propia y plena capacidad pblica y
privada que acta con independencia de las Administraciones Pblicas en el
ejercicio de sus funciones.
La pgina web de la Agencia de Proteccin de Datos es www.agpd.es.
14
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
15
TEST
Marcar la respuesta correcta.
1. En qu ao se redact la primera ley sobre datos de carcter personal en Espaa?
En 1978
En 1992.
En 1999.
2. La LOPD entiende por dato de carcter personal:
Toda manifestacin de una persona que permita de alguna forma conocer su

carcter.
Toda manifestacin intelectual que permita conocer la personalidad de alguien.
Cualquier
informacin
concerniente
personas
fsicas
identificadas
identificables.
3. Define la LOPD (Ley Orgnica de proteccin de datos) el trmino tratamiento como:
Todo tipo de operaciones y procedimientos tcnicos de carcter automatizado o

no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin,
bloqueo y cancelacin.
Las
cesiones
de
datos
que
resulten
de
comunicaciones,
consultas,
interconexiones y transferencias.
Ambas respuestas son correctas.
4. Quin es el responsable del fichero?
La
persona
fsica
jurdica,
de
naturaleza
pblica
privada,
rgano
La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

que, solo o con otros, trate datos personales.
Persona o personas a las que se les asigna formalmente la funcin de coordinar y

controlar las medidas de seguridad aplicables.
5. A quin o qu protege la Ley Orgnica de Proteccin de Datos Personales?
Los datos de carcter personal registrados en soporte fsico, informatizado o no,

que sean susceptibles de tratamiento.
nicamente los datos de carcter personal registrados en soporte informtico.
A los responsables del tratamiento.
6. La representacin de la Agencia Espaola de Proteccin de Datos le corresponde:
Al Director.
Al Secretario General.
Al Consejo Consultivo.
16
Ley de Proteccin
de Datos
Introduccin
Tipos de Ficheros
Los Cdigos Tipo
Objetivos:
Conocer cmo se realiza la notificacin para la inscripcin de la

creacin, modificacin o supresin de ficheros.
Familiarizarse con las figuras del responsable del fichero y del

encargado del tratamiento.
Conocer las particularidades de la creacin de los ficheros de

titularidad pblica.
17
tema 2
Deber de Notificacin de Ficheros
18
Introduccin
Se entiende por fichero todo conjunto organizado de datos de carcter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Los ficheros pueden clasificarse de dos formas:
1. Atendiendo a su titularidad:
Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos,
as
como
los
ficheros
de
los
que
sean
responsables
las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho pblico que a las
mismas atribuye su normativa especfica. (Ej. datos de proveedores, personal,
etc.).
Ficheros de titularidad pblica: los ficheros de los que sean responsables los
rganos constitucionales o con relevancia constitucional del Estado o las
instituciones
autonmicas
con
funciones
anlogas
los
mismos,
las
Administraciones pblicas territoriales, as como las entidades u organismos

vinculados o dependientes de las mismas y las Corporaciones de derecho pblico
siempre que su finalidad sea el ejercicio de potestades de derecho pblico.
2. Atendiendo al soporte:
Ficheros no automatizados: todo conjunto de datos de carcter personal

organizado de forma no automatizada y estructurado conforme a criterios
especficos relativos a personas fsicas, que permitan acceder sin esfuerzos
desproporcionados
sus
datos
personales,
ya
sea
aqul
centralizado,
descentralizado o repartido de forma funcional o geogrfica.
Ficheros automatizados: todo conjunto de datos de carcter personal organizado

de forma automatizado mediante cualquier soporte informtico o electrnico que
permita un acceso sin esfuerzo desproporcionado.

Estn obligados a notificar la creacin, modificacin o supresin de ficheros para su
inscripcin en el Registro General de Proteccin de Datos, de conformidad con lo
establecido en la Ley Orgnica de Proteccin de Datos, aquellas personas fsicas o
jurdicas, de naturaleza pblica o privada, u rgano administrativo, que procedan a la
creacin de ficheros que contengan datos de carcter personal.
Indica el Reglamento que esta obligacin se cumplimentar a travs de un medio que
permita acreditar su cumplimiento.
19
El soporte en el que conste el cumplimiento del deber de informar ser conservado por el
responsable del fichero o tratamiento. Estos soportes se podrn almacenar por medios
informticos o telemticos; en todo caso, si su soporte fuera papel se permite su
escaneado siempre que quede garantizado que con dicha automatizacin no se altera el
soporte original.
Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter
personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. El
Registro General de Proteccin de Datos inscribir el fichero si la notificacin se ajusta a
los requisitos exigibles. La inscripcin del fichero es previa a su creacin.
Todos los ficheros automatizados preexistentes deberan haberse notificado a la Agencia
Espaola de Proteccin de Datos antes del 14 de enero de 2003.
Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor
de la Ley Orgnica de Proteccin de Datos (14 de enero de 2000) debern ser notificados
para su inscripcin en el Registro. Para los ficheros manuales que ya existieran antes de
la entrada en vigor de la LOPD, no se estableci como necesaria la notificacin para su
inscripcin hasta el 24 de octubre de 2007, de conformidad con lo establecido en el
ltimo prrafo de la Disposicin Adicional Primera.
En el caso de no notificarse la existencia de un fichero podra incurrirse en falta leve o
grave, como se establece en el artculo 44 de la Ley Orgnica 15/1999 de Proteccin de
Datos, quedando sujeto al rgimen sancionador previsto en esta misma Ley.
Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos
personales, se deber notificar la existencia del fichero para su inscripcin en el Registro.
Cualquier modificacin posterior en el contenido de la inscripcin de un fichero en el
Registro deber comunicarse a la Agencia Espaola de Proteccin de Datos mediante la
solicitud de modificacin o de supresin de la inscripcin, segn corresponda.
El Registro General de Proteccin de Datos inscribe el fichero si la notificacin se ajusta a
los requisitos exigibles. En caso contrario podr pedir que se completen los datos que
falten o se proceda a su subsanacin.
Una vez inscrito el fichero en el Registro, la Agencia Espaola de Proteccin de Datos
notificar la resolucin de inscripcin del Director en la que se comunicar el cdigo de
inscripcin asignado a la direccin que a tales efectos se ha hecho constar en el
apartado correspondiente de la Hoja de solicitud.
Igualmente, cuando los interesados as lo manifiesten expresamente en el formulario de
notificacin, podrn recibir por medios telemticos la notificacin de la resolucin de
inscripcin, la comunicacin de subsanar su solicitud, o cualquier otro
escrito
relacionado con la solicitud de inscripcin de ficheros en el Registro, para lo que deber

disponer de una direccin electrnica a efectos de notificaciones del Servicio de
Notificaciones Telemticas Seguras.
20
A travs de este Servicio:

https://www.notificaciones.administracion.es/portalciudadano/inicio.asp),
el
Ministerio
de las Administraciones Pblicas en colaboracin con Correos pone a disposicin de

cualquier persona fsica o jurdica que lo solicite la posibilidad de recibir de forma
alternativa por va telemtica las notificaciones que actualmente reciben en soporte
papel. La suscripcin a este servicio es voluntaria y tiene carcter gratuito.
En todo caso, la inscripcin de un fichero en el Registro General de Proteccin de Datos,
nicamente acredita que se ha cumplido con la obligacin de notificacin dispuesta en la
LO 15/1999, sin que de esta inscripcin se pueda desprender el cumplimiento por parte
del responsable del fichero del resto de las obligaciones previstas en la Ley y dems
disposiciones reglamentarias.
La existencia de un fichero se notifica al Registro mediante formulario electrnico de
Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos (NOTA), que
puede obtenerse de forma gratuita en la pgina Web de la Agencia.
Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por
utilizar el formulario electrnico vaco para ser cumplimentado de forma completa.
Continuarn siendo vlidas las notificaciones cumplimentadas con arreglo al programa
de generacin de notificaciones de ficheros de titularidad pblica y privada aprobado
mediante resolucin de la Agencia Espaola de Proteccin de Datos 30 de mayo de
2000.
Las notificaciones efectuadas mediante los formularios de notificacin en soporte papel
de
ficheros
de
titularidad
pblica
privada,
aprobados
mediante
la
resolucin
mencionada, continuaban siendo vlidas siempre que las mismas tuvieran entrada en la
Agencia Espaola de Proteccin de Datos con anterioridad al 1 de diciembre de 2006.
El Registro General de Proteccin de Datos adecuar de oficio las notificaciones
efectuadas mediante los modelos establecidos en la resolucin de la Agencia Espaola
de Proteccin de Datos 30 de mayo de 2000.
La notificacin de un fichero se puede presentar mediante el formulario NOTA:
A travs de Internet con certificado de firma electrnica reconocido.
A travs de Internet sin certificado de firma electrnica reconocido.
Mediante soporte electrnico (disquete, CDROM).
En soporte papel impreso con cdigo de barras bidimensional PDF 417.
21
Para modificar la inscripcin de un fichero, previamente inscrito en el Registro, deber

cumplimentarse
el
formulario
electrnico,
la
hoja
de
solicitud,
el
apartado
de
Modificacin de la inscripcin del fichero, indicando el cdigo de inscripcin asignado

por la Agencia y sealando aquellos apartados que se modifican respecto a la
notificacin anterior, segn las instrucciones que acompaan al modelo.
Los apartados sealados que se pretendan modificar deben cumplimentarse por
completo, indicando todos los datos y no slo los modificados respecto a notificaciones
previas, ya que esta notificacin es sustitutiva a efectos de inscripcin en el Registro. As
mismo, nicamente se cumplimentarn los apartados que hayan sido sealados para su
modificacin en el apartado Modificacin de la inscripcin del fichero.
En el caso de que se notifique la supresin de un fichero, se deber cumplimentar, del
modelo de notificacin, la hoja de solicitud y el apartado de Supresin, indicando el
cdigo de
inscripcin del fichero que fue asignado por la Agencia. Tambin deber
indicar el motivo de la supresin en el texto correspondiente, y el destino de la

informacin en el siguiente campo. Si se va a proceder a destruir el fichero, se debern
indicar las previsiones adoptadas para ello.
La notificacin de un nuevo fichero o tratamiento nunca invalida o sustituye a una
inscripcin previa. Si no se notifica una solicitud de supresin de la inscripcin anterior
se producira un duplicado de la inscripcin.
El formulario electrnico ha de cumplimentarse conforme a las instrucciones que lo
acompaan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto
del previsto en el modelo.
No obstante, si el responsable desea hacer alguna aclaracin adicional a la declaracin,
puede acompaar junto al modelo de notificacin, correctamente cumplimentado, un
escrito en el que se incluyan las aclaraciones que considere necesarias a su declaracin.
El formulario electrnico no permite suprimir apartados no obligatorios que fueron
declarados en anteriores inscripciones o modificaciones del fichero en el Registro
General de Proteccin de Datos. Para realizar este tipo de modificacin, deber enviar a
la Agencia Espaola de Proteccin de Datos un escrito firmado por persona con
representacin
suficiente
del
responsable
del
fichero
indicando
la
subsanacin
correspondiente.
Para notificar un cambio de responsable se deber indicar en el apartado Modificacin
de la inscripcin de los datos correspondientes al responsable del fichero (Razn social y
CIF) que figuran en la inscripcin del fichero.
Los datos correspondientes a la nueva denominacin del responsable del fichero (Razn
social y NIF o CIF) se introducirn en el apartado 1. Responsable del fichero. Adems de
la notificacin se deber adjuntar la documentacin que justifique el cambio del titular.
22
No obstante, dispone el artculo 19 del Reglamento que, en los supuestos en los que se
produzca una modificacin en el responsable del fichero como consecuencia de una
fusin, escisin, cesin global de activos y pasivos, aportacin o transmisin de negocio
o rama de actividad, o cualquier operacin que implique una reestructuracin societaria
que contemple la normativa mercantil se ha de entender que no se ha producido cesin
de datos.
Cuando se notifique la supresin de la inscripcin de un fichero por responsable distinto
del que figura inscrito en el RGPD (con la salvedad que acabamos de ver), deber
acompaarse documentacin que justifique el cambio de titular.
Si el cambio se debe a un error en la consignacin de los datos del responsable durante
la inscripcin inicial del fichero, ser suficiente con enviar un escrito firmado por persona
con representacin suficiente del responsable del fichero indicando la subsanacin
correspondiente.
Si se trata de notificar una supresin de la inscripcin por responsable distinto del que
figura inscrito en el Registro General de Proteccin de Datos, se deber indicar en el
apartado de Supresin de la inscripcin los datos correspondientes al responsable del
fichero (Razn social y CIF) que figuran en la inscripcin del fichero.

Se entiende por responsable del fichero o tratamiento aquella persona fsica o jurdica,
de naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente con
otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente.
Tambin
pueden
ser
responsables
del
fichero
del
tratamiento
los
entes
sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.

A modo de ejemplo podemos encontrarnos un amplio espectro de responsables del
fichero que tratan con datos de carcter personal:
Administraciones Pblicas (Ayuntamientos, Comunidades Autnomas, etc.): son

responsables de numerosos ficheros de distinta ndole.
Empresas y sociedades.
Autnomos: ficheros de proveedores, clientes, etc.
Entes sin personalidad jurdica, tales como comunidades de propietarios o UTEs

(Unin temporal de empresas).
23

Como ya se dijo al hablar de las definiciones que establece la LOPD, dispone en su
artculo 3 g) que se entender por encargado del tratamiento: La persona fsica o
jurdica,
autoridad
pblica,
servicio
cualquier
otro
organismo
que,
solo
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.
As, se establecen y regulan las relaciones de ste con el responsable del fichero: el
acceso a los datos por parte del encargado del tratamiento, cuando suponga una
prestacin de servicios al responsable, no se considera comunicacin de datos.
Esta realizacin de tratamiento por cuanta de terceros deber estar regulada en un
contrato que deber constar por escrito o en alguna otra forma que permita acreditar su
celebracin
contenido,
establecindose
tratamiento
tratar los datos conforme a
expresamente
las
que
instrucciones
el
del
encargado
del
responsable
del
tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho
contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas.
No se considera encargado del tratamiento a la persona fsica que tenga acceso a los
datos personales en su condicin de empleado dentro de la relacin laboral que
mantiene con el responsable del fichero.
En aquellos supuestos en los que el responsable del tratamiento encargue la prestacin
de un servicio que comporte un tratamiento de datos personales debe velar por que el
encargado de ste rena las garantas que exige el Reglamento.
En cuanto a su responsabilidad, toda utilizacin del tratamiento para finalidad diferente
de aqulla para la que fue concebido, la comunicacin o uso de datos incumpliendo las
estipulaciones del contrato al que alude el artculo 12 de la LOPD, ser as mismo
responsabilidad
del
encargado
del
tratamiento.
Esta
responsabilidad
no
le
ser
achacable cuando, previa indicacin expresa del responsable, comunique los datos a un
tercero designado por ste, al que se hubiese encargado la prestacin del servicio tal y
como seala el Reglamento.
Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar
con un tercero la prestacin de tratamiento alguno encomendado por el responsable del
tratamiento; para poder realizar esta subcontrata necesita de autorizacin para ello, de
forma que cuando se cuente con ella, la subcontratacin se har siempre en nombre y
por cuenta del responsable del tratamiento.
A pesar de lo anterior, el artculo 21.2 del Reglamento nos indica qu subcontrataciones
pueden realizarse sin que sea necesaria la autorizacin; sern las que cumplan con estos
requisitos:
24
Que se especifiquen en el contrato los servicios que puedan ser objeto de

subcontratacin y, si ello fuera posible, la empresa con la que se vaya a
subcontratar. Cuando no se identificase en el contrato la empresa con la que se
vaya a subcontratar, ser preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratacin.
Que el tratamiento de datos de carcter personal por parte del subcontratista se

ajuste a las instrucciones del responsable del fichero.
Que el encargado del tratamiento y la empresa subcontratista formalicen el

contrato, en los trminos previstos en el artculo anterior. En este caso, el
subcontratista
ser
considerado
encargado
del
tratamiento,
sindole
de
aplicacin lo previsto en el artculo 20.3 de este reglamento.

Las previsiones anteriores sern de aplicacin cuando durante la prestacin del servicio
fuere necesario subcontratar una parte de ste, sin que la misma haya sido prevista en
el contrato.
Al finalizar la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al responsable del tratamiento o al encargado, al igual que los
soportes o documentos en los que consten datos de carcter personal objeto del
tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no sern
destruidos si alguna norma prev su conservacin; en este caso, sern devueltos
garantizndose por el responsable del fichero su conservacin.
Es obligacin del encargado del tratamiento conservar, debidamente bloqueados, los
datos en tanto que pudieran derivarse responsabilidades de su relacin con el
responsable del tratamiento.
A efectos de inscripcin, el encargado del tratamiento (artculo 12 LOPD) no deber
figurar escrito en el Registro General del Proteccin de Datos como entidad responsable
de los ficheros o tratamientos.
Cuando existan varios encargados, nicamente se consignarn los datos de uno de
ellos. Se recomienda que se haga constar la denominacin del encargado que realice el
tratamiento de datos que pueda implicar una mayor duracin de tiempo, o riesgos
mayores segn el tipo y la cantidad de riesgos tratados.
El resto de los encargados del tratamiento se podr comunicar mediante un escrito
adjunto a la notificacin para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos ms de un encargado en el apartado 4
Encargado del tratamiento se podr notificar tantas inscripciones como encargados
diferentes existan.
Estas notificaciones se diferenciaran en los datos consignados en el apartado 4 y en su
caso, en los apartados 5. Identificacin y finalidad del fichero, 7. Tipos de datos,
estructura y organizacin del fichero.
25
Para recibir de forma telemtica la notificacin de inscripcin de ficheros en el Registro

se necesita previamente y por una sola vez:
Disponer de una Direccin Electrnica nica del Servicios de Notificaciones

Telemticas Seguras (MAP-Correos).
Despus, suscribirse al procedimiento de la Agencia Espaola de Proteccin de

Datos. Para ello, en el apartado Suscripcin a Procedimientos de la Web del
Servicio de Notificaciones Telemticas Seguras se selecciona AEPD como
organismo emisor, la categora Todas y la casilla actualizar.
Adems, en cada notificacin de ficheros a travs del formulario

Es preciso sealar expresamente DEU-SNTS (Direccin Electrnica nica del Servicio de
Notificaciones Telemticas Seguras) como medio de notificacin en la casilla Medio de
notificacin de la hoja de solicitud del formulario de inscripcin
Esta opcin slo estar disponible para usuarios que hayan realizado su notificacin de
ficheros.
A travs de Internet con certificado de firma electrnica reconocido.
Tipos de Ficheros
La Agencia Espaola de Proteccin de Datos clasifica los ficheros segn su finalidad y
usos previstos en los siguientes grupos y subgrupos:
Gestin contable, fiscal y administrativa:

o
Gestin econmica y contable.
Gestin fiscal.
Gestin administrativa.
Gestin de facturacin.
Gestin de clientes.
Gestin de proveedores.
Gestin de cobros y pagos.
Administracin de fincas.
Consultoras, auditoras, asesoras y servicios relacionados.
Histrico de relaciones comerciales.
26
Recursos humanos:
o
Gestin de personal.
Gestin de nminas.
Formacin de personal.
Prestaciones sociales.
Seleccin de personal.
Gestin de trabajo temporal.
Promocin y gestin de empleo.
Prevencin de riesgos laborales.
Control horario.
Servicios econmicos-financieros y seguros:

o
Cuenta de crdito.
Cuenta de depsito.
Gestin de patrimonios.
Gestin de fondos de pensiones y similares.
Gestin de tarjetas de crdito y similares.
Registro de acciones y obligaciones.
Otros servicios financieros.
Cumplimiento/incumplimiento de obligaciones dinerarias.
Prestacin de servicios de solvencia patrimonial y crdito.
Seguros de vida y salud.
Otro tipo de seguros.
Publicidad y prospeccin:
o
Publicidad.
Venta a distancia.
Encuestas de opinin.
Anlisis de perfiles.
Prospeccin comercial.
27
Segmentacin de mercados.
Sistemas de ayuda a la toma de decisiones.
Recopilacin de direcciones.
Servicios de telecomunicaciones:
Prestacin de servicios de telecomunicaciones.
Guas/repertorios de servicios de telecomunicaciones.
Comercio electrnico.
Prestacin de servicios de certificacin.
Actividades asociativas, culturales, recreativas, deportivas y sociales:

o
Gestin de actividades culturales.
Gestin de clubes o asociaciones deportivas, culturales, profesionales y

similares.
Gestin de asociados o miembros de partidos polticos, sindicatos, iglesias,

confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin nimo de lucro.
Actividades asociativas diversas.
Asistencia social.
Gestin de medios de comunicacin social.
Educacin:
o
Enseanza infantil primaria.
Enseanza infantil secundaria.
Enseanza universitaria.
Educacin especial.
Otras enseanzas.
Sanidad:
o
Gestin y control sanitario.
Control clnico.
Investigacin epidemiolgica y actividades anlogas.
Seguridad:
28
Investigaciones privadas a personas.
Seguridad y control acceso a edificios.
Otras actividades de seguridad.
Finalidades varias:
o
Fidelizacin de clientes.
Reservas y emisin de billetes.
Fines histricos, cientficos o estadsticos.
Otras finalidades.
Los Cdigos Tipo

El artculo 32 de la LOPD nos dice que mediante acuerdos sectoriales, convenios
administrativos o decisiones de empresa, los responsables de tratamientos de titularidad
pblica y privada, as como las organizaciones en que se agrupen.
Se podrn formular cdigos tipo que establezcan las condiciones de organizacin,
rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del
entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de
la informacin personal, as como las garantas, en su mbito, para el ejercicio de los
derechos de las personas con pleno respeto a los principios y disposiciones de la
presente Ley y sus normas de desarrollo.
Asimismo nos dice que los citados cdigos podrn contener o no reglas operacionales
detalladas de cada sistema particular y estndares tcnicos de aplicacin.
Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica
profesional y sern vinculantes para quienes se adhieran a los mismos, debiendo ser
depositados o inscritos en el Registro General de Proteccin de Datos y, cuando
corresponda, en los creados a estos efectos por las Comunidades Autnomas, de
acuerdo con el artculo 41 de la LOPD.
El Registro General de Proteccin de Datos podr denegar la inscripcin cuando
considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia,
debiendo, en este caso, el Director de la Agencia Espaola de Proteccin de Datos
requerir a los solicitantes para que efecten las correcciones oportunas.
Los cdigos tipo contendrn reglas o estndares especficos que permitan armonizar los
tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos
de los afectados y favorecer el cumplimiento de lo dispuesto en la LOPD y en el
Reglamento que la desarrolla.
El cdigo tipo deber incorporar como anexo una relacin de adheridos, que deber
mantenerse actualizada, a disposicin de la Agencia Espaola de Proteccin de Datos.
29
Contenido de los Cdigos Tipo

Los cdigos tipo debern estar redactados en trminos claros y accesibles, deben
respetar la normativa vigente e incluirn, como mnimo, con suficiente grado de
precisin:
La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el

cdigo se refiere y los tratamientos sometidos al mismo.
Las previsiones especficas para la aplicacin de los principios de proteccin de

datos.
El establecimiento de estndares homogneos para el cumplimiento por los

adheridos al cdigo de las obligaciones establecidas en la Ley Orgnica 15/1999,
de 13 de diciembre.
El establecimiento de procedimientos que faciliten el ejercicio por los afectados de

sus derechos de acceso, rectificacin, cancelacin y oposicin.
La determinacin de las cesiones y transferencias internacionales de datos que,

en su caso, se prevean, con indicacin de las garantas que deban adoptarse.
Las acciones formativas en materia de proteccin de datos dirigidas a quienes los

traten, especialmente en cuanto a su relacin con los afectados.
Los
mecanismos
de
supervisin
travs
de
los
cuales
se
garantice
el
cumplimiento por los adheridos de lo establecido en el cdigo tipo.

En particular, debern contenerse en el cdigo:
Clusulas tipo para la obtencin del consentimiento de los afectados al

tratamiento o cesin de sus datos.
Clusulas tipo para informar a los afectados del tratamiento, cuando los datos no
sean obtenidos de los mismos.
Modelos para el ejercicio por los afectados de sus derechos de acceso,

rectificacin, cancelacin y oposicin.
Modelos de clusulas para el cumplimiento de los requisitos formales exigibles

para la contratacin de un encargado del tratamiento, en su caso.
Compromisos Adicionales
Los cdigos tipo podrn incluir cualquier otro compromiso adicional que asuman los
adheridos para un mejor cumplimiento de la legislacin vigente en materia de proteccin
de datos.
30
Adems podrn contener cualquier otro compromiso que puedan establecer las
entidades promotoras y, en particular, sobre:
La adopcin de medidas de seguridad adicionales a las exigidas por la Ley

Orgnica 15/1999, de 13 de diciembre, y el Reglamento.
La identificacin de las categoras de cesionarios o importadores de los datos.
Las medidas concretas adoptadas en materia de proteccin de los menores o de

determinados colectivos de afectados.
El establecimiento de un sello de calidad que identifique a los adheridos al cdigo.
Garantas del Cumplimiento

Los cdigos tipo debern incluir procedimientos de supervisin independientes para
garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer
un rgimen sancionador adecuado, eficaz y disuasorio. Este procedimiento deber
garantizar:
La independencia e imparcialidad del rgano responsable de la supervisin.
La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de quejas y

reclamaciones ante dicho rgano por los eventuales incumplimientos del cdigo
tipo.
El principio de contradiccin.
Una
graduacin
de
sanciones
que
permita
ajustarlas
la
gravedad
del
incumplimiento. Esas sanciones debern ser disuasorias y podrn implicar la

suspensin de la adhesin al cdigo o la expulsin de la entidad adherida.
Asimismo, podr establecerse, en su caso, su publicidad.
La notificacin al afectado de la decisin adoptada.
Asimismo, los cdigos tipo podrn contemplar procedimientos para la determinacin de

medidas reparadoras en caso de haberse causado un perjuicio a los afectados como
consecuencia del incumplimiento del cdigo tipo.

Los ficheros de titularidad pblica estn regulados en el Captulo I del Ttulo IV de la
LOPD. A diferencia de los de titularidad privada, se crean, modifican o suprimen por
medio de disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.
31
Los datos de carcter personal recogidos o elaborados por las Administraciones pblicas
para el desempeo de sus atribuciones no sern comunicados a otras Administraciones
pblicas para el ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,
rectificacin y cancelacin contemplados en el artculo 23 de la LOPD:
Los responsables de los ficheros que contengan datos de carcter personal,

incluidos los datos sobre ideologa, religin, ideas polticas, sexo, raza y vida
sexual, recogidos con fines policiales por las Fuerzas y Cuerpos de Seguridad,
podrn denegar el acceso, la rectificacin o cancelacin en funcin de los peligros
que pudieran derivarse para la defensa del Estado o la seguridad pblica, la
proteccin de los derechos y libertades de terceros o las necesidades de las
investigaciones que se estn realizando.
Los responsables de los ficheros de la Hacienda Pblica podrn, igualmente,

denegar el ejercicio de estos derechos cuando el mismo obstaculice las
actuaciones
administrativas
tendentes
asegurar
el
cumplimiento
de
las
obligaciones tributarias y, en todo caso, cuando el afectado est siendo objeto de

actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos
mencionados podr ponerlo en conocimiento del Director de la Agencia Espaola de
Proteccin de Datos o del organismo competente de cada Comunidad Autnoma en el
caso de ficheros mantenidos por Cuerpos de Polica propios de stas, o por las
Administraciones
tributarias
autonmicas,
procedencia o improcedencia de la denegacin.
32
quienes
debern
asegurarse
de
la
Se entiende por fichero todo conjunto organizado de datos de carcter personal,

que permita el acceso a los datos con arreglo a criterios determinados, cualquiera
que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Los ficheros se clasifican atendiendo a su titularidad en ficheros de titularidad

pblica y de titularidad privada.
Los ficheros se clasifican atendiendo al soporte en ficheros automatizados y no

automatizados.
Estn obligados a notificar la creacin, modificacin o supresin de ficheros para

su inscripcin en el Registro General de Proteccin de Datos, aquellas personas
fsicas o jurdicas, de naturaleza pblica o privada, u rgano administrativo, que
procedan a la creacin de ficheros que contengan datos de carcter personal.
La no notificacin de la existencia de un fichero puede incurrir en falta leve o

grave, con sujecin al rgimen sancionador establecido en la Ley Orgnica de
Proteccin de Datos.
Existe la obligacin de comunicar a la Agencia Espaola de Proteccin de Datos

cualquier modificacin en el contenido de la inscripcin mediante solicitud de
modificacin o supresin de la inscripcin.
Si la notificacin no se ajusta a los requisitos exigibles, no se producir la

inscripcin y el Registro General de Proteccin de Datos pedir los datos que
falten o la subsanacin de lo que sea necesario.
La existencia de un fichero se notifica al Registro mediante formulario electrnico

de Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos
(NOTA), que puede obtenerse de forma gratuita en la pgina Web de la Agencia.
Se entiende por responsable del fichero o tratamiento aquella persona fsica o

jurdica, de naturaleza pblica o privada, u rgano administrativo, que slo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase materialmente.
El encargado del tratamiento es la persona fsica o jurdica, autoridad pblica,

servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del fichero.
Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena

prctica profesional y sern vinculantes para quienes se adhieran a los mismos.
Los cdigos tipo debern estar redactados en trminos claros y accesibles.
33
Los ficheros de titularidad pblica, se crean, modifican o suprimen por medio de

disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.
Los datos de carcter personal recogidos o elaborados por las Administraciones

pblicas para el desempeo de sus atribuciones no sern comunicados a otras
Administraciones pblicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas.
34
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
35
TEST
1. Qu tipos de cambios en un fichero deben notificarse a la Agencia Espaola de
Proteccin de Datos?
La finalidad del fichero, el responsable de ste y la direccin de su ubicacin.
La finalidad del fichero, el responsable de ste, la direccin de su ubicacin y

cualquier modificacin posterior en el contenido de la inscripcin del fichero en el
Registro General de Proteccin de Datos.
Ninguna respuesta es correcta.
2. La notificacin de la creacin de un fichero de datos personales ha de ser:
Simultnea a la creacin.
Posterior, pero sin superar los 30 das despus de haberlo creado.
Siempre habr de notificarse con carcter previo a su creacin.
3. Es un deber notificar:
La creacin, modificacin o supresin de ficheros con datos de carcter personal
No hay obligacin de notificar la supresin de ficheros, al quedar sin efectividad.
La Ley slo habla de notificar la creacin de ficheros, pero no dice nada de la
para su inscripcin en el Registro General de Proteccin de Datos.
modificacin ni de la supresin.
4. Los ficheros manuales (no automatizados) creados despus de la entrada en vigor de
la Ley Orgnica de Proteccin de Datos:
Debern notificarse obligatoriamente.
Es potestativa su notificacin.
Slo habr obligacin de notificarlos si contienen datos de carcter personal

referentes a personalidades polticas.
5. Qu ocurre si la notificacin realizada no se ajusta a los requisitos exigibles?
Que se producir la inscripcin, pero habr que subsanarla en el plazo de dos
Que no se producir la inscripcin y el Registro pedir los datos que falten o la
meses.
subsanacin de lo que sea necesario.
Que se producir la inscripcin si no hay queja o reclamacin por parte de las

personas cuyos datos personales consten en el fichero.
6. La notificacin de la creacin de ficheros de titularidad pblica se realizar:
Mediante la utilizacin de los formularios
Mediante disposicin general que se publica en el Boletn Oficial del Estado o en

el diario oficial correspondiente.
Ambas respuestas son correctas.
36
Ley de Proteccin
de Datos
Orgnica
El Derecho a la Informacin Durante la Recogida de Datos
Deber de Secreto
Movimiento de Datos
de
Objetivos:
Conocer cules son los pilares bsicos de la proteccin de

datos.
Familiarizarse con la tipologa de datos y en particular con

aquellos especialmente protegidos.
Conocer
los
aspectos
bsicos
tener
movimiento de datos.
37
en
cuenta
en
el
tema 3
Principios de la Ley
Proteccin de Datos
38

El artculo 3 de la LOPD define dato de carcter personal como cualquier informacin
concerniente a personas fsicas identificadas o identificables, entendindose, con
carcter general por dato personal cualquier informacin sobre una persona concreta
que permita conocer alguna de sus caractersticas personales.
Con el Principio de Calidad de los Datos lo que se trata de evitar es que se proceda a una
recopilacin de datos masiva que se aparte de la necesidad y finalidad para la que
dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y
a la finalidad del tratamiento se fija la condicin de que una vez desaparezca la
necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados
dichos datos, debern ser cancelados directamente por el responsable del fichero.
Para cumplir con el principio de calidad el artculo 4 de la LOPD y el artculo 8 del
Reglamento nos dice que los datos de carcter personal slo se podrn recoger para su
tratamiento cuando sean adecuados, pertinentes y no excesivos en relacin con el
mbito y las finalidades determinadas, explcitas y legtimas para las que se hayan
obtenido.
El tratamiento de los datos de carcter personal no podr usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos, salvo que se
trate con fines histricos, estadsticos o cientficos.
Estos datos de carcter personal, deben de cumplir, adems de lo anteriormente
expuesto, con los siguientes requisitos:
Los datos de carcter personal deben ser exactos y puestos al da de forma que
respondan con veracidad a la situacin actual del afectado. Si los datos fueran
recogidos directamente del afectado, se considerarn exactos los facilitados por
ste.
Si los datos de carcter personal sometidos a tratamiento resultaran ser

inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados en el plazo de
diez das desde que se tuviese conocimiento de la inexactitud, salvo que la
legislacin aplicable al fichero establezca un procedimiento o un plazo especfico
para ello.
Cuando los datos a rectificar hubieran sido comunicados previamente, el

responsable del fichero o tratamiento deber notificar al cesionario, en el plazo de
diez das, la rectificacin o cancelacin efectuada, siempre que el cesionario sea
conocido. En el plazo de diez das desde la recepcin de la notificacin, el
cesionario que mantuviera el tratamiento de los datos, deber proceder a la
rectificacin y cancelacin notificada.
Esta actualizacin de los datos de carcter personal no requerir comunicacin
alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los
interesados reconocidos en la LOPD.
39
Los datos de carcter personal sern cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o
registrados.
Tampoco podrn ser conservados en forma que permita la identificacin del
interesado durante un perodo superior al necesario para los fines en base a los
cuales hubieran sido recabados o registrados. Si bien, estos datos, podrn
conservarse
durante
el
tiempo
en
que
pueda
exigirse
algn
tipo
de
responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin de

un contrato o de la aplicacin de medidas precontractuales solicitadas por el
interesado.
Una vez cumplido este perodo, los datos slo podrn ser conservados previa
disociacin de los mismos, sin perjuicio de la obligacin de bloqueo prevista en la
LOPD y en el Reglamento que la desarrolla.
Los datos de carcter personal sern tratados de forma que permitan el ejercicio
del derecho de acceso, en tanto no proceda su cancelacin.
Por ltimo recalcar que la LOPD y el Reglamento prohben expresamente la recogida de

datos por medios fraudulentos, desleales o ilcitos.
Tratamiento con Fines Estadsticos, Histricos y Cientficos

El artculo 9 del Reglamento dispone la compatibilidad del tratamiento de los datos para
fines histricos, estadsticos o cientficos.
Para determinar que este es el fin del tratamiento habr de estarse a las legislaciones
especficas, y en concreto a los dispuesto en estas normas: Ley 12/1989, Reguladora de
la funcin estadstica pblica, Ley 16/1985, del Patrimonio Histrico Espaol, y Ley
13/1986, de Fomento y Coordinacin General de la Investigacin cientfica y tcnica, as
como a las correspondientes normas de desarrollo y normativa autonmica concordante.
Supuestos que Legitiman el Tratamiento o Cesin de Datos

Por su parte el artculo 10 del Reglamento viene a dar cobertura jurdica al tratamiento o
cesin de datos de carcter personal, estableciendo, como primera cuestin, la
necesidad del consentimiento previo del interesado.
Si bien, se excluyen de dicho consentimiento cuando lo autorice una norma con rango
de ley o una norma comunitaria, siempre que el tratamiento o cesin tengan por objeto
satisfacer un inters legtimo del responsable del tratamiento o del cesionario amparado
en dichas normas, siempre que no prevalezca el inters o los derechos y libertades
fundamentales de los interesados regulados por al LOPD.
40
Del mismo modo, se permitir el tratamiento o cesin cuando ello sea necesario para
que el responsable del fichero cumpla un deber que las citadas normas le impongan.
Por otra parte, nos recuerda el mismo artculo del Reglamento que hay una serie de
datos de carcter personal que podrn ser objeto de tratamiento sin necesidad de
consentimiento del interesado:
Los recogidos en el ejercicio de las funciones propias de las Administraciones

Pblicas en el mbito de sus competencias.
Los recabados por el responsable del tratamiento con ocasin de la celebracin

de
contrato,
precontrato,
la
existencia
de
relacin
negocial,
laboral
administrativa, en la que sea parte el interesado, y sean necesarios para su

mantenimiento o cumplimiento.
Cuando el tratamiento responda a un inters vital para el interesado en los

trminos que establece el artculo 7 de la LOPD.
El apartado 4 de artculo 10 del Reglamento se establecen otros supuestos de cesin de

datos sin consentimiento del afectado:
Cuando se responda a la libre y legtima aceptacin de una relacin jurdica en

cuyo desarrollo, cumplimiento y control, sea necesaria la comunicacin de datos,
siempre y cuando se limite a la finalidad que la justifique.
Cuando el destinatario de los mismos sea Defensor del Pueblo, el Ministerio

Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones
autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de
Cuentas y se realice en el mbito de las funciones que la ley les atribuya
expresamente.
Cuando la cesin sea entre Administraciones pblicas y siempre que concurra

uno de los siguientes supuestos:
o
Tenga por objeto el tratamiento de los datos con fines histricos, estadsticos
o cientficos.
Los datos de carcter personal hayan sido recogidos o elaborados por una
Administracin pblica con destino a otra.
La comunicacin se realice para el ejercicio de competencias idnticas o que

versen sobre las mismas materias.
41
El Derecho a la Informacin Durante la Recogida de

Datos
El derecho de informacin en la recogida de datos est regulado en el artculo 5 de la
LOPD.
El deber de informacin previo al tratamiento de datos de carcter personal es uno de los
derechos bsicos y principales de los ciudadanos contenidos en la LOPD. Por tanto, si se
van a registrar y tratar datos de carcter personal, ser necesario informar a travs del
medio que se utilice para la recogida.
De este modo, el apartado 1 del artculo 5 de la LOPD nos dice que los interesados a los
que se les soliciten datos de carcter personal debern previamente ser informados de
modo expreso, preciso e inequvoco de los siguientes aspectos:
De la existencia de un fichero o tratamiento de datos de carcter personal, de la

finalidad de la recogida de los datos y de los destinatarios de la informacin.
Del carcter obligatorio o facultativo de su respuesta a las preguntas que se les

planteen.
De las consecuencias de la obtencin de los datos o de la negativa a

suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y

oposicin.
De la identidad y direccin del responsable del tratamiento o, en su caso, de su

representante.
Cuando el responsable del tratamiento no est establecido en el territorio de la Unin

Europea y utilice en el tratamiento de datos medios situados en territorio espaol, deber
designar un representante en Espaa, sin perjuicio de las acciones que pudieren
corresponderle contra el propio responsable del tratamiento.
En el apartado 2 se establece que cuando para la recogida de datos se utilicen
cuestionarios o impresos, debern figurar en ellos en forma claramente legible las
advertencias a que se refiere el apartado anterior.
En el 3 se dispone que no sea necesaria la informacin a que se refieren las letras b, c y
d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los
datos personales que se solicitan o de las circunstancias en que se recaban.
Se refiere el apartado 4 de este artculo al supuesto de que los datos de carcter
personal no hayan sido recabados del interesado. En este caso, ste deber ser
informado de forma expresa, precisa e inequvoca, bien por el responsable del fichero o
bien por su representante, dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiese sido informado con anterioridad del contenido del
tratamiento, de la procedencia de los datos, as como de lo previsto en las letras a, d y e
del apartado 1 del presente artculo.
42
Esto no ser de aplicacin cuando:
La obtencin de dicha informacin haya sido prevista por alguna Ley.
El tratamiento tenga fines histricos, estadsticos o cientficos.
La informacin al interesado se imposible o exija esfuerzos desproporcionados, a

criterio de la Agencia Espaola de Proteccin de Datos o del organismo
autonmico equivalente, en consideracin al nmero de interesados, a la
antigedad de los datos y a las posibles medidas compensatorias.
Los datos procedan de fuentes accesibles al pblico y se destinen a la actividad

de publicidad o prospeccin comercial, en cuyo caso, en cada comunicacin que
se dirija al interesado se le informar del origen de los datos y de la identidad del
responsable del tratamiento as como de los derechos que le asisten.

Este otro principio de la LOPD se recoge en el artculo 6 de dicha norma.
Este principio se basa en que, salvo que la Ley disponga lo contrario, para poder tratar
datos de carcter personal se requerir el consentimiento inequvoco del afectado,
pudiendo ser revocado siempre que exista causa justificada para ello, aunque no tendr
efectos retroactivos.
El consentimiento no ser necesario:
Cuando los datos de carcter personal se recojan para el ejercicio de las

funciones propias de las Administraciones pblicas en el mbito de sus
competencias
Cuando se refieran a las partes de un contrato o precontrato de una relacin

negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
Cuando el tratamiento de los datos tenga por finalidad proteger un inters vital
del interesado.
Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea

necesario para la satisfaccin del inters legtimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado.
Por fuente accesible al pblico debe entenderse, de conformidad con la definicin

contenida en el artculo 3 de la LOPD, aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin ms
exigencia que, en su caso, el abono de una contraprestacin.
43
Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo

promocional, los repertorios telefnicos en los trminos previstos por su normativa
especfica y las listas de personas pertenecientes a grupos de profesionales que
contengan nicamente los datos del nombre, ttulo, profesin, actividad, grado
acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo, tienen el
carcter de fuentes de acceso pblico, los Datos de Boletines oficiales y los medios de
comunicacin.
Aunque no sea necesario el consentimiento del afectado en los caso anteriores y siempre
que una ley no disponga lo contrario ste podr oponerse a su tratamiento cuando
existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal
supuesto, el responsable del fichero excluir del tratamiento los datos relativos al
afectado.
Por su parte el artculo 12 del Reglamento recoge los principios generales que deben
informar la obtencin de este consentimiento:
Es obligacin del responsable del tratamiento.
La solicitud debe referirse al tratamiento o tratamientos concretos a realizar,

delimitando su finalidad.
Solicitado el consentimiento para la cesin de datos, el interesado debe ser

informado inequvocamente de la finalidad a la que se destinarn y la actividad a
desarrollar por el cesionario; en otro caso, el consentimiento ser nulo.
La
prueba
de
la
existencia
del
consentimiento
del
afectado
incumbe
al
Consentimiento para el Tratamiento de Datos de Menores

A este respecto, el Reglamento establece la validez del consentimiento prestado por los
mayores de 14 aos; se excepcionan aquellos casos para los que la Ley exija para su
prestacin la asistencia del titular de su patria potestad. Para los menores de 14 aos es
preceptivo el consentimiento de los padres o tutores.
En todo caso, se prohbe recabar datos de menores a fin de obtener informacin sobre el
resto de su grupo familiar, o sobre los datos relativos a las profesiones de sus
progenitores, informacin econmica, datos sociolgicos, etc, sin el consentimiento de
stos.
Siempre ser obligacin del responsable del fichero o tratamiento garantizar que se ha
comprobado la edad del menor, as como la autenticidad del consentimiento prestado,
en su caso, por los padres, tutores o representantes legales.
44
Cmo Recabar el Consentimiento?

En
cuanto
al
procedimiento
establecido
para
que
el
responsable
obtenga
el
consentimiento (artculo 14 RLOPD), dar comienzo cuando ste se dirija al interesado,

informndole de:
De la existencia de un fichero o tratamiento de datos de carcter personal, de la

finalidad de la recogida de stos y de los destinatarios de la informacin.
Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.

suministrarlos.

oposicin.

representante.
El responsable deber conceder al afectado un plazo de treinta das para manifestar su

negativa al tratamiento, advirtindole de que en caso de no pronunciarse a tal efecto se
entender que consiente el tratamiento de sus datos de carcter personal.
El medio por el que el interesado pueda comunicar su negativa ha de ser sencillo y
gratuito; cita el Reglamento los envo prefranqueados al responsable del tratamiento, la
llamada a un nmero gratuito o los servicios de atencin al pblico.
Cuando el responsable del fichero est prestando al afectado un servicio que genere
informacin peridica o reiterada, o facturacin peridica, la comunicacin podr llevarse
a cabo de forma conjunta a esta informacin o a la facturacin del servicio prestado,
siempre que se realice de forma claramente visible.
Si bien, en todo caso, ser necesario que el responsable del tratamiento pueda conocer
si la comunicacin ha sido objeto de devolucin por cualquier causa, en cuyo caso no
podr proceder al tratamiento de los datos referidos a ese interesado.
Cuando se solicite el consentimiento del interesado a travs del procedimiento
establecido reglamentariamente, no ser posible solicitarlo nuevamente respecto de los
mismos tratamientos y para las mismas finalidades en el plazo de un ao a contar de la
fecha de la anterior solicitud.
No obstante lo anterior, cabe la posibilidad de que el consentimiento sea solicitado en el
marco de una relacin contractual para fines no relacionados directamente con la
misma; en dicho caso, se debe permitir que el interesado manifieste de forma expresa su
negativa al tratamiento o comunicacin de datos.
45
En particular, se entender cumplido tal deber cuando se permita al afectado la

marcacin de una casilla claramente visible y que no se encuentre ya marcada en el
documento que se le entregue para la celebracin del contrato o se establezca un
procedimiento equivalente que le permita manifestar su negativa al tratamiento.
En cuanto a la solicitud del consentimiento para el tratamiento o cesin de los datos de
trfico, facturacin y localizacin en servicios de comunicaciones electrnicas, o su
revocacin, se someter a lo previsto en su legislacin especfica y, en todo aquello que
no resulte contrario, a lo previsto en el RLOPD.
Cmo Revocar el Consentimiento?

Contempla el apartado 3 del artculo 6 de la Ley, la revocacin del consentimiento
cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
A este respecto, establece el Reglamento un sistema similar al de su otorgamiento: un
medio sencillo y gratuito que no implique ingreso alguno para el responsable del fichero
o tratamiento.
En particular, se considerar ajustado al presente reglamento el procedimiento en el que
tal negativa pueda efectuarse, entre otros, mediante un envo prefranqueado al
responsable del tratamiento o la llamada a un nmero telefnico gratuito o a los
servicios de atencin al pblico que el mismo hubiera establecido.
No se considerarn vlidos los supuestos en que el responsable establezca como medio
para que el interesado pueda manifestar su negativa al tratamiento el envo de cartas
certificadas o envos semejantes, la utilizacin de servicios de telecomunicaciones que
implique una tarificacin adicional al afectado o cualesquiera otros medios que
impliquen un coste adicional al interesado.
Desde que dicha revocacin se recibiese, el responsable del fichero o tratamiento
dispone de un plazo de 10 das para cesar en el tratamiento de los datos. Adems, tiene
la obligacin de bloquear los datos conforme establece el artculo 16.3 de la LOPD.
Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmacin
del cese en el tratamiento de sus datos, ste deber responder expresamente a la
solicitud.
A su vez, si los datos hubieran sido cedidos previamente, el responsable del tratamiento,
una vez revocado el consentimiento, deber comunicarlo a los cesionarios, en el plazo de
diez das, para que stos, cesen en el tratamiento de los datos en caso de que an lo
mantuvieran.
46

El artculo 7 de la LOPD se refiere a los datos especialmente protegidos, remitiendo el
apartado 1 de este artculo al apartado 2 del artculo 16 de nuestra Constitucin, al
afirmar que nadie podr ser obligado a declarar sobre su ideologa, religin o creencias.
Cuando en relacin con estos datos se proceda a recabar el consentimiento, se advertir
al interesado acerca de su derecho a no prestarlo.
El apartado 2 del artculo 7 de la LOPD contempla que slo con el consentimiento del
afectado, manifestado de forma expresa y por escrito, podrn ser objeto de tratamiento
los datos de carcter personal relativos a:
La ideologa.
La afiliacin sindical.
La religin.
Las creencias.
Se seala la excepcin de los ficheros mantenidos por los partidos polticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o sindical,
en cuanto a los datos relativos a sus miembros o asociados, sin perjuicio de que la
cesin de dichos datos precisar siempre el previo consentimiento del afectado.
Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida
sexual slo podrn ser recabados, tratados y cedidos cuando, por razones de inters
general, as lo disponga una ley o el afectado consienta expresamente.
Los datos sobre ideologa, afiliacin sindical, religin, creencias, origen racial, salud y
vida sexual podrn ser objeto de tratamiento cuando sea necesario para la prevencin o
diagnstico mdicos, la prestacin de asistencia sanitaria o tratamientos mdicos o la
gestin de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta tambin a
una obligacin de secreto. Estos datos igualmente podrn ser objeto de tratamiento
cuando sea necesario para salvaguardar el inters vital del afectado o de otra persona,
en el supuesto de que el afectado est fsica o jurdicamente incapacitado para dar su
consentimiento.
Establece el apartado 4 de este artculo la prohibicin de los ficheros creados con la
finalidad exclusiva de almacenar datos de carcter personal que revelen la ideologa,
afiliacin sindical, religin, creencias, origen racial o tnico, o vida sexual.
Los datos de carcter personal relativos a la comisin de infracciones penales o
administrativas, slo podrn ser incluidos en ficheros de las Administraciones pblicas
competentes en los supuestos previstos en las respectivas normas reguladoras.
47

Los datos personales relativos a la salud estn tambin especialmente protegidos y su
tratamiento se regula en el artculo 8 de la LOPD, siendo necesario el consentimiento
expreso del afectado para su tratamiento o bien que el tratamiento se realice por razones
de inters general o que as lo disponga una Ley.
Las instituciones y los centros sanitarios pblicos y privados y los profesionales
correspondientes podrn proceder al tratamiento de los datos de carcter personal
relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los
mismos, de acuerdo con lo dispuesto en la legislacin estatal o autonmica sobre
sanidad, sin perjuicio de lo establecido sobre cesin de datos en el artculo 11 de la
LOPD.
La Ley Orgnica de Proteccin de Datos no contiene un concepto de datos de salud a
pesar de referirse de forma expresa a ellos, considerndolos especialmente protegidos y
limitando la posibilidad de su recopilacin y cesin.
Por su parte, el Reglamento de desarrollo de la LOPD, define datos de carcter personal
relacionados con la salud como; las informaciones concernientes a la salud pasada,
presente y futura, fsica o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y
a su informacin gentica.
El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa aade
al respecto de los datos relativos a la salud que debe entenderse que estos datos
comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de
drogas.

El artculo 9 de la LOPD establece la seguridad de los datos como uno de los principios
de la proteccin de datos.
El responsable del fichero, y, en su caso, el encargado del tratamiento debern adoptar
las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de
los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos
almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o
del medio fsico o natural.
Previene el apartado 2 del artculo 9 que no se registrarn datos de carcter personal en
ficheros que no renan las condiciones que se determinen reglamentariamente con
respecto a su integridad y seguridad y a las de los centros de tratamiento, locales,
equipos, sistemas y programas.
48
El apartado 3 remite a la va reglamentaria para establecer los requisitos y condiciones

que deban reunir los ficheros y las personas que intervengan en el tratamiento de los
datos especialmente protegidos.
Por su parte, el RLOPD establece en su Ttulo VIII las medidas de seguridad aplicables al
tratamiento de datos de carcter personal. Para ello establece un primer Captulo comn
a stas, distinguiendo a continuacin las medidas aplicables a ficheros y tratamientos
automatizados y, por otra parte, las medidas aplicables a ficheros y tratamientos no
automatizados.
Estas medidas de seguridad sern objeto de estudio en temas posteriores.
Deber de Secreto
El artculo 10 de la LOPD regula de forma individualizada el deber de secreto de quienes
tratan datos personales, dentro del ttulo II dedicado a los principios de proteccin de
datos, lo que refleja la importancia que el legislador atribuye al mismo. Este deber de
secreto persigue que los datos personales no puedan conocerse por terceros, salvo
cuando as lo contemple la LOPD, como en los supuestos de comunicacin de datos o
acceso a los datos por cuenta de terceros.
Tanto el responsable del fichero como quienes intervengan en cualquier fase del
tratamiento de los datos de carcter personal estn obligados al secreto profesional
respecto de los mismos y al deber de guardarlos.
Estas obligaciones continuarn aun despus de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
Movimiento de Datos
La Comunicacin de Datos a Terceros

El artculo 11 de la LOPD regula la comunicacin de datos.
Slo podrn ser comunicados los datos de carcter personal a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legtimas del cedente
y del cesionario con el previo consentimiento del interesado. Segn el artculo 27 de la
LOPD el responsable del fichero deber informar a los afectados en el momento en que
realice la primera cesin de datos.
Este consentimiento del interesado no ser necesario en los siguientes casos:
Cuando la cesin est autorizada en una ley.
Cuando se trate de datos recogidos en fuentes accesibles al pblico.
49
Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin

jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexin de dicho tratamiento con ficheros de terceros. En este caso la
comunicacin slo ser legtima en cuanto se limite a la fidelidad que la
justifique.
Cuando la comunicacin tenga por destinatario el Defensor del Pueblo, al

Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas.
Tampoco ser preciso el consentimiento cuando la comunicacin tenga como
destinatario a instituciones autonmicas con funciones anlogas al Defensor del
Pueblo o al Tribunal de Cuentas.
Cuando la cesin tenga lugar entre Administraciones pblicas y tenga por objeto
el tratamiento posterior de los datos con fines histricos, estadsticos o
cientficos.
Tampoco cuando la cesin de datos de carcter personal relativos a la salud sea

necesaria para solucionar una urgencia que requiera acceder a un fichero o para
realizar
los
estudios
epidemiolgicos
en
los
trminos
establecidos
en
la
legislacin sobre la sanidad estatal o autonmica.

El apartado 3 decreta la nulidad del consentimiento para la comunicacin de datos de
carcter personal a un tercero cuando la informacin que se facilite al interesado no le
permita conocer la finalidad a que destinarn los datos cuya comunicacin se autoriza o
el tipo de actividad de aquel a quien se pretenden comunicar.
El apartado 4 previene la irrevocabilidad del consentimiento para la comunicacin de los
Aquel a quien se comuniquen los datos de carcter personal se obliga, por el solo hecho
de la comunicacin, a la observancia de las disposiciones de la LOPD.
El apartado 6 establece que no ser aplicable lo dispuesto en los apartados anteriores si
la comunicacin se efecta previo procedimiento de disociacin.
El Acceso a los Datos por Cuenta de Terceros

El acceso a los datos por cuenta de terceros est regulado en el artculo 12 de la LOPD.
Lo primero que nos aclara este artculo es que no se considerar comunicacin de datos
el acceso de un tercero a los datos cuando ste sea necesario para la prestacin de un
servicio al responsable del tratamiento.
50
La realizacin de tratamientos por cuenta de terceros deber estar regulada en un

contrato. Este contrato deber constar por escrito o en alguna otra forma que permita
acreditar su celebracin y contenido, establecindose expresamente los siguientes
aspectos:
El encargado del tratamiento nicamente tratar los datos conforme a las

instrucciones del responsable del tratamiento.
El encargado del tratamiento no los aplicar o utilizar los datos con fin distinto al
que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin,
a otras personas.
Las medidas de seguridad a que se refiere el artculo 9 de la LOPD que el

encargado del tratamiento est obligado a implementar.
Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algn dato de carcter personal objeto del tratamiento.
El artculo 22 del Reglamento aade que no proceder la destruccin de los datos
cuando exista una previsin legal que exija su conservacin, en cuyo caso deber
procederse a la devolucin de los mismos garantizando el responsable del fichero dicha
conservacin.
El encargado del tratamiento conservar, debidamente bloqueados, los datos en tanto
pudieran derivarse responsabilidades de su relacin con el responsable del tratamiento.
En el supuesto de que el encargado del tratamiento destine los datos a otra finalidad, los
utilice o los comunique incumpliendo lo establecido en el contrato, ser considerado
tambin responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
No obstante, el encargado del tratamiento no incurrir en responsabilidad cuando, previa
indicacin expresa del responsable, comunique los datos a un tercero designado por
aqul, al que hubiera encomendado la prestacin de un servicio conforme a lo previsto
en el presente captulo.
La Subcontratacin de Servicios
El encargado del tratamiento no podr subcontratar con un tercero la realizacin de
ningn tratamiento que le hubiera encomendado el responsable del tratamiento, salvo
que hubiera obtenido de ste autorizacin para ello.
En este caso, la contratacin se efectuar siempre en nombre y por cuenta del
51
No obstante, ser posible la subcontratacin sin necesidad de autorizacin siempre y

cuando se cumplan los siguientes requisitos:
Que se especifiquen en el contrato los servicios que puedan ser objeto de

subcontratacin y, si ello fuera posible, la empresa con la que se vaya a
subcontratar.
Cuando no se identificase en el contrato la empresa con la que se vaya a

subcontratar, ser preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratacin.
Que el tratamiento de datos de carcter personal por parte del subcontratista se

ajuste a las instrucciones del responsable del fichero.
Que el encargado del tratamiento y la empresa subcontratista formalicen el

contrato, en los trminos previstos en el artculo anterior.
En este caso, el subcontratista ser considerado encargado del tratamiento, sindole de

aplicacin lo previsto en el artculo 20.3 del reglamento de desarrollo de la LOPD.
Transferencia Internacional de Datos

Este aspecto est regulado tanto en la LOPD (Ttulo V: Movimiento internacional de
datos) como en el Reglamento (Ttulo VI: Transferencias internacionales de datos).
El artculo 33 de la LOPD establece que no podrn realizarse transferencias temporales ni
definitivas de datos de carcter personal que hayan sido objeto de tratamiento o hayan
sido recogidos para someterlos a dicho tratamiento con destino a pases que no
proporcionen un nivel de proteccin equiparable al que presta la LOPD, salvo que,
adems de haberse observado lo dispuesto en sta, se obtenga autorizacin previa del
Director de la Agencia Espaola de Proteccin de Datos, que slo podr otorgarla si se
obtienen garantas adecuadas.
La AEPD es la encargada de evaluar el carcter adecuado de los niveles de proteccin de
cada pas, tomando en consideracin los siguientes aspectos:
La naturaleza de los datos
La finalidad y la duracin del tratamiento o de los tratamientos previstos.
El pas de origen y el pas de destino final.
Las normas de derecho, generales o sectoriales, vigentes en el pas tercero de

que se trate.
El contenido de los informes de la Comisin de la Unin Europea.
Las normas profesionales y las medidas de seguridad en vigor en dichos pases.
52
Si bien, en los siguientes casos no se aplicar todo lo anterior:
Cuando la transferencia internacional de datos de carcter personal resulte de la

aplicacin de tratados o convenios en los que sea parte Espaa.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial

internacional.
Cuando la transferencia sea necesaria para la prevencin o para el diagnstico

mdicos, la prestacin de asistencia sanitaria o tratamiento mdicos o la gestin
de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica.
Cuando el afectado haya dado su consentimiento inequvoco a la transferencia

prevista.
Cuando la transferencia sea necesaria para la ejecucin de un contrato entre el

afectado
el
responsable
del
fichero
para
la
adopcin
de
medidas
precontractuales adoptadas a peticin del afectado.
Cuando la transferencia sea necesaria para la celebracin o ejecucin de un

contrato celebrado o por celebrar, en inters del afectado, por el responsable del
fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda

de un inters pblico. Tendr esta consideracin la transferencia solicitada por
una Administracin fiscal o aduanera para el cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de

un derecho en un proceso judicial.
Cuando la transferencia se efecte, a peticin de persona con inters legtimo,

desde un Registro pblico y aqulla sea acorde con la finalidad del mismo.
Cuando la transferencia tenga como destino un Estado miembro de la Unin

Europea, o un Estado respecto del cual la Comisin de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un
nivel de proteccin adecuado.
53
El artculo 3 de la LOPD define dato de carcter personal como cualquier

informacin concerniente a personas fsicas identificadas o identificables
Uno de los principios de la LOPD es la calidad de los datos, que supone evitar la
recopilacin masiva de datos que se aparte de la necesidad y finalidad para la que
dichos datos pretendan ser utilizados y tratados.
Una vez desaparecida la necesidad del tratamiento de los datos, y por tanto la
necesidad
de
que
permanezcan
almacenados,
debern
ser
cancelados
directamente por el responsable del fichero.
Los datos de carcter personal deben ser exactos y actualizados de forma que en
todo momento expresen la veracidad de la situacin actual del afectado.
Si los datos son inexactos, total o parcialmente, o incompletos, sern cancelados

y sustituidos de oficio por los datos rectificados o completados.
Se prohbe expresamente la recogida de datos por medios fraudulentos, desleales

o ilcitos.
El deber de informacin comprende de modo expreso, preciso e inequvoco hacer

saber al interesado la existencia de un fichero, la finalidad de recogida de los
datos, los destinatarios de la informacin, el ser facultativa u obligatoria la
respuesta, de las consecuencias de la negativa a suministrarlos, de la posibilidad
de ejercer los derechos de acceso, rectificacin, cancelacin y oposicin, y de la
identidad y direccin del responsable del tratamiento.
El consentimiento del interesado podr ser revocado cuando haya causa para ello
y no se le atribuyan efectos retroactivos.
Hay datos personales especialmente protegidos (datos sobre ideologas, religin,

creencias) para los que el consentimiento ser manifestado de forma expresa y
por escrito; tambin los datos que hagan referencia al origen racial, a la salud y a
la vida sexual (cuando lo exija la ley o consienta expresamente el afectado).
Se prohben los ficheros creados con la finalidad exclusiva de almacenar datos

que revelen ideologa, afiliacin sindical, religin, creencias, origen racial o tnico
o vida sexual.
Los datos personales relativos a la salud estn tambin especialmente protegidos

y su tratamiento se regula en el artculo 8 de la LOPD, siendo necesario el
consentimiento
expreso
del
afectado
para
su
tratamiento
bien
que
el
tratamiento se realice por razones de inters general o que as lo disponga una

Ley.
54
Slo podrn ser comunicados los datos de carcter personal a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legtimas del
cedente y del cesionario con el previo consentimiento del interesado.
El artculo 10 de la LOPD regula de forma individualizada el deber de secreto de

quienes tratan datos personales.
La realizacin de tratamientos por cuenta de terceros deber estar regulada en un

contrato.
55
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
56
TEST
1. Qu caractersticas deben tener los datos de carcter personal para cumplir el
principio de calidad?
Exactos, adecuados, pertinentes, no excesivos y actualizados.
Adecuados, pertinentes y no excesivos.
Adecuados y pertinentes.
2. Cundo es necesario el consentimiento del afectado para poder realizar el

tratamiento de sus datos?
Como norma general, aunque existen ciertas excepciones.
En todo caso.
Cuando los datos se encuentren en fuentes accesibles al pblico.
3. Los datos especialmente protegidos:
Son aqullos que se encuentran recogidos en ficheros salvaguardados por

medios materiales y humanos de especial relevancia.
Son los datos de carcter personal pertenecientes a personalidades polticas de

las ms altas instancias.
Son los datos de carcter personal que revelen ideologa, afiliacin sindical,
religin y creencias, etc.
4. La creacin de ficheros con finalidad de almacenar datos de carcter personal que

revelen ideologa, afiliacin sindical, religin, creencias, etc.:
Est regulada por normativa especfica y no por al LOPD.
Est prohibida.
Est permitida para las Administraciones Pblicas.
5. El deber de secreto en el tratamiento de los datos de carcter personal:
Obliga slo al encargado del fichero.
Obliga al responsable del fichero y a todos los que intervengan en cualquier fase
Obliga a estos ltimos hasta que finalice su relacin con el titular del fichero y
del tratamiento de los datos.

con el responsable del mismo.
6. Los datos sobre afiliacin sindical son datos:
De empleo.
Acadmico y profesional.
Especialmente protegidos.
57
58
Ley de Proteccin
de Datos
Introduccin
Derecho a que le sea Recabado su Consentimiento.
Derechos ARCO
Derechos
de
Abonados
Usuarios
de
Comunicaciones
Electrnicas
Derechos de los Destinatarios de Servicios de Comunicaciones

Electrnicas
Objetivos:
Familiarizarse con los derechos ARCO (Acceso, rectificacin,

cancelacin y oposicin).
Identificar el contenido y alcance de cada uno de ellos.

Conocer el resto de derechos y los mecanismos de tutela
relacionados con la proteccin de datos de carcter personal.
59
tema 4
Ejercicio de Derechos
60
Introduccin
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (LOPD) establece en el Ttulo III los derechos de las personas en relacin con el
tratamiento de sus datos personales. Estos derechos y otros contenidos en la legislacin
sobre proteccin de datos son:
Derecho a la informacin.
Derecho de acceso.
Derecho de rectificacin.
Derecho de cancelacin.
Derecho de oposicin.
Derecho de indemnizacin.
Derecho de consulta al Registro General de Proteccin de Datos.
Derecho de impugnacin de valoraciones.
Derecho de exclusin de guas telefnicas.
Derecho a no recibir publicidad no deseada.
Derecho de abonados y usuarios de servicios de telecomunicaciones.
Derecho de los destinatarios de servicios de comunicaciones electrnicas.
El ejercicio de los derechos ARCO (acceso, rectificacin, cancelacin y oposicin) es

personalsimo, es decir, deben ser ejercidos directamente por los interesados o sus
representantes legales ante cada uno de los responsables de los ficheros. Estos
derechos tambin podrn ejercitarse a travs de un representante voluntario, designado
expresamente para el ejercicio del derecho. A su vez, los derechos de acceso,
rectificacin, cancelacin y oposicin son derechos independientes, de tal forma que no
puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el
ejercicio de otro.
El responsable del fichero o tratamiento deber atender la solicitud de acceso,
rectificacin, cancelacin u oposicin ejercida por el afectado an cuando el mismo no
hubiese utilizado el procedimiento establecido especficamente al efecto por aqul,
siempre que el interesado haya utilizado un medio que permita acreditar el envo y la
recepcin de la solicitud, y que sta contenga los elementos siguientes:
61
Nombre y apellidos del interesado; fotocopia de su documento nacional de

identidad, o de su pasaporte u otro documento vlido que lo identifique y, en su
caso, de la persona que lo represente, o instrumentos electrnicos equivalentes;
as
como
el
documento
instrumento
electrnico
acreditativo
de
tal
representacin.
La utilizacin de firma electrnica identificativa del afectado eximir de la
presentacin de las fotocopias del DNI o documento equivalente.
El prrafo anterior se entender sin perjuicio de la normativa especfica aplicable a

la comprobacin de datos de identidad por las Administraciones Pblicas en los
procedimientos administrativos.
Peticin en que se concreta la solicitud.
Direccin a efectos de notificaciones, fecha y firma del solicitante.
Documentos acreditativos de la peticin que formula, en su caso.
En los casos en los que la solicitud no rena estos requisitos, el responsable del fichero
deber solicitar la subsanacin de los mismos. Establece el Reglamento la obligatoriedad
de respuesta para el responsable del tratamiento tanto en el caso de que en sus ficheros
figuren los datos del afectado como en el supuesto de que no figuren.
El ejercicio de los derechos ser mediante medios sencillos y gratuitos, de ah que se
considere contraria a lo dispuesto en la Ley la exigencia de envo de cartas certificadas o
medios similares, as como servicios de telecomunicaciones que impliquen una
tarificacin adicional al afectado.
En aquellos supuestos en los que el responsable del fichero o tratamiento disponga de
servicios de atencin al pblico o para el ejercicio de reclamaciones, stos debern
ponerse a disposicin del afectado para el ejercicio de sus derechos. Y, an en el
supuesto de que el afectado eligiere otro modo de ejercicio de stos diferente al ofertado
por el responsable del fichero o tratamiento, su solicitud ha de ser atendida en todo
caso.
Por ltimo, cuando los afectados ejercitasen sus derechos ante un encargado del
tratamiento, ste tiene la obligacin de dar traslado de la solicitud al responsable, a fin
de que sea resuelta por ste.
62
Se trata de uno de los principio de la proteccin de datos. Si se van a registrar y tratar
datos de carcter personal ser necesario informar a los interesados a travs del medio
que se utilice para recogida de los mismos.
El artculo 5 de la LOPD regula este derecho de los afectados y nos dice que aquellos
interesados a los que se soliciten datos personales debern ser previamente informados
de modo expreso, preciso e inequvoco:
De la existencia de un fichero de tratamiento de datos de carcter personal, de la

finalidad de la recogida de stos y de los destinatarios de la informacin.
Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.

suministrarlos.

oposicin.

representante.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarn en los

mismos, en forma claramente legible estas advertencias.
Derecho a que le Sea Recabado su Consentimiento

La LOPD establece en su artculo 6 que el tratamiento de los datos personales requiere el
consentimiento inequvoco del afectado.
La solicitud del consentimiento deber ir referida a un tratamiento o serie de
tratamientos concretos, con delimitacin de la finalidad para los que se recaba, as como
de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
Cuando se solicite el consentimiento del afectado para la cesin de sus datos, ste
deber ser informado de forma que conozca inequvocamente la finalidad a la que se
destinarn los datos respecto de cuya comunicacin se solicita el consentimiento y el
tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser
nulo.
63
Derechos ARCO
La LOPD dedica los artculos 15, 16 y 17 a los conocidos como
derechos ARCO (Acceso, rectificacin, cancelacin y oposicin).
Por su parte el Reglamento dedica ntegramente el Titulo III a la
regulacin de estos derechos.
Como ya hemos visto con anterioridad, el ejercicio de estos
derechos tiene, entre otras, las siguientes caractersticas:
Carcter personalsimo.
Independencia.
DERECHOSARCO
Acceso
Rectificacin
Cancelacin
Oposicin
Derecho de Acceso
Este derecho est regulado por el artculo 15 de la Ley Orgnica 15/1999, de 13 de

diciembre, de Proteccin de Datos de Carcter Personal, as como por Captulo II del
Reglamento, que reconocen el derecho del afectado a solicitar y obtener gratuitamente
informacin sobre:
Sus datos de carcter personal sometidos a tratamiento.
El origen de dichos datos.
Las comunicaciones realizadas o que se prevn hacer de los mismos.
La finalidad del tratamiento.
Es decir, se entiende este derecho, como la facultad o capacidad que se reconoce al

interesado de recabar informacin de cada una de las empresas u organismo pblico
sobre los datos de carcter personal sometidos a tratamiento, sobre el origen de los
mismos y sobre las cesiones o comunicaciones realizadas o que se prevean realizar.
La informacin podr obtenerse mediante la mera consulta de los datos por medio de su
visualizacin, o la indicacin de los datos que son objeto de tratamiento mediante
escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin
utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos, o
bien, por correo electrnico u otros sistemas de comunicaciones electrnicas y cualquier
otro sistema que sea adecuado a la configuracin o implantacin material del fichero o a
la naturaleza del tratamiento, ofrecido por el responsable.
El derecho de acceso es personalsimo y se ejercer mediante solicitud o peticin,
formulada mediante cualquier medio que garantice la identificacin del afectado (D.N.I. o
documento anlogo) y en la que conste el fichero o ficheros a consultar. Esta peticin, a
su vez, deber contener el domicilio a efectos de notificaciones, fecha y firma del
solicitante.
64
El ejercicio del derecho de acceso slo podr ejercerse a intervalos no inferiores a doce
meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr
ejercitarse antes.
El artculo 29 del Reglamento dispone que el responsable del fichero resuelva sobre la
solicitud de acceso en el plazo mximo de un mes a contar desde la recepcin de la
misma. Transcurrido el plazo sin que de forma expresa se responda a la peticin de
acceso, el interesado podr ponerlo en conocimiento de la Agencia Espaola de
Proteccin de Datos o, en su caso, del organismo competente de cada Comunidad
Autnoma, que deber asegurarse de la procedencia o improcedencia de la denegacin.
Con el fin de evitar posibles reclamaciones ante la Agencia Espaola de Proteccin de
Datos, por vencimiento del plazo indicado sin resolucin alguna, el responsable del
fichero deber contestar la solicitud que se le dirija, con independencia de que figuren, o
no, datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que
permita acreditar el envo y la recepcin.
La informacin que se proporcione, cualquiera que sea el soporte en que fuere facilitada,
se dar en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de
dispositivos mecnicos especficos y comprender todos los datos de base del afectado,
los resultantes de cualquier elaboracin o proceso informtico, as como la informacin
disponible sobre el origen de los datos, los cesionarios de los mismos y la especificacin
de los concretos usos y finalidades para los que se almacenaron los datos.
Si, estimada la solicitud, no se acompaa a su comunicacin la informacin pretendida,
el acceso se har efectivo durante los 10 siguientes a la misma.
No obstante, cabe la posibilidad de que nuestra solicitud de acceso sea denegada, lo
cual suceder si hemos ejercitado nuestro derecho en los doce meses anteriores, si bien
como excepcin a ello, se nos permite alegar un inters legtimo al efecto.
Podr tambin denegarse el acceso en los supuestos en que as lo prevea una Ley o una
norma de derecho comunitario de aplicacin directa o cuando stas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la
tutela de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades
de control de las comunidades autnomas.
La Ley considera el derecho de acceso como independiente respecto de los derechos de
rectificacin y cancelacin, de tal forma que no puede entenderse el ejercicio de ninguno
de ellos como requisito previo para el ejercicio de otro.
El Reglamento establece una serie de disposiciones aplicables a determinados ficheros
de titularidad privada. As, con respecto a los ficheros de informacin sobre solvencia
patrimonial y crdito, dispone el artculo 44 del citado Texto que el ejercicio del derecho
de acceso, respecto de la inclusin de datos del afectado, debe tener en cuenta las
siguientes reglas:
65
Si la solicitud se dirigiera al titular del fichero comn, ste deber comunicar al

afectado todos los datos relativos al mismo que obren en el fichero. En este caso,
el titular del fichero comn deber, adems de dar cumplimiento a lo establecido
en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el
afectado se hayan comunicado en los ltimos seis meses y el nombre y direccin
de los cesionarios.
Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema,

deber comunicar al afectado todos los datos relativos al mismo a los que ella
pueda acceder, as como la identidad y direccin del titular del fichero comn
para que pueda completar el ejercicio de su derecho de acceso.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el

artculo 50 del Reglamento establece que habr que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.
Derecho de Rectificacin
diciembre, de Proteccin de Datos de Carcter Personal y se define en el artculo 31 del
Reglamento como el derecho del afectado a que se modifiquen los datos que resulten
ser inexactos o incompletos.
El ejercicio de este derecho es personalsimo, por lo que el titular de los datos deber
dirigirse directamente al responsable del fichero de la entidad de que se trate. Como
hemos visto en los supuestos anteriores deber utilizar un medio que permita acreditar
el envo y recogida de su solicitud, acompaando copia del DNI.
La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya
de realizarse y deber ir acompaada de la documentacin justificativa de lo solicitado.
El responsable del tratamiento dispone de un plazo de 10 das para hacer efectivo este
derecho.
Transcurrido
este
plazo,
sin
recibir
contestacin
si
esta
resultase
insatisfactoria, el interesado deber reclamar ante la Agencia de Proteccin de Datos.

En el caso de que no disponga de datos de carcter personal del afectado deber
igualmente comunicrselo en el mismo plazo.
Si los datos rectificados hubieran sido cedidos previamente, el responsable del fichero
deber notificar la rectificacin efectuada al cesionario.
Podr denegarse el derecho de rectificacin en los supuestos en que as lo prevea una
ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al
66
En cuanto al ejercicio del derecho de rectificacin ante ficheros de informacin sobre

solvencia patrimonial y crdito, el artculo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que sta la resuelva.
En el caso de que el responsable del fichero comn no haya recibido contestacin
por parte de la entidad en el plazo de siete das, proceder a la rectificacin
cautelar de los mismos.
Si la solicitud se dirige a quien haya facilitado los datos al fichero comn

proceder a la rectificacin de los mismos en sus ficheros y a notificarlo al titular
del fichero comn en el plazo de diez das, dando asimismo respuesta al
interesado en los trminos previstos en el artculo 33 del Reglamento.
Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera

facilitado al fichero comn los datos, dicha entidad informar al afectado sobre
este hecho en el plazo mximo de diez das, proporcionndole, adems, la
identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.

artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
derecho.
Derecho de Cancelacin
diciembre, de Proteccin de Datos de Carcter Personal y se concreta en el artculo 31
del Reglamento, que nos dice que el ejercicio del derecho de cancelacin dar lugar a
que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del
deber de bloqueo conforme a este reglamento.
A su vez sern cancelados, en su caso, los datos de carcter personal cuyo tratamiento
no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten
inexactos o incompletos.
La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a
disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de
las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin
de stas. Cumplido el citado plazo deber procederse a la supresin.
67
Para ejercer el derecho de cancelacin el titular de los datos deber dirigirse por escrito
al responsable del fichero de la entidad de que se trate indicando a que datos se refiere
y, acompaando dicho escrito con una copia del DNI del solicitante, siendo necesario
utilizar cualquier medio que permita acreditar el envo y la recogida de su solicitud.
El responsable del tratamiento dispone de un plazo de 10 das para hacer efectivo este
derecho.
Transcurrido
este
plazo,
sin
recibir
contestacin
si
esta
resultase
insatisfactoria, el interesado deber reclamar ante la Agencia de Proteccin de Datos.

En el caso de que no disponga de datos de carcter personal del afectado deber
igualmente comunicrselo en el mismo plazo.
Si los datos cancelados hubieran sido cedidos previamente, el responsable del fichero
deber notificar la cancelacin efectuada al cesionario.
Podr denegarse el derecho de cancelacin en los supuestos en que as lo prevea una
ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al
A su vez, la cancelacin no proceder cuando los datos de carcter personal deban ser
conservados durante los plazos previstos en las disposiciones aplicables o, en su caso,
en las relaciones contractuales entre la persona o entidad responsable del tratamiento y
el interesado que justificaron el tratamiento de los datos.
El afectado al que se deniegue este derecho podr ponerlo en conocimiento del Director
de la Agencia Espaola de Proteccin de Datos, que se asegurar de la procedencia o
improcedencia de la denegacin.
En cuanto al ejercicio del derecho de oposicin ante ficheros de informacin sobre
solvencia patrimonial y crdito, el artculo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que sta la resuelva. En el caso de que el responsable del fichero comn no
haya recibido contestacin por parte de la entidad en el plazo de siete das,
proceder a la cancelacin cautelar de los mismos.
Si la solicitud se dirige a quien haya facilitado los datos al fichero comn

proceder a la cancelacin de los mismos en sus ficheros y a notificarlo al titular
del fichero comn en el plazo de diez das, dando asimismo respuesta al
interesado en los trminos previstos en el artculo 33 del Reglamento.
Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera

facilitado al fichero comn los datos, dicha entidad informar al afectado sobre
este hecho en el plazo mximo de diez das, proporcionndole, adems, la
identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
68

artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
derecho.
Derecho de Oposicin
Los titulares de los datos de carcter personal podrn instar la oposicin al tratamiento
automatizado de estos datos de conformidad con lo previsto por el artculo 6 de la
LOPD.
El artculo 34 del Reglamento define el derecho de oposicin como el derecho del
afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se
cese en el mismo en los siguientes supuestos:
Cuando
no
sea
necesario
su
consentimiento
para
el
tratamiento,
como
consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su

concreta situacin personal, que lo justifique, siempre que una Ley no disponga
lo contrario.
Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades

de publicidad y prospeccin comercial, en los trminos previstos en el artculo 51
del Reglamento, cualquiera que sea la empresa responsable de su creacin.
Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al

afectado y basada nicamente en un tratamiento automatizado de sus datos de
carcter personal, en los trminos previstos en el artculo 36 del Reglamento.
El derecho de oposicin se ejercitar mediante solicitud dirigida al responsable del

fichero. Cuando la oposicin se fundamente en el supuesto que no sea necesario el
consentimiento para el tratamiento, en la solicitud constarn los motivos fundados y
legtimos, relativos a la situacin personal del afectado, y que sirven de base a este
derecho.
Las solicitudes sern resueltas en el plazo de 10 das, a contar desde la recepcin de la
solicitud. Transcurrido dicho plazo sin que la misma haya sido notificada, el afectado
podr interponer la reclamacin que prev el artculo 18 de la LOPD. En el caso de que
no disponga de datos de carcter personal de los afectados deber igualmente
comunicrselo en el mismo plazo.
El responsable del fichero o tratamiento deber excluir del tratamiento los datos
relativos al afectado que ejercite su derecho de oposicin o denegar motivadamente la
solicitud del interesado en el plazo previsto de 10 das.
69
Establece el artculo 36 del Reglamento el derecho de oposicin que asiste a los

interesados de no verse sometidos a una decisin con efectos jurdicos sobre ellos o que
les afecte de forma significativa, basada nicamente en le tratamiento automatizado de
datos destinado a evaluar determinados aspectos de su personalidad, tales como su
rendimiento laboral, crdito, fiabilidad o conducta.
En lo que respecta a tratamientos para actividades de publicidad y prospeccin
comercial, dispone el artculo 51 del Reglamento que los interesados tendrn derecho a
oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan,
en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que
sobre ellos figuren en aqul, a su simple solicitud.
Esta oposicin deber entenderse sin perjuicio del derecho del interesado a revocar
cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su caso, para
el tratamiento de los datos.
Dispone el Reglamento que para el ejercicio de este derecho el afectado debe contar con
un medio sencillo y gratuito para oponerse al tratamiento, citando el correo electrnico o
la llamada a un nmero de telfono gratuito.
Si el derecho de oposicin se ejercitase ante una entidad que hubiera encomendado a
un tercero la realizacin de una campaa publicitaria, aqulla estar obligada, en el
plazo de 10 das, desde la recepcin de la comunicacin de la solicitud de ejercicio de
derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el
mismo atienda el derecho del afectado en el plazo de diez das desde la recepcin de la
comunicacin, dando cuenta de ello al afectado.
El artculo 19 de la LOPD establece que los interesados que, como consecuencia del
incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del
tratamiento, sufran dao o lesin en sus bienes o derechos tendrn derecho a ser
indemnizados.
A estos efectos, la Agencia de Proteccin de Datos no tiene capacidad para fijar dicha
indemnizacin, por lo que se deber plantear su reclamacin tal y como establece el
artculo 19 de la Ley:
En el caso de ficheros de titularidad pblica, la responsabilidad se exigir de

acuerdo con la legislacin reguladora del rgimen de responsabilidad de las
Administraciones Pblicas.
En el caso de los ficheros de titularidad privada, la accin se ejercitar ante los

rganos de la jurisdiccin ordinaria
70

El artculo 13 de la LOPD establece que, los ciudadanos tienen derecho a no verse
sometidos a una decisin con efectos jurdicos, sobre ellos o que les afecten de manera
significativa, que se base nicamente en un tratamiento de datos destinados a evaluar a
determinados aspectos de su personalidad.
Por lo tanto, el afectado podr impugnar los actos administrativos o decisiones privadas
que impliquen una valoracin de su comportamiento, cuyo nico fundamento sea un
tratamiento
de
datos
de
carcter
personal
que
ofrezca
una
definicin
de
sus
caractersticas o personalidad.
En este caso el afectado tiene derecho a ser informado por el responsable del fichero a
cerca de los criterios de valoracin y el programa utilizado en el tratamiento por el cual
se adopt tal decisin.
La valoracin sobre el comportamiento de los ciudadanos, basada en un tratamiento de
datos, nicamente podr tener valor probatorio a peticin del afectado.
No obstante, los afectados podrn verse sometidos a una de estas decisiones con
efectos jurdicos cuando dicha decisin:
Se haya adoptado en el marco de la celebracin o ejecucin de un contrato a

peticin del interesado, siempre que se le otorgue la posibilidad de alegar lo que
estimara pertinente, a fin de defender su derecho o inters. En todo caso, el
responsable del fichero deber informar previamente al afectado, de forma clara y
precisa, de que se adoptarn estas decisiones y cancelar los datos en caso de
que no llegue a celebrarse finalmente el contrato.
Est autorizada por una norma con rango de Ley que establezca medidas que
garanticen el inters legtimo del interesado.

De conformidad con lo establecido en el artculo 3.j de la LOPD, los datos telefnicos
bsicos que figuran en los repertorios telefnicos se consideran accesibles al pblico,
pudiendo recabarse los mismos sin el consentimiento expreso del interesado.
Por lo tanto, para que los datos personales de un afectado no aparezcan en los
repertorios telefnicos, ste deber manifestar el deseo de que sus datos sean excluidos
de los mismos.
Dicha solicitud debe hacerse efectiva en la edicin siguiente a cuando se haya instado,
si se trata de formato papel, y en el plazo de 10 das si se trata de soportes electrnicos.
Las fuentes de acceso pblico que se editen en forma de libro o algn otro soporte
fsico, perdern el carcter de fuente accesible con la nueva edicin que se publique, es
decir, las guas telefnicas de aos anteriores no se consideraran fuentes accesibles.
71

El artculo 30 de la LOPD regula este derecho en el siguiente sentido:
Quienes se dediquen a la recopilacin de direcciones, reparto de documentos,

publicidad, venta a distancia, prospeccin comercial y otras actividades anlogas,
utilizarn nombres y direcciones u otros datos de carcter personal cuando los
mismos figuren en fuentes accesibles al pblico o cuando hayan sido facilitados
por los propios interesados u obtenidos con su consentimiento.
Cuando los datos procedan de fuentes accesibles al pblico, de conformidad con

lo establecido en el prrafo segundo del artculo 5.5 de la LOPD, en cada
comunicacin que se dirija al interesado se informar del origen de los datos y de
la identidad del responsable del tratamiento, as como de los derechos que le
asisten.
En el ejercicio del derecho de acceso los interesados tendrn derecho a conocer el

origen de sus datos de carcter personal, as como del resto de informacin a que
se refiere el artculo 15 de la LOPD.
Los interesados tendrn derecho a oponerse, previa peticin y sin gastos, al

tratamiento de los datos que les conciernan, en cuyo caso sern dados de baja
del tratamiento, cancelndose las informaciones que sobre ellos figuren en aqul,
a su simple solicitud.
Derechos de Abonados y Usuarios de Comunicaciones

Electrnicas
Segn el artculo 38 de la Ley General de Telecomunicaciones, los abonados a los
servicios de comunicaciones electrnicas tienen los siguientes derechos:
A que se hagan annimos o se cancelen sus datos de trfico cuando ya no sean

necesarios a los efectos de la transmisin de una comunicacin.
Los datos de trfico necesarios a efectos de la facturacin de los abonados y los
pagos de las interconexiones podrn ser tratados nicamente hasta que haya
expirado el plazo para la impugnacin de la factura del servicio o para que el
operador pueda exigir su pago.
A que sus datos de trfico sean utilizados con fines comerciales o para la
prestacin de servicios de valor aadido nicamente cuando hubieran prestado
su consentimiento previo informado para ello.
A recibir facturas no desglosadas cuando as lo solicitasen.
72
A que slo se proceda al tratamiento de sus datos de localizacin distintos a los

datos de trfico cuando se hayan hecho annimos o previo su consentimiento
informado y nicamente en la medida y por el tiempo necesarios para la
prestacin, en su caso, de servicios de valor aadido, con conocimiento
inequvoco de los datos que vayan a ser sometidos a tratamiento, la finalidad y
duracin del mismo y el servicio de valor aadido que vaya a ser prestado.
A detener el desvo automtico de llamadas efectuado a su terminal por parte de

un tercero.
A impedir, mediante un procedimiento sencillo y gratuito, la presentacin de la

identificacin de su lnea en las llamadas que genere o la presentacin de la
identificacin de su lnea al usuario que le realice una llamada.
A impedir, mediante un procedimiento sencillo y gratuito, la presentacin de la

identificacin de la lnea de origen en las llamadas entrantes y a rechazar las
llamadas entrantes en que dicha lnea no aparezca identificada.
A no recibir llamadas y comunicaciones automticas sin intervencin humana, o

mensajes de fax con fines de venta directa sin haber prestado su consentimiento
previo e informado para ello.
Los usuarios de los servicios de comunicaciones electrnicas que no tengan la

condicin de abonados tendrn asimismo los derechos reconocidos en los prrafos a, b,
d y en el primer inciso del prrafo f.
Los usuarios finales no podrn ejercer los derechos reconocidos en los prrafos d y f
cuando se trate de llamadas efectuadas a entidades que presten servicios de llamadas
de urgencia que se determinen reglamentariamente, en especial a travs del nmero
112.
Del mismo modo, y por un perodo de tiempo limitado, los usuarios finales no podrn
ejercer el derecho reconocido en el prrafo f cuando el abonado a la lnea de destino
haya solicitado la identificacin de las llamadas maliciosas o molestas realizadas a su
lnea.
Derechos de los Destinatarios

Comunicaciones Electrnicas
de
Servicios
de
Estos se regulan por los artculos 21 y 22 de la Ley de Servicios de la Sociedad de la

Informacin y de Comercio Electrnico, conforme a la redaccin dada por la Disposicin
Final Primera de la Ley 32/2003, General de Telecomunicaciones.
Estos derechos son los siguientes:
73
Queda prohibido el envo de comunicaciones publicitarias o promocionales por

correo electrnico u otro medio de comunicacin electrnica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas. ste precepto no ser de aplicacin cuando exista
una relacin contractual previa, siempre que el prestador hubiera obtenido de
forma lcita los datos de contacto del destinatario y los empleara para el envo de
comunicaciones comerciales referentes a productos o servicios de su propia
empresa que sean similares a los que inicialmente fueron objeto de contratacin
con el cliente.
En todo caso, el prestador deber ofrecer al destinatario la posibilidad de

oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos
como en cada una de las comunicaciones comerciales que le dirija. Cuando las
comunicaciones hubieran sido remitidas por correo electrnico, dicho medio
deber consistir necesariamente en la inclusin de una direccin electrnica
vlida donde pueda ejercitarse este derecho, quedando prohibido el envo de
comunicaciones que no incluyan dicha direccin.
El destinatario podr revocar en cualquier momento el consentimiento prestado a

la recepcin de comunicaciones comerciales con la simple notificacin de su
voluntad al remitente. A tal efecto, los prestadores de servicios debern habilitar
procedimientos sencillos y gratuitos para que los destinatarios de servicios
puedan
revocar
el
consentimiento
que
hubieran
prestado.
Cuando
las
comunicaciones hubieran sido remitidas por correo electrnico dicho medio

deber consistir necesariamente en la inclusin de una direccin electrnica
vlida donde pueda ejercitarse este derecho quedando prohibido el envo de
comunicaciones que no incluyan dicha direccin. Asimismo, debern facilitar
informacin accesible por medios electrnicos sobre dichos procedimientos.
Los prestadores de servicios podrn utilizar dispositivos de almacenamiento y

recuperacin de datos en equipos terminales de los destinatarios, a condicin de
que los mismos hayan dado su consentimiento despus de que se les haya
facilitado informacin clara y completa sobre su utilizacin, en particular, sobre
los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal. Cuando sea tcnicamente posible y eficaz, el consentimiento del
destinatario para aceptar el tratamiento de los datos podr facilitarse mediante el
uso de los parmetros adecuados del navegador o de otras aplicaciones, siempre
que
aqul
deba
proceder
su
configuracin
durante
su
instalacin
actualizacin mediante una accin expresa a tal efecto. Lo anterior no impedir el

posible almacenamiento o acceso de ndole tcnica al solo fin de efectuar la
transmisin de una comunicacin por una red de comunicaciones electrnicas o,
en la medida que resulte estrictamente necesario, para la prestacin de un
servicio de la sociedad de la informacin expresamente solicitado por el
destinatario.
74

Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de reclamacin
por los interesados ante la Agencia Espaola de Proteccin de Datos.
El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de
oposicin, acceso, rectificacin o cancelacin, podr ponerlo en conocimiento de la
Agencia Espaola de Proteccin de Datos o, en su caso, del organismo competente de
cada Comunidad Autnoma, que deber asegurarse de la procedencia o improcedencia
de la denegacin.
En este caso, el plazo mximo en que debe dictarse la resolucin expresa de tutela de
derechos ser de seis meses.
Contra las resoluciones de la Agencia Espaola de Proteccin de Datos proceder
recurso contencioso-administrativo.
75
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter

Personal (LOPD) establece en el Ttulo III los derechos de las personas en relacin
con el tratamiento de sus datos personales.
El ejercicio de los derechos ARCO (acceso, rectificacin, cancelacin y oposicin)

es personalsimo, es decir, deben ser ejercidos directamente por los interesados o
sus representantes legales ante cada uno de los responsables de los ficheros.
Estos derechos tambin podrn
ejercitarse a travs de un representante
voluntario, designado expresamente para el ejercicio del derecho.
Los derechos de acceso, rectificacin, cancelacin y oposicin son derechos

independientes, de tal forma que no puede entenderse que el ejercicio de ninguno
de ellos sea requisito previo para el ejercicio de otro.
El ejercicio de los derechos ser mediante medios sencillos y gratuitos.

Si se van a registrar y tratar datos de carcter personal ser necesario informar a
los interesados a travs del medio que se utilice para recogida de los mismos.
La LOPD establece que el tratamiento de los datos personales requiere el

consentimiento inequvoco del afectado.
El interesado podr recabar informacin de cada una de las empresas u

organismo pblico sobre los datos de carcter personal sometidos a tratamiento,
sobre el origen de los mismos y sobre las cesiones o comunicaciones realizadas o
que se prevean realizar.
La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin

que haya de realizarse y deber ir acompaada de la documentacin justificativa
de lo solicitado.
El ejercicio del derecho de cancelacin dar lugar a que se supriman los datos
que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo
conforme a este reglamento.
Los titulares de los datos de carcter personal podrn instar la oposicin al

tratamiento automatizado de estos datos de conformidad con lo previsto por el
artculo 6 de la LOPD.
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la

LOPD por el responsable o el encargado del tratamiento, sufran dao o lesin en
sus bienes o derechos tendrn derecho a ser indemnizados.
Los ciudadanos tienen derecho a no verse sometidos a una decisin con efectos
jurdicos, sobre ellos o que les afecten de manera significativa, que se base
nicamente en un tratamiento de datos destinados a evaluar a determinados
aspectos de su personalidad.
76
Los datos telefnicos bsicos que figuran en los repertorios telefnicos se

consideran
accesibles
al
pblico,
pudiendo
recabarse
los
mismos
sin
el
consentimiento expreso del interesado.
Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de

reclamacin por los interesados ante la Agencia Espaola de Proteccin de Datos.
Contra las resoluciones de la Agencia Espaola de Proteccin de Datos proceder

recurso contencioso-administrativo.
77
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
78
TEST
1. El Derecho de consulta al Registro de Proteccin de Datos:
Es pblico y gratuito.
No comprende la consulta sobre la identidad del responsable del tratamiento.
Su ejercicio es pblico aunque hay que abonar la tasa correspondiente.
2. El derecho de los interesados a conocer los datos personales que tiene una empresa
u organismo pblico y la forma en que lo ha obtenido se denomina:
Derecho de consulta del Registro General de Proteccin de Datos.
Derecho de acceso.
Derecho de oposicin.
3. Qu es el derecho de impugnacin de valoraciones?
Los ciudadanos tienen derecho a no verse sometidos a una decisin con efectos
jurdicos, sobre ellos o que les afecten de manera significativa, que se base
nicamente en un tratamiento de datos destinados a evaluar a determinados
aspectos de su personalidad.
El derecho de cualquier ciudadano que haya sufrido daos o lesiones en sus

bienes o derechos como consecuencia del incumplimiento de lo LOPD por parte
del responsable del fichero.
4. Por medio del derecho de rectificacin:
El responsable del tratamiento est obligado a hacerlo efectivo en un plazo no

superior a treinta das.
Los titulares de los datos de carcter personal podrn instar la oposicin al

tratamiento automatizado de estos datos.
El responsable del tratamiento est obligado a llevarlo a cabo en el plazo de diez

das.
5. La Ley Orgnica 15/1999, de Proteccin de Datos:
Establece en su Ttulo III los procedimientos para el ejercicio de los derechos de

oposicin, acceso, rectificacin y cancelacin.
Dispone que estos procedimientos sern establecidos reglamentariamente.
No habla del procedimiento a seguir, por lo que habr que acudir al juicio
declarativo ordinario.
6. Cuando a un interesado se le deniegue el ejercicio de los derechos de oposicin,

acceso, rectificacin o cancelacin:
Podr ponerlo en conocimiento de la Agencia Espaola de Proteccin de Datos.
Podr
interponer
directamente
el
correspondiente
recurso
contencioso-
administrativo.
Tendr que repetir la solicitud del ejercicio del derecho de que se trate y, si se le
deniega nuevamente, podr acudir a la justicia ordinaria.
79
80
Ley de Proteccin
de Datos
Introduccin
Objetivos:
Conocer el contenido del documento de seguridad.
Diferenciar los distintos niveles de medidas de seguridad y su

aplicacin.
Familiarizarse con el modelo de documento de seguridad de la

Agencia Espaola de Proteccin de Datos.
81
tema 5
Medidas de Seguridad
82
Introduccin
El artculo 9 de la Ley Orgnica de Proteccin de Datos de Carcter Personal establece
que el responsable del fichero, y, en su caso, el encargado del tratamiento debern
adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la
seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los
datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin
humana o del medio fsico o natural.
No se registrarn datos de carcter personal en ficheros que no renan las condiciones
determinadas por va reglamentaria con respecto a su integridad y seguridad y a las de
los centros de tratamiento, locales, equipos, sistemas y programas.
Igualmente se apela al desarrollo reglamentario de los requisitos y condiciones que
deben reunir los ficheros y las personas que intervengan en el tratamiento de los datos a
los que alude el artculo 7 de la misma Ley: datos especialmente protegidos.
En desarrollo del artculo 9 de la LOPD, el nuevo reglamento establece que el
responsable del fichero o tratamiento elaborar un documento de seguridad que
recoger las medidas de ndole tcnica y organizativa acordes a la normativa de
seguridad vigente que ser de obligado cumplimiento para el personal con acceso a los
sistemas de informacin.
El documento de seguridad podr ser nico y comprensivo de todos los ficheros o
tratamientos, o bien individualizado para cada fichero o tratamiento.
Tambin podrn elaborarse distintos documentos de seguridad agrupando ficheros o
tratamientos segn el sistema de tratamiento utilizado para su organizacin, o bien
atendiendo a criterios organizativos del responsable. En todo caso, tendr el carcter de
documento interno de la organizacin.
Este documento de seguridad deber cumplir una mayor o menor cantidad de requisitos
para garantizar la confidencialidad y la integridad de la informacin en funcin del tipo
de datos que contenga el fichero. Es decir, el nivel de seguridad de este documento
variar en funcin de la naturaleza de los datos.

El artculo 80 del Reglamento establece 3 niveles de seguridad: bsico, medio y alto. Las
medidas establecidas para cada uno de los ficheros o tratamiento tienen la condicin de
mnimos exigibles.
83
Nivel Bsico
Este nivel de seguridad se aplica a todos aquellos ficheros que incluyan datos de
carcter personal.
Nivel Medio
Este nivel de seguridad se aplica en los siguientes ficheros o tratamientos de datos de
carcter personal:
Los relativos a la comisin de infracciones administrativas o penales.
Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley Orgnica

15/1999, de 13 de diciembre (prestacin de servicios sobre solvencia patrimonial
y de crdito).
Aquellos de los que sean responsables Administraciones tributarias y se

relacionen con el ejercicio de sus potestades tributarias.
Aqullos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestacin de servicios financieros.
Aqullos de los que sean responsables las Entidades Gestoras y Servicios

Comunes de la Seguridad Social y se relacionen con el ejercicio de sus
competencias. De igual modo, aquellos de los que sean responsables las mutuas
de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan

una definicin de las caractersticas o de la personalidad de los ciudadanos y que
permitan
evaluar
determinados
aspectos
de
la
personalidad
del
comportamiento de los mismos.

A estos ficheros tambin se les aplicarn las medidas de seguridad del nivel bsico.
Nivel Alto
Este nivel de seguridad se aplica a los siguientes ficheros o tratamientos de datos de
carcter personal:
Los que se refieran a datos de ideologa, afiliacin sindical, religin, creencias,

origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
Aqullos que contengan datos derivados de actos de violencia de gnero.
84
A estos ficheros tambin se les aplicarn las medidas de seguridad de nivel bsico y
medio. A los ficheros de los que sean responsables los operadores que presten servicios
de comunicaciones electrnicas disponibles al pblico o exploten redes pblicas de
comunicaciones electrnicas respecto a los datos de trfico y a los datos de localizacin,
se aplicarn, adems de las medidas de seguridad de nivel bsico y medio, la medida de
seguridad de nivel alto contenida en el artculo 103 de este reglamento, relativa al
registro de acceso.
En caso de ficheros o tratamientos de datos de ideologa, afiliacin sindical, religin,
creencias, origen racial, salud o vida sexual bastar la implantacin de las medidas de
seguridad de nivel bsico cuando:
Los datos se utilicen con la nica finalidad de realizar una transferencia dineraria
a las entidades de las que los afectados sean asociados o miembros.
Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se

contengan aquellos datos sin guardar relacin con su finalidad.
Tambin podrn implantarse las medidas de seguridad de nivel bsico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al
grado de discapacidad o la simple declaracin de la condicin de discapacidad o
invalidez del afectado, con motivo del cumplimiento de deberes pblicos.

El artculo 88 del Reglamento establece el contenido mnimo de los documentos de
seguridad en funcin del nivel de seguridad aplicable al fichero.
Documentos de Seguridad de Nivel Bsico

El documento de seguridad deber contener, como mnimo, los siguientes aspectos:
mbito de aplicacin del documento: se debe especificar de forma detallada los

recursos que estarn protegidos y a que fichero o ficheros es de aplicacin dicho
documento.
Medidas,
normas,
procedimientos
de
actuacin,
reglas
estndares
encaminados a garantizar el nivel de seguridad exigido: se detallarn aquellas

medidas y procedimientos que el responsable del fichero va a aplicar para cumplir
las medidas de seguridad exigidas.
Funciones y obligaciones del personal en relacin con el tratamiento de los datos

de carcter personal incluidos en los ficheros.
Estructura de los ficheros con datos de carcter personal y descripcin de los

sistemas de informacin que los tratan: se especificar la estructura interna de
cada fichero y la descripcin del contenido de los ficheros, soportes y equipos
que se empleen para el almacenamiento y tratamiento de datos.
85
Procedimiento de notificacin, gestin y respuesta ante las incidencias.
Procedimientos de realizacin de copias de respaldo y de recuperacin de los

datos en los ficheros o tratamientos automatizados.
Las medidas que sea necesario adoptar para el transporte de soportes y

documentos, as como para la destruccin de los documentos y soportes, o en su
caso, la reutilizacin de estos ltimos.
Documentos de Seguridad de Nivel Medio y Alto

En los documentos de seguridad de nivel medio y alto, adems de todos los contenidos
aplicables a los documentos de seguridad de nivel bsico, se debe incluir:
La identificacin del responsable o responsables de seguridad.
Los controles peridicos que se deban realizar para verificar el cumplimiento de lo

dispuesto en el propio documento.
Otros Contenidos
En el caso de que exista un tratamiento de datos por cuenta de terceros, el documento
de seguridad deber contener la identificacin de los ficheros o tratamientos que se
traten en concepto de encargado con referencia expresa al contrato o documento que
regule las condiciones del encargo, as como de la identificacin del responsable y del
perodo de vigencia del encargo.
Cuando los datos personales de un fichero o tratamiento se incorporen y traten de modo
exclusivo en los sistemas del encargado, el responsable deber anotarlo en su
documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de
los ficheros o tratamientos del responsable, podr delegarse en el encargado la llevanza
del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en
recursos propios. Este hecho se indicar de modo expreso en el contrato celebrado al
amparo del artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, con
especificacin de los ficheros o tratamientos afectados.
En tal caso, se atender al documento de seguridad del encargado al efecto del
cumplimiento de lo dispuesto por este reglamento.
El documento de seguridad deber mantenerse en todo momento actualizado y ser
revisado siempre que se produzcan cambios relevantes en el sistema de informacin, en
el sistema de tratamiento empleado, en su organizacin, en el contenido de la
informacin incluida en los ficheros o tratamientos o, en su caso, como consecuencia de
los controles peridicos realizados. En todo caso, se entender que un cambio es
relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad
implantadas.
El contenido del documento de seguridad deber adecuarse, en todo momento, a las
disposiciones vigentes en materia de seguridad de los datos de carcter personal.
86
Medidas de Seguridad de Nivel Bsico

Estn reguladas en la Seccin I del Captulo III del Reglamento y son las siguientes:
Funciones y obligaciones del personal: el personal que tenga acceso a los datos
de carcter personal ser informado por el responsable del fichero sobre las
normas de seguridad que afecten al desarrollo de sus funciones, as como de las
consecuencias que se deriven de su incumplimiento. Dichas funciones y
responsabilidades debern estar claramente definidas en el documento de
seguridad.
Registro de incidencias: entendiendo como incidencia cualquier anomala que

afecte o pudiera afectar a la seguridad de los datos, se deber llevar un registro
de stas que constar de los siguientes campos:
Tipo de incidencia.
Momento en que se ha producido, o en su caso, detectado.
Persona que realiza la notificacin.
Persona a la cual se notifica la incidencia.
Efectos derivados de la incidencia.
Medidas correctoras resultantes.
Control de acceso: Los usuarios nicamente tendrn acceso a aquellos recursos

que estrictamente precisen para el desarrollo de sus funciones. Para ello, el
responsable del fichero deber realizar y mantener actualizada una relacin de los
usuarios y perfiles de usuarios, as como de los accesos que los mismos tengan
autorizados. Del mismo modo, ser su obligacin establecer los mecanismos
oportunos para que los usuarios no puedan acceder a aquellos recursos para los
que no estn autorizados.
De esta forma, slo el personal autorizado en el documento de seguridad podr
conocer, alterar o anular el acceso autorizado sobre los recursos. En caso de que
exista personal ajeno al responsable del fichero que tenga acceso a los recursos
deber estar sometido a las mismas condiciones y obligaciones que el personal
propio.
Gestin de soportes y documentos: los soportes y documentos que contengan

datos de carcter personal debern permitir identificar el tipo de informacin que
contienen, ser inventariados y solo debern ser accesibles por el personal
autorizado para ello en el documento de seguridad. Se exceptan estas
obligaciones cuando las caractersticas fsicas del soporte imposibiliten su
cumplimiento, quedando constancia motivada de ello en el documento de
seguridad.
87
La identificacin de los soportes que contengan datos de carcter personal que la

organizacin considerase especialmente sensibles se podr realizar utilizando
sistemas de etiquetado comprensibles y con significado que permitan a los
usuarios con acceso autorizado a los citados soportes y documentos identificar
su contenido, y que dificulten la identificacin para el resto de personas.
En cuanto a los soportes de ficheros no automatizados, el archivo de los soportes
o documentos se realizar de acuerdo con los criterios previstos en su respectiva
legislacin. Estos criterios debern garantizar la correcta conservacin de los
documentos, la localizacin y consulta de la informacin y posibilitar el ejercicio
de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero
deber establecer los criterios y procedimientos de actuacin que deban seguirse
para el archivo.
Los dispositivos de almacenamiento de los documentos que contengan datos de
carcter personal debern disponer de mecanismos que obstaculicen su apertura.
Cuando las caractersticas fsicas de aqullos no permitan adoptar esta medida, el
responsable del fichero o tratamiento adoptar medidas que impidan el acceso de
personas no autorizadas.
Mientras la documentacin con datos de carcter personal no se encuentre
archivada en los dispositivos de almacenamiento establecidos en el artculo
anterior, por estar en proceso de revisin o tramitacin, ya sea previo o posterior
a su archivo, la persona que se encuentre al cargo de la misma deber
custodiarla e impedir en todo momento que pueda ser accedida por persona no
autorizada.
Entrada y salida de soportes: la salida de soportes y documentos que contengan

datos de carcter personal, incluidos los comprendidos y/o anejos a un correo
electrnico, fuera de los locales bajo el control del responsable del fichero o
tratamiento deber ser autorizada por el responsable del fichero o encontrarse
debidamente autorizada en el documento de seguridad.
En el traslado de la documentacin se adoptarn las medidas dirigidas a evitar la
sustraccin, prdida o acceso indebido a la informacin durante su transporte.
Destruccin de soportes: siempre que vaya a desecharse cualquier documento o

soporte que contenga datos de carcter personal deber procederse a su
destruccin o borrado, mediante la adopcin de medidas dirigidas a evitar el
acceso a la informacin contenida en el mismo o su recuperacin posterior.
Identificacin y autentificacin: el responsable del fichero o tratamiento deber

adoptar las medidas que garanticen la correcta identificacin y autenticacin de
los usuarios.
El responsable del fichero o tratamiento establecer un mecanismo que permita la
identificacin de forma inequvoca y personalizada de todo aquel usuario que
intente acceder al sistema de informacin y la verificacin de que est autorizado.
88
Cuando el mecanismo de autentificacin se base en la existencia de contraseas

existir un procedimiento de asignacin, distribucin y almacenamiento que
garantice su confidencialidad e integridad. Estas contraseas debern cambiarse
peridicamente, no pudindose mantener las mismas contraseas durante un
periodo superior a un ao. Mientras stas estn vigentes, se almacenarn de
forma ininteligible.
Copias de respaldo y recuperacin: debern establecerse procedimientos de

actuacin para la realizacin como mnimo semanal de copias de respaldo, salvo
que en dicho perodo no se hubiera producido ninguna actualizacin de los datos.
Asimismo, se establecern procedimientos para la recuperacin de los datos que
garanticen en todo momento su reconstruccin en el estado en que se
encontraban al tiempo de producirse la prdida o destruccin.
nicamente, en el caso de que la prdida o destruccin afectase a ficheros o
tratamientos parcialmente automatizados, y siempre que la existencia de
documentacin permita alcanzar el objetivo al que se refiere el prrafo anterior, se
deber proceder a grabar manualmente los datos quedando constancia motivada
de este hecho en el documento de seguridad.
El responsable del fichero se encargar de verificar cada seis meses la correcta
definicin, funcionamiento y aplicacin de los procedimientos de realizacin de
copias de respaldo y de recuperacin de los datos.
Las pruebas anteriores a la implantacin o modificacin de los sistemas de
informacin que traten ficheros con datos de carcter personal no se realizarn
con datos reales, salvo que se asegure el nivel de seguridad correspondiente al
tratamiento realizado y se anote su realizacin en el documento de seguridad. Si
est previsto realizar pruebas con datos reales, previamente deber haberse
realizado una copia de seguridad.
Medidas de Seguridad de Nivel Medio

Estn reguladas en la Seccin II del Captulo III del Reglamento. Adems de los
contenidos de los documentos de seguridad de nivel bsico, el documento de seguridad
de nivel medio deber incluir las siguientes medidas de seguridad:
Identificacin del responsable de seguridad: en el documento de seguridad

debern designarse uno o varios responsables de seguridad encargados de
coordinar y controlar las medidas definidas en el mismo. Esta designacin puede
ser nica para todos los ficheros o tratamientos de datos de carcter personal o
diferenciada segn los sistemas de tratamiento utilizados, circunstancia que
deber hacerse constar claramente en el documento de seguridad.
En ningn caso esta designacin supone una exoneracin de la responsabilidad
que corresponde al responsable del fichero o al encargado del tratamiento de
acuerdo con este reglamento.
89
Auditora:
los
sistemas
de
informacin
instalaciones
de
tratamiento
almacenamiento de datos se sometern, al menos cada dos aos, a una auditora

interna o externa de Proteccin de Datos. Por medio de esta auditora se verifica
que los sistemas de informacin y las instalaciones de tratamiento de datos de
nivel medio y alto cumplen con lo establecido en el Reglamento de Medidas de
Seguridad.
La auditora tiene los siguientes objetivos:
o
Adecuar las medidas y controles al Reglamento de Seguridad.
Identificar
sus
deficiencias
proponer
medidas
correctoras
complementarias.
o
Incluir los datos, hechos y observaciones en que se basen los dictmenes

alcanzados y las recomendaciones propuestas.
Los informes de auditora sern analizados por el responsable de seguridad

competente, que elevar las conclusiones al responsable del fichero o tratamiento
para que adopte las medidas correctoras adecuadas y quedarn a disposicin de
la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de
control de las comunidades autnomas.
Con carcter extraordinario deber realizarse dicha auditora siempre que se
realicen modificaciones sustanciales en el sistema de informacin que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta
auditora inicia el cmputo de dos aos sealado con anterioridad.
Gestin de soportes y documentos: Deber establecerse un sistema de registro

de entrada y salida de soportes que permita, directa o indirectamente, conocer la
siguiente informacin:
o
El tipo de documento o soporte.
Fecha y hora.
Emisor o destinatario.
Nmero de documentos o soportes incluidos en el envo.
Tipo de informacin que contienen.
Forma de envo
Persona responsable de la recepcin o entrega debidamente autorizada.
90
Identificacin y autentificacin: el responsable del fichero o tratamiento deber

establecer un mecanismo que limite la posibilidad de intentar reiteradamente el
acceso no autorizado al sistema de informacin.
Control de acceso fsico: exclusivamente el personal autorizado en el documento

de seguridad podr tener acceso a los lugares donde se hallen instalados los
equipos fsicos que den soporte a los sistemas de informacin.
Registro de incidencias: adems de los datos especificados en las medidas de

seguridad de nivel bajo (tipo de incidencia, momento en que se produce, persona
que notifica, persona a la que se realiza la notificacin, efectos derivados de la
incidencia y medidas correctoras), debern consignarse, los procedimientos
realizados de recuperacin de los datos, indicando la persona que ejecut el
proceso, los datos restaurados y, en su caso, qu datos ha sido necesario grabar
manualmente en el proceso de recuperacin. Para realizar la recuperacin de
datos ser necesaria la autorizacin del responsable del fichero.
Medidas de Seguridad de Nivel Alto

Estn reguladas en la Seccin III del Captulo III del Reglamento. Adems de los
contenidos de los documentos de seguridad de nivel bsico y medio, el documento de
seguridad de nivel alto deber incluir las siguientes medidas de seguridad:
Gestin y distribucin de soportes: la identificacin de los soportes que

contengan datos de carcter personal (memorias USB, CD-ROM, etc.) se deber
realizar utilizando sistemas de etiquetado comprensibles y con significado que
permitan a los usuarios con acceso autorizado a los citados soportes y
documentos identificar su contenido, y que dificulten la identificacin para el
resto de personas.
La distribucin de estos soportes se realizar cifrando dichos datos o bien
utilizando otro mecanismo que garantice que dicha informacin no sea accesible
o manipulada durante su transporte.
Asimismo, se cifrarn los datos que contengan los dispositivos porttiles cuando
stos se encuentren fuera de las instalaciones que estn bajo el control del
responsable del fichero.
Deber evitarse el tratamiento de datos de carcter personal en dispositivos
porttiles que no permitan su cifrado.
En caso de que sea estrictamente necesario se har constar motivadamente en el
documento de seguridad y se adoptarn medidas que tengan en cuenta los
riesgos de realizar tratamientos en entornos desprotegidos.
91
Los armarios, archivadores u otros elementos en los que se almacenen los

ficheros no automatizados con datos de carcter personal debern encontrarse
en reas en las que el acceso est protegido con puertas de acceso dotadas de
sistemas de apertura mediante llave u otro dispositivo equivalente.
Dichas reas debern permanecer cerradas cuando no sea preciso el acceso a los
documentos incluidos en el fichero.
Si, debido a las caractersticas de los locales de que dispusiera el responsable del
fichero o tratamiento, no fuera posible cumplir lo establecido en el prrafo
anterior,
el
responsable
adoptar
medidas
alternativas
que,
debidamente
motivadas, se incluirn en el documento de seguridad.

Por su parte, siempre que se proceda al traslado fsico de la documentacin
contenida en un fichero no automatizado, debern adoptarse medidas dirigidas a
impedir el acceso o manipulacin de la informacin objeto de traslado.
Copias de respaldo y recuperacin: deber conservarse una copia de respaldo de

los datos y de los procedimientos de recuperacin de los mismos en un lugar
diferente de aquel en que se encuentren los equipos informticos que los tratan.
Esta copia de respaldo deber cumplir en todo caso las medidas de seguridad
exigidas en el Reglamento, de modo que se garanticen la integridad y
recuperacin de la informacin.
Copia o reproduccin de ficheros no automatizados: la generacin de copias o la

reproduccin de los documentos nicamente podr ser realizada bajo el control
del personal autorizado en el documento de seguridad, procedindose a la
destruccin de las copias o reproducciones desechadas de forma que se evite el
acceso a la informacin contenida en las mismas o su recuperacin posterior.
Registro de accesos: de cada intento de acceso realizado por los diferentes

usuarios se guardar, como mnimo, la siguiente informacin:
o
Identificacin del usuario.
Fecha y hora en que se realiz.
Fichero accedido.
Tipo de acceso (consulta, modificacin, supresin o introduccin de nuevos

datos).
Si ha sido autorizado o denegado. En el caso de que el acceso haya sido

autorizado, ser preciso guardar la informacin que permita identificar el
registro accedido.
92
Estos mecanismos que permiten el registro de accesos estarn bajo el control

directo del responsable de seguridad competente sin que deban permitir la
desactivacin ni la manipulacin de los mismos.
Los datos registrados debern conservarse por un periodo mnimo de 2 aos y
sern revisados por el responsable de seguridad al menos una vez al mes,
elaborando un informe de las revisiones realizadas y los problemas detectados.
No ser necesario el registro de accesos definido en este artculo en caso de que
concurran las siguientes circunstancias:
o
Que el responsable del fichero o del tratamiento sea una persona fsica.
Que el responsable del fichero o del tratamiento garantice que nicamente l

tiene acceso y trata los datos personales.
La
concurrencia
de
estas
dos
circunstancias
deber
hacerse
constar
expresamente en el documento de seguridad.

Respecto a los ficheros no automatizados, el acceso a la documentacin se
limitar exclusivamente al personal autorizado, establecindose mecanismos que
permitan identificar los accesos realizados en el caso de documentos que puedan
ser utilizados por mltiples usuarios.
El acceso de personas no autorizadas deber quedar adecuadamente registrado
de acuerdo con el procedimiento establecido al efecto en el documento de
seguridad.
Telecomunicaciones: la transmisin de datos de carcter personal de nivel alto a

travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se
realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la informacin no sea inteligible ni manipulada por terceros.

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el
RLOPD recogen las medidas de ndole tcnica y organizativa necesarias para garantizar
la proteccin, confidencialidad, integridad y disponibilidad de los recursos afectados por
lo dispuesto en el citado Reglamento y en la LOPD.
El contenido de este documento queda estructurado como sigue:
mbito de aplicacin del documento.
Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar

los niveles de seguridad exigidos en este documento.
93
Informacin y obligaciones del personal.
Procedimientos de notificacin, gestin y respuestas ante las incidencias.
Procedimientos de revisin.
mbito de Aplicacin del Documento

El presente documento ser de aplicacin a los ficheros que contienen datos de carcter
personal que se hallan bajo la responsabilidad de nombre del responsable, incluyendo
los sistemas de informacin, soportes y equipos empleados para el tratamiento de datos
de carcter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa
vigente, las personas que intervienen en el tratamiento y los locales en los que se
ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en
este documento, con indicacin del nivel de seguridad correspondiente, son los
siguientes:
Incluir relacin de ficheros o tratamientos afectados.
Indicando si se trata de sistemas automatizados, manuales o mixtos.
El nivel de seguridad que les corresponde.
Medidas, Normas, Procedimiento, Reglas y Estndares Encaminados a

Garantizar los Niveles de Seguridad Exigidos en este Documento
IDENTIFICACIN Y AUTENTICACIN
Medidas y normas relativas a la identificacin y autenticacin del personal

autorizado para acceder a los datos personales:
Los
automatizados
deben
especificar
las
normativas
de
identificacin
autenticacin de los usuarios con acceso a los datos personales.

La identificacin de los usuarios se deber realizar de forma inequvoca y
personalizada, verificando su autorizacin (cada identificacin debe pertenecer a
un nico usuario).
Si la autenticacin se realiza mediante contraseas, detallar el procedimiento de

asignacin,
distribucin
almacenamiento
que
deber
garantizar
su
confidencialidad e integridad, e indicar la periodicidad con la que se debern

cambiar, en ningn caso superior a un ao
Tambin es conveniente incluir los requisitos que deben cumplir las cadenas
utilizadas como contrasea.
En los ficheros de nivel medio y alto, se limitar la posibilidad de intentar

reiteradamente el acceso no autorizado al sistema de informacin.
94
CONTROL DE ACCESO
El personal slo acceder a aquellos datos y recursos que precise para el

desarrollo de sus funciones. El responsable del fichero establecer mecanismos
para evitar que un usuario pueda acceder a recursos con derechos distintos de
los autorizados incluir estos mecanismos.
Exclusivamente la persona autorizada (o denominacin de su puesto de trabajo)

para conceder, alterar o anular el acceso autorizado est autorizado para
conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los
criterios establecidos por el responsable del fichero.
Especificar los procedimientos para solicitar el alta, modificacin y baja de las

autorizaciones de acceso a los datos, indicando qu persona (o puesto de trabajo)
concreta tiene que realizar cada paso.
Incluir y detallar los controles de acceso a los sistemas de informacin

Incluir en un anexo la relacin de usuarios actualizada con acceso autorizado a
cada sistema de informacin. Asimismo, se incluye el tipo de acceso autorizado
para cada uno de ellos. Esta lista deber mantenerse actualizada Especificar
procedimiento de actualizacin.
De existir personal ajeno al responsable del fichero con acceso a los recursos
deber estar sometido a las mismas condiciones y obligaciones de seguridad que
el personal propio.
REGISTRO DE ACCESOS (NIVEL ALTO)

AUTOMATIZADOS
En los accesos a los datos de los ficheros de nivel alto, se registrar por cada
acceso la identificacin del usuario, la fecha y hora en que se realiz, el fichero
accedido, el tipo de acceso y si ha sido autorizado o denegado.
Si el acceso fue autorizado, se almacenar tambin la informacin que permita

identificar el registro accedido.
Indicar, si se estima oportuno, informacin relativa al sistema de registro de

accesos.
El
mecanismo
que
permita
este
registro
estar
bajo
control
directo
del
responsable de seguridad, sin que se deba permitir, en ningn caso, la

desactivacin del mismo.
Los datos del registro de accesos se conservaran durante un periodo, que deber
ser al menos de dos aos. No es preciso que estos datos se almacenen "on-line".
95
El responsable de seguridad revisar al menos una vez al mes la informacin de

control registrada y elaborar un informe segn se detalla en el captulo de
Comprobaciones para la realizacin de la auditora de seguridad de este
documento.
No ser necesario el registro de accesos cuando: el responsable del fichero es

una persona fsica, el responsable del fichero garantice que slo l tiene acceso y
trata los datos personales, y se haga constar en el documento de seguridad.
MANUALES
El acceso a la documentacin se limita exclusivamente al personal autorizado.
Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de
los documentos relacionados:
indicar los documentos o tipos de documentos que puedan ser utilizados por
mltiples usuarios.
Indicar el mecanismo establecido para controlar estos accesos.
GESTIN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carcter personal debern permitir identificar el
tipo de informacin que contienen, ser inventariados y sern almacenados en:
indicar el lugar de acceso restringido donde se almacenarn.
Lugar de acceso restringido al que solo tendrn acceso las personas con
autorizacin que se relacionan a continuacin:
o
Especificar el personal autorizado a acceder al lugar donde se almacenan los

soportes que contengan datos de carcter personal.
El procedimiento establecido para habilitar o retirar el permiso de acceso.
Tener en cuenta el procedimiento a seguir para casos en que personal no

autorizado tenga que tener acceso a los locales por razones de urgencia o
fuerza mayor.
Los siguientes soportes relacionar aquellos a que se refiere se exceptan de las

obligaciones indicadas en el prrafo anterior, dadas sus caractersticas fsicas, que
imposibilitan el cumplimiento de las mismas.
Los
siguientes
soportes
indicar
aquellos
que
contengan
datos
considerados
especialmente sensibles y respecto de los que se haya optado por proceder del siguiente
modo se identificarn utilizando los sistemas de etiquetado siguientes especificar los
criterios de etiquetado que sern comprensibles y con significado para los usuarios
autorizados, permitindoles identificar su contenido, y que sin embargo dificultarn la
identificacin para el resto de personas.
96
Los soportes se almacenarn de acuerdo a las siguientes normas:
Indicar normas de etiquetado de los soportes.
Especificar el procedimiento de inventariado y almacenamiento de los mismos.
El inventario de soportes puede anexarse al documento o gestionarse de forma

automatizada, en este ltimo caso se indicar en este punto el sistema
informtico utilizado.
La salida de soportes y documentos que contengan datos de carcter personal, incluidos

los comprendidos en correos electrnicos, fuera de los locales bajo el control del
responsable del tratamiento, deber ser autorizada por el responsable del fichero o aquel
en que se hubiera delegado de acuerdo al siguiente procedimiento:
Detallar el procedimiento a seguir para que se lleve a cabo la autorizacin.
Tener en cuenta tambin los ordenadores porttiles y el resto de dispositivos

mviles que puedan contener datos personales.
En un anexo se incluirn los documentos de autorizacin relativos a la salida de soportes

que contengan datos personales.
Los
soportes
que
vayan
ser
desechados,
debern
ser
previamente
detallar
procedimiento a realizar para su destruccin o borrado de forma que no sea posible el

acceso a la informacin contenida en ellos o su recuperacin posterior.
En el traslado de la documentacin se adoptarn medidas para evitar la sustraccin,
prdida o acceso indebido a la informacin.
AUTOMATIZADOS (NIVEL MEDIO): REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto,
sern registradas de acuerdo al siguiente procedimiento:Detallar el procedimiento por el
que se registrarn las entradas y salidas de soportes.

El registro de entrada y salida de soportes se gestionar mediante
Indicar la forma en que se almacenar el registro, que puede ser manual o

informtico y en el que debern constar.
Indicar los campos del registro, que debern ser, al menos, en el caso de las
entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el nmero de
documentos o soportes incluidos en el envo, el tipo de informacin que
contienen, la forma de envo y la persona autorizada responsable de la recepcin;
y en el caso de las salidas, el tipo de documento o soporte, la fecha y hora, el
destinatario, el nmero de documentos o soportes incluidos en el envo, el tipo de
informacin que contienen, la forma de envo y la persona autorizada responsable
de la entrega.
En caso de gestin automatizada se indicar en este punto el sistema informtico

utilizado.
97
AUTOMATIZADOS (NIVEL ALTO): GESTIN Y DISTRIBUCIN DE SOPORTES

En este caso los soportes se identificarn mediante el sistema de etiquetado especificar
los criterios de etiquetado que resultarn comprensibles y con significado para los
usuarios con acceso autorizados, permitindoles identificar su contenido y dificultando
la identificacin para el resto de personas.
La distribucin y salida de soportes que contengan datos de carcter personal de los
ficheros de nivel alto se realizar indicar el procedimiento para cifrar los datos o, en su
caso, para utilizar el mecanismo que garantice que dicha informacin no sea inteligible
ni manipulada durante su transporte. Igualmente se cifrarn los datos que contengan los
dispositivos porttiles cuando se encuentren fuera de las instalaciones que estn bajo
control del responsable.
Los siguientes dispositivos porttiles relacionar aquellos que no permitan el cifrado de
los datos personales, debido a las razones indicadas motivar la necesidad de hacer
uso de este tipo de dispositivos, se utilizarn en el tratamiento de datos personales
adoptndose las medidas que a continuacin se explicitan relacionar las medidas
alternativas que tendrn en cuenta los riesgos de realizar tratamientos en entornos

desprotegidos.
MANUALES: CRITERIOS DE ARCHIVO
El archivo de los soportes o documentos se realizar de acuerdo con los criterios indicar
los previstos en la legislacin que les afecte o en su defecto, los establecidos por el
responsable del fichero, que en cualquier caso garantizarn la correcta conservacin de
los documentos, la localizacin y consulta de la informacin y posibilitarn el ejercicio de
los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin.
MANUALES: ALMACENAMIENTO DE LA INFORMACIN
Los siguientes dispositivos relacionarlos as como aquellas de sus caractersticas que
obstaculicen su apertura. Cuando sus caractersticas fsicas no permitan adoptar esta

medida, el responsable adoptar medidas que impidan el acceso a la informacin de
personas no autorizadas se utilizarn para guardar los documentos con datos
personales.
Nivel alto: Los elementos de almacenamiento indicar tipos como armarios, archivadores
u otros elementos utilizados respecto de los documentos con datos personales, se

encuentran en indicar lugares fsicos y proteccin con que cuenta el acceso a las
mismas, como llaves u otros dispositivos. Adems estos lugares permanecern cerrados
en tanto no sea preciso el acceso a los documentos. Si a la vista de las caractersticas de
los locales no fuera posible cumplir lo anteriormente indicado, se adoptarn medidas
alternativas que se reflejarn en este punto.
98
MANUALES: CUSTODIA DE SOPORTES

En tanto los documentos con datos personales no se encuentren archivados en los
dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de
tramitacin, las personas que se encuentren a su cargo debern custodiarlos e impedir
el acceso a personas no autorizadas.
ACCESO A DATOS A TRAVS DE REDES DE COMUNICACIONES
Las medidas de seguridad exigibles a los accesos a los datos de carcter personal a
travs de redes de comunicaciones, sean o no pblicas, garantizarn un nivel de
seguridad equivalente al exigido para los accesos en modo local. Relacionar los accesos
previstos y los ficheros a los que se prevea acceder.

AUTOMATIZADOS (NIVEL ALTO)
Los datos personales correspondientes a los ficheros de nivel alto, que se transmitan a
travs de redes pblicas o inalmbricas de comunicaciones electrnicas se realizar
cifrando previamente estos datos indicar en su caso otros mecanismos distintos del
cifrado que se utilicen y que garanticen que la informacin no sea inteligible ni

manipulada por terceros. Tambin es adecuado cifrar los datos en red local.
RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIN DEL FICHERO
Se pueden llevar a cabo los siguientes tratamientos de datos personales relacionar los
ficheros a que afecten estos tratamientos fuera de los locales del responsable del
fichero indicar en su caso, los distintos locales a los que deban circunscribirse,
especialmente en el supuesto de que se realicen tratamientos por un encargado del
tratamiento que se especificar, as como mediante dispositivos porttiles.
Esta autorizacin regir durante indicar el perodo de validez de la misma.
Esta autorizacin puede realizarse para unos usuarios concretos que hay que indicar o
para un perfil de usuarios.
Se debe garantizar el nivel de seguridad correspondiente.
TRASLADO DE DOCUMENTACIN
MANUALES (NIVEL ALTO)
Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero,
debern adoptarse las siguientes medidas relacionar las medidas necesarias y en su
caso alternativas recomendadas, orientadas a impedir el acceso o manipulacin de la

informacin objeto de traslado.
FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS
Los ficheros temporales o copias de documentos creados exclusivamente para trabajos
temporales o auxiliares, debern cumplir el nivel de seguridad que les corresponda con
arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y sern
borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que
motivaron su creacin.
99
COPIA O REPRODUCCIN
MANUALES (NIVEL ALTO)
La realizacin de copias o reproduccin de los documentos con datos personales slo se
podrn llevar a cabo bajo el control del siguiente personal autorizado indicar los
usuarios o perfiles habilitados para ello.

Las copias desechadas debern ser destruidas imposibilitando el posterior acceso a la
informacin contenida indicar los medios a utilizar o puestos a disposicin de los
usuarios para ello.

COPIAS DE RESPALDO Y RECUPERACIN
AUTOMATIZADOS
Se realizarn copias de respaldo, salvo que no se hubiese producido ninguna
actualizacin de los datos, con la siguiente periodicidad especificarla, y en todo caso
ser como mnimo una vez a la semana.

Los procedimientos establecidos para las copias de respaldo y para su recuperacin
garantizarn su reconstruccin en el estado en que se encontraban al tiempo de
producirse
la
prdida
destruccin.
En
el
caso
de
los
ficheros
parcialmente
automatizados siguientes indicarlos, se grabarn manualmente los datos.

Para la grabacin manual indicada deber existir documentacin que permita dicha
reconstruccin.
El responsable del fichero verificar semestralmente los procedimientos de copias de
respaldo y recuperacin de los datos.
Las pruebas anteriores a la implantacin o modificacin de sistemas de informacin se
realizarn con datos
reales previa copia de seguridad, y garantizando el nivel
correspondiente al tratamiento realizado.

En un Anexo se detallarn los procedimientos de copia y recuperacin de respaldo para
cada fichero.
Nivel alto: En los ficheros de nivel alto se conservar una copia de respaldo y de los
procedimientos de recuperacin de los datos en especificar el lugar, diferente de donde
se encuentran los sistemas informticos que los tratan, y que deber cumplir las
medidas
de
seguridad,
utilizando
elementos
que
garanticen
recuperacin de la informacin de forma que sea recuperable.
100
la
integridad
RESPONSABLE DE SEGURIDAD
NIVEL MEDIO
Se designa como responsable de seguridad indicarlo/s en el caso de que se prevea que
sean varios, que con carcter general se encargar de coordinar y controlar las medidas
definidas en este documento de seguridad.
La designacin puede ser nica para todos los ficheros o diferenciada segn los
sistemas de tratamiento, lo que se especificar en este documento
En ningn caso, la designacin supone una exoneracin de la responsabilidad que
corresponde a denominacin responsable del fichero o del encargado del tratamiento
como responsable del fichero de acuerdo con el RLOPD.
El responsable de seguridad desempear las funciones encomendadas durante el
periodo de indicar periodo de desempeo del cargo. Una vez transcurrido este plazo
denominacin responsable del fichero podr nombrar al mismo responsable de
seguridad o a otro diferente.
En un anexo se incluirn las copias de los nombramientos de responsables de
seguridad.
Informacin y Obligaciones del Personal

INFORMACIN AL PERSONAL
Para asegurar que todas las personas conocen las normas de seguridad que afectan al
desarrollo de sus funciones, as como las consecuencias del incumplimiento de las
mismas, sern informadas de acuerdo con el siguiente procedimiento:
indicar el procedimiento por el cual se informar a cada persona, en funcin de su

perfil, de las normas que debe cumplir y de las consecuencias de no hacerlo. Puede ser
conveniente incluir algn sistema de acuse de recibo de la informacin.
Si se estima oportuna, la remisin peridica de informacin sobre seguridad: circulares,
recordatorios, nuevas normas, indicar aqu el procedimiento y las personas autorizadas
para hacerlo.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todo el personal que acceda a los datos de carcter personal est obligado a conocer y
observar las medidas, normas, procedimientos, reglas y estndares que afecten a las
funciones que desarrolla.
Constituye una obligacin del personal notificar al responsable del fichero o de
seguridad en su caso las incidencias de seguridad de las que tengan conocimiento

respecto a los recursos protegidos, segn los procedimientos establecidos en este
Documento, y en concreto en el apartado de Procedimientos de notificacin, gestin y
respuesta ante las incidencias.
101
Todas las personas debern guardar el debido secreto y confidencialidad sobre los datos
personales que conozcan en el desarrollo de su trabajo.
Funciones y obligaciones de incluir un punto con las obligaciones detalladas de los
perfiles que afectan a todos los ficheros, como por ejemplo, administradores de los
sistemas, responsables de informtica, responsable/s de seguridad si existe/n,
responsables de seguridad fsica, etc. Es importante que se concrete la persona o cargo
que corresponde a cada perfil. Tambin deben contemplarse los procedimientos de
actuacin o delegacin de funciones para casos de ausencia. Este apartado se propone
principalmente como un recopilatorio que agrupe las medidas que en el resto del
Documento se asignan a perfiles concretos.
El personal que realice trabajos que no impliquen el tratamiento de datos personales
tendrn limitado el acceso a estos datos, a los soportes que los contengan, o a los
recursos del sistema de informacin.
Cuando se trate de personal ajeno, el contrato de prestacin de servicios recoger
expresamente la prohibicin de acceder a los datos personales y la obligacin de secreto
respecto de aquellos datos que hubiera podido conocer durante la prestacin del
servicio.
Se delegan las siguientes autorizaciones en los usuarios relacionados indicar usuarios,
o perfiles y autorizaciones que el responsable del fichero delega en ellos para su

ejercicio.
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD
El incumplimiento de las obligaciones y medidas de seguridad establecidas en el
presente documento por el personal afectado, se sancionar conforme a indicar la
normativa sancionadora aplicable.
Procedimientos de Notificacin, Gestin y Respuesta ante las Incidencias

Se considerarn como "incidencias de seguridad", entre otras, cualquier incumplimiento
de la normativa desarrollada en este Documento de Seguridad, as como a cualquier
anomala que afecte o pueda afectar a la seguridad de los datos de carcter personal de
denominacin del responsable del fichero.

El
procedimiento
seguir
para
la
notificacin
de
incidencias
ser
especificar
concretamente los procedimientos de notificacin y gestin de incidencias, indicando

quien tiene que notificar la incidencia, a quien y de que modo, as como quien gestionar
la incidencia.
El registro de incidencias se gestionar mediante indicar la forma en que se almacenar
el registro, que puede ser manual o informtico, y en el que debern constar, al menos,
el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la
persona que realiza la notificacin, a quin se comunica, los efectos que se hubieran
derivado de la misma y las medidas correctoras aplicadas. En caso de gestin
automatizada se indicar en este punto el sistema informtico utilizado.
102
AUTOMATIZADOS (NIVEL MEDIO)

En el registro de incidencias se consignarn tambin los procedimientos de recuperacin
de datos que afecten a los ficheros de nivel medio y alto, del modo que se indica a
continuacin detallar el procedimiento para registrar las recuperaciones de datos, que
deber incluir la persona que ejecut el proceso, los datos restaurados y, en su caso,
que datos ha sido necesario grabar manualmente en el proceso de recuperacin. En caso
de gestin automatizada, se deber prever la existencia de un cdigo especfico para
recuperaciones de datos, en la informacin relativa al tipo de incidencia.
Para ejecutar los procedimientos de recuperacin de datos en los ficheros mencionados
en el prrafo anterior, ser necesaria la autorizacin por escrito del responsable del
fichero.
En un anexo se incluirn los documentos de autorizacin del responsable del fichero
relativos a la ejecucin de procedimientos de recuperacin de datos.
Procedimientos de Revisin
REVISIN DEL DOCUMENTO DE SEGURIDAD
El documento deber mantenerse en todo momento actualizado y deber ser revisado
siempre que se produzcan cambios relevantes en el sistema de informacin, en el
contenido de la informacin incluida en los ficheros o como consecuencia de los
controles peridicos realizados. En todo caso se entender como cambio relevante
cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
Asimismo, deber adecuarse, en todo momento, a las disposiciones vigentes en materia
de seguridad de los datos de carcter personal.
Especificar los procedimientos previstos para la modificacin del documento de

seguridad, con especificacin concreta de las personas que pueden o deben proponerlos
y aprobarlos, as como para la comunicacin de las modificaciones al personal que
pueda verse afectado.
NIVEL MEDIO: AUDITORA
Indicar los procedimientos para realizar la auditora interna o externa que verifique el
cumplimiento del Ttulo VIII del RLOPD, referente a las medidas de seguridad, segn lo
indicado en sus artculos 96 y 110 respecto de ficheros automatizados y no
automatizados respectivamente, y que debe realizarse al menos cada dos aos.
Con carcter extraordinario deber realizarse cuando se lleven a cabo modificaciones
sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de
las medidas de seguridad implantadas, con el objeto de verificar la adaptacin,
adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos
sealado. El informe analizar la adecuacin de las medidas y controles a la Ley y su
desarrollo
reglamentario,
identificar
las
deficiencias
correctoras o complementarias necesarias.
103
propondr
las
medidas
Los informes de auditora han de ser analizados por el responsable de seguridad

competente, que elevar las conclusiones al responsable del fichero para que adopte las
medidas correctoras y quedar a disposicin de la Agencia Espaola de Proteccin de
Datos, o en su caso de las autoridades de control de las comunidades autnomas.
AUTOMATIZADOS (NIVEL ALTO): INFORME MENSUAL SOBRE EL REGISTRO DE
ACCESOS
Indicar los procedimientos para realizar el informe mensual sobre el registro de accesos
a los datos de nivel alto regulado por el artculo 103 del RLOPD.
104
El responsable del fichero o tratamiento elaborar un documento de seguridad

que recoger las medidas de ndole tcnica y organizativa acordes a la normativa
de seguridad vigente que ser de obligado cumplimiento para el personal con
acceso a los sistemas de informacin.
El artculo 9 de la LOPD, establece que el responsable del fichero y el encargado

del tratamiento debern adoptar una serie de medidas tanto tcnicas como
organizativas que garanticen la seguridad de los datos de carcter personal, de
forma que se evite su alteracin, prdida, tratamiento o acceso no autorizado;
todo ello teniendo en cuenta tanto la naturaleza de los datos almacenados como
los riesgos a los que estn expuestos.
Medidas de nivel bsico: aplicable a todos los ficheros que contengan datos de
carcter personal.
Medidas de nivel medio: para los ficheros con datos relativos a la comisin de
infracciones administrativas, Hacienda Pblica, servicios financieros y aqullos
que permitan obtener la personalidad del individuo.
Medidas
de
nivel
alto:
los
ficheros
que
contengan
datos
especialmente
protegidos (relativos a la ideologa, afiliacin, religin y creencias, los que hagan

referencia al origen racial, a la salud y a la vida sexual), as como los datos
recabados para fines policiales sin consentimiento del interesado.
El artculo 88 del Reglamento establece el contenido mnimo de los documentos

de seguridad en funcin del nivel de seguridad aplicable al fichero.
El contenido del documento de seguridad deber adecuarse, en todo momento, a

las disposiciones vigentes en materia de seguridad de los datos de carcter
personal.
El documento de seguridad deber mantenerse en todo momento actualizado y

ser revisado siempre que se produzcan cambios relevantes en el sistema de
informacin, en el sistema de tratamiento empleado, en su organizacin, en el
contenido de la informacin incluida en los ficheros o tratamientos o, en su caso,
como consecuencia de los controles peridicos realizados.
105
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
106
TEST
1. En qu nivel de proteccin se engloban los datos de ideologa y religin?
Bsico.
Medio.
Alto.
2. Cada cunto tiempo deben hacerse las copias de respaldo en los documentos de
seguridad de nivel bsico?
Como mnimo, semanalmente.
Como mnimo, mensualmente.
Cada 15 das.
3. La identificacin del responsable de seguridad es una medida de nivel
Bsico.
Medio.
Alto.
4. Qu se debe especificar el registro de acceso en los documentos de seguridad de

nivel alto?
Identificacin del usuario y fichero al que ha accedido.
Identificacin del usuario, fecha y hora y fichero al que ha accedido.
Identificacin del usuario, fecha y hora, fichero al que ha accedido, tipo de acceso
y autorizacin o denegacin del acceso.
5. En los documento de seguridad de nivel alto se establecer que las copias de

respaldo deben
Hacerse como mnimo cada 15 das.
Permitir que los datos se recuperen en el mismo estado en que se encontraban

antes de la prdida o destruccin.
Conservarse en un lugar diferente de aqul en que se encuentren los equipos

informticos que los tratan.
6. Los datos relativos a la comisin de infracciones administrativas o penales tendrn

un nivel de proteccin
Bajo.
Medio.
Alto.
107
108
Ley de Proteccin
de Datos
Rgimen Sancionador
Prescripcin
Conocer las conductas consideradas como infracciones en la

Ley.
Saber
los
tipos
de
infracciones
as
como
las
sanciones
aplicables a cada una de ellas.
Familiarizarse
con
los
aspectos
fundamentales
procedimiento sancionador.
109
del
tema 6
Objetivos:
110
El artculo 37.1.g) establece que son funciones de la Agencia Espaola de Proteccin de
Datos (AEPD), entre otras, ejercer la potestad sancionadora. Asimismo el artculo 120 del
RLOPD dice que, el ejercicio de la potestad sancionadora le vienen atribuido a la AEPD
en virtud de la propia LOPD, la Ley 34/2002, de Servicios de la sociedad de la
informacin
de
comercio
electrnico,
as
como
la
Ley
32/2003,
General
de
Telecomunicaciones.
El ttulo VII de la LOPD, relativo a infracciones y sanciones, se inicia en el artculo 43,
estableciendo quines sern las personas sujetas al rgimen sancionador que se
establece a continuacin:
Los responsables de los ficheros.
Los encargados de los tratamientos.
Este mismo artculo hace una salvedad, con remisin a los artculos 46 y 48, para el
caso
de
que
los
ficheros
de
los
que
se
trate
sean
responsabilidad
de
las
Administraciones Pblicas.
El artculo 44 de la LOPD tipifica las infracciones, dividiendo stas en leves, graves o
muy graves. Este artculo fue modificado en gran medida por la Ley 2/2011, de 4 de
marzo, de Economa Sostenible.
As el artculo 41.2 de la Ley establece las que debemos entender como infracciones
leves:
No remitir a la Agencia Espaola de Proteccin de Datos las notificaciones

previstas en esta Ley o en sus disposiciones de desarrollo.
No solicitar la inscripcin del fichero de datos de carcter personal en el Registro

General de Proteccin de Datos.
El incumplimiento del deber de informacin al afectado acerca del tratamiento de

sus datos de carcter personal cuando los datos sean recabados del propio
interesado.
La transmisin de los datos a un encargado del tratamiento sin dar cumplimiento

a los deberes formales establecidos en el artculo 12 de la LOPD.
En el punto tercero del mismo artculo se definen las infracciones graves:
Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de

datos de carcter personal para los mismos, sin autorizacin de disposicin
general, publicada en el Boletn Oficial del Estado o diario oficial correspondiente.
111
Tratar datos de carcter personal sin recabar el consentimiento de las personas

afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la LOPD y
sus disposiciones de desarrollo.
Tratar datos de carcter personal o usarlos posteriormente con conculcacin de

los principios y garantas establecidos en el artculo 4 de la LOPD y las
disposiciones que lo desarrollan, salvo cuando sea constitutivo de infraccin muy
grave.
La vulneracin del deber de guardar secreto acerca del tratamiento de los datos
de carcter personal al que se refiere el artculo 10 de la LOPD.
El impedimento o la obstaculizacin del ejercicio de los derechos de acceso,

rectificacin, cancelacin y oposicin.
El incumplimiento del deber de informacin al afectado acerca del tratamiento de

sus datos de carcter personal cuando los datos no hayan sido recabados del
propio interesado.
El incumplimiento de los restantes deberes de notificacin o requerimiento al

afectado impuestos por la LOPD y sus disposiciones de desarrollo.
Mantener los ficheros, locales, programas o equipos que contengan datos de

carcter personal sin las debidas condiciones de seguridad que por va
reglamentaria se determinen.
No atender los requerimientos o apercibimientos de la Agencia Espaola de

Proteccin de Datos o no proporcionar a aqulla cuantos documentos e
informaciones sean solicitados por la misma.
La obstruccin al ejercicio de la funcin inspectora.
La comunicacin o cesin de los datos de carcter personal sin contar con

legitimacin para ello en los trminos previstos en la LOPD y sus disposiciones
reglamentarias de desarrollo, salvo que la misma sea constitutiva de infraccin
muy grave.
Por ltimo, en el apartado 4 del mismo precepto se relacionan las infracciones

consideradas como muy graves. Siendo las siguientes:
La recogida de datos en forma engaosa o fraudulenta.
Tratar o ceder los datos de carcter personal a los que se refieren los apartados
2, 3 y 5 del artculo 7 de la LOPD salvo en los supuestos en que la misma lo
autoriza o violentar la prohibicin contenida en el apartado 4 del artculo 7.
112
No cesar en el tratamiento ilcito de datos de carcter personal cuando existiese

un previo requerimiento del Director de la Agencia Espaola de Proteccin de
Datos para ello.
La transferencia internacional de datos de carcter personal con destino a pases

que no proporcionen un nivel de proteccin equiparable sin autorizacin del
Director de la Agencia Espaola de Proteccin de Datos salvo en los supuestos en
los que conforme a la LOPD y sus disposiciones de desarrollo dicha autorizacin
no resulta necesaria.
Para la anterior relacin de infracciones leves, graves y muy graves, el artculo 45 de la

Ley establece las correspondientes sanciones:
Las infracciones leves sern sancionadas con multa, cuya cuanta oscilar entre
las cantidades que al efecto marca la Ley.
Las infracciones graves se sancionan con multa, cuya cuanta oscila entre las
cantidades que al efecto marca la Ley.
Para las infracciones muy graves la sancin a imponer ser la de multa, cuyas
cuantas oscilan entre las cantidades que al efecto marca la Ley.
Por otra parte, el artculo 121 RLOPD establece la posibilidad que asiste al Director de la
AEPD de requerir al responsable de los ficheros o tratamientos a fin de que cese en la
utilizacin o cesin ilcita de datos, cuando con ello se atente o se impida el ejercicio de
los derechos de los ciudadanos y el libre desarrollo de la personalidad que tanto la CE
como las leyes garantizan.
El requerido dispone de un plazo improrrogable de tres das para hacer efectivo el
requerimiento y formular alegaciones a fin de levantar dicha
medida; si fuere
desatendido, el Director de la AEPD, mediante resolucin motivada, podr acordar la

inmovilizacin de los ficheros o tratamientos.
Respecto a las sanciones, el artculo 45 de la LOPD establece los siguientes baremos:
Las infracciones leves sern sancionadas con multa de 900 a 40.000 euros.
Las infracciones graves sern sancionadas con multa de 40.001 a 300.000 euros.
Las infracciones muy graves sern sancionadas con multa de 300.001 a 600.000
euros.
Para la adecuacin de la sancin pecuniaria este mismo artculo establece en su punto

cuarto los criterios de graduacin que se deben atender:
El carcter continuado de la infraccin.
El volumen de los tratamientos efectuados.
La vinculacin de la actividad del infractor con la realizacin de tratamientos de

113
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisin de la infraccin.
El grado de intencionalidad.
La reincidencia por comisin de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras

personas.
La acreditacin de que con anterioridad a los hechos constitutivos de infraccin la

entidad imputada tena implantados procedimientos adecuados de actuacin en
la recogida y tratamiento de los datos de carcter personal, siendo la infraccin
consecuencia de una anomala en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
Cualquier otra circunstancia que sea relevante para determinar el grado de

antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora.
Por otra parte, el rgano sancionador establecer la cuanta de la sancin aplicando la

escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
Cuando se aprecie una cualificada disminucin de la culpabilidad del imputado o

de la antijuridicidad del hecho como consecuencia de la concurrencia significativa
de varios de los criterios enunciados en el apartado 4 de este artculo.
Cuando la entidad infractora haya regularizado la situacin irregular de forma

diligente.
Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la

comisin de la infraccin.
Cuando el infractor haya reconocido espontneamente su culpabilidad.
Cuando se haya producido un proceso de fusin por absorcin y la infraccin

fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Excepcionalmente el rgano sancionador podr, previa audiencia de los interesados y

atendida la naturaleza de los hechos y la concurrencia significativa de los criterios
establecidos
en
el
apartado
anterior,
no
acordar
la
apertura
del
procedimiento
sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que

el rgano sancionador determine, acredite la adopcin de las medidas correctoras que en
cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
114
Que los hechos fuesen constitutivos de infraccin leve o grave conforme a lo

dispuesto en la LOPD.
Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
En el caso de que dicho apercibimiento no fuera atendido en el plazo que el rgano

sancionador hubiera determinado se proceder a la apertura del correspondiente
procedimiento sancionador por dicho incumplimiento.
Como lmite a la imposicin de sanciones se establece que en ningn caso se podr
imponer una ms grave que aqulla que haya fijado la norma para la clase de infraccin
en la que se integre la que se pretende sancionar.
Por ltimo, se establece una clusula de revisin de las cuantas de las sanciones, las
cuales experimentaran las variaciones que se produzcan sobre los ndices de precios.
Se dedica el artculo 46 de la Ley a las infracciones de las Administraciones Pblicas; as,
se dispone que cuando las infracciones a las que se alude en el artculo 44 de la Ley
fueren cometidas en ficheros de titularidad pblica o en relacin con tratamientos cuyos
responsables seran de ficheros de dicha naturaleza, el rgano sancionador dictar una
resolucin estableciendo las medidas que proceda adoptar para que cesen o se corrijan
los efectos de la infraccin.
La citada resolucin debe ser notificada al responsable del fichero, as como al rgano
del que dependa jerrquicamente y a los afectados, en el caso de que los hubiere.
Asimismo, se establece la posibilidad de que el rgano sancionador proponga la
iniciacin de las correspondientes actuaciones disciplinarias, en el caso de que stas
procedan. Siendo el procedimiento y las sanciones a aplicar las establecidas en el
rgimen disciplinario de las Administraciones Pblicas y debindose comunicar al
rgano sancionador las resoluciones que recaigan en relacin con estas medidas y
actuaciones.
Sobre el Director de la Agencia recae la obligacin de comunicar al Defensor del Pueblo
las actuaciones que se efecten, as como las resoluciones dictadas en este sentido.
Prescripcin
El artculo 47 de la LOPD establece los plazos de prescripcin de las infracciones:
Las infracciones muy graves prescriben a los tres aos.
Las infracciones graves prescriben a los dos aos.
Las infracciones leves prescriben al ao.
115
El plazo de prescripcin comenzar a contarse desde el da en que la infraccin se

hubiera cometido. La prescripcin se considera interrumpida por la iniciacin, con
conocimiento del interesado, del correspondiente procedimiento sancionador; dicho
plazo se reanudar si el expediente sancionador se paraliza por un plazo superior a seis
meses, siempre que se deba a causas no imputables al presunto infractor.
Por su parte, el apartado 4 del artculo 47 establece los plazos de prescripcin de las
sanciones:
Las sanciones impuestas por faltas muy graves prescriben a los tres aos.
Las sanciones impuestas por faltas graves prescriben a los dos aos.
Las sanciones impuestas por infracciones leves prescriben al ao.
El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a

aqul en que adquiera firmeza la resolucin por la que se impone la sancin.
Este plazo queda interrumpido por la iniciacin, con conocimiento del interesado, del
correspondiente procedimiento de ejecucin, volviendo a transcurrir si el mismo queda
paralizado por tiempo superior a seis meses, cuando no sea por causas imputables al
infractor.
A modo de introduccin debemos sealar que una de las principales novedades
introducidas por el Reglamento de desarrollo de la LOPD es la tramitacin uniforme de
los procedimientos sancionadores. Estos procedimientos sancionadores se tramitan al
amparo de tres normas diferentes: la LOPD, la Ley General de Telecomunicaciones y la
Ley de los Servicios de la Sociedad de la Informacin y del Comercio Electrnico.
Hasta la promulgacin del citado Reglamento, los procedimientos sancionadores
incoados como consecuencia de una infraccin de la LOPD se regan por lo dispuesto en
el Real Decreto 1332/1994, mientras que los tramitados como consecuencia de una
infraccin de las otras dos leyes, se regan por las previsiones del Real Decreto
1398/1993, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la
Potestad Sancionadora.
El artculo 48 de la LOPD se establece que por ser por va reglamentaria como se
determinar el procedimiento sancionador para el enjuiciamiento de las infracciones y la
imposicin de las sanciones que correspondan.
Actuaciones Previas
A estos efectos, el artculo 122 del Reglamento nos indica una serie de actuaciones
previas a la iniciacin del procedimiento sancionador. stas irn encaminadas a
determinar si, efectivamente, concurren circunstancias que justifiquen tal iniciacin.
Concretamente irn destinadas a determinar, con la mayor precisin, los hechos que
justifiquen la incoacin del procedimiento, la persona u rgano que pudiera resultar
responsable, as como las circunstancias que se estimen relevantes en cada caso.
116
Las actuaciones previas sern realizadas de oficio por la AEPD por iniciativa propia,
cuando medie denuncia o a consecuencia de peticin razonada de otro rgano. Como
duracin mxima de las mismas se establece un plazo de 12 meses, contados desde la
recepcin de la denuncia o peticin razonada en la AEPD, o, desde el acuerdo del
Director de la misma de realizacin de stas. Si, transcurrido el plazo no se incoase el
procedimiento sancionador, se entender que han caducado.
Ser competente para llevar a cabo las actuaciones previas el personal del rea de
Inspeccin
de
Datos,
habilitado
para
el
ejercicio
de
funciones
inspectoras.
Excepcionalmente, el Director de la AEPD poda designar para este cometido a

funcionarios de la misma no habilitados para ello, pero que no presten sus funciones en
la Agencia, siempre que renan las condiciones de idoneidad y especializacin para la
realizacin de tales actuaciones, si bien, esta posibilidad ha sido anulada, por
disconforme a derecho, por Sentencia de 15 de julio de 2010, de la Sala Tercera del
Tribunal Supremo.
En
el
desempeo
de
sus
actuaciones
los
inspectores
podrn
recabar
cuantas
informaciones precisen para el cumplimiento de sus cometidos. As, podrn requerir la

exhibicin o envo de documentos y datos, o examinarlos en el lugar en el que se
encuentren depositados, obtener copias de los mismos, inspeccionar equipos, Del
mismo modo, el Reglamento los faculta para realizar visitas de inspeccin a los locales o
sedes inspeccionados o donde se ubiquen los ficheros.
Los inspectores han de estar previamente autorizados por el Director de la Agencia
Espaola de Proteccin de Datos; la autorizacin indicar la habilitacin del inspector y
la identificacin de la persona u rgano inspeccionado.
De
las
diferentes
inspecciones
se
levantar
acta,
quedando
constancia
de
las
actuaciones practicadas. sta ser emitida por duplicado, firmada por los inspectores y
por el inspeccionado, quien podr hacer constar en la misma las alegaciones o
manifestaciones que tenga por convenientes. Si el inspeccionado se negase a firmar el
acta, dicho extremo quedar igualmente consignado; no obstante, la firma de ste no
supondr su conformidad, nicamente dar fe de la recepcin del acta.
Finalmente se har entrega al inspeccionado de uno de los originales del acta de
inspeccin, incorporndose el otro a las actuaciones.
Una vez hayan finalizado las actuaciones previas, se sometern a decisin del Director
de la Agencia; si se considera que los hechos no son susceptibles de motivar imputacin
de infraccin alguna, aqul dictar resolucin de archivo, notificndolo al investigado y
al denunciante, si lo hubiera. Si por el contrario se aprecia la existencia de indicios que
motiven la imputacin de una infraccin, el Director de la AEPD dictar acuerdo de inicio
del procedimiento sancionador o de infraccin de las Administraciones Pblicas.
A ttulo de ejemplo sealamos que, tal y como reza en la Memoria del ao 2010 de la
AEPD, la labor de inspeccin para ese mismo ao se centr en los sectores de las
telecomunicaciones, videovigilancia, entidades financieras, administraciones pblicas,
servicios de internet, etc.
117
Iniciacin del Procedimiento

El artculo 127 del Reglamento de desarrollo de la LOPD establece que el acuerdo de
iniciacin del procedimiento sancionador debe contener estos extremos:
Identificacin de la persona o personas presuntamente responsables.
Descripcin sucinta de los hechos imputados, su posible calificacin y las

sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la
instruccin.
Indicacin de que el rgano competente para resolver el procedimiento es el

Director de la Agencia Espaola de Proteccin de Datos.
Indicacin al presunto responsable de que puede reconocer voluntariamente su

responsabilidad, en cuyo caso se dictar directamente resolucin.
Designacin de instructor y, en su caso, secretario, con expresa indicacin del

rgimen de recusacin de los mismos.
Indicacin expresa del derecho del responsable a formular alegaciones, a la

audiencia en el procedimiento y a proponer las pruebas que estime procedentes.
Medidas de carcter provisional que pudieran acordarse, en su caso, conforme a

lo establecido en la seccin primera del captulo III del Reglamento.
Finalizacin del Procedimiento

Cada procedimiento sancionador establece un plazo para dictar resolucin, computado
desde la fecha en que se dicte este acuerdo de inicio y hasta que se produzca la
notificacin de la resolucin sancionadora; igualmente es vlido el intento fallido de
notificacin de la misma.
Vencido el plazo que se estipule en cada caso sin que haya se haya dictado y notificado
la resolucin expresa, se entender el procedimiento caducado, procediendo el archivo
de las actuaciones.
En todo caso, establece la Disposicin Final nica del Reglamento que, para todo lo no
establecido, sern de aplicacin a los procedimientos sancionadores las disposiciones
contenidas en el Reglamento de Procedimiento para el ejercicio de la potestad
sancionadora, aprobado por Real Decreto 1398/1993. Asimismo, el artculo 115 indica
que los procedimientos tramitados por la AEPD se regirn, supletoriamente, por lo
establecido en la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y
del Procedimiento Administrativo Comn
Las resoluciones de la Agencia de Proteccin de Datos o del rgano correspondiente de
la Comunidad Autnoma son actos administrativos que agotan la va administrativa.
118
Los procedimientos sancionadores que se tramiten por la Agencia Espaola de

Proteccin de Datos, en el ejercicio de las potestades que le vienen atribuidas por la Ley
o por otras disposiciones, tendrn una duracin mxima de seis meses, si la normativa
no indica otro plazo superior.
No obstante, quedan fuera de esta limitacin temporal los procedimientos sancionadores
que se sigan como consecuencia de las infracciones que se prev en la Ley 32/2003, de
3 de Noviembre, General de Telecomunicaciones.
Adems del ejercicio de la potestad sancionadora, el artculo 49 de la Ley otorga a la
Agencia de Proteccin de Datos la potestad de requerir a los responsables de ficheros de
datos de carcter personal, tanto de titularidad pblica como privada, la cesacin de la
utilizacin o cesin ilcita de los datos.
Esta facultad queda reservada para los supuestos de infraccin grave o muy grave en
que la persistencia en el tratamiento de los datos de carcter personal o su
comunicacin
transferencia
internacional
posterior
pudiera
suponer
un
grave
menoscabo de los derechos fundamentales de los afectados y en particular de su

derecho a la proteccin de datos de carcter personal.
En los casos en los que dicho requerimiento no sea atendido, la Ley faculta a la Agencia
de Proteccin de Datos a inmovilizar estos ficheros a los solos efectos de restaurar los
derechos de las personas afectadas. Para ello ser necesaria una resolucin motivada en
la que as se acuerde.
Por ltimo, se debe sealar que las resoluciones de la Agencia, en el ejercicio de su
potestad sancionadora, son recurribles, pudiendo interponerse recurso contencioso
administrativo ante la Audiencia Nacional.
119
Son funciones de la Agencia Espaola de Proteccin de Datos (AEPD), entre

otras, ejercer la potestad sancionadora.
Estn sujetos al rgimen sancionador de la LOPD los responsables de los ficheros

y los encargados de tratamiento.
Las infracciones se tipifican como muy graves, graves y leves.

Las sanciones oscilan entre los 900 y 600.000 euros.
La ley establece unos criterios de graduacin a fin de procurar la adecuacin de la
sancin pecuniaria.
Como lmite a la imposicin de sanciones se establece que no se podr imponer

una ms grave que aqulla que haya fijado la norma para la clase de infraccin
que se haya cometido.
Cuando las infracciones fueren cometidas en ficheros de los que responda la

Administracin, el Director de la Agencia de Proteccin de Datos dictar una
resolucin estableciendo las medidas que proceda adoptar para que cesen o se
corrijan los efectos de la infraccin.
Las
resoluciones
de
la
Agencia
de
Proteccin
de
Datos
del
rgano
correspondiente de la Comunidad Autnoma son actos administrativos que

agotan la va administrativa.
Los procedimientos sancionadores que se tramiten por la Agencia Espaola de

Proteccin de Datos, en el ejercicio de las potestades que le vienen atribuidas por
la Ley o por otras disposiciones, tendrn una duracin mxima de seis meses,
salvo lo dispuesto en la regulacin especfica de cada uno de ellos.
La Agencia de Proteccin de Datos goza de la potestad de requerir a los

responsables de ficheros de datos de carcter personal, tanto de titularidad
pblica como privada, la cesacin de la utilizacin o cesin ilcita de los datos.
Las infracciones muy graves prescriben a los tres aos, las graves a los dos y las
leves al ao.
Las sanciones impuestas por faltas muy graves prescriben a los tres aos, las
graves a los dos y las leves al ao.
120
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
121
TEST
1. A los tres aos prescriben:
Las sanciones impuestas por infracciones muy graves.
Las infracciones graves.
2. El plazo de prescripcin de las infracciones leves comienza a correr:
Desde el momento que se acuerde por resolucin motivada de la Agencia de

Proteccin de Datos.
Desde la fecha de su comisin.
Desde la fecha en que se imponga la sancin que a la misma corresponda.
3. La obstruccin al ejercicio de la funcin inspectora es una infraccin:
Leve.
Grave.
Muy grave.
4. La recogida de datos en forma engaosa y fraudulenta es una infraccin:
Leve.
Grave.
Muy grave.
5. El incumplimiento del deber de informacin al afectado acerca del tratamiento de sus

datos de carcter personal cuando los datos sean recabados del propio interesado es
una infraccin:
Leve.
Grave.
Muy grave.
6. El impedimento o la obstaculizacin del ejercicio de los derechos de acceso,

rectificacin, cancelacin y oposicin, es una infraccin:
Leve.
Grave.
Muy grave.
122
Ley de Proteccin
de Datos
Modelo A de Derecho de Acceso
Modelo B de Derecho de Rectificacin
Modelo C de Derecho de Cancelacin
Modelo D de Derecho de Exclusin
Modelo E de Derecho de Oposicin
Modelos de Denuncia ante la AEPD
anexos
Anexos
A. DERECHO DE ACCESO.
A.1. EJERCICIO DEL DERECHO DE ACCESO(1).
DATOS DEL RESPONSABLE DEL FICHERO(2).

Nombre / razn social: .............................................................. Direccin de la Oficina / Servicio
ante el que se ejercita el derecho de acceso: C/Plaza .......................................................................
n ........... C.Postal .................. Localidad ..................................... Provincia .................................
Comunidad Autnoma .............................. C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(3.

D./ D. .........................................................................................................., mayor de edad, con
domicilio en la C/Plaza ......................................................................................... n........, Localidad
........................................... Provincia .......................................... C.P. ............... Comunidad
Autnoma ............................................ con D.N.I.........................., del que acompaa copia, por
medio del presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el
artculo 15 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal y en los artculos 27 y 28 del Real Decreto 1720/2007, de 21 de diciembre, por el que se
desarrolla la misma, y en consecuencia,
SOLICITA,
Que se le facilite gratuitamente el derecho de acceso a sus ficheros en el plazo mximo de un
mes a contar desde la recepcin de esta solicitud, y que se remita por correo la informacin a la
direccin arriba indicada en el plazo de diez das a contar desde la resolucin estimatoria de la
solicitud de acceso.
Asimismo, se solicita que dicha informacin comprenda, de modo legible e inteligible, los datos de
base que sobre mi persona estn incluidos en sus ficheros, los resultantes de cualquier
elaboracin, proceso o tratamiento, as como el origen de los mismos, los cesionarios y la
especificacin de los concretos usos y finalidades para los que se almacenaron.
En ............................a.........de...........................de 20......
Firmado
1 Se trata de la peticin de informacin sobre los datos personales incluidos en un fichero. Este
derecho se ejerce ante el responsable del fichero (Organismo Pblico o entidad privada) que es
quien dispone de los datos. La Agencia Espaola de Proteccin de Datos no dispone de sus datos
personales sino solamente de la ubicacin del citado responsable si el fichero est inscrito en el
Registro General de Proteccin de Datos.

2 Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola
de Proteccin de Datos para solicitar esta informacin en el telfono 901 100 099.
3 Tambin podr ejercerse a travs de representacin legal, en cuyo caso,

adems del DNI del interesado, habr de aportarse DNI y documento acreditativo
autntico de la representacin del tercero.
A.2. RECLAMACIN DE TUTELA POR DENEGACIN DEL DERECHO DE ACCESO.
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(1)

Autnoma ............................................ con D.N.I...........................

DATOS DEL RESPONSABLE DEL FICHERO.
Nombre/razn social: ......................................................................................... Direccin de la
Oficina / Servicio ante el que se
ejercita el derecho de acceso:
C/Plaza
....................................................................... n ........... C.Postal
.................. Localidad
..................................... Provincia ................................. Comunidad Autnoma ..............................
C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Espaola de Proteccin de Datos
que, con fecha ....................................., ejerc el derecho de acceso ante el responsable del fichero
sealado, habindose denegado por ste el citado ejercicio en el siguiente sentido (mrquese lo
que proceda):
No se ha contestado en el plazo de un mes desde la recepcin de la solicitud.
Se ha denegado el acceso completamente, documentndose con copia del escrito.

No se ha contestado satisfactoriamente a la peticin de acceso, documentndose con copia del
escrito.
Al objeto de que por parte de esa Agencia Espaola de Proteccin de Datos se pueda comprobar
lo sealado, se remite la siguiente documentacin anexa a este escrito:
Copia del escrito de peticin de acceso sellada por el responsable del fichero.
Copia del escrito de peticin de acceso sellada por la oficina de correos.
Copias del resguardo del envo por correo certificado y de la peticin de acceso.
Copia de cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que
se pueda deducir la recepcin de la solicitud de acceso.
Copia de la denegacin de acceso dictada por el responsable del fichero.
Copia de la contestacin del responsable del fichero en la que no se facilita el contenido de la
informacin solicitada.
En virtud de cuanto antecede,

SOLICITA la tutela de la Agencia Espaola de Proteccin de Datos al amparo de lo establecido en
el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal, por vulneracin del artculo 15 de la referida Ley Orgnica, y de los artculos 27, 28, 29 y
30 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:
ILMO. SR. DIRECTOR DE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS.
C/ Jorge Juan, 6.- 28001 MADRID

(1)Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo autntico de la representacin del tercero.
A.3. INSTRUCCIONES PARA LA CUMPLIMENTACIN DE LOS MODELOS RELACIONADOS
CON EL DERECHO DE ACCESO.

1. Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la
identidad y sea considerado vlido en derecho, para que el responsable del fichero pueda realizar
la comprobacin oportuna. En caso de que se acte a travs de representacin legal deber
aportarse, adems, DNI y documento acreditativo de la representacin del representante.
2. El derecho de acceso no podr llevarse a cabo en intervalos inferiores a 12 meses, salvo
inters legtimo debidamente justificado.
3. La Agencia Espaola de Proteccin de Datos no dispone de sus datos personales y slo
puede facilitar, en su caso, la direccin de los responsables de los ficheros inscritos. El titular de los
datos personales objeto de tratamiento debe dirigirse directamente ante el Organismo pblico o
privado, empresa o profesional del que presume o tiene la certeza que posee sus datos.
4. Para que la Agencia Espaola de Proteccin de Datos pueda iniciar el procedimiento de
tutela de derechos, resulta necesario que haya transcurrido un mes desde la presentacin de la
solicitud por la que se ejercita el derecho de acceso, sin que se haya producido contestacin
alguna, y que se aporte, junto con el escrito que en su caso haya realizado el responsable del
fichero, alguno de los siguientes documentos:
. la negativa del responsable del fichero a facilitar la informacin solicitada.
. copia sellada por el responsable del fichero del modelo de peticin de acceso.
. copia del resguardo del envo por correo certificado o de la copia de la solicitud con el
sello de la oficina de correos.
. cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los
que se pueda deducir la recepcin de la solicitud.
B. DERECHO DE RECTIFICACIN.
B.1. EJERCICIO DEL DERECHO DE RECTIFICACIN(1)

Nombre / razn social: ................................................................................................... Direccin de la Oficina /
Servicio ante
el que se ejercita el
derecho de rectificacin:
C/Plaza
..................................................................................................... n ........... C.Postal .................. Localidad
..................................... Provincia ................................. Comunidad Autnoma .............................. C.I.F./D.N.I.
.................................
DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3).

D./ D. .........................................................................................................., mayor de edad, con domicilio en la
C/Plaza ......................................................................................... n........, Localidad ...........................................
Provincia .......................................... C.P. ............... Comunidad Autnoma ............................................ con

D.N.I.........................., del que acompaa copia, por medio del presente escrito ejerce el derecho de
rectificacin sobre los datos anexos, aportando los correspondientes justificantes, de conformidad con lo
previsto en el artculo 16 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal y en los artculos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla
la misma y en consecuencia,
SOLICITA,
Que se proceda a acordar la rectificacin de los datos personales sobre los cuales se ejercita el derecho, que
se realice en el plazo de diez das a contar desde la recogida de esta solicitud, y que se me notifique de forma
escrita el resultado de la rectificacin practicada.
Que en caso de que se acuerde, dentro del plazo de diez das hbiles, que no procede acceder a practicar
total o parcialmente las rectificaciones propuestas, se me comunique motivadamente a fin de, en su caso,
solicitar la tutela de la Agencia Espaola de Proteccin de Datos, al amparo del artculo 18 de la citada Ley
Orgnica 15/1999.
Que si los datos rectificados hubieran sido comunicados previamente se notifique al responsable del fichero la
rectificacin practicada, con el fin de que tambin ste proceda a hacer las correcciones oportunas para que
se respete el deber de calidad de los datos a que se refiere el artculo 4 de la mencionada Ley Orgnica
15/1999.
En ............................a.........de...........................de 20......
Firmado:
1.
Consiste en la peticin dirigida al responsable del fichero con el fin de que los datos personales respondan con
2.
veracidad a la situacin actual del afectado.

Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola de Proteccin
de Datos para solicitar esta informacin en el telfono 901 100 099.
3.
Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr
de aportarse DNI y documento acreditativo autntico de la representacin del tercero.
B.2. RECLAMACIN DE TUTELA POR DENEGACIN DEL DERECHO DE RECTIFICACIN.

D./ D. .........................................................................................................., mayor de edad, con domicilio en la
C/Plaza ......................................................................................... n........, Localidad ...........................................
Provincia .......................................... C.P. ............... Comunidad Autnoma ............................................ con

D.N.I...........................

Nombre / razn social: ............................................................................................... Direccin de la Oficina /
Servicio ante
el que se ejercita el
derecho de rectificacin:
C/Plaza
....................................................................... n ........... C.Postal .................. Localidad .....................................
Provincia ................................. Comunidad Autnoma ............................ C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Espaola de Proteccin de Datos que, con fecha
....................................., ejerc el derecho de rectificacin ante el responsable del fichero sealado,
habindose denegado por ste el citado ejercicio en el siguiente sentido (mrquese lo que proceda):
No se ha contestado en el plazo diez das hbiles.
Se ha denegado la rectificacin total o parcialmente sin justificacin.
Se ha denegado la rectificacin total o parcialmente motivadamente. No se ha rectificado el dato

de modo efectivo.
Al objeto de que por parte de esa Agencia Espaola de Proteccin de Datos se pueda comprobar lo sealado,
se remite junto con el presente escrito, contestacin recibida en su caso del responsable del fichero y la
documentacin aneja que proceda (mrquese):
Copia del escrito de peticin de rectificacin sellada por el responsable del fichero.
Copia del escrito de peticin de rectificacin sellada por la oficina de correos.
Copias del resguardo del envo por correo certificado y de la peticin de rectificacin.
se pueda deducir la recepcin de la solicitud de rectificacin.
Copia de la denegacin de rectificacin dictada por el responsable del fichero.
rectificacin solicitada.

SOLICITA la tutela de la Agencia Espaola de Proteccin de Datos al amparo de lo establecido en el artculo
18 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, por
vulneracin del artculo 16 de la referida Ley Orgnica, y de los artculos 31, 32 y 33 del Real Decreto
1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:

(1) Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado,
habr de aportarse DNI y documento acreditativo de la representacin del tercero.
B.3. INSTRUCCIONES PARA LA CUMPLIMENTACIN DE LOS MODELOS RELACIONADOS CON

EL DERECHO DE RECTIFICACIN.
1. Este modelo se utilizar para el caso de que se deban rectificar datos inexactos o incompletos
en un fichero.
2. Para probar el carcter inexacto o incompleto de los datos que figuran en los ficheros resulta
necesaria la aportacin de la documentacin que lo acredite al responsable del fichero.

3. Debido al carcter personalsimo de los datos de carcter personal es necesario aportar
fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea
considerado vlido en derecho de modo que el responsable del fichero pueda constatarla.
Tambin puede ejercitarse a travs del representante legal.
4. La Agencia Espaola de Proteccin de Datos no dispone de sus datos personales y slo
puede facilitar la direccin del responsable de los ficheros inscritos. El afectado o titular de los
datos personales debe dirigirse directamente ante el Organismo pblico o privado, empresa o
profesional del que presume o tiene la certeza que posee sus datos.
5. Para que la Agencia Espaola de Proteccin de Datos pueda iniciar el procedimiento de tutela
resulta necesario que hayan transcurrido diez das hbiles sin que el responsable haya hecho
efectivo el derecho, y aporte, junto con el escrito que en su caso haya realizado el responsable
del fichero, alguno de los siguientes documentos:
. la negativa del responsable del fichero a la rectificacin de los datos solicitados.
. copia sellada por el responsable del fichero del modelo de peticin de rectificacin.
. copia del resguardo del envo por correo certificado o de la copia de la solicitud con el sello de
la oficina de correos.
. cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se
pueda deducir la recepcin de la solicitud.
C. DERECHO DE CANCELACIN.
C.1. EJERCICIO DEL DERECHO DE CANCELACIN(1)
DATOS DEL RESPONSABLE DEL FICHERO(2)

Nombre / razn social: ............................................................................... Direccin de la Oficina /
Servicio ante el que se ejercita el derecho de cancelacin: C/Plaza
....................................................................... n ........... C.Postal .................. Localidad
C.I.F./D.N.I. .................................
DATOS DEL AFECTADO O REPRESENTANTE LEGAL(3)
Autnoma ............................................ con D.N.I.........................., del que acompaa copia, por

medio del presente escrito ejerce el derecho de cancelacin, de conformidad con lo previsto en el
artculo 16 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal y en los artculos 31 y 32 del Real Decreto 1720/2007, de 21 de diciembre, por el que se
desarrolla la misma y en consecuencia,
SOLICITA,
Que se proceda a acordar la cancelacin de los datos personales sobre los cuales se ejercita el
derecho, que se realice en el plazo de diez das a contar desde la recogida de esta solicitud, y que
se me notifique de forma escrita el resultado de la cancelacin practicada.
Que en caso de que se acuerde dentro del plazo de diez das hbiles que no procede acceder a
practicar total o parcialmente las cancelaciones propuestas, se me comunique motivadamente a fin

de, en su caso, solicitar la tutela de la Agencia Espaola de Proteccin de Datos, al amparo del
artculo 18 de la citada Ley Orgnica 15/1999.
Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable
del fichero la cancelacin practicada con el fin de que tambin ste proceda a hacer las
correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el
artculo 4 de la mencionada Ley Orgnica 15/1999.
En ............................a.........de...........................de 20......
Firmado:
(1)Consiste en la peticin de cancelacin de un dato que resulte innecesario o no pertinente para la finalidad con la que fue
recabado. El dato ser bloqueado, es decir, ser identificado y reservado con el fin de impedir su tratamiento.
(2)Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola de Proteccin de Datos
para solicitar esta informacin en el telfono 901 100 099.
C.2. RECLAMACIN DE TUTELA POR DENEGACIN DEL DERECHO DE CANCELACIN.

Autnoma ............................................ con D.N.I...........................

Nombre / razn social: ................................................................................. Direccin de la Oficina /
Servicio ante el que se ejercita el derecho de cancelacin: C/Plaza ...................................................
n ........... C.Postal .................. Localidad ..................................... Provincia .................................
Comunidad Autnoma .............................. C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Espaola de Proteccin de Datos que,
con fecha ....................................., ejerc el derecho de cancelacin ante el responsable del fichero
que proceda):

Se ha denegado la cancelacin total o parcialmente sin justificacin.
Se ha denegado la cancelacin total o parcialmente motivadamente.
No se ha cancelado el dato de modo efectivo.
Al objeto de que por parte de esa Agencia Espaola de Proteccin de Datos se pueda comprobar lo
sealado, se remite junto con el presente escrito, contestacin recibida en su caso del responsable
del fichero y la documentacin aneja que proceda (mrquese):
Copia del escrito de peticin de cancelacin sellada por el responsable del fichero.
Copia del escrito de peticin de cancelacin sellada por la oficina de correos.
Copias del resguardo del envo por correo certificado y de la peticin de cancelacin.
se pueda deducir la recepcin de la solicitud de cancelacin.

Copia de la denegacin de cancelacin dictada por el responsable del fichero.
cancelacin solicitada.

Personal, por vulneracin del artculo 16 de la referida Ley Orgnica, y de los artculos 31, 32 y 33
del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:

(1)Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado,
habr de aportarse DNI y documento acreditativo de la representacin del tercero.
C.3. INSTRUCCIONES PARA LA CUMPLIMENTACIN DE LOS MODELOS RELACIONADOS
CON EL DERECHO DE CANCELACIN.
1. El Modelo C.1. se utilizar por el afectado cuando desee cancelar y bloquear datos inexactos
existentes en un fichero.
2. Para probar el carcter inexacto de los datos que figuran en los ficheros resulta necesaria la
aportacin de la documentacin que lo acredite al responsable del fichero.

considerado vlido en derecho de modo que el responsable del fichero pueda constatarla. Tambin
puede ejercitarse a travs de representante legal.
4. La Agencia Espaola de Proteccin de Datos no dispone de sus datos personales y slo puede
facilitar la direccin del responsable de los ficheros inscritos. El afectado o titular de los datos
personales debe dirigirse directamente ante el Organismo pblico o privado, empresa o profesional
del que presume o tiene la certeza que posee sus datos.
efectivo el derecho, y aporte alguno de los siguientes documentos:
. la negativa del responsable del fichero a la cancelacin de los datos solicitados.
. copia sellada por el responsable del fichero del modelo de peticin de cancelacin.
. copia del resguardo del envo por correo certificado o de la copia de la solicitud con el sello de la
oficina de correos.
6. Sin perjuicio del ejercicio del derecho de cancelacin, a tenor del art. 16,5 de La Ley Orgnica
15/1999, los datos de carcter personal debern ser conservados durante los plazos previstos en
las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o
entidad responsable del tratamiento y el interesado.
D. EJERCICIO DEL DERECHO DE EXCLUSIN(1).

D.1. DERECHO DE EXCLUSIN DE LA UTILIZACIN DE LOS DATOS PARA
FINES DE PUBLICIDAD Y PROSPECCIN COMERCIAL(2).

Nombre / razn social: .................................................................................Direccin de la Oficina /
Servicio ante el que se ejercita el derecho de exclusin: C/Plaza
...................................................................... n ........... C.Postal .................. Localidad
C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(4).
Autnoma............................................ con D.N.I.........................., del que acompaa copia, por
medio del presente escrito ejerce el derecho de exclusin de la utilizacin de los datos para fines
de publicidad y prospeccin comercial, de conformidad con lo previsto en el artculo 28 de la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, y en su caso
en el articulo 67,2 del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III
de la Ley General de Telecomunicaciones, y en consecuencia,

SOLICITA,
Que se proceda a acordar la exclusin de la utilizacin de los datos para fines de publicidad y
prospeccin comercial de mis datos personales, y que se me notifique de forma escrita el resultado
de la exclusin practicada.
Que si los datos objeto de exclusin hubieran sido comunicados previamente se notifique al
responsable del fichero la exclusin practicada con el fin de que tambin ste proceda a hacer las
correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el
artculo 4 de la mencionada Ley Orgnica 15/1999.
En ............................a.........de...........................de 20......
Firmado:
(1) Consiste en la peticin de supresin total o parcial de los datos personales incluidos en fuentes de acceso al pblico. La
presente solicitud ser atendida en el plazo de diez das cuando el dato sea utilizado por consulta o comunicacin
telemtica, y en la siguiente edicin del listado cuando se editen en forma de libro o algn otro soporte fsico (p.e. un C.D.).
(2) Aplicable nicamente al Censo Promocional, a los listados pblicos de Colegios Profesionales y a los repertorios
telefnicos.
(3). Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola de Proteccin de Datos
(4) Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo de la representacin del tercero.
D. EJERCICIO DEL DERECHO DE EXCLUSIN(1).
D.2. EJERCICIO DEL DERECHO DE EXCLUSIN EN LOS REPERTORIOS
TELEFNICOS DE ACCESO PBLICO.

Nombre / razn social:..................................................................................Direccin de la Oficina /
Servicio
ante
el
que
se ejercita el
derecho
de exclusin: C/Plaza
...............................................................n........... C.Postal..............
Localidad.....................................
Provincia
.................................
Comunidad
Autnoma
..............................C.I.F./D.N.I. .................................
DATOS DEL INTERESADO O REPRESENTANTE LEGAL(2).
D./ D. ..............................................................................., mayor de edad, con domicilio en la
C/Plaza
.........................................................................................
n........,
Localidad...........................................
Provincia .......................................... C.P.
...............
Comunidad Autnoma............................................ con D.N.I.........................., del que acompaa
copia, por medio del presente escrito ejerce el derecho de exclusin de conformidad con el art. 67
del Real Decreto 1736/1998, de 31 de julio, por el que se desarrolla el Titulo III de la Ley General
de Telecomunicaciones, y en consecuencia,
SOLICITA
1. Que se proceda gratuitamente a la exclusin total / parcial(3) (tchese lo que no proceda) de los
datos relativos a mi persona que se encuentren en los repertorios telefnicos de abonados.
2. Que la exclusin se haga efectiva en todos los repertorios de abonados de servicios telefnicos
y de telecomunicacin, ya sean impresos en papel o disponibles por otros medios de esa
compaa.
3. Manifiesto adems mediante este escrito mi voluntad clara y expresa de que mis datos
personales no sean cedidos a ninguna persona, fsica o jurdica, as como que su utilizacin se
limite exclusivamente a la relacin contractual que mantengo con esa entidad, por ser la finalidad
para la que fueron recogidos.
En ............................a.........de...........................de 20......
Firmado:
1 Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola de Proteccin de Datos
2 Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de aportarse DNI y
documento acreditativo de la representacin del tercero.
3 Referida a los datos del domicilio del abonado.
DERECHO DE OPOSICION
E.1. EJERCICIO DEL DERECHO DE OPOSICIN (1)
DATOS DEL RESPONSABLE DEL FICHERO(2)

Nombre / razn social: ...............................................................................................
Direccin de la Oficina / Servicio ante el que se ejercita el derecho de oposicin: Calle/Plaza
....................................................................... n ........... C.Postal
.................. Localidad
.................................................... Provincia .................................
Comunidad Autnoma ................................ C.I.F./D.N.I. .................................

domicilio en la Calle/Plaza .................................................................................... n..... Localidad
Autnoma ............................................ con D.N.I.........................., del que acompao copia, por
medio del presente escrito ejerzo el derecho de oposicin, de conformidad con lo previsto en los
artculos 6.4, 17 y 30.4 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de
carcter personal y en los artculos 34 y 35 del Real Decreto 1720/2007, de 21 de diciembre , que
la desarrolla y en consecuencia,
EXPONGO,
(describir la situacin en la que se produce el tratamiento de sus datos personales y enumerar los motivos por
los que se opone al mismo)
Para acreditar la situacin descrita, acompao una copia de los siguientes documentos:
(enumerar los documentos que adjunta con esta solicitud para acreditar la situacin que ha descrito)
SOLICITO,
Que sea atendido mi ejercicio del derecho de oposicin en los trminos anteriormente expuestos.
En ............................a.........de...........................de 20......
Firmado:
(1) Se trata de la solicitud de oposicin al tratamiento de los datos personales incluidos en un fichero. Este derecho se
ejerce ante el responsable del fichero (Organismo Pblico o entidad privada) que es quien dispone de los datos. La Agencia
Espaola de Proteccin de Datos no dispone de sus datos personales sino solamente de la ubicacin del citado
responsable si el fichero est inscrito en el Registro General de Proteccin de Datos.
(2) Si Vd. desconoce la direccin del responsable del fichero puede dirigirse a la Agencia Espaola de Proteccin de Datos
(3) Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
E.2. RECLAMACIN DE TUTELA POR DENEGACIN DEL DERECHO DE OPOSICION.

Autnoma ............................................ con D.N.I...........................

Nombre / razn social: ................................................................................. Direccin de la Oficina / Servicio
ante el que se ejercita el derecho de oposicin: C/Plaza ................................................... n ........... C.Postal
.................. Localidad ..................................... Provincia ................................. Comunidad Autnoma
.............................. C.I.F./D.N.I. .................................
Por el presente escrito pongo en conocimiento de la Agencia Espaola de Proteccin de Datos que,
con fecha ....................................., ejerc el derecho de oposicin ante el responsable del fichero
que proceda):

Se ha denegado la oposicin total o parcialmente sin justificacin.
Se ha denegado la oposicin motivadamente.
Al objeto de que por parte de esa Agencia Espaola de Proteccin de Datos se pueda comprobar lo
sealado, se remite junto con el presente escrito, contestacin recibida en su caso del responsable
del fichero y la documentacin aneja que proceda (mrquese):
Copia del escrito de peticin de oposicin sellada por el responsable del fichero.
Copia del escrito de peticin de oposicin sellada por la oficina de correos.
Copias del resguardo del envo por correo certificado y de la peticin de oposicin.
se pueda deducir la recepcin de la solicitud de oposicin.
Copia de la denegacin de oposicin dictada por el responsable del fichero.

Personal, por vulneracin del artculo 16 de la referida Ley Orgnica, y de los artculos 31, 32 y 33
del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla.
En ............................a.........de...........................de 20......
Firmado:

aportarse DNI y documento acreditativo de la representacin del tercero.
E.3. INSTRUCCIONES PARA LA CUMPLIMENTACIN DE LOS MODELOS RELACIONADOS
CON EL DERECHO DE OPOSICION.
1. El Modelo D.1. se utilizar por el afectado cuando desee oponerse a determinados tratamientos
especficos de datos personales existentes en un fichero.
2. Para oponerse a un tratamiento de los datos que figuran en los ficheros resulta necesaria la
existencia de unos motivos fundados y legitimos

considerado vlido en derecho de modo que el responsable del fichero pueda constatarla. Tambin
puede ejercitarse a travs de representante legal.
4. La Agencia Espaola de Proteccin de Datos no dispone de sus datos personales y slo puede
facilitar la direccin del responsable de los ficheros inscritos. El afectado o titular de los datos
personales debe dirigirse directamente ante el Organismo pblico o privado, empresa o profesional
del que presume o tiene la certeza que posee sus datos.
efectivo el derecho, y aporte alguno de los siguientes documentos:
. la negativa del responsable del fichero a la oposicin de los datos solicitados.
. copia sellada por el responsable del fichero del modelo de peticin de oposicin.
. copia del resguardo del envo por correo certificado o de la copia de la solicitud con el sello de la
oficina de correos.
6. En el caso de que el responsable del fichero no disponga de datos personales deber
comunicarlo en el mismo plazo de 10 das.
DENUNCIA ANTE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

DATOS DEL AFECTADO
(1)
D. / D. ......................................................................................................................................, mayor de edad,

con domicilio en .............................................................................................................................
n..........,
Localidad ......................................... Provincia ........................................ C.P. ...............

Comunidad Autnoma ........................................................................, con D.N.I./Pasaporte n..........................
DATOS DEL PRESUNTO RESPONSABLE

Nombre / Razn social: .........................................................................................................................................
Oficina / Servicio (en su caso): ...............................................................................................................
Domicilio: ............................................................................................................................................... n .....,
Localidad.................................................................................. Provincia ................................. C.P. ..................

Comunidad Autnoma ...................................................................................... C.I.F./D.N.I. ...............................
De acuerdo con lo previsto en la normativa vigente, pone en conocimiento del Director de la Agencia Espaola
de Proteccin de Datos los siguientes HECHOS:
que justifica con la DOCUMENTACIN ANEXA que se relaciona a continuacin:

Documento n 1 ........
En virtud de lo expuesto, SOLICITA que se dicte acuerdo de inicio de procedimiento sancionador o de

infraccin de las Administraciones Pblicas o se incoen actuaciones con objeto de determinar si concurren
circunstancias que justifiquen tal iniciacin y que, en cualquier caso, se me notifique el acuerdo que se adopte,
de conformidad con lo previsto en el Reglamento de desarrollo de la Ley Orgnica 15/1999, aprobado mediante
Real Decreto 1720/2007, de 21 de diciembre.
En ..............................................................................................a ........de ........................... de 20......
Firmado:
SR. DIRECTOR DE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

La denuncia puede presentarse por el propio afectado, en cuyo caso acompaar copia del DNI, o cualquier otro documento que
acredite la identidad y sea considerado vlido en derecho. Tambin puede concederse la representacin legal a un tercero, en cuyo caso,
adems, se deber aportar DNI y documento acreditativo de la representacin de ste.
(1)
GLOSARIO
Accesos Autorizados
Autorizaciones concedidas a un usuario para la utilizacin de los
diversos recursos. En su caso, incluirn las autorizaciones o funciones
que tenga atribuidas un usuario por delegacin del responsable del
fichero o tratamiento o del responsable de seguridad.
Afectado o Interesado
Persona fsica titular de los datos que sean objeto del tratamiento.
Autenticacin
Procedimiento de comprobacin de la identidad de un usuario.
Bloqueo de Datos
La identificacin y reserva de los datos de carcter personal con el fin de
impedir su tratamiento.
Cancelacin
Procedimiento en virtud del cual el responsable cesa en el uso de los
datos.
Comunicacin o Cesin de Datos
Toda
revelacin
de
datos
realizada
una
persona
distinta
del
Consentimiento del Interesado

Toda
manifestacin
de
voluntad,
libre,
inequvoca,
especfica
informada, mediante la que el interesado consienta el tratamiento de

datos personales que le conciernen
Copia de Respaldo
Copia de los datos de un fichero automatizado en un soporte que
posibilite su recuperacin.
Datos
Toda informacin numrica, alfabtica, grfica, fotogrfica, acstica o de
cualquier
tipo
transmisin.
susceptible
de
recogida,
registro,
tratamiento
glosario
interesado.
Datos de Carcter Personal

Cualquier informacin concerniente a personas fsicas identificadas o
identificables.
Dato Disociado
Aqul que no permite la identificacin de un afectado o interesado.
Datos de Carcter Personal Relativos a La Salud
Las informaciones concernientes a la salud pasada, presente y futura,
fsica o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje
de discapacidad y a su informacin gentica.
Declarante
Persona fsica que cumplimenta la solicitud de inscripcin y acta como
mediador entre la Agencia y el titular/responsable del fichero. No debe
necesariamente coincidir con el titular/responsable.
Destinatario o Concesionario
La persona fsica o jurdica, pblica o privada u rgano administrativo, al
que se revelen los datos.
Documento
Todo
escrito,
grfico,
sonido,
imagen
cualquier
otra
clase
de
informacin que puede ser tratada en un sistema de informacin como

una unidad diferenciada.
Encargado del Tratamiento
La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro
organismo que, solo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento.
Exportador de Datos Personales
La persona fsica o jurdica, pblica o privada, u rgano administrativo
situado en territorio espaol y responsable del tratamiento de los datos
de carcter personal que son objeto de transferencia internacional a un
pas tercero.
Fichero
Conjunto organizado de datos de carcter personal, cualquiera que sea
la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Fichero de Titularidad Privada

Ficheros de los que sean responsables las personas, empresas o
entidades de derecho privado, con independencia de quien ostente la
titularidad de su capital o de la procedencia de sus recursos econmicos,
as como los ficheros de los que sean responsables las corporaciones de
derecho pblico, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho pblico
que a las mismas atribuye su normativa especfica.
Ficheros de Titularidad Pblica
Ficheros de los que sean responsables los rganos constitucionales o
con relevancia constitucional del Estado o las instituciones autonmicas
con funciones anlogas a los mismos, las Administraciones pblicas
territoriales, as como las entidades u organismos vinculados o
dependientes de las mismas y las Corporaciones de derecho pblico
siempre que su finalidad sea el ejercicio de potestades de derecho
pblico.
Fichero No Automatizado
Conjunto de datos de carcter personal organizado de forma no
automatizada y estructurado conforme a criterios especficos relativos a
personas fsicas, que permitan acceder sin esfuerzos desproporcionados
a sus datos personales, ya sea aqul centralizado, descentralizado o
repartido de forma funcional o geogrfica.
Fuentes Accesibles al Pblico
Aquellos ficheros cuya consulta puede ser realizada por cualquier
persona, no impedida por una norma limitativa, o sin ms exigencia que,
en su caso, el abono de una contraprestacin.
Identificacin del Afectado
Cualquier elemento que permita determinar directa o indirectamente la
identidad fsica, fisiolgica, psquica, econmica, cultural o social de la
persona afectada.
Importador de Datos Personales
La persona fsica o jurdica, pblica o privada, u rgano administrativo
receptor de los datos en caso de transferencia internacional de los
mismos a un tercer pas, ya sea responsable del tratamiento, encargada
del tratamiento o tercero.
Persona Identificable
Toda persona cuya identidad pueda determinarse, directa o
indirectamente, mediante cualquier informacin referida a su identidad
fsica, fisiolgica, psquica, econmica, cultural o social.
Una persona fsica no se considerar identificable si dicha identificacin

requiere plazos o actividades desproporcionados.
Procedimiento de Disociacin
Todo tratamiento de datos personales de modo que la informacin que
se obtenga no pueda asociarse a persona identificada o identificable.
Responsable del Fichero o Tratamiento
Persona fsica o jurdica, de naturaleza pblica o privada, u rgano
administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
Responsable de Seguridad
Persona o personas a las que el responsable del fichero ha asignado
formalmente la funcin de coordinar y controlar las medidas de
seguridad aplicables.
Sistema de Tratamiento
Modo
en
que
se
organiza
utiliza
un
sistema
de
informacin.
Atendiendo al sistema de tratamiento, los sistemas de informacin

podrn
ser
automatizados,
no
automatizados
parcialmente
automatizados.
Soporte
Objeto fsico que almacena o contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de informacin y sobre el cual
se pueden grabar y recuperar datos.
Tercero
Persona fsica o jurdica, pblica o privada u rgano administrativo
distinta del afectado o interesado, del responsable del tratamiento, del
responsable del fichero, del encargado del tratamiento y de las personas
autorizadas
para
tratar
los
datos
bajo
la
autoridad
directa
del
responsable del tratamiento o del encargado del tratamiento. Podrn ser

tambin terceros los entes sin personalidad jurdica que acten en el
trfico como sujetos diferenciados.
Transferencia de Datos
El transporte de los datos entre sistemas informticos por cualquier
medio de transmisin, as como el transporte de soportes de datos por
correo o por cualquier otro medio convencional.
Transferencia Internacional de Datos

Tratamiento de datos que supone una transmisin de los mismos fuera
del territorio del Espacio Econmico Europeo, bien constituya una cesin
o comunicacin de datos, bien tenga por objeto la realizacin de un
tratamiento de datos por cuenta del responsable del fichero establecido
en territorio espaol.
Tratamiento de Datos
Operaciones y procedimientos tcnicos de carcter automatizado o no,
que
permitan
la
recogida,
grabacin,
conservacin,
elaboracin,
modificacin, bloqueo y cancelacin, as como las cesiones de datos que

resulten de comunicaciones, consultas, interconexiones y transferencias
BIBLIOGRAFA
Ttulo: La Proteccin de los Datos de Carcter Personal en el Derecho
Espaol
Editorial: Bosch
Autor: Freixas Gutirrez, G.cebillo, P.M.
Ao: 2001
Ttulo: La proteccin de datos personales
Editorial: Civitas
Autor: Gmez Navajas, Justa mat, O.
Ao: 2005
Ttulo: Manual prctico sobre el Reglamento de Proteccin de Datos
Editorial: Derecho.com
Autor: Derecho.com
Ao: 2007
Ttulo: Proteccin de Datos de Carcter Personal
Editorial: Derecho.com
Autor: Derecho.com
Pginas Web:
Ttulo: Boletn Oficial del Estado
Web: www.boe.es
Ttulo: Noticias Jurdicas
Web: www.noticias.juridicas.com
Ttulo: vLex
Web: www.vlex.com
Ttulo: Agencia Espaola de Proteccin de Datos
Web: www.agpd.es
bibliografa
Ao: 2007

.Ley de Proteccion de Datos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

.Ley de Proteccion de Datos

Enviado por

Direitos autorais:

Formatos disponíveis

Ley de Proteccin

equipos hardware, etc. que aparecen en

reprodujeren o plagiaren, en todo o en

cientfica fijada en cualquier tipo de

ilustraciones, esquemas, resmenes, bibliografa, glosario,

evaluacin, actividades o casos prcticos con el objeto de que el alumno

tecnolgicos, de mentalidad y de actitud ante los acontecimientos,

Por ltimo, agradecer la colaboracin de todos los compaeros en este

MDULO 1: Ley de Proteccin de Datos

TEMA 2. Deber de Notificacin de Ficheros

TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos

TEMA 4. Ejercicio de Derechos

TEMA 5. Medidas de Seguridad

TEMA 6. Rgimen Sancionador

Ley de Proteccin de Datos

TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos

TEMA 2. Deber de Notificacin de Ficheros

Definiciones y Conceptos Bsicos

Objeto y mbito de Aplicacin de la LOPD

La Agencia Espaola de Proteccin de Datos

Familiarizarse con los diferentes conceptos utilizados en la

Conocer el mbito de aplicacin de la Ley Orgnica de

Conocer la naturaleza, rgimen jurdico, funciones y estructura

fundamentales y de las libertades pblicas, artculo 18.1, cuya expresin literal es la

Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Definiciones y Conceptos Bsicos

Datos de carcter personal: cualquier informacin numrica, alfabtica, grfica,

concernientes a la salud pasada, presente y futura, fsica o mental, de un

Fichero: todo conjunto organizado de datos de carcter personal, que permita el

corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren

Administraciones pblicas territoriales, as como las entidades u organismos

Fichero no automatizado: todo conjunto de datos de carcter personal organizado

descentralizado o repartido de forma funcional o geogrfica.

Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no

supresin, as como las cesiones de datos que resulten de comunicaciones,

Responsable del fichero o del tratamiento: Persona fsica o jurdica, de naturaleza

Responsable de seguridad: persona o personas a las que el responsable del

Encargado del tratamiento: La persona fsica o jurdica, pblica o privada, u

Cesin o comunicacin de datos: Tratamiento de datos que supone su revelacin

Destinatario o cesionario: la persona fsica o jurdica, pblica o privada u rgano

Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser

Sistema de informacin: conjunto de ficheros, tratamientos, programas, soportes

Sistema de tratamiento: modo en que se organiza o utiliza un sistema de

Soporte: objeto fsico que almacena o contiene datos o documentos, u objeto

Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la

Recurso: cualquier parte componente de un sistema de informacin.

Autenticacin: procedimiento de comprobacin de la identidad de un usuario.

Contrasea: informacin confidencial, frecuentemente constituida por una cadena

Control de acceso: mecanismo que en funcin de la identificacin ya autenticada

Copia de respaldo: copia de los datos de un fichero automatizado en un soporte

Identificacin: procedimiento de reconocimiento de la identidad de un usuario.

Perfil de usuario: accesos autorizados a un grupo de usuarios.

Documento: todo escrito, grfico, sonido, imagen o cualquier otra clase de

Cancelacin: Procedimiento en virtud del cual el responsable cesa en el uso de

inequvoca, especfica e informada, mediante la que el interesado consienta el

Exportador de datos personales: la persona fsica o jurdica, pblica o privada, u

Importador de datos personales: la persona fsica o jurdica, pblica o privada, u

internacional de los mismos a un tercer pas, ya sea responsable del tratamiento,

Tercero: la persona fsica o jurdica, pblica o privada u rgano administrativo

responsable del fichero, del encargado del tratamiento y de las personas

Persona identificable: toda persona cuya identidad pueda determinarse, directa o

Procedimiento de disociacin: Todo tratamiento de datos personales que permita

Dato disociado: aqul que no permite la identificacin de un afectado o