Proteccin de Datos en la

Sanidad Pblica
Tema 2: Derechos de las personas
en materia de proteccin de datos
con
especial
relevancia
en
los
ficheros del SAS.
Introduccin
Creacin y Notificacin de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Cdigos Tipo
Los Ficheros de Titularidad Pblica
Derechos ARCO

Objetivos:
Reconocer cmo se realiza la notificacin para la inscripcin de
la creacin, modificacin o supresin de ficheros.
Identificar las particularidades de la creacin de los ficheros de
titularidad pblica.
17

Introduccin
Se entiende por fichero todo conjunto organizado de datos de carcter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Los ficheros pueden clasificarse de dos formas:
1. Atendiendo a su titularidad:
Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente

la titularidad de

econmicos,

as

como

su

capital o de la procedencia de sus

los

ficheros

de

los

que

sean

recursos

responsables

las

corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho pblico que a las
mismas atribuye su normativa especfica. (Ej.

datos de proveedores, personal,

etc.).
Ficheros de titularidad pblica: los ficheros de los que sean responsables

los

rganos

las

constitucionales

instituciones

autonmicas

Administraciones

pblicas

como las entidades

con

relevancia constitucional del

con

funciones

territoriales,

anlogas

los

Las administraciones

Estado

mismos,

las

sanitarias,

as

u organismos vinculados o dependientes de las mismas y

las Corporaciones de derecho pblico siempre que su finalidad sea el ejercicio de

potestades de derecho pblico.
2. Atendiendo al soporte:
Ficheros no
organizado

automatizados:
de

todo

conjunto

forma no automatizada

especficos relativos a personas

desproporcionados

sus

datos

y estructurado

fsicas, que

datos

de

de

carcter

personal

conforme a criterios

permitan acceder sin esfuerzos

personales,

ya

sea

aqul

centralizado,

descentralizado o repartido de forma funcional o geogrfica.

Ficheros automatizados: todo conjunto de datos de carcter personal organizado
de forma automatizado mediante cualquier soporte informtico o electrnico que
permita un acceso sin esfuerzo desproporcionado.

Creacin y Notificacin de Ficheros

Estn obligados a notificar la creacin, modificacin o supresin de ficheros para su
inscripcin en el Registro General de Proteccin de Datos, de conformidad con lo
establecido en la Ley Orgnica de Proteccin de Datos, aquellas personas

fsicas o

jurdicas, de naturaleza pblica o privada, u rgano administrativo, que procedan a la

creacin de ficheros que contengan datos de carcter personal.
Indica el Reglamento que esta obligacin se cumplimentar a travs de un medio que
permita acreditar su cumplimiento.

19

El soporte en el que conste el cumplimiento del deber de informar ser conservado por el
responsable del fichero o tratamiento. Estos soportes se podrn almacenar por medios
informticos o telemticos; en todo caso, si su soporte fuera papel se permite su
escaneado siempre que quede garantizado que con dicha automatizacin no se altera el
soporte original.
Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter
personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. El
Registro General de Proteccin de Datos inscribir el fichero si la notificacin se ajusta a
los requisitos exigibles. La inscripcin del fichero es previa a su creacin.
Todos los ficheros automatizados preexistentes deberan haberse notificado a la Agencia
Espaola de Proteccin de Datos antes del 14 de enero de 2003.
Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor
de la Ley Orgnica de Proteccin de Datos (14 de enero de 2000) debern ser notificados
para su inscripcin en el Registro. Para los ficheros manuales que ya existieran antes de
la entrada en vigor de la LOPD, no se estableci como necesaria la notificacin para su
inscripcin hasta el 24 de octubre de 2007, de conformidad con lo establecido en el
ltimo prrafo de la Disposicin Adicional Primera.
En el caso de no notificarse la existencia de un fichero podra incurrirse en falta leve o
grave, como se establece en el artculo 44 de la Ley Orgnica 15/1999 de Proteccin de
Datos, quedando sujeto al rgimen sancionador previsto en esta misma Ley.
Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos
personales, se deber notificar la existencia del fichero para su inscripcin en el Registro.
Cualquier modificacin posterior en el contenido de la inscripcin de un fichero en el
Registro deber comunicarse a la Agencia Espaola de Proteccin de Datos mediante la
solicitud de modificacin o de supresin de la inscripcin, segn corresponda.
El Registro General de Proteccin de Datos inscribe el fichero si la notificacin se ajusta a
los requisitos exigibles. En caso contrario podr pedir que se completen los datos que
falten o se proceda a su subsanacin.
Una vez inscrito el fichero en el Registro, la Agencia Espaola de Proteccin de Datos
notificar la resolucin de inscripcin del Director en la que se comunicar el cdigo de
inscripcin asignado a la direccin que a tales efectos se ha hecho constar en el
apartado correspondiente de la Hoja de solicitud.
Igualmente, cuando los interesados as lo manifiesten expresamente en el formulario de
notificacin, podrn recibir por medios telemticos la notificacin de la resolucin de
inscripcin, la

comunicacin de

subsanar

su

solicitud, o

cualquier

otro

escrito

relacionado con la solicitud de inscripcin de ficheros en el Registro, para lo que deber

disponer de una

direccin electrnica a efectos de notificaciones del Servicio de

Notificaciones Telemticas Seguras.

20

A travs de este Servicio:

https://www.notificaciones.administracion.es/portalciudadano/inicio.asp),

el

Ministerio

de las Administraciones Pblicas en colaboracin con Correos pone a disposicin de

cualquier persona

fsica o jurdica que lo solicite la posibilidad de recibir de forma

alternativa por va telemtica las notificaciones que actualmente reciben en soporte

papel. La suscripcin a este servicio es voluntaria y tiene carcter gratuito.
En todo caso, la inscripcin de un fichero en el Registro General de Proteccin de Datos,
nicamente acredita que se ha cumplido con la obligacin de notificacin dispuesta en la
LO 15/1999, sin que de esta inscripcin se pueda desprender el cumplimiento por parte
del responsable del fichero del resto de las obligaciones previstas en la Ley y dems
disposiciones reglamentarias.
La

existencia de un fichero se notifica al Registro

mediante formulario electrnico de

Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos (NOTA), que

puede obtenerse de forma gratuita en la pgina Web de la Agencia.
Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por
utilizar el formulario electrnico vaco para ser cumplimentado de forma completa.
Continuarn siendo vlidas las notificaciones cumplimentadas

con arreglo al programa

de generacin de notificaciones de ficheros de titularidad pblica y privada aprobado

mediante resolucin de la Agencia Espaola de Proteccin de Datos 30 de mayo de
2000.
Las notificaciones efectuadas mediante los formularios de notificacin en soporte papel
de

ficheros

de

titularidad

pblica

privada,

aprobados

mediante

la

resolucin

mencionada, continuaban siendo vlidas siempre que las mismas tuvieran entrada en la
Agencia Espaola de Proteccin de Datos con anterioridad al 1 de diciembre de 2006.
El

Registro General de Proteccin de

Datos adecuar

de oficio las notificaciones

efectuadas mediante los modelos establecidos en la resolucin de la Agencia Espaola

de Proteccin de Datos 30 de mayo de 2000.
La notificacin de un fichero se puede presentar mediante el formulario NOTA:
A travs de Internet con certificado de firma electrnica reconocido.
A travs de Internet sin certificado de firma electrnica reconocido.
Mediante soporte electrnico (disquete, CDROM).
En soporte papel impreso con cdigo de barras bidimensional PDF 417.

21

Para modificar la inscripcin de un fichero, previamente inscrito en el Registro, deber

cumplimentarse

el

formulario electrnico, la

hoja

de

solicitud, el

apartado

de

Modificacin de la inscripcin del fichero, indicando el cdigo de inscripcin asignado

por la Agencia y sealando

aquellos apartados

que

se

modifican respecto

a la

notificacin anterior, segn las instrucciones que acompaan al modelo.

Los apartados

sealados

que

se

pretendan

modificar deben

cumplimentarse

por

completo, indicando todos los datos y no slo los modificados respecto a notificaciones
previas, ya que esta notificacin es sustitutiva a efectos de inscripcin en el Registro. As
mismo, nicamente se cumplimentarn los apartados que hayan sido sealados para su
modificacin en el apartado Modificacin de la inscripcin del fichero.
En el caso de que se notifique la supresin de un fichero, se deber cumplimentar, del
modelo de notificacin, la hoja de solicitud y el apartado
cdigo de

de Supresin, indicando el

inscripcin del fichero que fue asignado por la Agencia. Tambin deber

indicar el motivo de la supresin

en el texto correspondiente,

y el destino

de la

informacin en el siguiente campo. Si se va a proceder a destruir el fichero, se debern

indicar las previsiones adoptadas para ello.
La

notificacin de un nuevo fichero o tratamiento nunca invalida o sustituye a una

inscripcin previa. Si no se notifica una solicitud de supresin de la inscripcin anterior

se producira un duplicado de la inscripcin.
El formulario electrnico ha de cumplimentarse conforme a las instrucciones que lo
acompaan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto
del previsto en el modelo.
No obstante, si el responsable desea hacer alguna aclaracin adicional a la declaracin,
puede acompaar

junto al modelo de notificacin, correctamente cumplimentado, un

escrito en el que se incluyan las aclaraciones que considere necesarias a su declaracin.

El

formulario electrnico no permite suprimir apartados

declarados

en anteriores

no obligatorios que fueron

inscripciones o modificaciones del fichero en el Registro

General de Proteccin de Datos. Para realizar este tipo de modificacin, deber enviar a
la Agencia Espaola de Proteccin de Datos un escrito firmado por persona
representacin

suficiente del

responsable

del

fichero indicando la

con

subsanacin

correspondiente.
Para notificar un cambio de responsable se deber indicar en el apartado Modificacin
de la inscripcin de los datos correspondientes al responsable del fichero (Razn social y
CIF) que figuran en la inscripcin del fichero.
Los datos correspondientes a la nueva denominacin del responsable del fichero (Razn
social y NIF o CIF) se introducirn en el apartado 1. Responsable del fichero. Adems de
la notificacin se deber adjuntar la documentacin que justifique el cambio del titular.

22

No obstante, dispone el artculo 19 del Reglamento que, en los supuestos en los que se
produzca una modificacin en el responsable del fichero como consecuencia

de una

fusin, escisin, cesin global de activos y pasivos, aportacin o transmisin de negocio

o rama de actividad, o cualquier operacin que implique una reestructuracin societaria
que contemple la normativa mercantil se ha de entender que no se ha producido cesin
de datos.
Cuando se notifique la supresin de la inscripcin de un fichero por responsable distinto
del que figura inscrito en el RGPD (con la

salvedad que acabamos de ver), deber

acompaarse documentacin que justifique el cambio de titular.

Si el cambio se debe a un error en la consignacin de los datos del responsable durante
la inscripcin inicial del fichero, ser suficiente con enviar un escrito firmado por persona
con representacin suficiente del

responsable

del fichero indicando la subsanacin

correspondiente.
Si se trata de notificar una supresin de la inscripcin por responsable distinto del que
figura inscrito en el Registro General de Proteccin de Datos, se deber indicar en el
apartado de Supresin de la inscripcin los datos correspondientes al responsable del
fichero (Razn social y CIF) que figuran en la inscripcin del fichero.
En el caso de la proteccin de datos sanitario, hay que tener en cuenta que son utilizados
principalmente por los facultativos, pero slo pueden hacer uso de ellos para el fin previsto,
ya que tienen que tener en cuenta su cdigo deontolgico.

El Responsable del Fichero

Se entiende por responsable del fichero o tratamiento aquella persona fsica o jurdica,
de naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente con
otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente.
Tambin

pueden

ser

responsables

del

fichero o

del

tratamiento

los

entes

sin

personalidad jurdica que acten en el trfico como sujetos diferenciados.

A modo de ejemplo podemos encontrarnos un amplio espectro de responsables del
fichero que tratan con datos de carcter personal:
Administraciones Pblicas (Ayuntamientos, Comunidades Autnomas, etc.): son
responsables de numerosos ficheros de distinta ndole.
Empresas y sociedades.
Autnomos: ficheros de proveedores, clientes, etc.
Entes sin personalidad jurdica, tales como comunidades de propietarios o UTEs
(Unin temporal de empresas).

En la administracin sanitaria el jefe de servicio o director de la unidad

23

El Encargado del Tratamiento

Como ya se dijo al hablar de las definiciones que establece la LOPD, dispone en su
artculo 3 g) que se entender por encargado del tratamiento: La
jurdica,

autoridad

pblica,

servicio

conjuntamente con otros, trate

datos

cualquier

otro

persona

organismo

personales por cuenta

del

que,

fsica o
solo

responsable

o
del

tratamiento.
Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.
As, se establecen y regulan las relaciones de ste con el responsable del fichero: el
acceso a los

datos por parte del encargado del tratamiento, cuando suponga una

prestacin de servicios al responsable, no se considera comunicacin de datos.

Esta realizacin de tratamiento por cuanta de terceros deber estar regulada en un
contrato que deber constar por escrito o en alguna otra forma que permita acreditar su
celebracin

contenido,

tratamiento

tratar

los

tratamiento, que no los

establecindose

datos

conforme a

expresamente
las

que

instrucciones

el
del

encargado

del

responsable

del

aplicar o utilizar con fin distinto al que figure en dicho

contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas.

No se considera encargado del tratamiento a la persona fsica que tenga acceso a los
datos personales en su condicin de empleado dentro de la relacin laboral que
mantiene con el responsable del fichero.
En aquellos supuestos en los que el responsable del tratamiento encargue la prestacin
de un servicio que comporte un tratamiento de datos personales debe velar por que el
encargado de ste rena las garantas que exige el Reglamento.
En cuanto a su responsabilidad, toda utilizacin del tratamiento para finalidad diferente
de aqulla para la que fue concebido, la comunicacin o uso de datos incumpliendo las
estipulaciones del contrato al que alude el artculo 12 de la LOPD, ser as mismo
responsabilidad del

encargado

del

tratamiento.

Esta

responsabilidad no

le

ser

achacable cuando, previa indicacin expresa del responsable, comunique los datos a un
tercero designado por ste, al que se hubiese encargado la prestacin del servicio tal y
como seala el Reglamento.
Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar
con un tercero la prestacin de tratamiento alguno encomendado por el responsable del
tratamiento; para poder realizar esta subcontrata necesita de autorizacin para ello, de
forma que cuando se cuente con ella, la subcontratacin se har siempre en nombre y
por cuenta del responsable del tratamiento.
A pesar de lo anterior, el artculo 21.2 del Reglamento nos indica qu subcontrataciones
pueden realizarse sin que sea necesaria la autorizacin; sern las que cumplan con estos
requisitos:

24

Que se especifiquen en el contrato los servicios que puedan ser objeto de

subcontratacin y, si ello fuera posible, la empresa con la que se vaya a
subcontratar. Cuando no se identificase en el contrato la empresa con la que se
vaya a subcontratar, ser preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratacin.
Que el tratamiento de datos de carcter personal por parte del subcontratista se
ajuste a las instrucciones del responsable del fichero.
Que el encargado
contrato,

del tratamiento

y la empresa

subcontratista

formalicen el

en los trminos previstos en el artculo anterior. En este

subcontratista

ser

considerado

encargado

del

tratamiento,

caso, el

sindole

de

aplicacin lo previsto en el artculo 20.3 de este reglamento.

Las previsiones anteriores sern de aplicacin cuando durante la prestacin del servicio
fuere necesario subcontratar una parte de ste, sin que la misma haya sido prevista en
el contrato.
Al

finalizar la prestacin contractual, los datos de carcter personal debern ser

destruidos

o devueltos al responsable

del tratamiento o al encargado, al igual que los

soportes o documentos en los que consten datos de carcter personal objeto del
tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no sern
destruidos si alguna norma prev su conservacin; en este caso, sern devueltos
garantizndose por el responsable del fichero su conservacin.
Es obligacin del encargado
datos

en

tanto

que

del tratamiento

pudieran

conservar, debidamente

derivarse responsabilidades

de

su

bloqueados,

los

relacin con

el

responsable del tratamiento.

A efectos de inscripcin, el encargado

del tratamiento (artculo 12 LOPD) no deber

figurar escrito en el Registro General del Proteccin de Datos como entidad responsable
de los ficheros o tratamientos.
Cuando existan varios encargados, nicamente se consignarn los datos de uno de
ellos. Se recomienda que se haga constar la denominacin del encargado que realice el
tratamiento de datos que pueda implicar una mayor duracin de tiempo, o riesgos
mayores segn el tipo y la cantidad de riesgos tratados.
El resto de los encargados del tratamiento se podr comunicar mediante un escrito
adjunto a la notificacin para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos ms de un encargado en el apartado 4
Encargado del tratamiento se podr notificar tantas inscripciones como encargados
diferentes existan.
Estas notificaciones se diferenciaran en los datos consignados en el apartado 4 y en su
caso, en los apartados 5. Identificacin y finalidad del fichero, 7. Tipos de datos,
estructura y organizacin del fichero.

25

Para recibir de forma telemtica la notificacin de inscripcin de ficheros en el Registro

se necesita previamente y por una sola vez:
Disponer de una Direccin Electrnica nica del Servicios de Notificaciones
Telemticas Seguras (MAP-Correos).
Despus, suscribirse al procedimiento de la Agencia Espaola de Proteccin de
Datos. Para ello, en el apartado
Servicio de

Suscripcin a Procedimientos de la Web del

Notificaciones Telemticas Seguras

se

selecciona

AEPD como

organismo emisor, la categora Todas y la casilla actualizar.

Adems, en cada notificacin de ficheros a travs del formulario
Es preciso sealar expresamente DEU-SNTS (Direccin Electrnica nica del Servicio de
Notificaciones Telemticas Seguras) como medio de notificacin en la casilla Medio de
notificacin de la hoja de solicitud del formulario de inscripcin
Esta opcin slo estar disponible para usuarios que hayan realizado su notificacin de
ficheros.
A travs de Internet con certificado de firma electrnica reconocido.
Siempre teniendo en cuenta la singularidad de los pacientes que utilizan los servicios
sanitarios del servicio andaluz de salud (SAS)

Tipos de Ficheros
La Agencia Espaola de Proteccin de Datos clasifica los ficheros segn su finalidad y
usos previstos en los siguientes grupos y subgrupos:
Gestin contable, fiscal y administrativa:
o

Gestin econmica y contable.

Gestin fiscal.

Gestin administrativa.

Gestin de facturacin.

Gestin de clientes.

Gestin de proveedores.

Gestin de cobros y pagos.

Administracin de fincas.

Consultoras, auditoras, asesoras y servicios relacionados.

Histrico de relaciones comerciales.

26

Recursos humanos:
o

Gestin de personal.

Gestin de nminas.

Formacin de personal.

Prestaciones sociales.

Seleccin de personal.

Gestin de trabajo temporal.

Promocin y gestin de empleo.

Prevencin de riesgos laborales.

Control horario.

Servicios econmicos-financieros y seguros:

o

Cuenta de crdito.

Cuenta de depsito.

Gestin de patrimonios.

Gestin de fondos de pensiones y similares.

Gestin de tarjetas de crdito y similares.

Registro de acciones y obligaciones.

Otros servicios financieros.

Cumplimiento/incumplimiento de obligaciones dinerarias.

Prestacin de servicios de solvencia patrimonial y crdito.

Seguros de vida y salud.

Otro tipo de seguros.

Publicidad y prospeccin:
o

Publicidad.

Venta a distancia.

Encuestas de opinin.

Anlisis de perfiles.

Prospeccin comercial.

27

Segmentacin de mercados.

Sistemas de ayuda a la toma de decisiones.

Recopilacin de direcciones.

Servicios de telecomunicaciones:

Prestacin de servicios de telecomunicaciones.

Guas/repertorios de servicios de telecomunicaciones.

Comercio electrnico.

Prestacin de servicios de certificacin.

Actividades asociativas, culturales, recreativas, deportivas y sociales:

o

Gestin de actividades culturales.

Gestin de
similares.

Gestin de asociados o miembros de partidos polticos, sindicatos, iglesias,

confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin nimo de lucro.

Actividades asociativas diversas.

Asistencia social.

Gestin de medios de comunicacin social.

clubes

asociaciones

deportivas,

Educacin:
o

Enseanza infantil primaria.

Enseanza infantil secundaria.

Enseanza universitaria.

Educacin especial.

Otras enseanzas.

Sanidad:
o

Gestin y control sanitario.

Control clnico.

Investigacin epidemiolgica y actividades anlogas.

Seguridad:
o

Investigaciones privadas a personas.

Seguridad y control acceso a edificios.

28

culturales,

profesionales

Otras actividades de seguridad.

Finalidades varias:
o

Fidelizacin de clientes.

Reservas y emisin de billetes.

Fines histricos, cientficos o estadsticos.

Otras finalidades.

Los Cdigos Tipo

El artculo

32

de

la

LOPD nos

dice

que mediante acuerdos sectoriales, convenios

administrativos o decisiones de empresa, los responsables de tratamientos de titularidad

pblica y privada, as como las organizaciones en que se agrupen.
Se podrn formular cdigos tipo que establezcan las condiciones de organizacin,
rgimen

de

funcionamiento, procedimientos

aplicables,

normas

de

seguridad

del

entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de

la informacin personal, as como las garantas, en su mbito, para el ejercicio de los
derechos de las personas

con pleno respeto a los principios y disposiciones de la

presente Ley y sus normas de desarrollo.

Asimismo nos dice que los citados cdigos podrn contener o no reglas operacionales
detalladas de cada sistema particular y estndares tcnicos de aplicacin.
Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica
profesional y sern vinculantes para quienes se adhieran a los mismos, debiendo ser
depositados o inscritos en el Registro General de Proteccin de Datos y, cuando
corresponda, en los creados a estos efectos por las Comunidades Autnomas, de
acuerdo con el artculo 41 de la LOPD.
El

Registro General de Proteccin de Datos podr denegar la inscripcin cuando

considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia,

debiendo, en este caso, el Director de la Agencia Espaola de Proteccin de Datos
requerir a los solicitantes para que efecten las correcciones oportunas.
Los cdigos tipo contendrn reglas o estndares especficos que permitan armonizar los
tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos
de los afectados y favorecer el cumplimiento de lo dispuesto

en la LOPD y en el

Reglamento que la desarrolla.

El cdigo tipo deber incorporar como anexo una relacin de adheridos, que deber
mantenerse actualizada, a disposicin de la Agencia Espaola de Proteccin de Datos.

29

C o n t e n i do d e l o s C di g o s T i p o
Los cdigos tipo debern estar redactados en trminos claros y accesibles, deben
respetar la

normativa vigente e incluirn, como mnimo, con suficiente grado de

precisin:
La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el
cdigo se refiere y los tratamientos sometidos al mismo.
Las previsiones especficas para la aplicacin de los principios de proteccin de
datos.
El

establecimiento de estndares

homogneos para el cumplimiento por los

adheridos al cdigo de las obligaciones establecidas en la Ley Orgnica 15/1999,

de 13 de diciembre.
El establecimiento de procedimientos que faciliten el ejercicio por los afectados de
sus derechos de acceso, rectificacin, cancelacin y oposicin.
La determinacin de las cesiones y transferencias internacionales de datos que,
en su caso, se prevean, con indicacin de las garantas que deban adoptarse.
Las acciones formativas en materia de proteccin de datos dirigidas a quienes los
traten, especialmente en cuanto a su relacin con los afectados.
Los mecanismos

de

supervisin a

travs

de

los

cuales

se

garantice

el

afectados

al

cumplimiento por los adheridos de lo establecido en el cdigo tipo.

En particular, debern contenerse en el cdigo:
Clusulas

tipo

para

la obtencin

del

consentimiento

de

los

tratamiento o cesin de sus datos.

Clusulas tipo para informar a los afectados del tratamiento, cuando los datos no
sean obtenidos de los mismos.
Modelos

para

el

ejercicio

por

los

afectados

de

sus

derechos

de

acceso, rectificacin, cancelacin y oposicin.

Modelos de clusulas para el cumplimiento de los requisitos formales exigibles
para la contratacin de un encargado del tratamiento, en su caso.

C om pr om i so s A d i c io n a l e s
Los cdigos tipo podrn incluir cualquier otro compromiso adicional que asuman

los

adheridos para un mejor cumplimiento de la legislacin vigente en materia de proteccin

de datos.

30

Adems podrn

contener

cualquier otro compromiso que

puedan

establecer

las

entidades promotoras y, en particular, sobre:

La adopcin de medidas de seguridad adicionales a las exigidas por la Ley
Orgnica 15/1999, de 13 de diciembre, y el Reglamento.
La identificacin de las categoras de cesionarios o importadores de los datos.
Las medidas concretas adoptadas en materia de proteccin de los menores o de
determinados colectivos de afectados.
El establecimiento de un sello de calidad que identifique a los adheridos al cdigo.

G a rantas del C umpl i mi e n to

Los cdigos tipo debern

incluir procedimientos de supervisin independientes

para

garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer

un rgimen sancionador

adecuado,

eficaz y disuasorio.

Este procedimiento deber

garantizar:
La independencia e imparcialidad del rgano responsable de la supervisin.
La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de quejas y
reclamaciones ante dicho rgano por los eventuales incumplimientos del cdigo
tipo.
El principio de contradiccin.
Una

graduacin

de

sanciones

incumplimiento. Esas sanciones

suspensin

que

permita

ajustarlas

debern ser disuasorias

la

gravedad

del

y podrn implicar la

de la adhesin al cdigo o la expulsin de la entidad adherida.

Asimismo, podr establecerse, en su caso, su publicidad.

La notificacin al afectado de la decisin adoptada.
Asimismo, los cdigos tipo podrn contemplar procedimientos para la determinacin de
medidas reparadoras en caso de haberse causado un perjuicio a los afectados como
consecuencia del incumplimiento del cdigo tipo.

Los Ficheros de Titularidad Pblica

Los ficheros de titularidad pblica estn regulados en el Captulo I del Ttulo IV de la
LOPD. A diferencia de los de titularidad privada, se crean, modifican o suprimen por
medio de disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.

31

Los datos de carcter personal recogidos o elaborados por las Administraciones pblicas
para el desempeo de sus atribuciones no sern comunicados a otras Administraciones
pblicas para el ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,
rectificacin y cancelacin contemplados en el artculo 23 de la LOPD:
Los responsables

de

los

ficheros que

contengan

datos

de

carcter

personal, incluidos los datos sobre ideologa, religin, ideas polticas, sexo, raza
y vida sexual,

recogidos

con fines policiales por las Fuerzas

y Cuerpos de

Seguridad, podrn denegar el acceso, la rectificacin o cancelacin en funcin de

los peligros que pudieran derivarse para la defensa del Estado o la seguridad
pblica,

la proteccin

de

los derechos

y libertades

de

terceros

o las

necesidades de las investigaciones que se estn realizando.

Los responsables
denegar

de los

el ejercicio de

actuaciones

ficheros de la Hacienda Pblica podrn, igualmente,

estos

administrativas

derechos

tendentes

cuando
asegurar

el mismo
el

obstaculice

las

cumplimiento de

las

obligaciones tributarias y, en todo caso, cuando el afectado est siendo objeto de

actuaciones inspectoras.
El

afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos

mencionados podr ponerlo en conocimiento del Director de la Agencia Espaola de

Proteccin de Datos o del organismo competente de cada Comunidad Autnoma en el
caso de ficheros mantenidos por Cuerpos de Polica propios de stas,
Administraciones

tributarias

autonmicas,

quienes

debern

o por las

asegurarse

de

la

procedencia o improcedencia de la denegacin.

Derechos ARCO
La

Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter

Personal (LOPD) establece

en el Ttulo III los derechos de las personas en relacin con el

tratamiento de sus datos personales. Estos derechos y otros contenidos en la legislacin

sobre proteccin de datos son:
Derecho a la informacin.
Derecho de acceso.
Derecho de rectificacin.
Derecho de cancelacin.
Derecho de oposicin.
Derecho de indemnizacin.

32

Derecho de consulta al Registro General de Proteccin de Datos.

Derecho de impugnacin de valoraciones.
Derecho de exclusin de guas telefnicas.
Derecho a no recibir publicidad no deseada.
Derecho de abonados y usuarios de servicios de telecomunicaciones.
Derecho de los destinatarios de servicios de comunicaciones electrnicas.
El ejercicio de los derechos

ARCO (acceso, rectificacin, cancelacin y oposicin) es

personalsimo, es decir, deben ser ejercidos directamente por los interesados o sus
representantes

legales

ficheros. Estos derechos

ante

cada

tambin

voluntario, designado expresamente

derechos

de

acceso,

uno

podrn
para

El

los

ejercitarse a

responsables
travs

de

un

el ejercicio del

derecho.

cancelacin

oposicin

rectificacin,

independientes, de tal forma que no puede

de ellos sea

de

entenderse

que

de

los

representante
su
son

vez, los
derechos

el ejercicio de

ninguno

la solicitud de

acceso,

requisito previo para el ejercicio de otro.

responsable

del fichero o tratamiento

deber

atender

rectificacin, cancelacin u oposicin ejercida por el afectado aun cuando el mismo no

hubiese utilizado el procedimiento establecido especficamente al efecto por aqul,
siempre que el interesado haya utilizado un medio que permita acreditar el envo y la
recepcin de la solicitud, y que sta contenga los elementos siguientes:
Nombre y apellidos

del interesado; fotocopia de su documento nacional de

identidad, o de su pasaporte u otro documento vlido que lo identifique y, en su

caso, de la persona que lo represente, o instrumentos electrnicos equivalentes;
as

como

el

documento

instrumento

electrnico

acreditativo

de

tal

representacin.
La

utilizacin de firma electrnica identificativa del afectado eximir de la

presentacin de las fotocopias del DNI o documento equivalente.

El prrafo anterior se entender sin perjuicio de la normativa especfica aplicable a
la comprobacin de datos de identidad por las Administraciones Pblicas en los
procedimientos administrativos.
Peticin en que se concreta la solicitud.
Direccin a efectos de notificaciones, fecha y firma del solicitante.
Documentos acreditativos de la peticin que formula, en su caso.

33

En los casos en los que la solicitud no rena estos requisitos, el responsable del fichero
deber solicitar la subsanacin de los mismos. Establece el Reglamento la obligatoriedad
de respuesta para el responsable del tratamiento tanto en el caso de que en sus ficheros
figuren los datos del afectado como en el supuesto de que no figuren.
El ejercicio de los derechos ser mediante medios sencillos y gratuitos, de ah que se
considere contraria a lo dispuesto en la Ley la exigencia de envo de cartas certificadas o
medios

similares, as

como

servicios de

telecomunicaciones que

impliquen una

tarificacin adicional al afectado.

En aquellos supuestos en los que el responsable del fichero o tratamiento disponga de
servicios de atencin al pblico o para el ejercicio de reclamaciones, stos
ponerse a disposicin del afectado

debern

para el ejercicio de sus derechos. Y, an en el

supuesto de que el afectado eligiere otro modo de ejercicio de stos diferente al ofertado
por el responsable del fichero o tratamiento, su solicitud ha de ser atendida en todo
caso.
Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento, ste
tiene la obligacin de dar traslado de la solicitud al responsable, a fin de que sea resuelta
por ste. La LOPD dedica los artculos 15, 16 y 17 a los derechos ARCO. Por su parte el
Reglamento dedica ntegramente el Ttulo III a la regulacin de estos derechos.

D e re c h o d e A c c e s o
Este derecho est regulado por el artculo 15 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal, as como por Captulo II del
Reglamento, que reconocen el derecho del afectado a solicitar y obtener gratuitamente
informacin sobre:
Sus datos de carcter personal sometidos a tratamiento.
El origen de dichos datos.
Las comunicaciones realizadas o que se prevn hacer de los mismos.
La finalidad del tratamiento.
Es decir, se entiende este derecho, como la facultad o capacidad que se reconoce al
interesado de recabar informacin de cada una de las empresas u organismo pblico
sobre los datos de carcter personal sometidos a tratamiento, sobre el origen de los
mismos y sobre las cesiones o comunicaciones realizadas o que se prevean realizar.
La informacin podr obtenerse mediante la mera consulta de los datos por medio de su
visualizacin, o la indicacin de los datos que son objeto de tratamiento mediante
escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin
utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos, o
bien, por correo electrnico u otros sistemas de comunicaciones electrnicas y cualquier
otro sistema que sea adecuado a la configuracin o implantacin material del fichero o a
la naturaleza del tratamiento, ofrecido por el responsable.

34

El derecho de acceso es personalsimo y se ejercer mediante solicitud o peticin,

formulada mediante cualquier medio que garantice la identificacin del afectado (D.N.I. o
documento anlogo) y en la que conste el fichero o ficheros a consultar. Esta peticin, a
su vez, deber contener el domicilio a efectos de notificaciones, fecha y firma del
solicitante.
El ejercicio del derecho de acceso slo podr ejercerse a intervalos no inferiores a doce
meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr
ejercitarse antes.
El artculo 29 del Reglamento dispone que el responsable del fichero resuelva sobre la
solicitud de acceso en el plazo mximo de un mes a contar desde la recepcin de la
misma. Transcurrido el plazo sin que de forma expresa se responda a la peticin de
acceso,

el interesado podr ponerlo en

conocimiento de la Agencia Espaola de

Proteccin de Datos o, en su caso, del organismo competente de cada Comunidad

Autnoma, que deber asegurarse de la procedencia o improcedencia de la denegacin.
Con el fin de evitar posibles reclamaciones ante la

Agencia Espaola de Proteccin de

Datos, por vencimiento del plazo indicado sin resolucin alguna, el responsable

del

fichero deber contestar la solicitud que se le dirija, con independencia de que figuren, o
no, datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que
permita acreditar el envo y la recepcin.
La informacin que se proporcione, cualquiera que sea el soporte en que fuere facilitada,
se dar en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de
dispositivos mecnicos especficos y comprender todos los datos de base del afectado,
los resultantes de cualquier elaboracin o proceso informtico, as como la informacin
disponible sobre el origen de los datos, los cesionarios de los mismos y la especificacin
de los concretos usos y finalidades para los que se almacenaron los datos.
Si, estimada la solicitud, no se acompaa a su comunicacin la informacin pretendida,
el acceso se har efectivo durante los 10 siguientes a la misma.
No obstante, cabe la posibilidad de que nuestra solicitud de acceso sea denegada, lo
cual suceder si hemos ejercitado nuestro derecho en los doce meses anteriores, si bien
como excepcin a ello, se nos permite alegar un inters legtimo al efecto.
Podr tambin denegarse el acceso en los supuestos en que as lo prevea una Ley o una
norma

de

derecho comunitario de aplicacin directa o cuando

stas

impidan al

responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la
tutela de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades
de control de las comunidades autnomas.

35

La Ley considera el derecho de acceso como independiente respecto de los derechos de

rectificacin y cancelacin, de tal forma que no puede entenderse el ejercicio de ninguno
de ellos como requisito previo para el ejercicio de otro.
El Reglamento establece una serie de disposiciones aplicables a determinados ficheros
de titularidad privada. As, con respecto a los ficheros de informacin sobre solvencia
patrimonial y crdito, dispone el artculo 44 del citado Texto que el ejercicio del derecho
de acceso, respecto de la inclusin de datos del afectado, debe tener en cuenta las
siguientes reglas:
Si la solicitud se dirigiera al titular del fichero comn, ste deber comunicar al
afectado todos los datos relativos al mismo que obren en el fichero. En este caso,
el titular del fichero comn deber, adems de dar cumplimiento a lo establecido
en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el
afectado se hayan comunicado en los ltimos seis meses y el nombre y direccin
de los cesionarios.
Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema,
deber comunicar al afectado todos los datos relativos al mismo a los que ella
pueda acceder, as como la identidad y direccin del titular del fichero comn
para que pueda completar el ejercicio de su derecho de acceso.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el
artculo 50 del Reglamento establece que habr que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.

Derecho de Rectificaci n
Este derecho est regulado por el artculo 16 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y se define en el artculo 31 del
Reglamento como el derecho del afectado a que se modifiquen los datos que resulten
ser inexactos o incompletos.
El ejercicio de este derecho es personalsimo, por lo que el titular de los datos deber
dirigirse directamente al responsable del fichero de la entidad de que se trate. Como
hemos visto en los supuestos anteriores deber utilizar un medio que permita acreditar
el envo y recogida de su solicitud, acompaando copia del DNI.
La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya
de realizarse y deber ir acompaada de la documentacin justificativa de lo solicitado.
El responsable del tratamiento dispone de un plazo de 10 das para hacer efectivo este
derecho.

Transcurrido

este

plazo,

sin

recibir

contestacin

si

esta

resultase

insatisfactoria, el interesado deber reclamar ante la Agencia de Proteccin de Datos.

36

En el caso de que no disponga de datos de carcter personal del afectado deber

igualmente comunicrselo en el mismo plazo. Si los datos rectificados hubieran sido
cedidos previamente, el responsable del fichero deber notificar la rectificacin efectuada
al cesionario.
Podr denegarse el derecho de rectificacin en los supuestos en que as lo prevea una
ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
En cuanto al ejercicio del derecho de rectificacin ante ficheros de informacin sobre
solvencia patrimonial y crdito, el artculo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que sta la resuelva.
En el caso de que el responsable del fichero comn no haya recibido contestacin
por parte de la entidad en el plazo de siete das, proceder a la rectificacin
cautelar de los mismos.
Si la solicitud se dirige a quien haya facilitado los datos

al fichero comn

proceder a la rectificacin de los mismos en sus ficheros y a notificarlo al titular

del fichero comn en el plazo de diez das, dando

asimismo respuesta

al

interesado en los trminos previstos en el artculo 33 del Reglamento.

Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera
facilitado al fichero comn los datos, dicha entidad informar al afectado sobre
este hecho en el plazo mximo de diez das, proporcionndole, adems,

la

identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el
artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.

D e re c h o d e C a n c e l a c i n
Este derecho est regulado por el artculo 16 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y se concreta en el artculo 31
del Reglamento, que nos dice que el ejercicio del derecho de cancelacin dar lugar a
que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del
deber de bloqueo conforme a este reglamento.

37

A su vez sern cancelados, en su caso, los datos de carcter personal cuyo tratamiento
no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten
inexactos o incompletos.
La

cancelacin dar lugar al bloqueo de los

datos, conservndose nicamente a

disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de

las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin
de stas. Cumplido el citado plazo deber procederse a la supresin.
Para ejercer el derecho de cancelacin el titular de los datos deber dirigirse por escrito
al responsable del fichero de la entidad de que se trate indicando a que datos se refiere
y, acompaando dicho escrito con una copia del DNI del solicitante, siendo necesario
utilizar cualquier medio que permita acreditar el envo y la recogida de su solicitud.
El responsable del tratamiento dispone de un plazo de 10 das para hacer efectivo este
derecho.

Transcurrido

este

plazo,

sin

recibir

contestacin

si

esta

resultase

insatisfactoria, el interesado deber reclamar ante la Agencia de Proteccin de Datos.

En el caso de que no disponga de datos de carcter personal del afectado deber
igualmente comunicrselo en el mismo plazo.
Si los datos cancelados hubieran sido cedidos previamente, el responsable del fichero
deber notificar la cancelacin efectuada al cesionario.
Podr denegarse el derecho de cancelacin en los supuestos en que as lo prevea una
ley o una norma de derecho comunitario de aplicacin directa o cuando stas impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
A su vez, la cancelacin no proceder cuando los datos de carcter personal deban ser
conservados durante los plazos previstos en las disposiciones aplicables o, en su caso,
en las relaciones contractuales entre la persona o entidad responsable del tratamiento y
el interesado que justificaron el tratamiento de los datos.
El afectado al que se deniegue este derecho podr ponerlo en conocimiento del Director
de la Agencia Espaola de Proteccin de Datos, que se asegurar de la procedencia o
improcedencia de la denegacin.
En cuanto al ejercicio del derecho de oposicin ante ficheros

de informacin sobre

solvencia patrimonial y crdito, el artculo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que sta la resuelva. En el caso de que el responsable del fichero comn no
haya recibido contestacin por parte de la

entidad en el plazo de siete das,

proceder a la cancelacin cautelar de los mismos.

38

Si la solicitud se dirige a quien haya facilitado los datos

al fichero comn

proceder a la cancelacin de los mismos en sus ficheros y a notificarlo al titular

del fichero comn en el plazo de diez das, dando

asimismo respuesta

al

interesado en los trminos previstos en el artculo 33 del Reglamento.

Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera
facilitado al fichero comn los datos, dicha entidad informar al afectado sobre
este hecho en el plazo mximo de diez das, proporcionndole, adems,

la

identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el
artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.

D e re c h o d e O p o s i ci n
Los titulares de los datos de carcter personal podrn instar la oposicin al tratamiento
automatizado de estos datos de conformidad con lo previsto por el artculo 6 de la
LOPD.
El artculo 34 del Reglamento

define el derecho de oposicin como el derecho del

afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se

cese en el mismo en los siguientes supuestos:
Cuando

no

sea

necesario

su

consentimiento

para

el

tratamiento,

como

consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su

concreta situacin personal, que lo justifique, siempre que una Ley no disponga
lo contrario.
Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades
de publicidad y prospeccin comercial, en los trminos previstos en el artculo 51
del Reglamento, cualquiera que sea la empresa responsable de su creacin.
Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al
afectado y basada nicamente en un tratamiento automatizado de sus datos de
carcter personal, en los trminos previstos en el artculo 36 del Reglamento.
El derecho de oposicin se ejercitar mediante solicitud dirigida al responsable

del

fichero. Cuando la oposicin se fundamente en el supuesto que no sea necesario el

consentimiento para el tratamiento, en la solicitud constarn los motivos fundados y
legtimos, relativos a la situacin personal del afectado, y que sirven de base a este
derecho.

39

Las solicitudes sern resueltas en el plazo de 10 das, a contar desde la recepcin de la

solicitud. Transcurrido dicho plazo sin que la misma haya sido notificada, el afectado
podr interponer la reclamacin que prev el artculo 18 de la LOPD. En el caso de que
no disponga

de

datos

de carcter personal de los afectados

deber

igualmente

comunicrselo en el mismo plazo.

El

responsable

del fichero o tratamiento deber excluir del tratamiento los datos

relativos al afectado que ejercite su derecho de oposicin o denegar motivadamente la

solicitud del interesado en el plazo previsto de 10 das.
Establece el artculo 36 del Reglamento el derecho de oposicin que asiste

a los

interesados de no verse sometidos a una decisin con efectos jurdicos sobre ellos o que
les afecte de forma significativa, basada nicamente en e l tratamiento automatizado de
datos destinado a evaluar determinados aspectos de su personalidad, tales como su
rendimiento laboral, crdito, fiabilidad o conducta.
En lo que

respecta

a tratamientos

para

actividades

de publicidad y prospeccin

comercial, dispone el artculo 51 del Reglamento que los interesados tendrn derecho a
oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan,
en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que
sobre ellos figuren en aqul, a su simple solicitud.
Esta oposicin deber entenderse

sin perjuicio del derecho del interesado a revocar

cuando lo estimase oportuno el consentimiento que hubiera otorgado, en su caso, para

el tratamiento de los datos.
Dispone el Reglamento que para el ejercicio de este derecho el afectado debe contar con
un medio sencillo y gratuito para oponerse al tratamiento, citando el correo electrnico o
la llamada a un nmero de telfono gratuito.
Si el derecho de oposicin se ejercitase ante una entidad que hubiera encomendado a
un tercero la realizacin de una campaa publicitaria, aqulla estar obligada, en el
plazo de 10 das, desde la recepcin de la comunicacin de la solicitud de ejercicio de
derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el
mismo atienda el derecho del afectado en el plazo de diez das desde la recepcin de la
comunicacin, dando cuenta de ello al afectado.

40

LO QUE HEMOS APRENDIDO

Se entiende por fichero todo conjunto organizado de datos de carcter personal,
que permita el acceso a los datos con arreglo a criterios determinados, cualquiera
que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Los ficheros se clasifican atendiendo a su titularidad en ficheros de titularidad
pblica y de titularidad privada.
Los ficheros se clasifican atendiendo al soporte en ficheros automatizados

y no

automatizados.
Estn obligados a notificar la creacin, modificacin o supresin de ficheros para
su inscripcin en el Registro General de Proteccin de Datos, aquellas personas
fsicas o jurdicas, de naturaleza pblica o privada, u rgano administrativo, que
procedan a la creacin de ficheros que contengan datos de carcter personal.
La no notificacin de la existencia de un fichero puede incurrir en falta leve o
grave, con sujecin al rgimen sancionador establecido en la Ley Orgnica de
Proteccin de Datos.
Existe la obligacin de comunicar a la Agencia Espaola de Proteccin de Datos
cualquier modificacin en el contenido de la inscripcin mediante solicitud de
modificacin o supresin de la inscripcin.
Si la notificacin no se ajusta a los requisitos exigibles, no se producir la
inscripcin y el Registro General de Proteccin de Datos pedir los datos que
falten o la subsanacin de lo que sea necesario.
La existencia de un fichero se notifica al Registro mediante formulario electrnico
de

Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos

(NOTA), que puede obtenerse de forma gratuita en la pgina Web de la Agencia.

Se entiende por responsable

del fichero o tratamiento aquella persona fsica o

jurdica, de naturaleza pblica o privada, u rgano administrativo, que slo o

conjuntamente

con

otros

decida

sobre

la

finalidad, contenido

uso

del

tratamiento, aunque no lo realizase materialmente.

El encargado del tratamiento es la persona fsica o jurdica, autoridad pblica,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del fichero.
Los cdigos tipo tendrn

el carcter

de cdigos deontolgicos

o de buena

prctica profesional y sern vinculantes para quienes se adhieran a los mismos.

Los cdigos tipo debern estar redactados en trminos claros y accesibles.

41

Los ficheros de titularidad pblica, se crean, modifican o suprimen por medio de

disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.
Los datos de carcter personal recogidos o elaborados por las Administraciones
pblicas para el desempeo de sus atribuciones no sern comunicados a otras
Administraciones pblicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas.
El ejercicio de los derechos ARCO (acceso, rectificacin, cancelacin y oposicin)
es personalsimo, es decir, deben ser ejercidos directamente por los interesados o
sus representantes legales ante cada uno de los responsables de los ficheros.
La LOPD dedica los artculos 15, 16 y 17 a los derechos ARCO. Por su parte el
Reglamento dedica ntegramente el Ttulo III a la regulacin de estos derechos.

Los datos relativos a los pacientes de la Sanidad pblica/privada tienen una

consideracin diferente, pues son necesarios que se encuentren disponibles a
profesionales o facultativos para poder atender con seguridad las enfermedades que
padecen.

42