Manual LOPD Amaya

GESTIÓN EMPRESARIAL
IDIT FORMACIÓN
MANUAL
LEY ORGÁNICA DE
PROTECCIÓN DE DATOS
www.iditformacion.com
902 602 063

IDIT FORMACIÓN - LEY ORGÁNICA DE PROTECCIÓN DE DATOS
TABLA DE CONTENIDOS
1. La LOPD: Definiciones de Protección de Datos. El origen de la protección del dº a la intimidad.

El actual marco normativo. 5
1.1. Introducción al derecho a la intimidad 5

1.2. La protección de datos 10
2. Las Agencias de Control 11
2.1. La Agencia Española de Protección de Datos. El protocolo de actuación ante una inspección
de la Agencia 11
2.2. Agencias autonómicas 12
2.3. Principales funciones de la AEPD 12
2.4. El protocolo de actuación ante una inspección de la Agencia 13
2.5. Actuaciones previas de investigación (Inspección) 14
2.6. Tipos de inspecciones por su origen 15
2.7. Protección de derechos 18
3. Cumplimiento legal: Documento de seguridad, obtención del consentimiento, inscripción de

ficheros, cesiones de datos, avisos legales y de privacidad 18
3.1. Requisitos para la validez del consentimiento 19

3.2. Forma de obtener el consentimiento 20
3.3. Inscripción de ficheros 21
3.4. Los niveles de seguridad del fichero 21
3.5. Medidas de seguridad aplicables a cada nivel 22
3.6. Avisos legales y de privacidad 24
4. Derechos del usuario y obligaciones de la PYME. Decálogo de buenos usos y costumbres.
Sensibilización y concienciación de los empleados 32
4.1. Derecho de acceso 32

4.2. Derecho de rectificación 32
4.3. Derecho de cancelación 33
4.4. Derecho de oposición 33
4.5. El derecho a la información 33
4.6. El derecho al olvido 34
4.7. Responsables de verificar estos derechos 35
4.8. Sujetos obligados 36
4.9. Tipo de datos que pueden recogerse 36
4.10. Obligaciones que impone la Ley 36
5. Códigos tipo. Elaboración de un código tipo. Códigos tipo inscritos en el RAEPD 42
5.1. Contenido preceptivo (art. 73 y 75.1 y 2 RLOPD) 42

5.2. Contenido potestativo (art. 74 RLOPD) 43
5.3. Códigos tipo inscritos en el Registro General de Protección de Datos 43
5.4. Clasificación de las infracciones. Las infracciones más comunes 45
6. Obligaciones que traerá el reglamento Europeo de Protección de Datos: entrada en vigor en mayo
de 2018 48
6.1. Implicaciones para los ciudadanos de la ampliación del ámbito territorial del Reglamento 49
6.2. Nuevas herramientas de control de sus datos a disposición de los ciudadanos 49
6.3. Sistema de ventanilla única 51
6.4. Momento de aplicación y medidas preparatorias 51
3
7. Noticias de actualidad 52
8. Resoluciones y sentencias más destacadas 55
9. Cuestiones prácticas, aclaraciones de la Agencia Española de Protección de datos 76
9.1. La AEPD conmemora el Día Mundial de los Derechos de los Consumidores lanzando un
nuevo espacio 76
9.2. Cumplir con la LOPD en la Administración de Fincas 78

9.3. ¿Puedo poner una cámara de videovigilancia en mi plaza de garaje? Cumplir con la LOPD 78
10. Bibliografía 79
1. La LOPD: Definiciones de Protección de Datos. El

origen de la protección del dº a la intimidad. El
actual marco normativo.
El Derecho a la vida privada o The right of privacy, como se le conoce en el Common Law norteamericano, como
derecho autónomo, tiene su punto de partida en 1890, cuando dos jóvenes abogados de Boston (USA), Samuel D.
Warren y Louis Brandeis, escribieron un ensayo titulado The right to privacy, publicado en el Harvard Law Review.
Ello no quiere decir que, con anterioridad, no se haya protegido este aspecto de la vida del ser humano, pero se hizo
mezclado con otros derechos.
Las características de la sociedad contemporánea, aun cuando puede proporcionarnos mayor confort y bienestar, el
avance de la ciencia y la tecnología hacen que el ser humano se torne vulnerable, entre otros aspectos, frente al poder
de la información y de los medios de comunicación. Por ello, el derecho a la vida privada cobra, hoy en día, vital
importancia en la educación y formación del ser humano en toda sociedad con pretensiones democráticas.
El desarrollo tecnológico y el avance de las telecomunicaciones han obligado a los Estados a desarrollar una legislación
con el fin de proteger, garantizar y respetar la intimidad de los seres humanos. Benjamín Constant afirmaba que: “...
hay una parte de la existencia humana que, necesariamente, tiene que mantenerse individual e independiente y que
queda, por derecho, fuera de toda competencia social”.
1.1. Introducción al derecho a la intimidad
El derecho a la intimidad consiste en una especie de barrera o cerca que defiende la autonomía del individuo humano
frente a los demás y, sobre todo, frente a las posibles injerencias indebidas de los poderes públicos, sus órganos y sus
agentes.
No podría hablarse de la Protección de Datos sin tomar como punto de partida la cualidad de derecho fundamental
del derecho a la intimidad, su relevancia y su encuadre constitucional así como el resto de legislación que es aplicable
a la materia, tanto interna como Comunitaria.
La Constitución Española establece en Título I. De los derechos y deberes fundamentales, Capítulo segundo.
Derechos y libertades, Sección 1ª De los derechos fundamentales y de las libertades públicas en el artículo 18:
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Se Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o
resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo
resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos.
El primer párrafo del precepto que comentamos cuenta ya con un contenido complejo, pues en él se protegen,
en primer lugar, el derecho al honor, en segundo lugar, el derecho a la intimidad, tanto personal como familiar,
y en tercer lugar el derecho a la propia imagen, derechos como veremos con rasgos comunes, pero también con
aspectos que permiten distinguir tres derechos diferenciados. En definitiva, y tal y como ha señalado la STC 14/2003,
son tres derechos autónomos y sustantivos, aunque estrechamente vinculados entre sí, en tanto que derechos de la
personalidad, derivados de la dignidad humana y dirigidos a la protección del patrimonio moral de las personas.
Vamos a analizar de forma individual los derechos que recoge el artículo transcrito ya que cada uno de ellos tiene una
serie de particularidades relacionadas en último término con la intimidad.
5
a) Derecho al honor
El derecho al honor es el que ha gozado de protección por parte de nuestro ordenamiento de manera tradicional,
al configurar uno de los derechos clásicos de la personalidad y ha sido objeto de una larga interpretación
jurisprudencial, fruto de la cual se distinguen un aspecto inmanente y otro trascendente del honor: el primero
consiste en la estima que cada persona tiene de sí misma; el segundo, por su parte, radica en el reconocimiento
de los demás de nuestra dignidad (STS de 23 de marzo de 1987), se vincula así, pues, con la fama, con la opinión
social. En este sentido hay que tener presente que el honor está vinculado a las circunstancias de tiempo y lugar
de forma tal que el concepto actual del honor poco tiene que ver, no ya con el propio de nuestro siglo de oro,
sino con el de hace pocas décadas (STC 185/1989, de 13 de noviembre). Desde el punto de vista personal, por
su parte, la afectación al honor habrá de valorarse teniendo en cuenta la relevancia pública del personaje, su
afectación a la vida profesional o a la privada, y las circunstancias concretas en la que se produce (en un momento
de acaloramiento o con frialdad...) así como su repercusión exterior (SSTC 46/2002, de 25 de febrero; 20/2002, de
28 de enero; 204/2001, de 15 de octubre; 148/2001, de 27 de junio...) .
Aunque el derecho en principio es un derecho de las personas individualmente consideradas, cabe poner de
relieve como el Tribunal Constitucional ha reconocido el derecho a un pueblo o etnia (el pueblo judío, STC
214/1991, caso Violeta Friedman). Por otra parte se admite que puedan ser titulares del derecho personas
jurídico privadas; sin embargo, ha negado el carácter de derecho fundamental a personas jurídicos públicas (STC
107/1988, de 8 de junio).
b) Derecho a la intimidad
El derecho a la intimidad se vincula a la esfera más reservada de las personas, al ámbito que éstas siempre
preservan de las miradas ajenas, aquél que desea mantenerse oculto a los demás por pertenecer a su esfera más
privada (SSTC 151/1997, de 29 de septiembre), vinculada con la dignidad y el libre desarrollo de la personalidad
(art. 10.1 CE). De esta forma el derecho a un núcleo inaccesible de intimidad se reconoce incluso a las personas
más expuestas al público (STC 134/1999, de 15 de julio). La intimidad, de acuerdo con el propio precepto
constitucional, se reconoce no sólo al individuo aisladamente considerado, sino también al núcleo familiar (SSTC
197/1991, de 17 de octubre o 231/1988, de 2 de diciembre).
Partiendo de las anteriores premisas, conviene hacer algunas puntualizaciones: Por una parte, al igual que sucede
con el honor, la extensión del derecho se ve condicionada por el carácter de la persona o el aspecto concreto de
su vida que se ve afectado, de acuerdo también con las circunstancias particulares del caso. Por otra, el Tribunal
Constitucional ha interpretado en alguna ocasión que el alcance de la intimidad viene marcado por el propio
afectado (STC 115/2000, de 5 de mayo, STC 83/2002 y STC 196/2004), no obstante esta afirmación habrá que
ponerla en relación con lo anterior pues, de lo contrario, el alcance del derecho pondría en riesgo, por ejemplo,
la libertad de información.
La referencia anterior no debe hacer creer que las únicas injerencias a la intimidad provienen de excesos en las
libertades de expresión o información, al contrario, la protección del derecho se muestra imprescindible también
en el ámbito laboral, donde habrá que deslindar aquel control idóneo, necesario y equilibrado de la actividad
laboral (STC 186/2000, de 10 de julio), de aquéllos otros que supongan una injerencia en la intimidad de los
trabajadores afectados injustificada o desproporcionada (STC 98/2000, de 10 de abril); o en otros casos en los
que existe una relación especial de sujeción, como acontece en el ámbito penitenciario (204/2000, de 24 de julio y
218/2002, de 25 de noviembre). En los últimos años ha cobrado una gran importancia la necesidad de protección
de la intimidad frente a determinados de controles de carácter general como son los que implica la utilización de
la video vigilancia, desarrollada por la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
Es preciso añadir que en determinados supuestos la intimidad cederá frente a otros bienes jurídicamente
protegibles como sucede, por ejemplo, en los supuestos de investigación de la paternidad (STC 7/1994, de
17 de enero) o la maternidad (STC 95/1999, de 31 de mayo) o de controles fiscales (STC 110/1984, de 26 de
noviembre), siempre que estén justificados y resulten proporcionales sobre la base de otros derechos u otros
bienes jurídicamente protegidos de interés general, como son los derechos de los hijos (art. 39 CE) o garantía de
la proporcionalidad impositiva (art. 31CE).
6
Vamos a prescindir del estudio del derecho a la inviolabilidad del domicilio a la que también se refiere el artículo
18 de la Constitución
c) Derecho a la propia imagen
El derecho a la propia imagen salvaguarda la proyección exterior de dicha imagen como medio de evitar
injerencias no deseadas (STC 139/2001, de 18 de junio), de velar por una determinada imagen externa (STC
156/2001, de 2 de julio) o de preservar nuestra imagen pública (STC 81/2001, de 26 de marzo). Este derecho está
íntimamente condicionado por la actividad del sujeto, no sólo en el sentido de que las personas con una actividad
pública verán más expuesta su imagen, sino también en el sentido de que la imagen podrá preservarse cuando se
desvincule del ámbito laboral propio (STC 99/1994, de 11 de abril).
Estos tres derechos podrán verse afectados, por tanto de manera independiente, pero también, con frecuencia, de
forma conjunta, dada su evidente proximidad.
Estos derechos tienen su más inmediato riesgo del ejercicio de las libertades de expresión e información, lo
que llevará a que el ejercicio en la ponderación de bienes entre los derechos del artículo 18 y 20 constituyan un
ejercicio habitual por parte de los operadores del derecho.
El desarrollo de la protección de estos derechos lo efectúa, principalmente, la L.O. 1/1982, de 5 de mayo, de

protección civil del derecho al honor, la intimidad y la propia imagen, en la que se intentan deslindar los supuestos
de intromisión ilegítima (art. 7), de aquellos que no puedan reputarse como tales, por mediar consentimiento
o por recoger imágenes públicas (art. 8). Junto a esta Ley hay que mencionar igualmente la protección penal a
través de los delitos de injurias y calumnias (arts 205-210; 491, 496, 404-5 CP), y la que ofrece la L.O. 4/1997,
de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en
lugares públicos, desarrollada por el Real Decreto 596/1999, de 16 de abril, donde se establecen, por lo que a la
garantía de la intimidad se refiere, desde la información sobre la existencia de videocámaras a la destrucción
de las grabaciones, salvo las que contengan imágenes relacionadas con infracciones penales o administrativas
graves, con la correspondiente obligación de reserva por parte de los que tengan acceso a las imágenes (art. 8 y
9 L.O. 4/1997).
d) Secreto de las comunicaciones
“En una sociedad tecnológicamente avanzada como la actual, el secreto de las comunicaciones constituye no sólo
garantía de libertad individual, sino instrumento de desarrollo cultural, científico y tecnológico colectivo” (STC
132/2002, de 20 de mayo).
La protección del derecho de las comunicaciones tiene una entidad propia, diferenciada de su vinculación
con el derecho a la intimidad, ya que las comunicaciones deberán resultar protegidas con independencia de
su contenido, esto es, ya se trate de comunicaciones de carácter íntimo o de otro género. En efecto, según ha
destacado la doctrina y la jurisprudencia, el artículo 18.3 CE tiene un contenido puramente formal, protegiendo
tanto de las intromisiones de los poderes públicos como de los particulares (STC 114/1984, de 29 de noviembre).
En concreto, y siguiendo la jurisprudencia del Tribunal Constitucional, el 18.3 de la CE consagra la libertad de

las comunicaciones y garantiza su secreto, sea cual fuere la forma de interceptación, mientras dure el proceso
de comunicación, en el marco de comunicaciones indirectas, es decir, que empleen medios técnicos, y frente
a terceros ajenos a la comunicación, SSTC 114/1984, 49/1999, 70/2002, 184/2003, 281/2006. En este marco, el
secreto de la comunicación se vulnera no sólo con la interceptación de la misma, sino también con el simple
conocimiento antijurídico de lo comunicado. Además, el secreto cubre, tanto el contenido de la comunicación,
como la identidad subjetiva de los interlocutores, SSTC 123/2002, 56/2003, 230/2007.
Aunque en el artículo 18.3 CE se mencionan sólo las comunicaciones postales, telegráficas o telefónicas, dado
el carácter abierto de su enunciado, cabe entender comprendidas otro tipo de comunicaciones como pueda ser
el correo electrónico, chats u otros medios, siempre que se efectúen mediante algún artificio instrumental o
técnico, pues la presencia de un elemento ajeno a aquéllos entre los que media el proceso de comunicación es
indispensable para configurar el ilícito constitucional del precepto; en consecuencia, el levantamiento del secreto
por uno de los intervinientes no se consideraría violación del artículo 18.3 CE, sino, en su caso, vulneración del
derecho a la intimidad (STC 114/1984).
7
Titulares del derecho son cualquier persona física o jurídica, nacional o extranjera, recogiendo la doctrina del
Tribunal Europeo de Derechos Humanos (TEDH) para quien las nociones “vida privada” y correspondencia” del
art. 8 del convenio incluyen tanto locales privados como profesionales (STEDH de 16 de febrero de 2000, asunto
Amann), igualmente reconocida por el Tribunal de Justicia de las Comunidades Europeas (STJCE de 18 de mayo
de 1982, A.M.S. v. Comisión).
En el Código Penal de 1995 tienen cabida la tipificación de la interceptación de comunicaciones por parte de
particulares, personas físicas (art. 197) o jurídicas (art. 200), citándose expresamente no sólo las postales y las
telefónicas, sino también el correo electrónico. Mención aparte merece la intervención efectuada por funcionario
público o agente sin las garantías constitucionales o legales, variando la pena dependiendo de si ha divulgado o
no los hechos. (art. 536 Código penal)
La protección de este tipo de comunicaciones supone que no podrá interferirse o intervenirse la comunicación
de cualquier persona, salvo resolución judicial y con las garantías previstas. Sin embargo, en virtud del medio de
comunicación elegido se presentan distintos matices.
La mayor incidencia del derecho garantizado por el art. 18.3 CE la encontramos en las comunicaciones telefónicas,
donde se plantean distintos grados de posible vulneración del secreto: intervención, grabación o recuento (STC
217/1989, de 21 de diciembre), es decir se admite la vulneración del derecho no sólo cuando se accede a lo
comunicado, sino también cuando se conoce con quién o con qué número se comunica, e incluso la duración
de la comunicación, según ha puesto de relieve el TEDH (S de 30 de julio de 1998, caso Valenzuela) o nuestro
Tribunal Constitucional, el cual , no obstante ha destacado ‘la menor intensidad de la injerencia’ cuando no se
accede al contenido de la comunicación (STC 123/2002, de 20 de mayo).
El Real Decreto 424/2005, de 15 de abril, que aprueba el Reglamento sobre las condiciones para la prestación de
servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, desarrolla la Ley
32/2003 de 3 de noviembre, General de Telecomunicaciones, que a su vez desarrolla la normativa europea. Desde
el punto de vista de las empresas que hayan de cumplir las medidas este Decreto regula los aspectos relativos a la
intervención de las comunicaciones, estableciendo, en particular, las obligaciones que se imponen a las empresas
de telecomunicación en relación con las intervenciones telefónicas, así como las exigencias en orden a afectar
mínimamente a la intimidad y a la obligación de confidencialidad por parte de los que llevan a cabo las citadas
intervenciones.
En el ámbito comunitario europeo es necesario mencionar la Directiva del Parlamento Europeo y del
Consejo relativa a la conservación de datos generados o tratados en relación con la prestación de servicios
de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones (art. 15.1 Directiva
2006/24/CE, de 15 de marzo de 2006).
De entre las distintas Sentencias del Tribunal Europeo de Derechos Humanos, dos han tenido una especial
incidencia para España, la del caso Valenzuela Contreras (S de 30 de julio de 1998) y la del asunto Prado Bugallo
(S. de 18 de febrero de 2003). En la primera se pusieron de relieve las deficiencias de la regulación española
anteriores a la L.O. 4/1988; en la segunda, si bien se aprecian favorablemente los cambios introducidos, se estima
que aún resulta insuficiente la determinación de la naturaleza de las infracciones que pueden dar lugar a las
intervenciones, la fijación de los límites temporales y de las condiciones de aportación de la prueba al juicio oral.
Por su parte, la regulación de los estados excepcionales permite la suspensión del secreto de las comunicaciones,
si así lo prevé el decreto que declare el estado de excepción o de sitio (arts. 55 y 116 CE). La intervención podrá
efectuarla entonces la autoridad gubernativa, pero deberá ser comunicada inmediatamente al Juez “por escrito
motivado” (art. 18 de la L.O. 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio).
Finalmente, el artículo 55. 2 CE permite la posibilidad de restringir el secreto de las comunicaciones a bandas
armadas o elementos terroristas, lo cual ha sido desarrollado por el art. 579.4 LECrim. (L.O. 4/1988, de 25 de
mayo) que establece como, en caso de urgencia, la intervención podrá ordenarla el Ministro del Interior o, en
su defecto, el Director de la Seguridad del Estado, comunicándolo inmediatamente por escrito motivado al Juez
competente, quien, revocará o confirmará la medida (Sentencia 71/1994, de 3 de marzo). En cualquier caso,
como ha señalado el TEDH habrán de conciliarse los imperativos de la defensa de la sociedad democrática y la
salvaguarda de los derechos individuales.
8
e) Informática
La protección de los datos frente al uso de la informática: es nuestra Constitución una de las primeras en
introducirlo dado que es precisamente en los años de su redacción cuando comienzan a apreciarse los peligros
que puede entrañar el archivo y uso ilimitado de los datos informáticos. Nuestros constituyentes tomaron, en este
caso, el ejemplo de la Constitución portuguesa, sólo dos años anterior a la española.
Una primera interpretación llevó a considerar este derecho como una especificación del derecho a la intimidad,
pero el Tribunal Constitucional ha interpretado que se trata de un derecho independiente, aunque obviamente
estrechamente relacionado con aquél (SSTC 254/1993, de 20 de julio y 290/2000, de 30 de noviembre). El
Alto Tribunal además señaló la vinculación directa de este derecho para los poderes públicos sin necesidad de
desarrollo normativo (STC 254/1993).
En concreto, la STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección de datos
por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y
destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de
esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que
determinados datos personales sean usados para fines distintos a aquél que justificó su obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el almacenamiento
y la utilización de datos informáticos puede suponer un riesgo para aquélla, no solamente por lo que se refiere a
‘datos sensibles’, entre los que se encuentran los de carácter ideológico o religioso sobre los cuales según indica el
artículo 16 de la Constitución nadie estará obligado a declarar, sino también por su posible utilización ajena a las
finalidades para los que fueron recabados (SSTC 11/98, de 13 de enero; 44 y 45/1999, de 22 de marzo, entre otras,
en relación con la libertad sindical), o la inclusión de datos sin conocimiento del afectado (STC 202/1999, de 8
de noviembre). Otro riesgo puede provenir por efectuarse accesos indebidos a ficheros ajenos (STC 144/1999, de
22 de julio, en torno a una indebida utilización por parte de una Junta Electoral de Zona de datos incluidos en el
Registro Central de Penados y Rebeldes).
El desarrollo del derecho está marcado por el Convenio del Consejo de Europa de 28 de enero de 1981, para
la protección de datos de carácter personal. La regulación interna se debió a la Ley Orgánica 5/1992, de 29 de
octubre, de regulación del tratamiento automatizado de datos de carácter personal (LORTAD). La primera en
buena medida vino impuesta por la ratificación por parte de España del Convenio de Schengen, donde para
permitir el libre paso de fronteras entre diversos países europeos imponía el control de ciertas bases de datos. La
Directiva 95/46/CE, del Parlamento europeo y del Consejo de 24 de octubre de 1995, sobre protección de datos
y libre circulación de esos datos, dio lugar a la redacción de una nueva ley, la L.O.15/1999, de 13 de diciembre,
de protección de datos de carácter personal. Hay que destacar además el Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal.
Mediante la protección de datos se intenta que lograr la adecuación y exactitud de las bases de datos, así como la
cancelación de los datos cuando dejen de ser necesarios, así como el conocimiento y la posibilidad de acceso por
parte de los afectados, con un especial deber de protección para los datos denominados sensibles, aquellos que
afectan a la ideología, religión o creencias (Art. 16.2 CE) y los relativos a la salud. La Ley regula el régimen de
creación, modificación o supresión de ficheros informáticos, así como de su cesión. Las garantías, por una parte,
consisten en la creación de la Agencia de protección de datos, con el fin de velar por el cumplimiento de la Ley, y
el Registro general de protección de datos en el que deberán inscribirse todos los ficheros de acuerdo con la Ley.
Por un último se establece un régimen sancionatorio.
Los derechos del artículo 18 CE al encontrarse en la Sección 1ª del Capítulo II del Título I de la Constitución están
sometidos a reserva de ley orgánica, que en todo caso deberá respetar su contenido esencial, y vinculan a todos
los poderes públicos y, entre las garantías jurisdiccionales podrá recabarse la tutela de los tribunales ordinarios
mediante un procedimiento basado en los principios de preferencia y sumariedad y, subsidiariamente, la tutela
del Tribunal Constitucional mediante un recurso de amparo.
Esta especial protección se consagra en el artículo 53 que establece:
9
1. Los derechos y libertades reconocidos en el Capítulo segundo del presente Título vinculan a todos los
poderes públicos. Sólo por ley, que en todo caso deberá respetar su contenido esencial, podrá regularse el
ejercicio de tales derechos y libertades, que se tutelarán de acuerdo con lo previsto en el artículo 161, 1, a).
2. Cualquier ciudadano podrá recabar la tutela de las libertades y derechos reconocidos en el artículo 14 y
la Sección primera del Capítulo segundo ante los Tribunales ordinarios por un procedimiento basado en
los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante el Tribunal
Constitucional. Este último recurso será aplicable a la objeción de conciencia reconocida en el artículo 30.
3. El reconocimiento, el respeto y la protección de los principios reconocidos en el Capítulo tercero informarán

la legislación positiva, la práctica judicial y la actuación de los poderes públicos. Sólo podrán ser alegados
ante la Jurisdicción ordinaria de acuerdo con lo que dispongan las leyes que los desarrollen.
La especial protección a la que se refiere este artículo se refleja tanto en el ámbito civil como en el penal como
hemos visto, igualmente tiene su desarrollo tanto a nivel interno como comunitario e internacional, siendo cada
vez Así en el primer plano, el desarrollo del ejercicio de los derechos a los que se refiere el artículo 18 de la
Constitución lo consagra la La ley Orgánica 1/1982 de 5 de mayo, sobre protección del derecho al honor, a la
intimida personal y familiar y a la propia imagen
1.2. La protección de datos
La protección de datos es una disciplina jurídica de reciente creación que tiene por objeto proteger la intimidad y
demás derechos fundamentales de las personas físicas frente al riesgo que para ellos supone la recopilación y el uso
indiscriminado de sus datos personales, entendiendo como tales toda aquella información que forma parte de su
esfera privada y que puede ser utilizada por terceros para analizar aspectos de su personalidad como pueden ser
hábitos de compra, relaciones personales, creencias, etc.
Aunque la protección de datos abarca todo tipo de tratamiento de datos de carácter personal (independientemente
que se realice de manera manual o informatizada), lo cierto es que ha sido la informática la que al permitir recoger,
utilizar y transferir fácilmente todo tipo de información, ha generado la necesidad de desarrollar toda una serie de
normas destinadas a limitar el uso de los datos personales para garantizar con ello el honor y la intimidad personal
y familiar de los ciudadanos.
Además de ser una categoría jurídica concreta, la Protección de Datos está considerada por el Tribunal Constitucional
como un derecho fundamental autónomo e independiente del derecho a la intimidad personal y familiar.
Es especialmente relevante en esta materia la Sentencia del Tribunal Constitucional 292/2000 que estableció que el
derecho fundamental a la protección de datos no sólo protege los datos íntimos de las personas sino que amplía su
ámbito de protección a “cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros
pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, ya que
para eso está la protección que otorga el artículo 18.1 de la Constitución, sino los datos de carácter personal.”
1.2.1. Marco jurídico aplicable a la materia
El marco jurídico básico que configura la Protección de Datos en España está formado por las siguientes normas:
•• Constitución Artículo 18.1 de la Constitución Española de 1978.
•• Directiva 95/46 CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
•• Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal.
•• Reglamento. Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999.
•• Instrucciones de la Agencia Española de Protección de Datos. Una de las funciones de la Agencia es dictar las
instrucciones precisas para adecuar los tratamientos a los principios de la Ley Orgánica 15/1999. Se puede
10
acceder a dichas instrucciones a través del “canal de documentación/legislación” de la página web de la agencia.
https://www.agpd.es/portalwebAGPD/resultados-ides-idphp.php
•• Aún sin ser de aplicación pero habiendo ya entrado en vigor destaca el Reglamento General de Protección de
Datos que entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25
de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre
ellas la española, siguen siendo plenamente válidas y aplicables.
2. Las Agencias de Control

2.1. La Agencia Española de Protección de Datos. El protocolo de
actuación ante una inspección de la Agencia
La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control independiente encargada de
velar por el cumplimiento de la normativa sobre protección de datos. Garantiza y tutela el derecho fundamental a la
protección de datos de carácter personal de los ciudadanos.
La Agencia es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se relaciona con el
Gobierno a través del Ministerio de Justicia.
En España, como ya hemos visto, la Constitución de 1978 prevé en su artículo 18.4 que el legislador limitará el uso
de la informática para proteger los derechos fundamentales de los ciudadanos.
El Tribunal Constitucional, por su parte, proclamó en su Sentencia 292/2000 que el derecho a la protección de datos
es un verdadero derecho fundamental, autónomo y claramente diferenciado de los demás que se garantizan en el
mismo art. 18 de la Constitución Española: “persigue garantizar a esa persona un poder de control sobre sus datos
personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho
del afectado”.
La existencia de una autoridad independiente que vele por este derecho está prevista en el Convenio 108 del Consejo
de Europa, de 1981, el primer texto internacional sobre la materia, y obtiene su configuración más acabada en
la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de esos datos. La citada Directiva aún constituye el marco normativo general en el
seno de la UE, si bien está en proceso de revisión.
“La creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los
Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento
de datos personales” (Considerando 62 de la Directiva 95/46).
El artículo 28.1 de la Directiva prevé que “estas autoridades ejercerán las funciones que le son atribuidas con total
independencia”.
En España se adoptó el criterio organizativo y funcional propuesto en el Convenio 108 y que luego pasaría a ser
un rasgo esencial del modelo europeo: la atribución de la función de velar por el cumplimiento de la normativa de
protección de datos a una autoridad independiente.
La Agencia Española de Protección de Datos goza de esa naturaleza de ente independiente, con presupuesto propio
y plena autonomía funcional. La AEPD se creó en 1992 y comenzó a funcionar en 1994.
La representación de la Agencia la ostenta su Director que es elegido de entre los miembros del Consejo Consultivo
de la Agencia Española de Protección de Datos. Su nombramiento se produce mediante Real Decreto a propuesta
del Ministro de Justicia.
Sus directores han sido:
•• Juan José Martín-Casallo López (1993-1998)
11
•• Juan Manuel Fernández López (1998-2002)
•• José Luis Piñar Mañas (2002-2007)
•• Artemi Rallo Lombarte (2007-2011)
•• José Luis Rodríguez Álvarez (2011- 2015)
•• Dña. Mar España Martí (2015-actualidad)
2.2. Agencias autonómicas
La Directiva 95/46 prevé que: “Los Estados Miembros dispondrán que una o más autoridades públicas se encarguen
de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos” (artículo 28.1).
Se crearon tres agencias autonómicas: en Madrid en el año 2001, en Cataluña en el año 2003 y en País Vasco en el
2004. La Agencia de Protección de Datos de la Comunidad de Madrid fue suprimida el 1 de enero de 2013 y sus
funciones pasaron a ser asumidas por la Agencia Española de Protección de Datos.
Actualmente existen dos agencias autonómicas: la Autoridad Catalana de Protección de Datos y la Agencia Vasca de
Protección de Datos.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de carácter personal creados o
gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial. Los ficheros
privados de estas CCAA son competencia de la Agencia Española de Protección de Datos.
2.3. Principales funciones de la AEPD
La Agencia Española de Protección de Datos está encargada de velar por el cumplimiento de la legislación sobre
protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso,
rectificación, oposición y cancelación de datos (ARCO).
A continuación se describen sucintamente las funciones de la Agencia agrupadas por materias según los actos/
actores involucrados:
1. En relación con los afectados
•• Atender a sus peticiones y reclamaciones.

•• Informar de los derechos reconocidos en la Ley.
•• Promover campañas de difusión a través de los medios.
•• Velar por la publicidad de los ficheros de datos de carácter personal.
2. En relación con quienes tratan datos
•• Emitir las autorizaciones previstas en la Ley.

•• Requerir medidas de corrección.
•• Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
•• Ejercer la potestad sancionadora en los términos previstos en el Título VII de la Ley Orgánica de Protección
de Datos.
•• Recabar de los responsables de los ficheros la ayuda e información que precise para el ejercicio de sus funciones.
•• Autorizar las transferencias internacionales de datos.
3. En la elaboración de normas
•• Informar preceptivamente los Proyectos de normas de desarrollo de la Ley Orgánica de Protección de Datos.
•• Informar los Proyectos de normas que incidan en materia de protección de datos.
•• Dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los
principios de la Ley Orgánica de Protección de Datos.
12
•• Dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de

los datos y control de acceso a los ficheros.
4. En materia de telecomunicaciones
•• Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas,
incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o
medios de comunicación electrónica equivalente (spam).
•• Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los
proveedores de servicios de comunicaciones electrónicas y que puedan afectar a datos personales.
5. Otras funciones
•• Cooperación con diversos organismos internacionales y con los órganos de la Unión Europea en materia de
protección de datos.
•• Representación de España en los foros internacionales en la materia.
•• Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
•• Elaboración de una Memoria Anual, que es presentada por el Director de la Agencia ante las Cortes.
2.4. El protocolo de actuación ante una inspección de la Agencia
Una inspección en materia de protección de datos es un acto administrativo por el cual un organismo independiente
designado por el ordenamiento jurídico español como garante de la legalidad y del correcto tratamiento de los
datos de carácter personal se encarga de realizar acciones de comprobación, supervisión y control a uno o varias
personas físicas y/o jurídicas o entes diferenciados con el fin de detectar, documentar y corregir posibles conductas
antijurídicas en materia de su competencia por razón de materia y territorio.
Normalmente las acciones de inspección realizadas por la Agencia Española de Protección de datos son efectuadas
por dos funcionarios, con la categoría de inspector/a o subinspector/a. dichas actuaciones pueden ser presenciales
en el domicilio de la persona física o jurídica inspeccionada, y en algunos casos on line (como, por ejemplo, en las
actuaciones de control sobre páginas web, spam, etc.).
Es de destacar que cada vez es más compleja la acción de inspección, especialmente en cuanto a la revisión de
medidas de seguridad tecnológicas, aunque no cabe duda que el cuerpo de inspectores está sumamente preparado
para enfrentarse a las tareas ordinarias de inspección86. Pese a la preparación y disponibilidad reseñada, la práctica
forense diaria hace patente la necesidad de personal súper especializado en determinadas materias o productos
tecnológicos para dar una dar una respuesta efectiva a las necesidades concretas de inspección y valoración de
posibles ilícitos.
En ese mismos sentido, hay que tener presente que en muchas ocasiones los mencionados funcionarios inspectores
se tienen que enfrentar a mega infraestructuras tecnológicas, como pueden ser los centros de procesos de datos de
las grandes compañías de telecomunicaciones, con cientos o miles de sofisticados sistemas tecnológicos de última
generación.
Analizando el anterior fenómeno y con el fin de mejorar la calidad técnica de las actuaciones inspectoras, se ha
contemplado en el vigente Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de carácter personal. (Real Decreto 1720/2007, de 21 de diciembre) la posibilidad de habilitar funcionarios
externos a la subdirección General de Inspección de la Agencia Española de Protección de datos, buscando un perfil
técnico muy especializados en una materia concreta, ya sea de otros entes administrativos o de la misma Agencia
Española de Protección de datos, mediante resolución motivada del director de la autoridad de control competente
para el tipo de ficheros a inspeccionar.
En este sentido el artículo 123.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de carácter personal. (Real Decreto 1720/2007, de 21 de diciembre) tipifica que, en supuestos
13
excepcionales, el director de la Agencia Española de Protección de datos podrá designar para la realización de
actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de
funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones
de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos la autorización
indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
Ya sean inspectores pertenecientes a la subdirección de Inspección o personal habilitado al efecto, en el caso de visita
física de los inspectores, como ya se ha comentado, será el mismo director de la Agencia, mediante escrito firmado,
el que autorice el inicio de las mencionadas actuaciones. Dicho escrito deberá ser exhibido al sujeto inspeccionado
como elemento de garantía y en cumplimiento del principio de legalidad.
Otro elemento importante es la exigencia de la correspondiente acreditación personal de los funcionarios actuantes.
La vigente Ley de régimen jurídico de las Administraciones Públicas y Procedimiento Administrativo común exige
como garantía de transparencia que todos los funcionarios estén debidamente acreditados en sus actuaciones de
cara al administrado. En el presente se tendrá que exigir dicha acreditación con más motivos, dada las severas
repercusiones. Aunque, según la experiencia personal de los autores de esta obra, son los mismos funcionarios
quienes de forma profesional y diligente exhiben de forma clara sus acreditaciones como garantía de la legalidad y
transparencia del proceso.
En este sentido conviene destacar que las potestades legales de una actuación inspectora son de gran calado y utilizadas
de forma abusiva por parte de suplantadores de los funcionarios inspectores, tales como pseudo investigadores
privados o incluso estafadores puros y duros, pueden ocasionar un serio quebranto económico o de otro tipo a las
personas jurídicas o físicas inspeccionadas por los suplantadores.
En el caso de la más mínima duda sobre la identidad o veracidad de la actuación inspectora y como medida de
precaución en general, es conveniente realizar una llamada de teléfono de comprobación a la misma autoridad de
control (AEPd, AcPd, APdcm, AvPd) a los números de teléfono oficiales que conste en los medios de comunicación
general (como página web, repertorios telefónicos, etc.).
El artículo 126 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de carácter personal. (Real Decreto 1720/2007, de 21 de diciembre) contempla le resultado de las actuaciones
previas. Una vez finalizadas las actuaciones previas, se someten a la decisión del director de la Agencia Española de
Protección de datos. Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción
alguna, el director de la Agencia Española de Protección de datos dictará resolución de archivo que se notificará al
investigado y al denunciante, en su caso. En caso de apreciarse la existencia de indicios susceptibles de motivar la
imputación de una infracción, el director de la Agencia Española de Protección de datos dictará acuerdo de inicio
de procedimiento sancionador o de infracción de las Administraciones públicas, que se tramitará conforme a lo
dispuesto, respectivamente, en las secciones tercera y cuarta del capítulo IX del mencionado reglamento.
Sin embargo, es importante saber que hay numerosas actuaciones que se realizan en el seno de las funciones que los
Inspectores y Subinspectores llevan a cabo y que no son propiamente inspecciones ni se deben englobar dentro de
éstas.
No todas las actividades efectuadas por los funcionarios encargados de la inspección son actuaciones inspectoras.
Existen un gran número de actividades, tales como averiguaciones previas de planes sectoriales, requerimientos
informativos, estudios de páginas web, etc., que no se pueden clasificar como inspecciones estrictu sensu, pero sí que
tienen un cierto grado de influencia en el desarrollo y posterior instrucción de un expediente sancionador.
Por otro lado, no todos los expedientes de averiguaciones previas o inspección desembocan en un expediente
sancionador. Por ejemplo, la Agencia Española de Protección de datos, según la memoria del 2005, indica que se da
una proporción aproximada de una a tres, es decir que de cada tres expedientes de investigación abiertos, sólo se abre
un expediente sancionador.
2.5. Actuaciones previas de investigación (Inspección)
La decisión de abrir un procedimiento de averiguaciones previas o inspección viene dada por el subdirector de
Inspección, siendo normal que dichas decisiones se realicen en base a indicios racionales de infracción en materia
de protección de datos.
14
Los recursos humanos asignados por la administración en materia de inspección en las diferentes autoridades de
control del Estado español son limitados, apenas unas docenas en el caso de la Agencia Española de Protección de
datos; por tanto la asignación de recursos ha de ser lo más eficiente y ajustada al principio de necesidad y oportunidad.
Las fuentes de información de las autoridades de control son internas de la organización o externas a la misma. Las
fuentes internas evidentemente son los registros de ficheros donde, por imperativo legal, todos los responsables de
ficheros deben proceder a la inscripción de sus tratamientos, como es el caso del registro General de la Agencia
Española de Protección de datos, donde existen más de 900.000 ficheros inscritos.
Las fuentes de información externas son diversas, desde los datos incorporados a las denuncias interpuestas por todo
tipo de organizaciones, instituciones y personas físicas, hasta los registros de otras administraciones u organizaciones
públicas y privadas.
Un hecho destacable es la concienciación que está tomando la sociedad en referencia a la necesidad de proteger al
ciudadano del uso abusivo de la información personal por parte de todos los operadores sociales. En este sentido
existen numerosas resoluciones de la Agencia Española de Protección de datos en la cual queda patente que buena
parte de los trabajos o captación de documental acreditativa de ilícitos en materia de protección de datos es aportado
por el mismo denunciante.
También es una técnica habitual por parte de los inspectores en materia de protección de datos solicitar información
a un tercero con el fin de poder comprobar la veracidad de una denuncia o la necesidad de realizar más actuaciones
e incluso comprobar el fiel cumplimiento de la normativa vigente y decretar el archivo de las actuaciones.
Es una buena recomendación, si somos requeridos para auxiliar a la Agencia mediante la aportación de información,
estudiar de forma concienzuda el contenido de la información que habrá que entregar al órgano requirente. Hay
que tener presente que en algunas ocasiones puede darse el caso de que dicha información pueda ser claramente
incriminatoria como, por ejemplo, cuando somos requeridos para que aportemos el contrato de tratamiento de datos
por parte del gestor que nos realiza las nóminas ya que el mismo está siendo investigado por otro motivo.
Entra dentro de lo posible que dicho documento adolezca de la correspondiente cláusula del artículo 12.2 de la Ley
Orgánica de Protección de datos y la aportación de dicho documento a la inspección de la Agencia podría incriminar
al requerido y comportar una posible sanción de más de 60.000 € por cesión y/o tratamiento ilegal de datos.
2.6. Tipos de inspecciones por su origen
Como ya se ha comentado anteriormente, existen varias posibles vías por las cuales se puede generar un procedimiento
de inspección. El origen de las inspecciones en materia de protección de datos tiene cierta importancia en la valoración
de la estrategia de defensa jurídica más acertada ya que, dependiendo del tipo de origen, es de presuponer diferentes
niveles de información previa en poder de la autoridad de control.
1. De oficio
Técnicamente hablando todas las inspecciones comienzan de oficio, aunque fácticamente se entiende de oficio
aquellas que son iniciadas por la misma Agencia Española de Protección de datos u órgano de control competente
sin que medie denuncia o esté incluida en un plan sectorial de inspección.
El caso paradigmático es cuando surge en los medios de comunicación un hecho que por sus características y
condición presupone la existencia de una vulneración clara de la normativa sobre protección de datos de carácter
personal.
Como ejemplos típicos de este tipo de inicio de actuaciones inspectoras podemos destacar:
•• Historiales clínicos en contenedores de basura ordinarios.

•• Currículos en contenedores de basura ordinarios.
•• Nóminas en contenedores de basura ordinarios.
•• Noticias sobre cesiones masivas de datos.
•• Noticias sobre fallos de seguridad en grandes sistemas de información.
15
•• Noticias sobre fallos de seguridad en grandes ficheros en soporte papel.

•• Circulación o acceso a información sanitaria sin permiso.
Hay que tener muy presente que una de las funciones más importantes de cualquier órgano de control es la
acción de divulgación y promoción de la cultura de protección de datos. Por eso es importante que las acciones
inspectoras derivadas de una noticia en prensa y que puedan tener una repercusión mediática sean prioritarias
para la Agencia Española de Protección de datos o cualquier otra autoridad de control, ya que es una forma
de matar dos pájaros de un tiro; es decir, por una parte se cumple y se tutela la legalidad vigente y, por otra, se
utilizan los medios de comunicación para difundir las consecuencias legales del incumplimiento de la ley.
Baste citar como ejemplo de lo expuesto que en la memoria 2005 de la Agencia Española de Protección de datos
queda reflejado que el número de procedimientos de inspección iniciados por este motivo han sido el 7% de las
actuaciones realizadas.
2. Planes sectoriales
La Agencia Española de Protección de datos tiene unas disponibilidades limitadas tanto en aspectos de personal
como de recursos físicos y lógicos por tanto le es prácticamente imposible conocer a fondo todos los sectores
económicos y sociales en los cuales tiene que actuar. Hay que recordar que la Ley Orgánica de Protección de
datos es una norma trasversal que afecta a toda la sociedad de forma diversa y que requiere grandes dosis de
interpretación para cada supuesto fáctico aplicable.
Como herramienta de conocimiento en sector económico y/o social determinado, la Agencia Española
de Protección de datos contempla los planes de inspección sectoriales, los cuales consisten en comisionar a
un determinado número de inspectores para que realicen una serie de inspecciones en un sector económico
determinado (banca, telecomunicaciones, hoteles, etc.). Dichos funcionarios realizan sus acciones buscando los
elementos más singulares de cada sector, intentando detectar las carencias y las necesidades que se plantean en la
aplicación de la Ley Orgánica de Protección de datos y en las normas concordantes y derivadas.
La duración de las mencionadas inspecciones suelen ser dilatadas en el tiempo ya que suele ser complicado
conjuntar los recursos y los operadores económicos implicados.
Una vez finalizadas las acciones de investigación, hay que destacar que no implican procedimiento sancionador
alguno ya que su objetivo es más de carácter preventivo que reactivo.
Se realiza un informe extenso y pormenorizado que se distribuye entre los diferentes operadores jurídicos que
han participado en el plan sectorial o tienen intereses en dicho sector económico.
Una vez consensuadas las conclusiones, se publica el resultado y se específica que las mencionadas conclusiones son
de obligado cumplimiento para dicho sector inspeccionado.
Hay que tener presente la gran importancia interpretativa que aportan dichas recomendaciones, ya que, como la Ley
Orgánica de Protección de datos es una norma trasversal, todo lo que sea aclarar y puntualizar formas y modos de
cumplir con la normativa en protección de datos es una muy buena práctica.
También hay que destacar que en materia de planes sectoriales de inspección la APdcm posee una legislación
específica que le permite realizar dichas acciones. En concreto tiene un procedimiento para el ejercicio de la función
de control de forma preventiva, tipificado en el artículo 18 del decreto de 14/ 2004 de la comunidad de Madrid, que
contempla de forma expresa los planes sectoriales de inspección, siendo el artículo 19 del mencionado texto legal
donde se determina el procedimiento de gestión de este tipo de inspección que encomendó la misión a la dirección
del Área de registro y la Inspección.
En la tabla siguiente se especifican una serie de planes sectoriales realizados hasta la fecha por la Agencia Española
de Protección de datos, donde se pueden observar los diferentes sectores que han trabajado:
16
Ejemplos de planes sectoriales, tomando como fuente los datos vertidos por la propia Agencia Española de Protección
de Datos:
•• Plan Sectorial de Oficio a la Enseñanza Reglada no Universitaria (2006).

•• Recomendaciones Internet (2006).
•• Selección de Personal a través de Internet (2005).
•• Laboratorios Hospitalarios y entidades que les prestan servicios (2004).
•• Instituto Nacional de Administración Pública (2004).
•• Cadenas Hoteleras (2004).
•• Censos de población y vivienda 2001.
•• Instituto de estadística (2003).
•• Censos de población y vivienda 2001.
•• Empresas participantes (2003).
•• Concursos, juegos y sorteos de televisión (2002).
•• Banca a Distancia (2002).
•• Fichero común sobre solvencia patrimonial (2002).
•• Instituto Nacional de Estadística (2001).
•• Fichero Histórico de Seguros del Automóvil (2001).
•• Grandes superficies comerciales (2001).
•• Comercio electrónico (2000).
•• Hospital General Militar Gómez Ulla (2000).
•• Hospital Psiquiátrico Penitenciario (2000).
•• Registro Nacional de Sida (2000).
•• Dirección General de Tráfico (2000).
•• Salas de Bingo (1998).
•• Hospitales Públicos (1997).
3. Por denuncia
La experiencia ha demostrado que cada vez más la denuncia es el procedimiento más habitual de inicio de inspección
(en las últimas memorias de la AEPd se concreta que más del 90 % de acciones inspectoras tienen este origen).
El origen de la denuncia se puede dividir en tres grandes grupos:
•• Instituciones y/o organismos públicos.

•• Instituciones y/o organismos privados.
•• Particulares.
Como organismos públicos hay que incluir cualquier tipo de administración, incluso otras agencias autonómicas de
control, administraciones locales o cuerpos y Fuerzas de seguridad del Estado, etc.
En cuanto actividad de instituciones privadas destacan las actuaciones realizadas por los diferentes sindicatos de
trabajadores que, motivados por la salvaguarda de los intereses legítimos de los trabajadores sobre su intimidad,
en muchas ocasiones se ven obligados en poner en conocimiento de la Agencia Española de Protección de datos la
existencia de infracciones en materia de protección de datos.
En alguna ocasión la misma Agencia Española de Protección de datos ha detectado la existencia de suplantación de
imagen corporativa, detectándose un texto de denuncia enviado por personas que presuntamente se hacían pasar
por representantes de sindicatos oficiales y legítimos, que intentan que se abra un procedimiento sancionador sin dar
la cara y suplantando instituciones legalmente constituidas y de reconocido prestigio.
Cada vez más se da el caso de particulares que presentan su denuncia bien documentada y fundamentada. Dicha
denuncia y su posterior tramitación ha comportado una sanción de las más contundentes que se recuerdan.
Aunque normalmente se limita la denuncia a un mero escrito con datos básicos, en algunos casos se aportan soportes
digitales (cd, dvd, etc.) que pueden contener todo tipo documentos e incluso bases de datos o cualquier otro material
incriminatorio que el denunciante crea conveniente.
17
También es importante destacar en el presente punto que esta aportación de documentación a la subdirección de
Inspección de la AEPd es analizada de forma rigurosa y, en caso de detectarse la utilización de medios fraudulentos
o ilícitos por parte del denunciante, puede darse el caso de que se le abra el correspondiente expediente sancionador.
2.7. Protección de derechos
La finalidad última, no sólo del sistema inspector de la Agencia sino de todo el trabajo llevado a cabo por los agentes
que la componen y de los medios materiales que se ponen a su disposición, es el aseguramiento del reconocimiento
de una serie de derechos valorados como fundamentales a los titulares de los datos y que se recogen en la Ley
Orgánica de Protección de datos. Estos derechos son:
•• Acceso
•• Rectificación
•• Oposición
•• Cancelación
•• Impugnación de valoraciones
•• Indemnización
Para los cuatro primeros, los llamados A.r.c.O. (Acceso, rectificación, cancelación y Oposición) existen procesos
administrativos reglados, con plazos estrictos de cumplimiento por parte del responsable del fichero requerido.
En algunas ocasiones dichos requerimientos no son atendidos en tiempo y forma por parte del responsable del
fichero y los ciudadanos titulares de los datos de carácter personal ponen en conocimiento dichas circunstancia a la
Agencia Española de Protección de datos o a la autoridad de control competente.
La Agencia Española de Protección de datos, mediante la subdirección de Inspección y una vez comprobada la
veracidad de la denuncia y el ajuste a la legalidad vigente, procederá a requerir al responsable del fichero para que
efectúe dicho ejercicio de derechos, bajo el apercibimiento de incurrir en una posible infracción de desobediencia
grave al director de la Agencia.
3. Cumplimiento legal: Documento de seguridad,

obtención del consentimiento, inscripción de ficheros,
cesiones de datos, avisos legales y de privacidad
El consentimiento del afectado es uno de los nueve principios a través de los cuales el Título II de la Ley Orgánica
15/1999 de Protección de datos de carácter personal (LOPd), establece las condiciones en que se debe recoger,
tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales de los
ciudadanos.
La LOPd define el consentimiento del afectado como “toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante el que el interesado consienta el tratamiento de datos personales que le conciernan” (artículo 3.h)
y establece como condición general que “el tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa (artículo 6.1).
Por lo tanto, en aplicación de ambos artículos podemos decir que el responsable del fichero solamente podrá tratar
los datos de carácter personal de las personas físicas si se da alguna de las siguientes circunstancias:
•• Si se dispone del consentimiento del titular de los datos y éste ha sido obtenido adecuadamente (manifestación
de voluntad libre, inequívoca, específica e informada).
•• Si está amparado por una ley que, de manera excepcional, le autorice a tratar los datos sin el consentimiento del
afectado (esto por lo tanto es una posibilidad subsidiaria a la regla general que es la necesidad de consentimiento).
El consentimiento del afectado está regulado en las siguientes normas jurídicas:
18
•• Ley Orgánica de Protección de Datos 15/1999. Artículos 3.h y artículo 6.
•• Reglamento LOPd. Artículos 12 a 17 (Real Decreto 1720/2007)
3.1. Requisitos para la validez del consentimiento
Para que el consentimiento del afectado sea legalmente válido se requiere que sea la consecuencia de una manifestación
de voluntad libre, inequívoca, específica e informada, características que tal como establece la Agencia Española de
Protección de Datos deben interpretarse de la siguiente forma:
El consentimiento del afectado debe ser libre. Esta característica implica que debe haberse obtenido sin la
intervención de vicio alguno del consentimiento en los términos regulados en el Código Civil (según el cual será
nulo el consentimiento prestado por error, violencia, intimidación o dolo)
El consentimiento del afectado debe ser inequívoco. No resulta admisible deducir el consentimiento de los meros
actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción
(consentimiento expreso) u omisión (consentimiento tácito) que implique prestación del consentimiento.
El consentimiento del afectado debe ser específico. El consentimiento debe haberse prestado para un determinado
tratamiento y para una finalidad determinada, específica y legítima, tal como establece el artículo 4.2 de la Ley
Orgánica de Protección de Datos.
“4.2 Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades distintas de
aquellas para las que los datos hubieran sido recogidos.”
El consentimiento del afectado debe ser informado. Para que el consentimiento sea válido es necesario que el
afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que se produce.
Precisamente por ello el artículo 5.1 de la Ley Orgánica de Protección de Datos impone el deber de informar a los
interesados de una serie de extremos que en el mismo se contienen.
En concreto este precepto establece:
“Artículo 5 Derecho de información en la recogida de datos
1. Los afectados a los que se soliciten datos personales deberán ser previamente informados de modo expreso,
preciso e inequívoco:
a) De la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida

de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.
e) De la identidad y dirección del responsable del fichero.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma
claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refiere el apartado 1 si el contenido de ella se deduce claramente de
la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.”
19
3.2. Forma de obtener el consentimiento
Una vez determinado los requisitos para entender por válido el consentimiento del afectado, analicemos ahora las
formas de recabarlo:
1. Consentimiento expreso:
“La voluntad expresada a través de una declaración clara por el interesado”
Según artículo 7.3 de la LOPD, se precisará el consentimiento expreso, cuando se traten los datos especialmente
protegidos que hagan referencia al origen racial, a la salud, y a la vida sexual del afectado.
Asimismo, y respecto al caso de los datos relativos a la salud, la Audiencia Nacional en sentencia de 24 de marzo de
2006, ha señalado que “Por consentimiento expreso hemos de entender aquél que se obtiene de una declaración
clara e inequívoca por parte del interesado que acepta o rechaza la cesión y uso de sus datos mediante la expresión
de su voluntad de forma que permita su constancia y prueba indubitada. La existencia de consentimiento
expreso, referido a la cesión y uso de estos datos especialmente sensibles no debe admitir duda ni entenderse o
interpretarse en varios sentidos, o poder dar ocasión a juicios diversos”
2. Consentimiento expreso y por escrito:
Además, del consentimiento expreso, se exigirá por escrito, cuando tratemos datos especialmente protegidos
que revelen la ideología, afiliación sindical, religión y creencias, tal y como establece el artículo 7.2 de la LOPD.
3. Consentimiento tácito:
“El consentimiento tácito se deduce de la falta de actuación o silencio por parte del interesado”
En el supuesto de que el responsable del fichero pretenda tratar datos de carácter personal solicitando el
consentimiento tácito del interesado deberá tener en cuenta lo establecido en el artículo 14.2 del Real Decreto
1720/2007 de por el que se aprueba el Reglamento de desarrollo de la LOPD “El responsable podrá dirigirse al
afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre
y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento,
advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus
datos de carácter personal”.
Asimismo, y según ha manifestado el Tribunal Supremo en diferente sentencias, fuera de los casos en que la ley
exija una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado de forma tácita.
4. 4. Consentimiento presunto:
“Se vienen entendiendo que hay consentimiento presunto cuando la voluntad del afectado se desprende del
comportamiento del mismo”
Lo hemos incorporado como una forma más de recabar el consentimiento pero debemos matizar que, es esta vía,
presenta problemas de seguridad jurídica con los consiguientes riesgos.
Además, la Agencia Española de Protección de Datos (AEPD), “por regla general” y hasta ahora, no admite el
consentimiento presunto, ya que el requisito inequívoco del consentimiento, implica que no resulta admisible
deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo
preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento (Informe
0645/2009).
Hemos encomillado “por regla general” pues en alguna ocasión la Agencia ha aceptado el consentimiento
presunto. Dice la AEPD que el consentimiento implícito respecto del tratamiento de datos de los afectados
se presume por el hecho de su participación en el evento en el que se trataban los mismos (Expediente Nº:
E/01225/2009 Caso CCOO).
20
De manera general, el consentimiento del afectado para el tratamiento de sus datos personales puede obtenerse
de forma expresa o tácita, sin embargo cuando el tratamiento se refiera a “datos especialmente protegidos” el
consentimiento debe obtenerse con las condiciones a que refiere el artículo 7 de la Ley Orgánica de Protección
de Datos.
“Artículo 7 Datos especialmente protegidos
1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente,
se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento automatizado los
datos de carácter personal que revelen la ideología, religión y creencias.
3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán
ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga
una Ley o el afectado consienta expresamente.
4. Quedan prohibidos los ficheros creados con finalidad exclusiva de almacenar datos de carácter personal que
revelen la ideología, religión, creencias, origen racial o vida sexual.
5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser
incluidos en ficheros automatizados de las Administraciones Públicas competentes en los supuestos previstos
en las respectivas normas reguladoras.”
También se recoge en la Ley el supuesto contrario, el que excepciona la necesidad de prestación del consentimiento,
así el apartado 2 del artículo 6 establece: “No será preciso la prestación del consentimiento cuando los datos de carácter
personal se recojan de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de las
Administraciones Públicas en el ámbito de sus competencias, ni cuando se refieran a personas vinculadas por una
relación laboral, una relación administrativa o un contrato y sean necesarios para el mantenimiento de las relaciones o
para el mantenimiento del contrato”.
3.3. Inscripción de ficheros
Un fichero es según el artículo 5 del reglamento de desarrollo de la LOPD: “Todo conjunto organizado de datos de
carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.”
Para facilitar a los responsables de ficheros con datos de carácter personal cumplir con la obligación que la LOPD
establece de notificar sus ficheros, la AEPD creó el sistema de notificaciones telemáticas NOTA, accesible de forma
gratuita desde su web. David Bonilla te explica en su Blog como cumplimentar el NOTA.
3.4. Los niveles de seguridad del fichero
Las medidas de seguridad y el nivel de obligaciones del fichero depende de los datos personales almacenados, es
por ello por lo que es importante plantearse en primer lugar que información vamos a solicitar a nuestros usuarios.
Puede ser superior el coste de implementación y mantenimiento del nivel de seguridad al beneficio de poseer dicha
información.
Es el reglamento de desarrollo de la LOPD, el Real Decreto 1720/2007, el que describe los tres niveles en los que se
clasifican los ficheros.
Los tres niveles de seguridad en función de la información solicitada.
21
Todos los ficheros, por el mero hecho de contener información de carácter personal, le corresponde al menos el nivel
básico, debiendo aplicar a su responsable unas mínimas medidas, que identificaremos más adelante.
Confiere el nivel medio a aquellos ficheros que, además de contener información personal básica, incluyen alguno
de estos tipos de datos:
1. Información sobre infracciones administrativas o penales.
2. Los datos que hagan alusiones a la situación patrimonial o de crédito de las personas físicas, entre ellos por
ejemplo los registros de impagados a los que acuden las entidades bancarias para conceder o denegar un
préstamo o crédito en función del scoring asignado al solicitante.
3. Los datos que posean las Administraciones tributarias de cada uno de los contribuyentes.
4. Los datos que posean las entidades financieras y bancarias sobre sus clientes.
5. Los datos que posean las entidades gestoras de la Seguridad Social sobre los cotizantes y perceptores de
prestaciones y subsidios, así como los que traten las mutuas de accidentes de trabajo y enfermedades
profesionales asociadas a la Seguridad Social.
6. Y por último los datos que siendo combinados por el responsable del tratamiento puedan formar una idea
de la personalidad y del comportamiento de los afectados.
Estableciendo unas medidas más rigurosas, encuadra en el nivel alto a aquellos tipos de datos relativos a:
1. Ideología.
2. Afiliación sindical.
3. Religión y creencias.
4. Origen racial.
5. Salud y vida sexual.
3.5. Medidas de seguridad aplicables a cada nivel
En el caso del nivel básico de seguridad:
1. Implantación de un procedimiento de notificación de incidencias para que el personal que gestiona la web o
comunidad pueda reportar los incidentes que pudieran afectar a los datos de carácter personal custodiados.
2. Mantenimiento de una relación actualizada de todos los usuarios que administran la web, y por tanto
acceden a los datos de carácter personal en ella alojados.
3. El sistema de validación que empleemos para acceder a la web o comunidad como usuarios administrador
forzará el cambio de contraseña, como mínimo una vez al año.
4. Implementación de un sistema de copia de seguridad y restauración, que se salvaguardará los datos con una
periodicidad mínima semanal -salvo que en ese periodo no se hayan producido cambios sobre los datos-.
Si nuestro fichero da el salto al nivel medio, tendremos que aplicar las siguientes medidas de seguridad:
1. Se deberá asignar formalmente un responsable de Seguridad que vele por la aplicación continuada de las
medidas de seguridad correspondientes a este nivel.
2. Se realizará una auditoría interna, o externa, cada dos años, que determinará la correcta aplicación de las
medidas en el periodo de tiempo auditado.
3. Si los datos personales son objeto de trasiego en soportes físicos deberemos implementar un sistema de control
de dichos soportes que permita conocer la fecha, hora destinatario y tipo de información que contiene, así
como el responsable de la salida de la información, que deberá tener la autorización suficiente para ello.
22
4. Se implementará un sistema que evite el acceso fallido y reiterado al sistema de información. Se trata del
acceso de los usuarios que administran los datos personales alojados en la web, y no de los propios usuarios
finales.
5. El servidor que aloja la página web se ubicará en una dependencia cerrada y restringida exclusivamente a
aquellas personas que estén identificadas en el documento de seguridad.
6. Al registro de notificación de incidencias descrito en las medidas aplicables al nivel básico se le añaden aquí
todas aquellas contingencias que impliquen la aplicación del procedimiento de restauración o recuperación
de datos por una pérdida de información. Indicando quién ha restaurado la información, qué datos se han
restaurado, y si ha sido necesaria la introducción manual de información.
En el caso de información de grado alto aplicaríamos las siguientes medidas de seguridad:
1. Las copias de seguridad deberá ser albergadas en una dependencia distinta de donde se ubiquen los
servidores que alojan el sitio web.
2. Se registrará en un log cada acceso a los datos existentes en el fichero. Este registro, que mantendrá la
información de accesos de los últimos dos años contendrá el nombre de usuario que accede a los datos, la
fecha, la hora, el tipo de acceso realizado y si el acceso ha sido autorizado o denegado
3. Se exige que las comunicaciones electrónicas por la red que incluyan datos de nivel alto solo puedan
transmitirse si se han cifrado previamente o si se han encapsulado de tal manera que no puedan ser
interceptadas por terceras personas.
3.5.1. Elaboración de un documento de seguridad.
El Real Decreto 1720/2007 se especifica, entre otras medidas, la elaboración de un documento que recogerá las medidas
de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para
el personal con acceso a los datos de carácter personal.
El documento deberá contener, como mínimo, los siguientes aspectos:
1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de

seguridad exigido en este reglamento.
3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal
incluidos en los ficheros.
4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que
los tratan.
5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o
tratamientos automatizados.
7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la
destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
8. Las auditorías periódicas.
El Real Decreto 1720/2007 indica en su artículo 96, que a partir del nivel medio se someterán al menos cada dos
años a una auditoria interna o externa. Con carácter extraordinario deberá realizarse siempre una auditoria cuando
se realicen modificaciones sustanciales.
23
El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo
reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las
recomendaciones propuestas.
Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:
1. Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
2. Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos,

hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
3. Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del fichero para
que adopte las medidas adecuadas.
4. Deberá quedar a disposición de la Agencia Española de Protección de Datos.
3.6. Avisos legales y de privacidad
3.6.1. Aviso legal
El aviso legal es el documento dentro del sitio web que identifica a su propietario.
La ley que rige este texto es la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Y es ésta la que indica los datos obligatorios que deben aparecer en nuestro documento de «aviso legal» (nombre,
dirección, CIF/NIF, email, etc.).
El aviso legal es obligatorio si la página web de que se trate cumple alguna de estas funciones:
•• Es una web corporativa de autónomo o empresa

•• Tienda online
•• Web o blog particular si incluye publicidad.
Éste documento es muy sencillo de implementar en contra de lo que pueda parecer. Cuando se crea una página hay
que introducir el texto del aviso legal y poner un enlace visible desde cualquier página del sitio web.
Para la redacción del texto, puede usarse el modelo que ofrece el propio Ministerio de Industria, a través del ahora
denominado Instituto Nacional de Ciberseguridad (INCIBE).
Existe también una herramienta gratuita online que genera el documento de aviso legal redactado para cumplir con
los requisitos básicos de la Ley de Servicios de la Sociedad de Información y Comercio Electrónico (LSSICE).
Sólo hay que rellenar tus datos en este formulario y te envían por correo electrónico el documento de aviso legal.
3.6.2. Política de privacidad
Otra página que debemos tener si queremos crear un sitio web es la página de la «política de privacidad».
Es obligatoria si la web recoge algún dato personal del usuario, lo que es prácticamente aplicable a cualquier sitio web
si tiene, por ejemplo, un formulario de contacto donde se pide al usuario el correo electrónico. Ya con esto estamos
pidiendo un dato personal.
La ley que rige este apartado es la Ley Orgánica de Protección de Datos (LOPD).
Y es bastante más compleja de llevar a cabo que el aviso legal.
24
Muy resumidamente, el procedimiento sería:
•• Abrir un registro en la Agencia Española de Protección de Datos (AEPD), donde indicaríamos los ficheros
involucrados en la recogida de datos de los usuarios de la web.
•• Crear una página con el documento de la política de privacidad.
Para el texto se puede usar nuevamente el modelo que proporciona el Ministerio.
•• Incluir en los formularios donde se piden datos personales al usuario, una casilla de marcación obligatoria con
un enlace a la página donde informamos de la política de privacidad del sitio web.
Esto es lo básico, aunque según el tipo de datos que se recojan (económicos, de salud, etc.) se tendrá que cumplir un
nivel u otro de seguridad.
Además de estas actuaciones, hay que generar los textos de respuesta ante el ejercicio de derecho de acceso, rectificación
o cancelación por parte del usuario, implementar un sistema de copias de seguridad, etc. Y otros documentos más
relativos al envío de correo electrónico, contratos y demás.
Ya hemos avanzado que era un tema más complejo, y de hecho para la implantación de la política de privacidad en
las nuevas páginas web que se abren es muy frecuente la contratación de asesorías legales para generar los textos
personalizados a la actividad de que se trate y a las actuaciones correspondientes.
3.6.3. Ley de cookies
De un tiempo para acá vemos cómo en cada página que accedemos tenemos el famoso mensaje de las «cookies».
¿Pero qué son exactamente?
Las cookies son fragmentos de información enviados por un sitio web y almacenados en el navegador del usuario
que visita ese sitio. Esto permite a la web tener información sobre las preferencias o actividades de las personas que
acceden a la web.
Dicho así puede asustar, pero, en principio, no son malas en sí mismas.
Sí es cierto que gracias a ellas se puede hacer un seguimiento del usuario no sólo en el mismo sitio, sino en múltiples
web (¿Te has fijado que has estado viendo un producto en una tienda online y luego te pasas 2 semanas viendo ese
producto en todas las webs que visitas? Ahí están las cookies).
Las cookies son necesarias para, por ejemplo, seguir el proceso de una compra online, pero también para cosas no
tan necesarias aunque comunes como analizar las visitas a nuestra página web (ya sea con Google Analytics o Piwik)
o mostrar publicidad dinámica.
También los populares botones de compartir en redes sociales tienen sus propias cookies... me remito a un interesante
artículo sobre la monitorización social, del consultor y experto en seguridad Pablo F. Yglesias, analista de información
en nuevas tecnologías y SecurInfo. Es un enlace interesante a tener en cuenta en el estudio de esta materia.
https://www.pabloyglesias.com/monitorizacion-social/
Por tanto, si tu web incluye algo de lo dicho hasta ahora, se debe cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI, ya mencionada a propósito de la política de privacidad. Por lo que,
aunque comúnmente hablemos de la «ley de cookies», no es una ley propiamente dicha. La implementación de esta
«ley» no está clara, y por eso hay sitios web que usan unos mensajes más invasivos que otros.
En cualquier caso, se debe mostrar el mensaje y no activar cookies hasta que el usuario explícitamente acepte el
mensaje, o implícitamente haciendo scroll en la página.
25
Según se elija un comportamiento u otro, la aplicación técnica dentro de la web será distinta. En ese mensaje, además,
debe estar la información o el enlace a la página de tu sitio donde dicen las cookies que se usen y su finalidad. Aunque
dependiendo de la actividad del sitio web se puede necesitar una programación específica, para implementar esta ley
existen plugins o módulos (como EU Cookie Compliance o Cookie Control) para distintas plataformas web que son
suficientes para la mayoría de sitios.
La regulación legal de esta materia la recoge el TITULO II de la Ley 34/2002 de Servicios de la Sociedad de la
Información y Comercio Electrónico.
TÍTULO II
CAPÍTULO I
Principio de libre prestación de servicios
“Artículo 6. No sujeción a autorización previa.
La prestación de servicios de la sociedad de la información no estará sujeta a autorización previa.
Esta norma no afectará a los regímenes de autorización previstos en el ordenamiento jurídico que no tengan por
objeto específico y exclusivo la prestación por vía electrónica de los correspondientes servicios.”
“Artículo 7. Principio de libre prestación de servicios.
1. La prestación de servicios de la sociedad de la información que procedan de un prestador establecido en

algún Estado miembro de la Unión Europea o del Espacio Económico Europeo se realizará en régimen de
libre prestación de servicios, sin que pueda establecerse ningún tipo de restricciones a los mismos por razones
derivadas del ámbito normativo coordinado, excepto en los supuestos previstos en los artículos 3 y 8.
2. La aplicación del principio de libre prestación de servicios de la sociedad de la información a prestadores

establecidos en Estados no miembros del Espacio Económico Europeo se atendrá a los acuerdos internacionales
que resulten de aplicación.”
“Artículo 8. Restricciones a la prestación de servicios y procedimiento de cooperación intracomunitario.
1. En caso de que un determinado servicio de la sociedad de la información atente o pueda atentar contra los
principios que se expresan a continuación, los órganos competentes para su protección, en ejercicio de las
funciones que tengan legalmente atribuidas, podrán adoptar las medidas necesarias para que se interrumpa su
prestación o para retirar los datos que los vulneran. Los principios a que alude este apartado son los siguientes:
a) La salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional.
b) La protección de la salud pública o de las personas físicas o jurídicas que tengan la condición de
consumidores o usuarios, incluso cuando actúen como inversores.
c) El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo,

religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social, y
d) La protección de la juventud y de la infancia.
e) La salvaguarda de los derechos de propiedad intelectual.
En la adopción y cumplimiento de las medidas de restricción a que alude este apartado se respetarán, en todo
caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a
la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad
de información, cuando éstos pudieran resultar afectados.
26
En todos los casos en los que la Constitución y las leyes reguladoras de los respectivos derechos y libertades así lo
prevean de forma excluyente, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este
artículo, en tanto garante del derecho a la libertad de expresión, del derecho de producción y creación literaria,
artística, científica y técnica, la libertad de cátedra y el derecho de información.
2. Los órganos competentes para la adopción de las medidas a que se refiere el apartado anterior, con el objeto
de identificar al responsable del servicio de la sociedad de la información que está realizando la conducta
presuntamente vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la información
la cesión de los datos que permitan tal identificación a fin de que pueda comparecer en el procedimiento.
Tal requerimiento exigirá la previa autorización judicial de acuerdo con lo previsto en el apartado primero
del artículo 122 bis de la Ley reguladora de la Jurisdicción contencioso-administrativa. Una vez obtenida
la autorización, los prestadores estarán obligados a facilitar los datos necesarios para llevar a cabo la
identificación.
3. La adopción de restricciones a la prestación de servicios de la sociedad de la información provenientes de

prestadores establecidos en un Estado de la Unión Europea o del Espacio Económico Europeo distinto a
España deberá seguir el procedimiento de cooperación intracomunitario descrito en el siguiente apartado de
este artículo, sin perjuicio de lo dispuesto en la legislación procesal y de cooperación judicial.
4. Cuando un órgano competente acuerde, en ejercicio de las competencias que tenga legalmente atribuidas, y de
acuerdo con lo dispuesto en el párrafo a) del apartado 4 del artículo 3 de la Directiva 2000/31/CE, establecer
restricciones que afecten a un servicio de la sociedad de la información que proceda de alguno de los Estados
miembros de la Unión Europea o del Espacio Económico Europeo distinto de España, dicho órgano deberá
seguir el siguiente procedimiento:
a) El órgano competente requerirá al Estado miembro en que esté establecido el prestador afectado para
que adopte las medidas oportunas. En el caso de que no las adopte o resulten insuficientes, dicho órgano
notificará, con carácter previo, a la Comisión Europea o, en su caso, al Comité Mixto del Espacio Económico
Europeo y al Estado miembro de que se trate las medidas que tiene intención de adoptar.
b) En los supuestos de urgencia, el órgano competente podrá adoptar las medidas oportunas, notificándolas
al Estado miembro de procedencia y a la Comisión Europea o, en su caso, al Comité Mixto del Espacio
Económico Europeo con la mayor brevedad y, en cualquier caso, como máximo, en el plazo de quince días
desde su adopción. Así mismo, deberá indicar la causa de dicha urgencia.
Los requerimientos y notificaciones a que alude este apartado se realizarán siempre a través del órgano de
la Administración General del Estado competente para la comunicación y transmisión de información a las
Comunidades Europeas.
5. Los órganos competentes de otros Estados Miembros de la Unión Europea o del Espacio Económico Europeo
podrán requerir la colaboración de los prestadores de servicios de intermediación establecidos en España en
los términos previstos en el apartado 2 del artículo 11 de esta ley si lo estiman necesario para garantizar la
eficacia de las medidas de restricción que adopten al amparo del apartado anterior.
6. Las medidas de restricción que se adopten al amparo de este artículo deberán, en todo caso, cumplir las
garantías y los requisitos previstos en los apartados 3 y 4 del artículo 11 de esta ley.”
CAPÍTULO II
Obligaciones y régimen de responsabilidad de los prestadores de servicios de la sociedad de la información
Sección 1ª Obligaciones
“Artículo 10. Información general.
1. Sin perjuicio de los requisitos que en materia de información se establecen en la normativa vigente, el prestador
de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto
27
a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma
permanente, fácil, directa y gratuita, a la siguiente información:
a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus

establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que
permita establecer con él una comunicación directa y efectiva.
b) Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de

aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos
efectos de publicidad.
c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos
relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
d) Si ejerce una profesión regulada deberá indicar:
1º Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
2º El título académico oficial o profesional con el que cuente.
3º El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su
caso, la correspondiente homologación o reconocimiento.
4º Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan
conocer, incluidos los electrónicos.
e) El número de identificación fiscal que le corresponda.
f) Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información

clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y,
en su caso, sobre los gastos de envío.
g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.
2. La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio
de Internet en las condiciones señaladas en el apartado 1.
3. Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que
se permita el acceso a servicios de la sociedad de la información y se requiera su utilización por parte del
prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de
marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario.
A tal efecto, el prestador del servicio deberá proporcionar al menos la siguiente información:
a) Las características del servicio que se va a proporcionar.
b) Las funciones que efectuarán los programas informáticos que se descarguen, incluyendo el número
telefónico que se marcará.
c) El procedimiento para dar fin a la conexión de tarificación adicional, incluyendo una explicación del
momento concreto en que se producirá dicho fin, y
d) El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación

adicional.
La información anterior deberá estar disponible de manera claramente visible e identificable.
28
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la normativa de telecomunicaciones,

en especial, en relación con los requisitos aplicables para el acceso por parte de los usuarios a los rangos de
numeración telefónica, en su caso, atribuidos a los servicios de tarificación adicional.”
“Artículo 11. Deber de colaboración de los prestadores de servicios de intermediación.
1. Cuando un órgano competente hubiera ordenado, en ejercicio de las competencias que legalmente tenga
atribuidas, que se interrumpa la prestación de un servicio de la sociedad de la información o la retirada
de determinados contenidos provenientes de prestadores establecidos en España, y para ello fuera necesaria
la colaboración de los prestadores de servicios de intermediación, dicho órgano podrá ordenar a los citados
prestadores que suspendan el correspondiente servicio de intermediación utilizado para la provisión del
servicio de la sociedad de la información o de los contenidos cuya interrupción o retirada hayan sido ordenados
respectivamente.
2. Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio

o la retirada de contenidos procedentes de un prestador establecido en un Estado no perteneciente a la
Unión Europea o al Espacio Económico Europeo, el órgano competente estimara necesario impedir el acceso
desde España a los mismos, y para ello fuera necesaria la colaboración de los prestadores de servicios de
intermediación establecidos en España, dicho órgano podrá ordenar a los citados prestadores de servicios
de intermediación que suspendan el correspondiente servicio de intermediación utilizado para la provisión
del servicio de la sociedad de la información o de los contenidos cuya interrupción o retirada hayan sido
ordenados respectivamente.
3. En la adopción y cumplimiento de las medidas a que se refieren los apartados anteriores, se respetarán, en
todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los
derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión
o a la libertad de información, cuando estos pudieran resultar afectados.
En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o
las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de
forma excluyente para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente
podrá adoptar las medidas previstas en este artículo. En particular, la autorización del secuestro de páginas de
Internet o de su restricción cuando ésta afecte a los derechos y libertades de expresión e información y demás
amparados en los términos establecidos en el artículo 20 de la Constitución solo podrá ser decidida por los
órganos jurisdiccionales competentes.
4. Las medidas a que hace referencia este artículo serán objetivas, proporcionadas y no discriminatorias, y se
adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, conforme a los procedimientos
administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda.”
“Artículo 12 bis. Obligaciones de información sobre seguridad.
1. Los proveedores de servicios de intermediación establecidos en España de acuerdo con lo dispuesto en el

artículo 2 de esta Ley que realicen actividades consistentes en la prestación de servicios de acceso a Internet,
estarán obligados a informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre los diferentes
medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre
otros, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos
no solicitados.
2. Los proveedores de servicios de acceso a Internet y los prestadores de servicios de correo electrónico o de
servicios similares deberán informar a sus clientes de forma permanente, fácil, directa y gratuita sobre las
medidas de seguridad que apliquen en la provisión de los mencionados servicios.
3. Igualmente, los proveedores de servicios referidos en el apartado 1 informarán sobre las herramientas existentes
para el filtrado y restricción del acceso a determinados contenidos y servicios en Internet no deseados o que
puedan resultar nocivos para la juventud y la infancia.
29
4. Los proveedores de servicios mencionados en el apartado 1 facilitarán información a sus clientes acerca de
las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos, en particular,
para la comisión de ilícitos penales y por la vulneración de la legislación en materia de propiedad intelectual
e industrial.
5. Las obligaciones de información referidas en los apartados anteriores se darán por cumplidas si el
correspondiente proveedor incluye la información exigida en su página o sitio principal de Internet en la
forma establecida en los mencionados apartados.”
Sección 2ª Régimen de responsabilidad
“Artículo 13. Responsabilidad de los prestadores de los servicios de la sociedad de la información.
1. Los prestadores de servicios de la sociedad de la información están sujetos a la responsabilidad civil, penal y
administrativa establecida con carácter general en el ordenamiento jurídico, sin perjuicio de lo dispuesto en
esta Ley.
2. Para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de

intermediación, se estará a lo establecido en los artículos siguientes.”
“Artículo 14. Responsabilidad de los operadores de redes y proveedores de acceso.
1. Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que
presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos
facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información
transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos
o a los destinatarios de dichos datos.
No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos,
que tiene lugar durante su transmisión.
2. Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el
almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para
permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente
necesario para ello.”
“Artículo 15. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados
por los usuarios.
Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados
por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros
destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán
responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si:
a) No modifican la información.
b) Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el
destinatario cuya información se solicita.
c) Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la
información.
d) No interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con
el fin de obtener datos sobre la utilización de la información, y e) Retiran la información que hayan
almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de:
1º Que ha sido retirada del lugar de la red en que se encontraba inicialmente.
30
2º Que se ha imposibilitado el acceso a ella, o
3º Que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.”
“Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.
1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el

destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario,
siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que

lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando
un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el
acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente
resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen
en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.
2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario

del servicio actúe bajo la dirección, autoridad o control de su prestador.”
“Artículo 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos
de búsqueda.
1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan
en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a
la que dirijan a los destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es

ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando
un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el
acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente
resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen
en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.
2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el proveedor

de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del
prestador que facilite la localización de esos contenidos.”
31
4. Derechos del usuario y obligaciones de la

PYME. Decálogo de buenos usos y costumbres.
Sensibilización y concienciación de los empleados
En primer lugar respecto de los derechos del usuario, ya hemos avanzado la existencia de los conocidos como
derechos ARCO, catálogo central de derechos en materia de Protección de Datos y que pasamos a estudiar.
4.1. Derecho de acceso
El derecho de acceso permite al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter
personal sometidos a tratamiento.
El derecho de acceso es uno de los derechos que la Ley Orgánica de Protección de Datos de carácter personal (LOPD)
reconoce a los ciudadanos para que el ciudadano pueda controlar por sí mismo el uso que se hace de sus datos
personales, y en particular, el derecho a obtener información sobre si éstos están siendo objeto de tratamiento y, en su
caso, la finalidad del mismo, así como la información disponible sobre el origen de dichos datos y las comunicaciones
realizadas o previstas de los mismos.
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quién deberá dirigirse
a la empresa u organismo público del que sabe o presume que tiene sus datos, pudiendo optar por visualizarlos
directamente en pantalla u obtenerlos por medio de escrito, copia, fotocopia o cualquier otro sistema adecuado al
tipo de fichero de que se trate.
El responsable del fichero deberá resolver sobre lo solicitado en el plazo de un mes desde la recepción de la solicitud.
También deberá hacerlo aunque no disponga de datos del afectado. Si transcurrido dicho plazo, la solicitud no ha
sido atendida adecuadamente, el interesado podrá dirigirse a la Agencia con copia de la solicitud cursada y de la
contestación recibida (si existiera), para que ésta a su vez se dirija a la oficina designada con el objetivo de hacer
efectivo el ejercicio de ese derecho.
El derecho de acceso no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés
legítimo.
Sólo podrá acceder a la información pretendida si se trata de información sobre sus datos personales, pero no de
información de terceros. Y también que, antes de dirigirse a esta Agencia, deberá hacerlo ante la empresa u organismo
responsable/titular del fichero donde estén sus datos.
4.2. Derecho de rectificación
Este derecho se caracteriza porque permite corregir errores, modificar los datos que resulten ser inexactos o
incompletos y garantizar la certeza de la información objeto de tratamiento.
El derecho de rectificación es uno de los derechos que la Ley Orgánica de Protección de Datos de carácter personal
(LOPD) reconoce a los ciudadanos para que puedan defender su privacidad controlando por sí mismo el uso que
se hace de sus datos personales, y en particular, el derecho a que éstos se modifiquen cuando resulten inexactos o
incompletos.
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quién deberá dirigirse a la
empresa u organismo público que sabe o presume que tiene sus datos, indicando a qué datos se refiere y la corrección
que se solicita, y aportando al efecto la documentación que lo justifique.
El responsable del fichero deberá resolver sobre lo solicitado en el plazo máximo de diez días a contar desde la
recepción de la solicitud. También deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo
sin que de forma expresa se responda a la petición o ésta sea insatisfactoria, el interesado podrá interponer la
correspondiente reclamación de tutela ante esta Agencia, acompañando la documentación acreditativa de haber
solicitado la rectificación de datos ante la entidad de que se trate.
32
4.3. Derecho de cancelación
El derecho de cancelación permite que se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio
del deber de bloqueo recogido en la LOPD.
El derecho de cancelación es uno de los derechos que la Ley Orgánica de Protección de Datos de carácter personal
(LOPD) reconoce a los ciudadanos para que puedan defender su privacidad controlando por sí mismo el uso que
se hace de sus datos personales, y en particular, el derecho a que éstos se supriman cuando resulten inadecuados o
excesivos.
Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quién deberá dirigirse a la
empresa u organismo público que sabe o presume que tiene sus datos, indicando a qué datos se refiere, y aportando
al efecto la documentación que lo justifique.
El responsable del fichero deberá resolver sobre la solicitud de cancelación en el plazo máximo de diez días a contar
desde la recepción de la solicitud. Deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo
sin que de forma expresa se responda a la petición o ésta sea insatisfactoria, el interesado podrá interponer la
correspondiente reclamación de tutela ante esta Agencia, acompañando la documentación acreditativa de haber
solicitado la cancelación ante la entidad de que se trate.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones
Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éstas, transcurrido el cual deberá procederse a la cancelación.
Hay que recordar que no procederá la cancelación cuando los datos de carácter personal deban ser conservados
durante los plazos previstos en las relaciones contractuales entre la entidad responsable del tratamiento y el interesado
que justificaron el tratamiento de los datos, y también que, antes de dirigirse a esta Agencia, deberá hacerlo ante la
empresa o organismo responsable/titular del fichero donde estén sus datos.
4.4. Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter
personal o se cese en el mismo.
El derecho de oposición es uno de los derechos que la Ley Orgánica de Protección de Datos de carácter personal
(LOPD) reconoce a los ciudadanos para que puedan defender su privacidad controlando por sí mismo el uso que se
hace de sus datos personales, y en particular, el derecho a que no se lleve a cabo el tratamiento de éstos o se cese en el
mismo cuando no sea necesario su consentimiento para el tratamiento, por la concurrencia de un motivo legítimo y
fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario.
Su ejercicio es personalísimo, por lo que sólo podrá hacerlo la persona interesada mediante solicitud dirigida al
responsable del tratamiento, en la que deberán hacerse constar los motivos fundados y legítimos que lo justifican.
El responsable del fichero o tratamiento, en el plazo máximo de diez días desde la recepción de la solicitud, deberá
resolver sobre la misma, excluyendo del tratamiento los datos relativos al afectado o denegando motivadamente
la misma. Igualmente deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo sin que de
forma expresa se responda a la petición o ésta sea insatisfactoria, el interesado podrá interponer la correspondiente
reclamación de tutela ante esta Agencia, acompañando la documentación acreditativa de haber solicitado la oposición
ante la entidad de que se trate.
Antes de dirigirse a la Agencia, se debe hacer ante la empresa u organismo responsable/titular del fichero donde
estén los datos del interesado.
4.5. El derecho a la información
Dentro de los derechos de los usuarios, íntimamente ligados con los derechos ARCO, cabe añadir tanto el derecho al
olvido como el derecho a la información.
33
Empezando por el estudio de éste último, en el momento en que se procede a la recogida de los datos personales, el
interesado debe ser informado previamente de modo expreso, preciso e inequívoco de, entre otros, la existencia de
un fichero, de la posibilidad de ejercitar sus derechos y del responsable del tratamiento.
Información previa
El derecho de información, previo al tratamiento de los datos de carácter personal, es uno de los derechos básicos y
principales contenidos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (artículo 5).
Si se van a registrar y tratar datos de carácter personal, será necesario informar previamente a los interesados, a través
del medio que se utilice para la recogida, de modo expreso, preciso e inequívoco:
•• De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos

y de los destinatarios de la información.
•• Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
•• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
•• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
•• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Antes de aportar datos personales en una Web, siempre es recomendable verificar la Política de Privacidad que debe
estar disponible en la propia página Web. Comprobar que constan los datos completos de la compañía que recaba los
datos que aportemos, que se especifique claramente la finalidad para la que los requieren, la posible comunicación a
terceras empresas y el procedimiento para ejercitar los derechos ARCO. Asimismo, se debe verificar la información
que disponen en relación con la utilización de sus datos personales con fines de marketing.
Al aportar datos personales para una contratación telefónica, la compañía debe informarnos con anterioridad a
recabar los datos, de la finalidad del tratamiento, la posible comunicación a terceros, el procedimiento de ejercicio
de derechos y el uso de sus datos personales con fines de marketing. Esta información puede estar disponible en la
web de la empresa.
Cuando se utilicen cuestionarios u otros impresos para la recogida, deben figurar en los mismos, en forma claramente
legible, las referidas advertencias.
Los motores de búsqueda y los editores originales realizan dos tratamientos de datos diferenciados, con legitimaciones
diferentes y también con un impacto diferente sobre la privacidad de las personas. Por eso puede suceder, y de hecho
sucede con frecuencia, que no proceda conceder el derecho frente al editor y sí frente al motor de búsqueda, ya que
la difusión universal que realiza el buscador, sumado a la información adicional que facilita sobre el mismo individuo
cuando se busca por su nombre, puede tener un impacto desproporcionado sobre su privacidad.
4.6. El derecho al olvido
En cuanto al derecho al olvido:
La Agencia Española de Protección de Datos establece respecto del derecho al olvido que este es la manifestación de
los tradicionales derechos de y cancelación y oposición aplicados a los buscadores de internet. El ‘derecho al olvido’
hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación
no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a
limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información
es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de
boletines oficiales o informaciones amparadas por las libertades de expresión o de información.
Modo de ejercitarlo
34
Puede ejercerse el denominado derecho al olvido frente al buscador sin acudir previamente a la fuente original.
Sin embargo, si se ejercita frente a un buscador la información no desaparecerá de internet de forma automática.
La sentencia del Tribunal de Justicia de la UE de 13 de mayo de 2014 declara expresamente en este sentido que el
ejercicio de los derechos de cancelación y oposición realizado frente a los buscadores sólo afecta a los resultados
obtenidos en las búsquedas hechas mediante el nombre de la persona y no implica que la página deba ser suprimida
de los índices del buscador ni de la fuente original. El enlace que se muestra en el buscador sólo dejará de ser visible
cuando la búsqueda se realice a través del nombre de la persona que ejerció su derecho. Las fuentes permanecen
inalteradas y el resultado se seguirá mostrando cuando la búsqueda se realice por cualquier otra palabra o término
distinta al nombre del afectado.
La legislación española establece que para ejercer los derechos de cancelación y oposición (y, por tanto, el ‘derecho al
olvido’) es imprescindible que el ciudadano se dirija.
1. En primer lugar a la entidad que está tratando sus datos, en este caso al buscador. Los buscadores mayoritarios
han habilitado sus propios formularios (Google, Bing o Yahoo) para recibir las peticiones de ejercicio de
derechos en este ámbito.
2. Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la
adecuada, puede solicitar que la Agencia Española de Protección de Datos tutele su derecho frente al responsable.
En función de las circunstancias de cada caso concreto, la Agencia determinará si lo estima o no.
3. Esta decisión de la Agencia, a su vez, es recurrible ante los Tribunales.
El ejercicio del denominado derecho al olvido no limita sin embargo el derecho a recibir información. En el caso
de los buscadores, la sentencia señala que es necesario realizar una ponderación caso por caso para alcanzar un
equilibrio entre los diferentes derechos e intereses. Dado que es imprescindible valorar las circunstancias de cada
solicitud y que se debe tener en cuenta sistemáticamente el interés de los usuarios en acceder a una información,
aquellas que resulten de interés para el público por su naturaleza o por afectar a una figura pública no serán aceptadas.
4.7. Responsables de verificar estos derechos
Existe la falsa creencia de que sólo las empresas que desarrollan actividades relacionadas con las Nuevas Tecnologías
están obligadas a cumplir las obligaciones que impone la Ley de Protección de Datos (Ley Orgánica 15/1999, de 13
de diciembre). Sin embargo hay que empezar recordando que esta ley es de obligado cumplimiento para TODAS las
personas físicas o jurídicas que posean datos de carácter personal de personas físicas:
•• Afecta tanto a personas jurídicas (empresas, asociaciones, fundaciones, etc.) como a personas físicas
(particulares o autónomos) y a las Administraciones Públicas.
•• Estarán sometidas siempre que posean datos de carácter personal de personas físicas. No se aplica por lo tanto
a aquellas que sólo posean datos de personas jurídicas.
Incluso los particulares que no ejerzan actividades económicas podrían verse obligados a cumplir estas obligaciones.
No obstante, la Ley excluye de la misma a los ficheros mantenidos por personas físicas en el ejercicio de “actividades
exclusivamente personales o domésticas”.
Por dato de carácter personal se entiende cualquier información referida a personas físicas (no jurídicas) identificadas
o identificables: Nombre y apellidos, dirección, teléfono, DNI, número de la seguridad social, fotografías, firmas,
correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad, etc. Es decir, datos personales
son todos aquellos que permiten identificar a una determinada persona.
Normalmente, a la hora de mencionar estos datos se habla de ficheros, ya sean automatizados (en soporte informático)
o no automatizados (en soporte físico o papel). Los ficheros son aquellas bases de datos que recogen de forma
organizada los datos de carácter personal que tienen cierta relación entre si (una empresa puede tener fichero de
clientes, donde figuran los datos personales de los clientes, otro fichero de proveedores, donde figuran los datos
personales de los proveedores, otro de curriculums, etc.)
35
Por ejemplo, a un fichero en excel con datos de clientes (nombre, apellidos, teléfono, email, etc.) le será de aplicación
la ley y las obligaciones que vemos a continuación ya que se trata de datos de personas físicas; pero si tenemos otro
fichero con datos de proveedores (nombre de empresa, cif, dirección, etc.) no le será de aplicación ya que son datos
de personas jurídicas. Ahora bien, si en este último fichero hubiese datos de autónomos, sí sería de aplicación la ley
ya que estos son personas físicas.
4.8. Sujetos obligados
La Ley distingue entre el responsable del fichero, es decir, el titular o propietario del mismo, y el encargado del
tratamiento del fichero, que es aquel que está encargado de utilizar los datos por cuenta del anterior. Es posible que
sólo exista el Responsable, que es el titular y el que hace uso de los datos directamente, pero también son típicos
casos como los de las asesorías que se encargan de realizar las nóminas con los datos de los trabajadores facilitados
por una empresa X.
En este caso el Responsable del fichero es la empresa X y el encargado del tratamiento será la asesoría.
En todo caso, es importante tener en cuenta que es el responsable o titular del fichero, la empresa X, la obligada a
cumplir la gran mayoría de las obligaciones impuestas en la ley.
4.9. Tipo de datos que pueden recogerse
El objetivo de la ley es la protección del derecho al honor y a la intimidad de las personas, por lo que, en función de
la “sensibilidad” de los datos que se recojan, variarán los niveles de protección exigidos por la ley.
Se distinguen tres niveles:
1. Nivel alto: se incluyen en este nivel los datos referidos a la ideología política, afiliaciones sindicales, creencias
religiosas, origen racial, datos sobre la salud o la vida sexual.
2. Nivel medio: se incluyen aquí los datos referidos a la comisión de infracciones administrativas o penales,
servicios financieros, solvencia patrimonial o crédito (ficheros de morosos e impagados), datos en la Hacienda
Pública, datos de los que se extraiga la personalidad de un sujeto (gustos, aficiones, estilo de vida, etc.)
3. Nivel básico: este nivel englobará el resto de datos; nombre y apellidos, dirección, teléfono, DNI, número de la
seguridad social, fotografías, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo,
nacionalidad, etc.
4.10. Obligaciones que impone la Ley
Por lo tanto, todas aquellas personas físicas o jurídicas que tengan alguno de estos datos, ya sea de clientes, usuarios
o visitantes, empleados, proveedores, etc. ya sea en soporte informático o en papel, deben cumplir las obligaciones
que resumimos brevemente a continuación:
4.10.1. Calidad de los datos
Los datos de carácter personal sólo se podrán recoger cuando sean adecuados, pertinentes y no excesivos en relación
con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Además no
podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Deben
cancelarse o rectificarse los datos inexactos y serán cancelados cuando hayan dejado de ser necesarios o pertinentes
para la finalidad para la cual hubieran sido recabados.
4.10.2. Derecho de información en la recogida de datos
Cuando se utilicen formularios, cuestionarios u otros impresos para la recogida de datos deberán figurar en los
mismos, en forma claramente legible, la siguiente información:
1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos

y de los destinatarios de la información.
36
2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
No obstante, no será necesaria la información a que se refieren los números 2, 3 y 4 si el contenido de ella se deduce
claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4.10.3. Consentimiento del afectado
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley
disponga otra cosa. El consentimiento podrá ser revocado cuando exista causa justificada para ello.
4.10.4. Datos especialmente protegidos
Como decíamos anteriormente, los datos incluidos en el nivel alto y medio están especialmente protegidos, por lo
que en caso de no ser absolutamente necesarios para el ejercicio de la actividad de que se trate, es recomendable
NO solicitarlos. Así, por ejemplo, quedan prohibidos los ficheros creados con la finalidad “exclusiva de almacenar”
datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o
vida sexual. Por otro lado, de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie
podrá ser obligado a declarar sobre su ideología, religión o creencias, por lo que cuando se proceda a recabar el
consentimiento al tratamiento de estos datos se advertirá al interesado acerca de su derecho a no prestarlo.
Respecto del consentimiento del titular de los datos y su obtención/modo de prestación, voy a introducir un artículo
de reciente publicación, escrito por la abogada Elena Gil González y que plantea interesantes cuestiones a debatir.
Los términos en los que plantea el debate son los siguientes:
La necesaria solicitud de prestación de consentimiento supone, dado su carácter absolutamente generalizado

en todas las páginas web que tienen exposición al tratamiento de datos, que son casi todas, ¿ha terminado por
desvalorizar el consentimiento otorgado?, es decir, al ser algo tan habitual en el tráfico informático ¿sirve realmente
para mostrar conformidad con el tratamiento de los datos? O más bien ¿es un consentimiento que se presta de
manera meramente automática?
Me parece muy interesante someter este asunto a debate dado lo generalizado de esta práctica informática, con la que
todos estamos familiarizados.
“Big data: consentir o no consentir, ésa es la cuestión”, artículo de Elena Gil González, abogada de ECIJA, para The
Law Clinic
La explosión de datos que vive nuestra sociedad actual ha propiciado que se acuñe el término big data, cuyo
desarrollo merece que nos paremos a reflexionar sobre sus consecuencias y el posible reflejo en las normas. En
términos sencillos, el big data es el conjunto de tecnologías que permiten analizar, a gran velocidad y a través del uso
de algoritmos, cantidades masivas de datos provenientes de fuentes dispares, con el objetivo de crear valor.
No son pocos los sectores que se han percatado de sus posibles beneficios. Un ejemplo es el uso del big data y
el machine learning para estudiar patrones de consumo energético y poder detectar fraudes de usuarios cuyos
contadores están manipulados. La otra cara de la moneda de la convivencia con dispositivos móviles y sensores
integrados en todo tipo de objetos cotidianos es la posible pérdida de privacidad.
Hasta el momento, el principal mecanismo que permite que las empresas traten nuestros datos es el consentimiento
de los usuarios. Por ello, desde hace años, la forma de ejercer el consentimiento ha sido a través de las políticas de
privacidad online ofrecidas a los usuarios como términos unilaterales y (cuasi) contractuales, que se han convertido
en la piedra angular de la protección de la privacidad online, a pesar de la aplastante evidencia de que la mayoría de
las personas ni siquiera lee los términos o no los comprende.
37
Consideremos algunos momentos en los que se generan y almacenan datos de forma cotidiana: abrirse un perfil
en una red social, comprar a través de internet, descargarse una aplicación móvil o viajar. Todas estas actividades
crean datos brutos cuyo tratamiento posterior justifica que el individuo otorgue su consentimiento. Este problema se
vuelve más acuciante con la llegada del big data, debido a que nuestro día a día está ahora inundado de dispositivos
que recaban datos personales.
¿Es el lenguaje sencillo la solución?
Algunos actores abogan por la utilización de un lenguaje sencillo, políticas fáciles de comprender y casillas o
ventanillas fáciles de identificar en las que los usuarios pueden indicar su consentimiento. No obstante, un lenguaje
sencillo no puede proveer de toda la información necesaria para que los usuarios tomen una decisión suficientemente
informada.
Además, la cadena de emisores y receptores de datos es potencialmente infinita y oscura. Así, el consentimiento se
parece cada vez más a un cheque en blanco.
En esta situación, la pregunta que surge es si la obligación del responsable del tratamiento de informar sobre la
recogida de los datos se circunscribe a la información que explícitamente recoge (datos primarios), o si debe
adoptarse un criterio más amplio y entender que este deber de información también alcanza a aquella información
que la empresa pudiera obtener tras el tratamiento (datos secundarios).
Esta segunda aproximación tendría muchas dificultades prácticas, en tanto que, por su propia naturaleza, el valor
del big data reside precisamente en lo inesperado de los resultados que revela. Así, ¿cómo explica el responsable
del tratamiento que resulta imposible saber con antelación qué información revelará el tratamiento de los datos
recabados? Son muchos los juristas que consideran que el consentimiento prestado bajo estas circunstancias no es el
consentimiento informado que la norma exige.
Una vuelta de rosca al consentimiento
Tal vez el modelo de consentimiento informado ya no deba ser la piedra angular del tratamiento de datos. En estos
términos se han expresado numerosos autores, entre los que destacaré la siguiente cita de Ira Rubinstein:
«Mi argumento es simple aunque radical: el consentimiento informado está roto, sin posibilidad de que una norma
lo repare, y el único modo de fortalecerlo es cambiando los mercados relevantes de información».
Cualquier sistema en el que la base principal para el tratamiento de datos sea el consentimiento, emplaza la
responsabilidad en el individuo. Es por ello que existe una corriente de opinión que sostiene que el requisito del
consentimiento debería reservarse para usos relevantes, de forma que los individuos presten una atención mayor
cuando el consentimiento les es requerido, y de este modo sea un mecanismo más efectivo. Así por ejemplo, reservando
el consentimiento a situaciones en las que sea necesario que el individuo renuncie a derechos o tratamientos que
de otro modo serían esperables, la forma del consentimiento tomaría un valor real. Esta misma premisa también es
apoyada por el Foro Económico Mundial y por autores como Solon Baroccas y Helen Nissenbaum.
Otra corriente actual camina hacia los sistemas de empoderamiento de los individuos y la creación de nuevos modelos
de negocio. Se trata de la creación de plataformas de gestión de datos personales en las que los usuarios obtienen un
control real sobre su información, y otorgan permisos para el tratamiento de sus datos en función de cada contexto o
finalidades (por ejemplo, consentir a determinados tratamientos para el ámbito sanitario, financiero, etc.).
En este escenario, los medios que permitan asegurar la identidad de los usuarios y los sistemas de autenticación son
indispensables, así como estrictas medidas de seguridad. Aquí las tecnologías blockchain pueden aportar importantes
avances. Consisten básicamente en sistemas que permiten operar a través de infraestructuras seguras basadas en la
distribución del trabajo en nodos y en la criptografía y, una de sus principales utilidades es, precisamente la gestión
de identidades. Se trata de un modelo todavía incipiente que deberá pasar por un proceso de madurez antes de
generalizarse, pero que bien merece ser tenida en cuenta.
Sea cual sea el futuro del consentimiento y nuestras normas de protección de datos, el debate está servido.
38
4.10.5. Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán
incluso después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
4.10.6. Comunicación o cesión de datos
Los datos de carácter personal sólo podrán ser comunicados o cedidos a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado. Por lo tanto, para ceder los datos personales, es necesario que se den los dos requisitos anteriores,
incluido el consentimiento del interesado.
Respecto al consentimiento hay que tener en cuenta que:
•• Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la
información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya
comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
•• El interesado puede revocarlo.
El consentimiento exigido en el apartado anterior no será preciso:
•• Cuando la cesión está autorizada en una ley.
•• Cuando se trate de datos recogidos de fuentes accesibles al público.
•• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
•• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.
•• Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de
los datos con fines históricos, estadísticos o científicos.
•• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en
la legislación sobre sanidad estatal o autonómica.
4.10.7. Acceso a los datos por cuenta de terceros (Encargo de

tratamiento)
Como indicábamos anteriormente en el ejemplo de la asesoría, es posible que un tercero, diferente del Responsable
del fichero, sea el que realice el tratamiento de los datos. En estos casos se exige que exista un contrato de encargo de
tratamiento entre el Responsable (Empresa X) y el encargado del tratamiento (asesoría), en el que se indique la forma
de tratar los datos y las medidas de seguridad a adoptar.
4.10.8. Derechos de las personas
Hay que tener en cuenta que las personas afectadas tienen los siguientes derechos:
•• Derecho de acceso: Derecho a conocer toda la información referente a sus datos personales de los que dispone
la empresa. Esta debe responder en el plazo máximo de 1 mes; si no lo hace así, el afectado podrá recurrir ante
la Agencia de Protección de Datos.
39
•• Derecho de rectificación y modificación de sus datos. La empresa tiene 10 días para hacer las modificaciones
solicitadas. Transcurrido este plazo sin recibir respuesta o siendo esta insatisfactoria, puede recurrir ante la
Agencia de Protección de Datos.
•• Derecho de cancelación de sus datos, que la empresa debe eliminar salvo que por disposición legal deban
conservarse.
•• Derecho de oposición, negándose a que un tercero trate sus datos de carácter personal, salvo que exista
disposición legal que obligue a su tratamiento.
4.10.9. Seguridad de los datos
El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado.
Hay que tener en cuenta que cuando los ficheros están en soporte informático, existe una regulación específica
contenida en el Real Decreto 994/1999, que determina las medidas de seguridad a adoptar. Este Real Decreto exige
que se redacte un Documento de Seguridad en el que se incluya:
1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad

exigido en este Reglamento.
3. Funciones y obligaciones del personal.
4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que
los tratan.
5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Cuando los datos recogidos pertenecen a los niveles medios o altos, las medidas de seguridad serán mayores (deberá
nombrarse un responsable de seguridad, deberá someterse a una auditoría, deberá tener sistemas para identificar a
los usuarios que accedan a los datos, sólo el personal autorizado podrá acceder a la información, deberán hacerse
copias de seguridad, etc.)
Puede consultar una Guía de Seguridad y utilizar el modelo de Documento de Seguridad que facilita la Agencia de
Protección de Datos.
4.10.10. Notificación de ficheros
El responsable o titular debe notificar los ficheros a la Agencia de Protección de Datos antes de su creación.
Lo que se comunica son los datos del titular de la base de datos, el nombre del fichero, su descripción, estructura,
etc, pero NO se comunican los datos incluidos en los ficheros. P.e. Si vamos a crear un fichero llamado “clientes“,
comunicaremos el nombre del fichero, su estructura, finalidad, efectos, etc … pero no los datos de nuestros clientes.
Esta notificación puede hacerse por Internet. Para ello, en la página de la Agencia de Protección de Datos tendremos
que descargarnos un programa para la notificación de ficheros de titularidad privada. Una vez instalado cumplimentar
todos los datos con la ayuda que presenta el programa. Una vez terminado, mediante la opción correspondiente,
enviar los datos a la Agencia. Posteriormente, si no se dispone de firma electrónica, hay que imprimir una hoja
de solicitud que genera el programa y enviarla firmada a la Agencia de Protección de Datos. Al cabo de un mes,
aproximadamente, recibiremos contestación confirmándonos la inscripción del fichero.
40
Este proceso debe repetirse para cada uno de los ficheros que tenga la empresa (de clientes, de proveedores, de
trabajadores, etc.)
Por último, en caso de duda lo mejor para las empresas, especialmente en caso de PYMES, es que se deje en manos
de un profesional (imprescindible cuando se manejan datos especialmente protegidos). Hay que tener en cuenta que
el incumplimiento de esta ley es todavía masivo, la ley es bastante estricta y las sanciones “muy” elevadas (de 600 a
600.000 euros).
4.10.11. Sensibilización y concienciación de los empleados
Muchos de los empleados no saben cómo manejar la información confidencial que manejan en el desarrollo de sus
funciones diarias y esto es uno de los principales riesgos que comprometen a las compañías y haciéndolas vulnerables.
Es de vital importancia trasladar a los empleados su parte de responsabilidad y preservar la seguridad de nuestra
empresa.
Los problemas que pueden traer el mal uso del principal activo que tiene cualquier organización (la información)
suponen una gran pérdida económica, de tiempo y de imagen corporativa para la empresa.
Las empresas concienciadas con la protección de datos tienen a su alcance la posibilidad de ofrecer a sus empleados
con cursos de concienciación dirigidos a distintos niveles y cargos, así como áreas y sectores:
•• Concienciación en Seguridad de la Información: fundamental para la estrategia de seguridad de la información

de cualquier organización y sus operaciones de seguridad asociadas, por lo tanto, es preciso educar a los
usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad y
también informarles sobre prácticas recomendadas de seguridad que se deben adoptar en la actividad laboral
diaria.
•• Concienciación en Seguridad de la Información para Responsables: Los Directores, subdirectores, responsables,

y cualquier persona que gestione y/o dirija equipos de trabajo debe también comunicar las políticas de seguridad
de la información, incluyendo personal de seguridad.
•• Concienciación en Seguridad de la Información para Directivos: Directores y Gerentes y altos cargos son otro
de los grupos que deben concienciarse sobre prácticas recomendadas de seguridad que se deben adoptar.
•• Concienciación LOPD: La protección de los datos personales se basa en la defensa de un derecho fundamental
de todas las personas, el derecho a la intimidad. Todos somos responsables del respeto de la privacidad ajena,
siendo fundamental concienciarse de que el respeto de nuestra privacidad implica el respeto a la de los demás.
•• Concienciación en LOPD para Personal Sanitario: Este es un sector en el que se tiene que tener especial cuidado
con datos personales y es de una gran importancia formar a todo el personal y concienciarles en materia de
protección de datos.
•• Concienciación LOPD para Administraciones Públicas: Este tipo de concienciación está dirigido a personal
público, con independencia de su escala.
•• Concienciación ENS (Esquema Nacional de Seguridad): El Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, regula el citado
Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a
los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos
y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la
información.
•• Concienciación en PCI-DSS: La seguridad de la información de titulares de tarjetas de crédito se ha convertido

en una verdadera preocupación en todo el mundo, tanto para los bancos que emiten tarjetas de pago como para
los comercios que las aceptan y, por supuesto, para los clientes que las utilizan.
41
5. Códigos tipo. Elaboración de un código tipo.

Códigos tipo inscritos en el RAEPD
Los códigos tipo, o códigos deontológicos o de conducta, constituyen un instrumento de lo que se denomina
autorregulación, es decir, la capacidad de las organizaciones y entidades para regularse a sí mismas. En el ámbito
de la protección de datos de carácter personal esa capacidad está orientada a la adopción de reglas o estándares
específicos que permitan armonizar los tratamientos de datos efectuados por quienes se adhieran al código tipo o
lo promuevan y a facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de la normativa.
En el artículo 32 de la Ley Orgánica, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD) se

establece que:
“Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos
de titularidad pública y privada así como las organizaciones en que se agrupen, podrán formular códigos tipo que
establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de
seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información
personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los
principios y disposiciones de la presente Ley y sus normas de desarrollo”.
Los códigos tipo tienen por objeto adecuar lo establecido en la citada Ley Orgánica y en su Reglamento de desarrollo,
aprobado por el Real Decreto 1720/2007, de 21 de diciembre (RLOPD), a las peculiaridades de los tratamientos
efectuados por quienes se adhieren a los mismos, y podrán contener o no reglas operacionales detalladas de cada
sistema particular y estándares técnicos de aplicación. Si tales reglas o estándares no se incorporasen directamente al
código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.
Son características fundamentales de los códigos tipo, derivadas de su naturaleza, el carácter voluntario de la adhesión
y la vinculación de su contenido.
Para que los códigos tipo puedan ser considerados como tales a los efectos previstos en la LOPD deberán ser
depositados e inscritos en el Registro General de Protección de Datos de la Agencia Española de Protección de
Datos, sin perjuicio de su inscripción, cuando corresponda, en los registros que fueran creados por las Comunidades
Autónomas, de acuerdo con lo dispuesto en el apartado 2 del artículo 41 de la LOPD.
La Agencia Española de Protección de Datos dará publicidad a los códigos tipo inscritos, preferentemente a través de
medios informáticos o telemáticos. Se puede consultar su contenido en la página web de la Agencia.
En cuanto a la clasificación, los códigos tipo podrán ser:
•• De carácter sectorial y podrán referirse a la totalidad o a parte de los tratamientos llevados a cabo por el sector,
debiendo ser formulados por organizaciones representativas del mismo, al menos en su ámbito territorial de
aplicación.
•• De empresa, en cuyo caso deberán referirse a la totalidad de los tratamientos que lleve a cabo.
•• De las Administraciones públicas y corporaciones de derecho público, que podrán adoptarlos de acuerdo con
lo establecido en las normas que les sean aplicables.
5.1. Contenido preceptivo (art. 73 y 75.1 y 2 RLOPD)
Los códigos tipo deberán estar redactados en términos claros y accesibles, respetar la normativa vigente e incluir
como mínimo y con el suficiente grado de precisión:
•• La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el código se refiere y los
tratamientos sometidos al mismo.
•• Las previsiones específicas para la aplicación de los principios de protección de datos.
42
•• El establecimiento de estándares homogéneos para el cumplimiento por los adheridos al código de las
obligaciones establecidas en la LOPD.
•• El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso,
rectificación, cancelación y oposición.
•• La determinación de las cesiones y transferencias internacionales de datos que, en su caso, se prevean, con
indicación de las garantías que deban adoptarse.
•• Las acciones formativas en materia de protección de datos dirigidas a quienes los traten, especialmente en
cuanto a su relación con los afectados.
•• Los mecanismos de supervisión a través de los cuales se garantice el cumplimiento por los adheridos de lo
establecido en el código tipo para lo que incluirán un procedimiento que garantice:
La independencia e imparcialidad del órgano supervisor

La sencillez, accesibilidad, celeridad y la gratuidad para presentar reclamaciones
El principio de contradicción
Sanciones adecuadas, eficaces y disuasorias
La notificación al afectado de la decisión que adopte el órgano
•• Cláusulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos.
•• Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.
•• Modelos para el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición.
•• Modelos de cláusulas para el cumplimiento de los requisitos formales exigibles para la contratación de un
encargado del tratamiento, en su caso.
•• Una relación de adheridos que deberá mantenerse actualizada.
5.2. Contenido potestativo (art. 74 RLOPD)
Los códigos tipo podrán incluir cualquier otro compromiso adicional que asuman los adheridos o asuman las
entidades promotoras para un mejor cumplimiento de la legislación vigente en materia de protección de datos y, en
particular, sobre:
•• La adopción de medidas de seguridad adicionales a las exigidas por la LOPD.
•• La identificación de las categorías de cesionarios o importadores de los datos.
•• Las medidas concretas adoptadas en materia de protección de los menores o de determinados colectivos de
afectados.
•• El establecimiento de un sello de calidad que identifique a los adheridos al código.
•• Procedimientos para determinar medidas reparadoras en caso de haberse causado un perjuicio a los afectados
como consecuencia del incumplimiento del código.
5.3. Códigos tipo inscritos en el Registro General de Protección de

Datos
En primer lugar, respecto del Registro General de Protección de Datos a que se refiere el artículo 38 de la LOPD:
“Artículo 38 El Registro General de Protección de Datos
1. Se crea el Registro General de Protección de Datos como órgano integrado en la Agencia de Protección de Datos.
43
2. Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros automatizados de que sean titulares las Administraciones Públicas.
b) Los ficheros automatizados de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el artículo 31 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información,
acceso, rectificación y cancelación.
3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública
como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción,
su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás
extremos pertinentes.”
Pasamos a enumerar los Códigos tipo inscritos en el Registro General de Protección de Datos:
•• Código tipo de protección de datos para organizaciones sanitarias privadas
•• Código tipo para el tratamiento de datos de carácter personal de la asociación nacional de entidades de gestión
de cobro
•• Código tipo del tratamiento de datos de carácter personal aplicable al tratamiento de datos de la oficina de
farmacia, promovido por el colegio de farmacéuticos de la provincia de barcelona
•• Código tipo de protección de datos personales del fichero asnef protección
•• Código tipo de tratamiento de datos de carácter personal para establecimientos sanitarios privados de la
provincia de Sevilla
•• Código tipo del fichero de automóviles de pérdida total, robo e incendios
•• Código tipo farmaindustria
•• Código tipo del sector de la intermediación inmobiliaria. Asociación empresarial de gestión inmobiliaria
(AEGI)
•• Código tipo de la asociación catalana de recursos asistenciales (ACRA)
•• Código tipo universidad de Castilla - La mancha
•• Código tipo de odontólogos y estomatólogos de España
•• Código tipo de confianza on-line
•• Código tipo de Unió Catalana d’hospitals
•• Código tipo de fichero histórico de seguros del automóvil (UNESPA)
•• Código tipo para las entidades locales adheridas a EUDEL (Asociación de municipios vascos - Euskadiko
Udalen Elkartea)
44
5.4. Clasificación de las infracciones. Las infracciones más

comunes
A pesar de que España no fue de los primeros países en adecuar su legislación al Convenio Europeo para la Protección
de Datos de Carácter Personal, actualmente es uno de los Estados con las normas más restrictivas en esta materia,
con un gran índice de imposición de sanciones.
Antes de comenzar a desarrollar la clasificación y tipo de sanciones que recoge la Ley, es necesario aclarar que, si bien
la mayor parte de las cuestiones problemáticas afectan a datos que se encuentran en ficheros digitales, la legislación
de protección de datos se refiere a todos y cada uno de los datos personales que se encuentren en poder de una
empresa, ya estén en soporte papel o digital. Hay que mostrar, por tanto, un especial cuidado a la hora de utilizar,
guardar y destruir documentos en formato papel.
En cuanto a la regulación específica en materia sancionadora de la Ley Orgánica de Protección de Datos, el TITULO
VII bajo la rúbrica Infracciones y sanciones establece en sus distintos preceptos:
“Artículo 43 Responsables
1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley.
2. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al
procedimiento y a las sanciones, a lo dispuesto en el artículo 45, apartado 2.”
INFRACCIÓN CAUSA SANCIÓN
•• No atender las solicitudes de rectificación o cancelación

•• No proporcionar la información requerida por la AEPD Entre 900€ y
Leve
•• No inscribir ficheros en el Registro General de Protección de 40.000€
Datos
•• No recabar el consentimiento de los titulares

•• Mantener datos inexactos Entre 40.001€ y
Grave
•• No aplicar las medidas de seguridad correspondientes de la 300.000€
inspección
•• Recolección de información de forma engañosa

•• Comunicación de datos sin requisitos legales Entre 300.000€ y
Muy Grave
•• Tratar datos de alto nivel sin consentimiento expreso y 600.000€
escrito
“Artículo 44 Tipos de infracciones
1. Las infracciones se calificarán como leves, graves o muy graves.
2. Son infracciones leves:
a) No proceder, de oficio o a solicitud de las personas o instituciones legalmente habilitadas para ello, a la
rectificación o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros.
45
b) No cumplir las instrucciones dictadas por el Director de la Agencia de Protección de Datos, o no proporcionar
la información que éste solicite en relación a aspectos no sustantivos de la protección de datos.
c) No conservar actualizados los datos de carácter personal que se mantengan en ficheros automatizados.
d) Cualquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción
grave o muy grave.
3. Son infracciones graves:
a) Proceder a la creación de los ficheros automatizados de titularidad pública o iniciar la recogida de datos de
carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial
del Estado» o diario oficial correspondiente.
b) Proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de

carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la
empresa o entidad.
c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas
afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el artículo
5 de la presente Ley.
d) Tratar de forma automatizada los datos de carácter personal o usuarlos posteriormente con conculcación
de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de
protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción
muy grave.
e) El impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la

información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los
mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente
Ley ampara.
g) La vulneración del deber de guardar secreto, cuando no constituya infracción muy grave.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad que por vía reglamentaria, se determinen.
i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones
de desarrollo, así como no proporcionar en plazo a las mismas cuantos documentos e informaciones deba
recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
4. Son infracciones muy graves:
a) La recogida de datos en forma engañosa y fraudulenta.
b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
c) Recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del
artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada
los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya
consentido expresamente o violentar la prohibición contenida en el apartado 4 del artículo 7.
d) No cesar en el uso ilegítimo de los tratamientso automatizados de datos de carácter personal cuando sea
46
requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del
derecho de acceso.
e) La transferencia, temporal o definitiva, de datos de carácter personal que hayan sido objeto de tratamiento
automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección
de Datos.
f) Tratar de forma automatizada los datos de carácter personal de forma ilegítima o con menosprecio de los
principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio
de los derechos fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los
apartados 2 y 3 del artículo 7.”
“Artículo 45 Tipos de sanciones
La Ley 2/2011, de 4 de marzo, de Economía Sostenible, introduce una modificación en cuanto al régimen de
sanciones establecido inicialmente por la Ley Orgánica 15/1999, estableciendo las siguientes sanciones en función
de la gravedad de la infracción:
1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
Asimismo, indica que la cuantía de las sanciones se graduará atendiendo a distintos criterios, como pueden ser:
• Carácter continuado de la infracción.

• Volumen de los datos
• El volumen de negocios del infractor.
• Grado de intencionalidad
• Beneficios obtenidos por el infractor como consecuencia de la infracción así como perjuicios ocasionados a las
personas.
“Artículo 46 Infracciones de las Administraciones Públicas
1. Cuando las infracciones a que se refiere el artículo 43 fuesen cometidas en ficheros de los que sean responsables
las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta
resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados
si los hubiera.
2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran.

El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario
de las Administraciones Públicas.
3. Se deberán comunicar a la Agencia las Resoluciones que recaigan en relación con las medidas y actuaciones a
que se refieren los apartados anteriores.
4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que
dicte al amparo de los apartados anteriores.”
“Artículo 47 Prescripción
1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.
47
3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador,
reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis
meses por causa no imputable al presunto infractor.
4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los
dos años y las impuestas por faltas leves al año.
5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquél en que adquiera
firmeza la resolución por la que se impone la sanción.
6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de
ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no
imputable al infractor.”
“Artículo 48 Procedimiento sancionador
1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la
imposición de las sanciones a que hace referencia el presente Título.
2. Contra las resoluciones de la Agencia de Protección de Datos, u órgano correspondiente de la Comunidad

Autónoma, procederá recurso contencioso-administrativo.”
“Artículo 49 Potestad de inmovilización de ficheros
Potestad de inmovilización de ficheros. En los supuestos, constitutivos de infracción muy grave, de utilización o
cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el
ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes
garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora,
requerir a los responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública
como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la
Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros automatizados a
los solos efectos de restaurar los derechos de las personas afectadas.”
6. Obligaciones que traerá el reglamento Euro-

peo de Protección de Datos: entrada en vigor en
mayo de 2018
Como hemos dicho al enumerar la normativa aplicable a la materia, aún sin ser de aplicación pero habiendo ya
entrado en vigor destaca el Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016 pero
no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46
como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.
El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión
Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose
para el momento en que el Reglamento sea aplicable.
En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas
normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser
contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa
que el propio Reglamento prevé de forma explícita o implícita.
El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la
Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos
48
derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una
monitorización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar
un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de
los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas
autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre
la información relativa a los tratamientos de sus datos personales.
6.1. Implicaciones para los ciudadanos de la ampliación del ámbito

territorial del Reglamento
Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es
necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios
que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en
la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel
de protección que la normativa europea.
6.2. Nuevas herramientas de control de sus datos a disposición de

los ciudadanos
El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la
capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos.
Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de
gestionar la protección de datos distinta de la que se viene empleando ahora.
En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya
existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la
evaluación de impacto y la consulta a Autoridades de supervisión.
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo
caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad
desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de
un delegado de protección de datos.
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá
de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento
presenta para los derechos y libertades de los titulares de los datos.
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos
para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy
simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo,
datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran
cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.
Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente,
están ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en
recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos
de datos más habituales en la gestión empresarial.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener
de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios
para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan
recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo
49
de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que
el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan
a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público,
entre otros motivos.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable
que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita
su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos
directamente al nuevo responsable designado por el interesado.
Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que
tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren
razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento
establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como
estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar
o reparar. Para ello, el Reglamento prevé una batería completa de medidas:
•• Protección de datos desde el diseño

•• Protección de datos por defecto
•• Medidas de seguridad
•• Mantenimiento de un registro de tratamientos
•• Realización de evaluaciones de impacto sobre la protección de datos
•• Nombramiento de un delegado de protección de datos
•• Notificación de violaciones de la seguridad de los datos
•• Promoción de códigos de conducta y esquemas de certificación.
El Reglamento supone por lo tanto un mayor compromiso de las organizaciones, públicas o privadas, con la
protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos
será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya
existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la
evaluación de impacto y la consulta a Autoridades de supervisión.
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo
caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad
desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de
un delegado de protección de datos.
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá
de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento
presenta para los derechos y libertades de los titulares de los datos.
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos
para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy
simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo,
datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran
cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el
consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el
consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción
positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción
de los ciudadanos.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran
en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el
Reglamento sea de aplicación.
50
Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para
autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no
podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la
declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales
deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los
sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
Con carácter general las empresas van a tener que cambiar sus avisos de privacidad como consecuencia del
Reglamento ya que éste prevé que se incluyan en la información que se proporciona a los interesados una serie de
cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por
ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y
que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de datos si creen que hay un
problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma
expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
6.3. Sistema de ventanilla única
Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en
un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la
UE para que tengan una única Autoridad de protección de datos como interlocutora. También implica que cada
Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel
estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo,
en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una
solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de
Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección
de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades
implicadas.
Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades
distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia
Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada
por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o
denuncia.
La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen
tratamientos que afecten sólo a interesados en ese Estado.
6.4. Momento de aplicación y medidas preparatorias
Finalmente, es importante tener en cuenta que las empresas no tienen que empezar a aplicar ya las medidas
contempladas en el Reglamento ya que a pesar de estar ya en vigor, no será aplicable hasta 2018.
Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas
de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que
sigue siendo la norma por la que han de regirse los tratamientos de datos en España.
Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de
riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos
que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las
herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.
Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de
datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.
Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar
adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran
51
producirse.
En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas
medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige
que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación
de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte
de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.
La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que
estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión.
Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.
Noticias de actualidad. Resoluciones y sentencias más destacadas. Informes jurídicos del Gabinete jurídico de la
AEPD.
7. NOTICIAS DE ACTUALIDAD

Vamos a exponer algunas noticias relacionados con la protección de datos y el derecho a la intimidad que han sido
publicadas recientemente.
1. Multa de la Agencia Española de Protección de Datos a Google septiembre de 2016.
http://www.elmundo.es/tecnologia/2016/09/20/57e1019b268e3ead5d8b459d.html
Google deberá hacer frente a una multa de 150.000 euros impuesta por la Agencia Española de Protección de
Datos (AEPD) debido a una infracción de la actual Ley de Protección de Datos. La compañía advertía a las webs
afectadas de qué enlace había sido retirado de su buscador, lo que, según la resolución, pone en riesgo el derecho
al olvido del demandante.
El abogado Luis Gervas de la Pisa, responsable de la web salirdeinternet.com, denunció ante la AEPD a Google.
Según el letrado, la empresa “ponía en peligro la identidad del solicitante de forma absolutamente contradictoria,
posibilitando que quien recibiera al comunicación de Google se hiciera eco de lo que se pretendía enterrar”.
La denuncia también acusaba a Google de notificar las eliminaciones a un dominio web ajeno al proceso y
que estaba alojado en EEUU. Según la denuncia, esta web publicaba posteriormente las peticiones, llegando en
ocasiones a difundir nombres o iniciales de los solicitantes.
Google ha respondido oficialmente: “Hemos recibido la resolución de la Agencia de Protección de Datos, la

vamos a analizar para poder decidir los siguientes pasos a tomar. Creemos que la transparencia ejercitada desde
la reflexión es una parte del proceso de desindexación”.
Este problema ha sido planteado previamente ante la compañía, afirmando que Google solo notificaba la retirada
de direcciones web eliminadas a los webmasters sin dar datos de los solicitantes y que esto podría poner en
peligro a quienes reclarmaran dicha retirada. También aludió a que el procedimiento online estaba detallado y
ofrecía esta información claramente.
Se trata de la segunda sanción interpuesta por la AEPD a Google, siendo la primera la histórica multa de 900.000
por tres infracciones graves a la Ley de Propiedad Intelectual y Protección de Datos (LOPD) en 2013. Desde 2007,
el organismo estatal ha solicitado a Google la posibilidad de retirar URLs de su buscador, algo que obtuvo un
respaldo definitivo en 2014 tras la intervención del Tribunal de Justicia de la Unión Europea.
2. Han sido muchas las sanciones que la Agencia ha impuesto a la red social Facebook, vamos a ver algunas
noticias publicadas sobre vulneraciones de preceptos de la LOPd.
http://www.cumpleprotecciondedatos.com/blog/sancion-por-publicar-datos-personales-de-una-empleada-en-facebook/
En este caso un negocio publicó el parte médico de una empleada, sin contar con el consentimiento de la
52
misma. Esta publicación le costó a la empresa una sanción de 2.000 euros, impuesta por la Agencia Española de
Protección de Datos (AEPD), al considerar que el establecimiento no cumplió con distintos artículos de la Ley
Orgánica de Protección de Datos (LOPD).
Como se puede ver en la resolución de la AEPD, que podéis consultar en este enlace, el documento publicado
en Facebook contenía datos personales: el nombre y apellidos de la denunciante, junto con su número de tarjeta
sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Todos ellos, como decíamos,
datos personales, algunos de ellos considerados sensibles, que están protegidos por la LOPD.
La empresa aseguró a la AEPD que desconoce cómo acabó el parte de baja de la denunciante en el perfil de
Facebook, del que se eliminó cuando fue consciente de que se había publicado. En su defensa asegura que al perfil
podían acceder varias personas y que una vez que detectó el documento, se produjo “la retirada del parte de la red
social y el cambio de las contraseñas de acceso a dicha red”.
Según el artículo 6.1 de la LOPD, “el tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa”. La empresa denunciada no pudo acreditar que
tuviese el consentimiento de la denunciante para difundir sus datos personales.
Además, la resolución remarca que cuando la redes sociales son usadas por una empresa, ésta está obligada a
cumplir en ellas con las obligaciones que establece la LOPD.
La sanción fue de 2.000 euros al apreciar la AEPD que la entidad infractora regularizó la situación irregular
de forma diligente pues, el parte médico estuvo accesible pocas horas en el perfil de Facebook y la firma tomó
medidas tras tener conocimiento de ello, retirando del parte de la red social y cambiando las contraseñas de
acceso al perfil de la empresa.
Sin embargo son numerosas las sanciones a las que ha tenido que hacer frente Facebook, no sólo por parte de la
agencia española sino también por parte de otras agencias internacionales.
Aquí otro ejemplo de sanción a esta entidad, en este caso por el homólogo francés a la AEPD.
http://cincodias.elpais.com/cincodias/2017/05/17/lifestyle/1495023746_097185.html
Desde luego se trata de un tema controvertido el de las redes sociales y la privacidad de los usuarios, ya que para
estos últimos no está demasiado clara la línea de hasta dónde están protegidos sus derechos para con la redes
sociales y estas a su vez se aprovechan de ello para poder acceder a mayor y mejor información sobre todos sus
usuarios. Y prueba de ello es que ahora hemos conocido que la red social Facebook ha sido multada con 150.000
euros por incumplir la ley de protección de datos. Algo que podría ser sólo el principio, ya que varios países
europeos están ya alerta de estas prácticas de Facebook.
El CNIL, un organismo oficial francés que vela por los derechos y la protección de datos de los ciudadanos de
aquel país, ha multado a Facebook con 150.000 euros al estimar tras una exhaustiva investigación que la red social
no está respetando los derechos de los ciudadanos en el uso de la red social respecto de la privacidad de sus datos,
violando la Ley de Protección de Datos del país vecino.
Aunque esta sanción llegue ahora, en realidad responde a un cambio en la política de privacidad de la red
social introducida en el año 2015. En el trasfondo de estas prácticas de Facebook se encuentran los datos de los
usuarios de la red social que son compartidos con terceros, como anunciantes, sin el conocimiento explícito de
los consumidores y usuarios de la red social. Pero esta investigación se ha estado llevando a cabo en varios países,
entre ellos España, y todo apunta a que podrían llegar nuevas multas para Facebook por su comportamiento
similar con la Ley de Protección de Datos con los usuarios de otros países.
Esta multa sólo es una muestra más de la tortuosa relación de Facebook con las autoridades de los distintos
gobiernos europeos. De hecho en enero de 2016 el CNIL francés ya advirtió a Facebook de que tenía tres meses
para rectificar su actitud en este caso. Pero a pesar de las advertencias la red social ha seguido incumpliendo
sistemáticamente la Ley, no informando a los usuarios sobre los derechos y uso de la red social, así como la falta
53
de consentimiento por parte de los usuarios a la distribución de algunos datos sensibles de su perfil. En total
Facebook ha violado sistemáticamente seis de los apartados de la Ley de Protección de datos, razón por la cual
Facebook .Inc y Facebook Ireland han sido multadas con 150.000 euros.
3. Multa a Movistar por uso de supercookies
La Agencia Española de Protección de Datos (AEPD) ha publicado en su web la resolución del expediente
sancionador abierto a Movistar por el uso de las conocidas como supercookies. Le impone una sanción de 20.000
euros.
Un usuario denunció ante la AEPD que Movistar utilizaba “supercookies” en el acceso a Internet utilizando
terminales móviles, sin informar debidamente al usuario y sin que se pida consentimiento, tal y como exige la
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico(LSSI).
Concretamente el artículo 22.2, de la LSSI, establece que “los prestadores de servicios podrán utilizar dispositivos
de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los
mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre
su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Cuando sea técnicamente
posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse
mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el
posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por
una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
La empresa informó a la Agencia que utiliza el “enriquecimiento de cabeceras” o supercookies para un número
limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios
de suscripción Premium, pagos movistar… donde es necesario facilitar una identificación del cliente para poder
prestar el servicio. Pero aclara que en ningún caso, a partir de esos datos, Movistar proporciona información
personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en internet.
Además la empresa en sus alegaciones defiende que la utilización de “enriquecimiento de cabeceras” no implica
tratamiento de datos de carácter personal y no son un dispositivo de almacenamiento y recuperación de datos,
ni se ha almacenado ni ha utilizado información. Señala que estos datos son necesarios para poder facturar los
servicios contratados por el cliente a través de estas plataformas y que como mero intermediario no es aplicable
el el art. 22.2 LSSI.
La AEPD aclara en su resolución la distinción entre la técnica del “enriquecimiento de cabeceras” cuya utilización
es reconocida por Movistar y la utilización de “supercookies”. Para que esta técnica se considera como super
cookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD y que los
mismos sean utilizados por la entidad responsable de su instalación, componente que no ha sido acreditado. Por
lo tanto dicha técnica no es susceptible de ser asociada a la utilización de cookies, remarca.
La Agencia desestima las alegaciones del denunciado y considera que Movistar no cumplió con lo expuesto en el
artículo 22.2 de la LSSI, por lo que le impone una multa de 20.000 euros.
4. Noticia publicada por el diario Expansión en relación a la multa impuesta a la página web Lolabits.es
La Agencia de Protección de Datos ha impuesto su primera multa por piratería a una página web, ya cerrada,
por vulneración de la Ley de Protección de Datos y la Ley de Servicios de la Sociedad de la Información y de
Comercio Electrónico.
Lolabits.es se publicitaba como una página de almacenamiento de archivos, al estilo de Dropbox, pero era “uno
de los sitios más activos de piratería digital” y por eso la Agencia Española de Protección de Datos le ha impuesto
una sanción de 5.000 euros, la primera multa que pone a una web de piratería.
La denuncia contra la web, ya cerrada, la interpusieron, en febrero de 2016, ante la Agencia (AEPD) las entidades
54
Agedi, AIE, Cedro, Egeda, Fedicine y SGAE por vulneración de la ley de Protección de Datos (LOPD) y la ley de
Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), informa Efe.
Aunque Lolabits.es, según una nota de la AEPD, se publicitaba como un servicio gratuito de almacenamiento
como Dropbox o Google Drive, y que incluso “abordó el segmento de los dispositivos móviles mediante una
aplicación Android”, la realidad es que los archivos eran públicos con carpetas “repletas de música, películas,
libros y otros contenidos protegidos por derechos de propiedad intelectual”.
“Se convirtió en uno de los sitios más populares para el acceso a contenidos pirateados con datos de tráfico de 2,9
millones de usuarios en el mes que se interpuso la denuncia”, señala la AEPD.
Las denunciantes, según el comunicado de la AEPD, han recibido la resolución “de manera muy positiva” por “el
mensaje rotundo” que implica sobre las consecuencias del incumplimiento de la normativa y porque “cerca a los
portales piratas reduciendo su ámbito de impunidad”.
La AEPD les multa en aplicación de la Ley de servicios de la sociedad de la información y de comercio electrónico
(LSSI) y, en concreto de su artículo 22.2, relativo a los derechos de los usuarios.
Gestionada a través de una empresa radicada en Chipre, Lolabits.es utilizaba dispositivos de almacenamiento de
recuperación de datos (DARD) con la finalidad declarada de ser “analítica web de tercera parte” y para la “gestión
de redes sociales”.
La AEPD considera que la página web no proporcionaba “información suficiente al usuario” para “otorgar su
consentimiento informado” para permitir el uso de DARD, “lo que supone el incumplimiento de las obligaciones
de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el
apartado 2 del artículo 22 de la LSSI”.
“La recolección de datos personales es una de las vías habituales de financiación de los sitios piratas, tal como
recoge el Observatorio de la Piratería, que detalla cómo un 36,4 % de los usuarios de esas web tiene que registrarse
y ceder datos de carácter personal, facilitando la creación de bases de datos que alcanzan precios muy elevados
en el mercado”.
La AEPD estima como “acreditado” que Lolabits.com “no ofrecía información respecto de la instalación de
dispositivos de almacenamiento y recuperación de datos” y que era “un gran repositorio de piratería”.
8. RESOLUCIONES Y SENTENCIAS MÁS DESTACADAS

A continuación aporto una importante y reciente Sentencia del Tribunal Supremo, STS Sala 4 Pleno de 2 febrero
de 2017, en la que sienta jurisprudencia respecto de una cuestión cada vez más planteada en los Tribunales, a saber,
la cualidad probatoria de los vídeos de las cámaras de video vigilancia de empresas privadas en procedimientos por
despido.
He elegido esta Sentencia no sólo por lo didáctico de los Fundamentos utilizados por la Sala sino también por la
existencia de un Voto Particular, lo que puede ser interesante para someter el asunto a debate.
“STS Sala 4 Pleno de 2 febrero de 2017
ANTECEDENTES DE HECHO
PRIMERO. Con fecha 16 de marzo de 2015 Juzgado de lo Social nº 33 de Barcelona dictó sentencia, en la que consta
la siguiente parte dispositiva: «Estimar la demanda interpuesta por J contra X, S. L., declarar la improcedencia del
despido notificado el día 13/10/14, y condenar a X, S. L. a su readmisión, con abono de los salarios de tramitación
devengados, o al abono de una indemnización de 19.075 euros, opción que conllevará que la relación laboral se
entienda extinguida en la fecha del despido, con absolución de la codemandada Av, S. A..»
SEGUNDO. En dicha sentencia, como hechos probados, se declaran los siguientes:
55
1. El demandante trabaja para X, S. L. desde el día 01/04/08, en la categoría profesional de Director Técnico, grupo
profesional 2, nivel 1, con una retribución mensual bruta de 2647 euros (hecho conforme).
2. Dicha sociedad está integrada en un grupo empresarial (en lo sucesivo, el GRUPO), que tiene como principal
actividad la explotación de instalaciones deportivas (gimnasios, básicamente).
3. X, S. L. es la sociedad que facilita a los 17 gimnasios o clubes (cada uno de ellos explotados por una sociedad
filial diferente) los Directores Técnicos de fitness, que son los responsables de los técnicos de fitness y
entrenadores personales de cada club (de 15 a 50), dirigiendo y supervisando su actividad. Su dependencia es
doble: jerárquicamente, depende del Director de Fitness y, funcionalmente, del Director/a del Club.
4. El demandante estuvo adscrito a un complejo de Barcelona, con 50 entrenadores y técnicos a su cargo. Fue
trasladado al de Av. De Madrid poco después de ser sancionado por falta grave por medio de amonestación de
fecha 28/01/14, por incumplir de forma reiterada la obligación de enviar un informe semanal sobre el servicio.
Ya había sido sancionado por el mismo motivo en fecha del 28/08/12.
5. En fecha del 13/10/14, ha sido despedido disciplinariamente, mediante comunicación escrita que, por su
extensión, se da aquí por íntegramente reproducida. Se reproducen a continuación los párrafos en los que se
definen los comportamientos imputados (cuyo detalle se da por íntegramente reproducido): “1.- Mala gestión de
los pagos domiciliados por los clientes. Ha habido múltiples incidencias en la la gestión de los pagos domiciliados
del servicio de entrenamiento personal y fisioterapia, que ha generado quejas por parte de los mismos, las
más destacables de las cuales son las siguientes: No hacer firmar las peticiones de baja de domiciliación de los
servicios de EP / fisioterapia en el sistema mediante el epad, tal y como está establecido. Se han constatado los
casos de los clientes NUM000, NUM001 y NUM002. No ejecutar trámites administrativos necesarios para la
finalización de cobros domiciliados a los clientes cuando la petición se ha hecho correctamente y dentro de las
fechas estipuladas para ello, generando después recibos impagados, una mala imagen ante el cliente y gastos a
la empresa por la gestión de la anulación de los recibos con la entidad bancaria. Se han constatado los siguientes
casos:
1. - Cliente NUM003. En que la baja está firmada a día 16/05/14 para aplicar en la remesa del día 01/06/14, y
no se aplica la baja hasta fecha 04/07/2014, por lo que se genera un recibo erróneo de fecha 01/06/2014 y otro
el 01/07/14, que termina generando un impago a gestionar con la entidad bancaria.
Cliente NUM004. El documento de baja está firmado el día 07/07/2014 para aplicar en la remesa del día
01/08/14 y se le pasa recibido igualmente, y no se le acaba aplicando la baja del mes de agosto, lo que genera
un impago que se debe anular con la entidad bancaria.
2.- No cumple con su obligación de hacer las reuniones individuales y de equipo con los técnicos a su cargo.
Usted ha incumplido, los meses de septiembre y octubre de 2014, su obligación de llevar a cabo las reuniones,
tanto individuales como colectivas, con el equipo de trabajo a su cargo.
Usted no hace las reuniones mensuales de equipo con los entrenadores personales para informarles de la
situación, los resultados, los objetivos, las novedades de la compañía o del centro, etc., y tampoco hace las
reuniones individuales con los técnicos para ayudarles a progresar, orientar la estrategia de captación o
fidelización de clientes, así como el seguimiento habitual de las diferentes tareas del equipo según la actividad
o actividades que desarrollan.
La consecuencia de esta dejadez de funciones es la descoordinación y desmotivación del equipo de entrenadores

a su cargo, varios de los cuales han expresado a la dirección del club su queja por la desorganización, la falta
de directrices, la poca claridad de los objetivos y la falta de ayuda en la obtención de resultados.
3.- No realiza los informes para la Dirección del club y la Dirección de fitness.
Usted tiene la obligación de enviar semanalmente a la Dirección de fitness del grupo y a la Dirección del club
un informe sobre el servicio y las incidencias del departamento de entrenamiento personal y de la sala de
56
fitness del club.
Esta obligación le ha sido recordada de forma reiterada, y los informes le han sido reclamados en las reuniones
mensuales de equipo de directores técnicos y por correo electrónico en diferentes ocasiones, tanto por el
encargado de Fitness como por el propio director del club. Usted incluso fue sancionado en febrero de este
año por no cumplir con esta obligación. Usted, en los meses de agosto, septiembre y octubre, no ha realizado
los informes semanales ni previsiones mensuales, ni ha reportado la situación del equipo y el departamento
al club a la Directora del club y al Director de fitness, lo que impide que haya un control adecuado de la
evolución del servicio, las necesidades de corrección de deficiencias y necesidades, lo que repercute en la
calidad y los resultados del servicio.
4.- Deja pasar a entrenar al club DIR Avenida Madrid a compañeros de otros clubes que no tienen permitido
de acceso, a los cuales les abre el torniquete. Como usted sabe, los Entrenadores Personales de DIR están
autorizados a hacer uso de las instalaciones del club donde prestan sus servicios para entrenarse, pero no
pueden hacerlo en otros gimnasios de la cadena DIR. A tal efecto, tienen limitados sus permisos de acceso por
medio de pulsera y huella únicamente a su club, y está prohibido que accedan a otros clubes.
La empresa ha constatado que usted, de forma reiterada, ha estado dejando pasar al club DiR Avenida Madrid
a entrenadores de otros clubes, a los cuales les ha abierto el torniquete con su pulsera, para que accediesen a
la instalación de forma no autorizada, infringiendo así las normas de la empresa.
5.- Deja pasar al club DIR Avenida Madrid a personas no socias, sin pagar entrada, ni con invitación y sin
registrarlos en recepción, a los cuales abre el torniquete con su pulsera y les permite el uso gratuito de las
instalaciones. Los socios de DIR pagan una cuota mensual para la utilización de las instalaciones, además
de pagar una matrícula inicial. Para acceder al club, deben darse de alta como socios, registrar sus datos y
registrar los datos biométricos de su huella dactilar. Una vez hecha el alta, cada vez que acceden al club lo
hacen a través de los torniquetes, pasando el carné o pulsera de socio y registrando la huella. En caso de que
un no socio tenga que acceder al club, este debe pagar una entrada puntual, o bien, acceder con invitación.
En cualquiera de esos dos casos, su acceso al club siempre tiene que registrarse en la recepción y sus datos
son introducidos en el sistema informático. Este sistema de registro y acceso es el que permite a la empresa
controlar que todo el mundo que utilice las instalaciones lo haga pagando el servicio recibido y, por lo tanto,
para evitar que se utilice un carné o pulsera de socio de forma compartida y otro tipo de accesos fraudulentos,
así como para controlar la entrada de personas que acceden a los clubes para cometer robos dentro de los
vestuarios. En los casos de personas identificadas como presuntos autores de robos en alguno de los clubes
DIR hay establecidas restricciones con una alerta de seguridad para impedir el acceso. Solo están cubiertos,
por el seguro de accidentes los clientes o invitados identificados en la recepción. A mediados del mes de
septiembre de 2014, una persona del equipo comercial de la recepción del club informó a la Directora del
club que había observado cómo usted permitía el acceso al club por los torniquetes a otra persona, utilizando
su pulsera de empleado y, a continuación, accediendo usted mismo al club. La Directora del club y el jefe
de seguridad revisaron las cámaras de seguridad y comprobaron que usted el día 16/09/2014, a las 16:30,
permitió el acceso no autorizado de una persona (hombre de mediana edad, vestido con ropa de deporte
de color negro), abriéndole el torniquete con su pulsera, sin registrarlo en recepción y permitiéndole el uso
gratuito de las instalaciones. Posteriormente, usted le acompañó a la sala de fitness, y esta persona se entrenó
en la zona de peso libre hasta las 18:22 horas, en que usted volvió a acompañarle hasta la salida del club. Por
lo tanto, usted ha permitido el acceso gratuito y no autorizado a no socios, utilizando de forma fraudulenta
la pulsera que tiene a su disposición como empleado de DIR en detrimento de los ingresos de la empresa
y contraviniendo las normas de seguridad de la empresa. Permitir la entrada de personas no identificadas
supone, además, una grave irresponsabilidad debido a que solo están cubiertos por el seguro de accidentes los
socios o invitados identificados en la recepción.
TERCERO. Incumplimiento grave y reiterado de su jornada contratada.
En vista de la grave desatención de sus funciones y de las quejas por parte de varios entrenadores del equipo
sobre la dificultad de encontrarle en su puesto de trabajo, la empresa realizó un control de sus fichajes y de las
cámaras de seguridad del club, para verificar si usted estaba cumpliendo con su jornada laboral. Su jornada
de trabajo es a tiempo completo, de 40 horas semanales de media. Usted tiene que trabajar ocho horas diarias,
de lunes a viernes. Además, cada seis semanas, a usted le toca rotación de guardias, por lo que debe trabajar
el sábado y el domingo cuatro horas cada día, compensando esas horas trabajadas con un día completo de
57
descanso el viernes de la semana siguiente. Como resultado del referido control, la empresa ha constatado
que usted, de forma reiterada, habitual y grave, realiza menos jornada de la contratada y por la que usted está
siendo retribuido. Así, de la revisión de los fichajes, de la semana del 29 de septiembre al 5 de octubre de 2014,
semana en que a usted le tocaba hacer guardia el fin de semana y, por tanto, trabajaba de lunes a domingo,
la empresa ha constatado que hay un total de 6 días (de un total de 7 días revisados) en que usted realiza
menos jornada de la contratada. Este incumplimiento de la jornada es muy sustancial (del total de 48 horas
de trabajo efectivo a realizar esa semana, usted trabaja únicamente 38 horas y 51 minutos, por tanto, 9 horas
y 9 minutos menos de los que le tocaba trabajar; además, cuatro de esos días, usted incumple en más de dos
horas su jornada), e implican que usted deja de realizar las tareas que tiene encomendadas y suponen un grave
engaño, deslealtad y abuso de confianza hacia la empresa.
6.- El demandante se retrasó en la tramitación de las dos bajas especificadas en la primera imputación del
hecho segundo de la carta de despido.
7.- Las semanas previas al despido, cuatro entrenadores personales de DIR AVENIDA MADRID pusieron
en conocimiento de la Directora del gimnasio diversas quejas, que formularon por escrito, centradas
(fundamentalmente) en la falta de control y supervisión del demandante respecto a su actividad, con pocas
reuniones individuales y colectivas, lo que les desmotiva. La frecuencia habitual de reuniones colectivas con
todos los entrenadores personales (EP) es, como mínimo, de una el mes, y las reuniones con cada uno de ellos
es de una a la semana.
8.- El demandante, durante los meses de septiembre y octubre, no envió los preceptivos informes semanales a
la Dirección de fitness y a la Directora del club. El mes de agosto estuvo de vacaciones.
9.-El Director de seguridad del Grupo DiR emitió informe que fundamenta la cuarta y quinta imputación
de la carta de despido (dejar pasar a las instalaciones del club, abriendo el torniquete con su pulsera de uso
exclusivamente personal, a empleados de otros clubes y a personas no socias). Este informe se sustenta en las
capturas fotográficas de las grabaciones de las videocámaras de seguridad del gimnasio.
10.- Los movimientos de entrada y salida del puesto de trabajo recogidos en el apartado tercero de la carta
de despido (“incumplimiento grave y reiterado de su jornada contratada”) se detectaron tras analizar, tanto
el Jefe de seguridad y como el Director de fitness, las grabaciones de las videocámaras de seguridad del
gimnasio.
11.- Estas videocámaras, instaladas en la entrada y en los espacios públicos del gimnasio (excepto en los
vestuarios y aseos), según declaró el Jefe de seguridad, disponen de la preceptiva autorización de la Agencia
de Protección de Datos, la cual no ha sido aportada. Él es el único autorizado para examinar las grabaciones.
La autorización no contempla su uso con fines de control de horario laboral ni la utilización disciplinaria para
con los trabajadores, los cuales no han sido advertidos explícitamente de esta posibilidad, ni por medio de la
representación laboral unitaria (inexistente en el gimnasio) ni individual.
12.- El demandante, cuando era Director técnico del DIR DIAGONAL, en octubre de 2012 estuvo presente
en la entrega de una carta de despido disciplinario a un entrenador personal subordinado suyo, que abrió el
torniquete de acceso a la instalación para dejar pasar a una persona a las instalaciones, sin seguir el protocolo
habitual de registro previo.
13.- En fecha del 25/11/14, se intentó la conciliación en sede administrativa con resultado de sin avenencia.»
TERCERO. La citada sentencia fue recurrida en suplicación por X, SL. ante la Sala de lo Social del Tribunal Superior
de Justicia de Cataluña la cual dictó sentencia en fecha 7 de diciembre de 2015, en la que consta el siguiente fallo:
«Desestimar el recurso de suplicación interpuesto por la representación de X, S. L. y confirmar la sentencia del
Juzgado de lo Social número 33 de Barcelona de fecha 16/03/2015 emitida en las actuaciones 1064/2014. No
corresponde pronunciamiento sobre costas»
CUARTO. Por la representación procesal de X, S.L. se formalizó el presente recurso de casación para unificación
de doctrina, alegando la contradicción existente entre la sentencia recurrida y la dictada por la Sala de lo Social del
Tribunal Superior de Justicia de Cataluña en fecha 1 de julio de 2013, en recurso nº 1084/2013, y la dictada por el
58
Tribunal Constitucional, en fecha 10 de julio de 2000, recurso de amparo nº 2662/1997, denunciando la infracción
del art. 18.4 de la Constitución Española.
QUINTO. Por providencia de esta Sala de procedió a admitir a trámite el citado recurso, dándose traslado del mismo
a la parte recurrida para que formulara su impugnación en el plazo de diez días.
SEXTO. Evacuado el trámite de impugnación, se dio traslado al Ministerio Fiscal para informe, dictaminando en el
sentido de considerar procedente el recurso, señalándose para votación y fallo el día 1 de diciembre de 2016. Dada
las características del asunto a tratar, se señaló de nuevo para el Pleno del día 18 de enero de 2017.
FUNDAMENTOS DE DERECHO
PRIMERO. El trabajador ha venido prestando servicios por cuenta y orden de la demandada desde el 1 de abril
de 2008 con categoría de director técnico, hasta su despido por razones disciplinarias comunicado por escrito al
demandante el 13 de octubre de 2014. Interpuesta demanda por despido la misma fue estimada por el Juzgado de
lo Social que declaró su improcedencia, condenado a X S.L y absolviendo a la codemandada AV, S.A. La anterior
resolución fue confirmada por la sentencia dictada en suplicación que, entre otras motivaciones, rechaza la validez
del empleo de las cámaras de video vigilancia instaladas en el acceso al gimnasio.
Recurre la empresa demandada en casación para la unificación de doctrina formulando dos motivos y aporta una
sentencia de contraste para cada uno. En el primer motivo, acerca de la validez de las cámaras de vigilancia y la
información proporcionada a los trabajadores, ofrece como sentencia referencial la dictada por la Sala homónima
el 1 de julio de 2013 en la que se confirma la sentencia del Juzgado de lo Social que había admitido la validez de la
prueba obtenida mediante grabación de los hechos imputados a través de una cámara de seguridad a instalada en
la barra que enfoca directamente al TPV, cámara que no está oculta y cuya existencia y ubicación era perfectamente
conocida por la trabajadora. Su funcionamiento consiste en el de una cámara fija, que capta las imágenes desde
arriba, sin primeros planos de los rasgos faciales, en lugar abierto al público y sin registrar el sonido. La sentencia
de contraste considera que no es directamente extrapolable al caso la doctrina de distinción de las consecuencias
prácticas de la interpretación de los apartados 1 y 4 del artículo 18 de la Constitución española, con cita de la STC
29/2013, por cuanto no pueden tener el mismo tratamiento las cámaras específicamente instaladas para controlar
la actividad en la caja registradora o TPV, como sucede en el resuelto, siendo ello perfectamente conocido de los
trabajadores, que las destinadas a un uso genérico bajo el control de acceso y cuyas imágenes son aprovechadas a
posteriori por la empresa para realizar un control de cumplimiento de la jornada laboral. Añade que no se trata de
un control sorpresivo ni oculto.
En la sentencia recurrida se hace contar en el undécimo de los hechos declarados probados que las cámaras se
encuentran instaladas en la entrada y en los espacios públicos del gimnasio (excepto en los vestuarios y aseos),
siendo el Jefe de Seguridad el único autorizado para examinar las grabaciones. La Autorización concedida por
la Agencia de protección de datos no contempla su uso con fines de control de horario laboral ni la utilización
disciplinaria para con los trabajadores, los cuales no han sido advertidos explícitamente de esta posibilidad, ni por
medio de la representación laboral unitaria (inexistente en el gimnasio) ni individual si bien son conocedores de la
instalación de las cámaras. Como fundamento de su rechazo a la validez de la prueba aportada, la sentencia señala
que si bien el derecho fundamental a la imagen ex. Art. 18.1 de la Constitución Española no se configura como un
derecho absoluto y cede ante intereses constitucionalmente relevantes, el derecho reclamado en el art. 18.4 del texto
constitucional no admite modulación de ningún tipo, y debe entenderse vulnerado por el solo hecho de que no
haya sido advertido el trabajador respecto del tratamiento de las imágenes, cada una de las cuales constituye, a estos
efectos, un “dato informático”, sin que pueda entrar en juego el principio de proporcionalidad si previamente no se
acredita el cumplimiento de las garantías inexcusables, la autorización de la Agencia de Protección de Datos y la
previa comunicación a los trabajadores afectados.
Entre ambas resoluciones existen coincidencias merecedoras de atención al objeto de verificar el juicio de viabilidad
del recurso atendiendo al presupuesto ineludible de la contradicción. En ambos casos los trabajadores habían sido
objeto de sanción anteriormente aunque por hechos diferentes del que es objeto de discusión. Las cámaras estaban
situadas a la vista de los trabajadores y en ningún caso se les había comunicado el objeto de su instalación. Acerca
del conocimiento por los trabajadores de la existencia de las cámaras, en ningún caso se niega esa circunstancia y
en cuanto a la finalidad de las cámaras aún omitida su comunicación formal tampoco cabe establecer diferencias
en relación a ese extremo -así, en la sentencia recurrida, el actor había asistido como testigo en 2012 a la entrega de
la carta de despido a otro director por una conducta análoga a la suya en relación al uso indebido del torniquete de
59
entrada, lo que unido a la visible colocación de una de las cámaras sobre el torniquete de acceso crea una situación
parangonable con la de los trabajadores en la sentencia de contraste en cuyo fundamento de derecho tercero, párrafo
tercero se dice: “No se trata en el presente caso de un control sorpresivo, ni oculto, que incluso podría estar amparado
por el Repertorio de Recomendaciones Prácticas sobre Protección de los datos personales de los trabajadores de la
OIT, ya que tras disponer el apartado 6.14.1 que “Cuando los trabajadores sean objeto de medidas de vigilancia, éstos
deberían ser informados de antemano de las razones que las motivan, de las horas en que se aplican, de los métodos
y técnicas utilizados y de los datos que serán acopiados, y el empleador deberá reducir al mínimo su injerencia en la
vida privada de aquéllos” en el apartado se añade que “ El secreto en materia de vigilancia sólo debería permitirse
cuando a) se realice de conformidad con la legislación nacional; o b) existan sospechas suficientes de actividad
delictiva u otras infracciones graves”, y así las cosas, consideramos que en el presente caso, no tratándose de una
instalación oculta y siendo público y notorio el objetivo y finalidad de la cámara, no puede apreciarse la vulneración
de derecho fundamental que vicie de nulidad la prueba de grabación aportada por la empresa”.
Ciertamente no existe en el relato histórico de la sentencia de contraste hecho probado alguno afirmando que los
trabajadores conozcan mediante información, cual es el fin de la colocación de las cámaras, ni tampoco se trata de
afirmación fáctica en la fundamentación, con valor de hecho probado, sino mera deducción “aunque no se haya
sujetado la transmisión de la información a las exigencias derivadas de la instrucción 1/200 C lo que hace que
los empleados sean plenamente conscientes de la finalidad y utilidad de dichas cámaras”. En ambas resoluciones
trasciende un clima de abusos anteriores, en el uso del torniquete en la recurrida, en el manejo de la caja en la
sentencia de contraste, que lleva a la puesta en funcionamiento de una tecnología, a la vista de todos los trabajadores.
Lo expuesto conduce a apreciar la existencia del requisito de contradicción entre ambas resoluciones al haber
accedido a decisiones opuestas a partir de situaciones de sustancial igualdad y debatiéndose la aplicación de iguales
normas jurídicas en lo que concierte al ejercicio de derechos fundamentales, a tenor de las exigencias del artículo
219 de la LJS.
SEGUNDO. La recurrente alega la infracción por aplicación indebida del art. 18.4 de la Constitución Española EDL
1978/3879 y los arts. 54.1, 54.2 b) y d) y 55 y 56 del Estatuto de los Trabajadores en relación con el art. 43 del Convenio
Colectivo Estatal de Instalaciones Deportivas y Gimnasios. La cuestión objeto de debate en el presente motivo del
recurso interpuesto por la empresa demandada es el relativo a la validez de la prueba obtenida mediante cámaras
de videovigilancia que la sentencia niega y que afecta a una parte de las conductas por las cuales fue sancionado el
demandante.
Como se ha hecho constar al realizar el análisis de la contradicción, en el gimnasio en donde presta servicios el
trabajador existen videocámaras en la entrada y en los espacios públicos del gimnasio (excepto en vestuarios y
aseos), sin que la representación unitaria de los trabajadores, que no existe en el gimnasio, ni los trabajadores,
hayan sido advertidos de su posible uso con fines disciplinarios. La demandada arguye que no ha sido vulnerado el
artículo 18.4 de la Constitución Española ya que no constituye una intromisión ilegítima en la intimidad personal
y a la propia imagen de los trabajadores cuando concurren determinadas circunstancias y por ser muy difícil de
entender que el derecho a la protección de datos , que el artículo 18.4 considera que sirve para garantizar el honor
o la intimidad personal, sea más valorado que el propio artículo 18.1 que es el que realmente garantiza el derecho
constitucional a la intimidad, admitiéndose en este último que no es un derecho absoluto y puede ser modulado
en determinadas circunstancias. La recurrente añade la cita de la STS de 13 de mayo de 2014 en la que se aplica la
doctrina del Tribunal Constitucional de 10 de julio de 2000 nº 186 y recurso de amparo 2662/1997 y distingue entre
el uso de cámaras para el control preventivo (que requiere el conocimiento del trabajador) y el uso para comprobar
unos indicios o sospechas razonables de la comisión de una falta muy grave, caso en el que pueden utilizarse como
prueba las grabaciones sin conocimiento previo del trabajador, circunstancias éstas que, según la recurrente es la que
concurre, pues la investigación se realizó a raíz de las denuncias de los propios trabajadores subordinados, como así
consta que “las semanas previas al despido, cuatro entrenadores personales de DIR AVENIDA MADRID pusieron en
conocimiento a la Directora del gimnasio diversas quejas, que formularon por escrito, centradas fundamentalmente
en la falta de control y supervisión del demandante respecto a su actividad, con pocas reuniones individuales y
colectivas, lo que les desmotiva. La frecuencia habitual de reuniones colectivas con todos los entrenadores personales
(EP) es, como mínimo de una al mes, y las reuniones con cada uno de ellos es de una a la semana”.
A ello se sumaría que la comprobación de las grabaciones fue hecha por la persona autorizada por la Agencia de
Protección de Datos. Por todo ello considera que debió partirse de la validez de la prueba y declarar probados los
hechos comprendidos en el hecho tercero. Esta Sala ha tenido oportunidad de pronunciarse en fecha reciente, 7 de
julio de 2016, R.C.U.D 3233/2014 acerca de la validez de una prueba obtenida mediante cámaras de videovigilancia,
60
cuya existencia era conocida de los trabajadores. En la sentencia de unificación se contempló el criterio adoptado por
otra sentencia, esta vez la STC 39/2016 de 8 de abril en la que nuevamente se analizaba la adecuación constitucional
del uso como medio de prueba de la reproducción de la imagen mediante el mismo procedimiento que ahora nos
ocupa. Se trataba en el supuesto de referencia resuelto por el Tribunal Constitucional de la instalación de una cámara
de seguridad en una caja de un establecimiento al conocer que se estaban produciendo ciertas irregularidades. No
se comunicó a los trabajadores la instalación de la cámara pero en el escaparate del establecimiento y el lugar visible
se colocó el distintivo informativo. Mediante la cámara se constató los actos de apropiación por la demandante y se
procedió a su despido. La sentencia analiza las circunstancias descritas y resuelve como se verá a continuación: “5.
Como señala la STC 186/2000, de 10 de julio, “el empresario no queda apoderado para llevar a cabo, so pretexto de
las facultades de vigilancia y control que le confiere el art. 20.3 LET, intromisiones ilegítimas en la intimidad de sus
empleados en los centros de trabajo. Los equilibrios y limitaciones recíprocos que se derivan para ambas partes del
contrato de trabajo suponen, por lo que ahora interesa, que también las facultades organizativas empresariales se
encuentran limitadas por los derechos fundamentales del trabajador, quedando obligado el empleador a respetar
aquéllos (STC 292/1993, de 18 de octubre). Este Tribunal viene manteniendo que, desde la prevalencia de tales
derechos, su limitación por parte de las facultades empresariales sólo puede derivar del hecho de que la propia
naturaleza del trabajo contratado implique la restricción del derecho ( SSTC 99/1994, de 11 de abril, FJ 7 (EDJ
1994/3085); 6/1995, de 10 de enero, FJ 3 (EDJ 1995/6), y 136/1996, de 23 de julio, FJ 7 (EDJ 1996/4532). Pero, además
de ello, la jurisprudencia constitucional ha mantenido, como no podía ser de otro modo, que el ejercicio de las
facultades organizativas y disciplinarias del empleador no puede servir en ningún caso a la producción de resultados
inconstitucionales, lesivos de los derechos fundamentales del trabajador (así, entre otras, SSTC 94/1984, de 16 de
octubre (EDJ 1984/94); 108/1989, de 8 de junio (EDJ 1989/5851); 171/1989, de 19 de octubre (EDJ 1989/9284);
123/1992, de 28 de septiembre (EDJ 1992/9310); 134/1994, de 9 de mayo (EDJ 1994/4107), y 173/1994, de 7 de junio
(EDJ 1994/14452)), ni a la sanción del ejercicio legítimo de tales derechos por parte de aquél ( STC 11/1981, de 8
de abril). Por eso, este Tribunal ha puesto de relieve la necesidad de que las resoluciones judiciales, en casos como
el presente, preserven “el necesario equilibrio entre las obligaciones dimanantes del contrato para el trabajador y
el ámbito -modulado por el contrato, pero en todo caso subsistente- de su libertad constitucional ( STC 6/1998,
de 13 de enero), pues, dada la posición preeminente de los derechos fundamentales en nuestro ordenamiento, esa
modulación sólo deberá producirse en la medida estrictamente imprescindible para el correcto y ordenado respeto
de los derechos fundamentales del trabajador y, muy especialmente, del derecho a la intimidad personal que protege
el art. 18.1 CE, teniendo siempre presente el principio de proporcionalidad”.
“En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de
derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos
que aquí importan, basta con recordar que para comprobar si una medida restrictiva de un derecho fundamental
supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes:
si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el
sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio
de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas
para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido
estricto) ( SSTC 66/1995, de 8 de mayo; 55/1996, de 28 de marzo, FFJJ 6, 7, 8 y 9 ; 207/1996, de 16 de diciembre, y
37/1998, de 17 de febrero “.
A continuación del texto reproducido nuestra sentencia seguía diciendo que “Las Sentencias del Tribunal
Constitucional 29/2013 de 11 de febrero y la 39/2016 de 8 de abril valoran situaciones distintas a la vez de un derecho
fundamental, el de su intimidad, dando como resultado distintas soluciones”.
“En la primera sentencia citada la empleadora impone una sanción sirviéndose de datos obtenidos en el exterior
del lugar de trabajo lo que no cumple ni siquiera una función de advertencia implícita y que tampoco va unida a la
comunicación específica dirigida a los trabajadores. En la segunda sentencia, una cámara es situada exactamente
sobre la caja una vez producidos hechos irregulares sirviendo en definitiva para comprobar lo que era objeto de
sospecha y se deniega el amparo que la trabajadora solicita por las razones antes expuestas.”
“Son patentes las diferencias observadas entre las dos resoluciones en esencia la relación con dos matices, que se
viniera observando irregularidades con anterioridad, de lo que no se tiene noticia en la S.T.C. 29/2013 de 11 de
febrero y la colocación allí donde tienen lugar las irregularidades, el puesto de trabajo, lo que no sucede en la S.T.C.
citada al estar las cámaras situadas en un lugar de acceso público.”
“El supuesto contemplado en las presentes actuaciones nos muestra a una trabajadora que introduce alimentos en la
61
zona de almacén para consumirlos en el mismo lugar sin abonar su importe. Lo hace a sabiendas de que las cámaras
de vigilancia existen en ese y en otros lugares de establecimiento salvo en aseos, vestuario y oficina. Contrariamente
a lo que sucedía en la S.T.S. de 13 de mayo de 2014 las cámaras estaban situadas también en una zona restringida al
público, llamada de «reserva» a donde solo podían acudir trabajadores del establecimiento.”
“No solamente lo sabe por ser de común conocimiento para los empleados sino también por existir carteles
indicadores. Es conocedora de que en el lugar en que se encuentra, zona de almacén dedicada a la compactación, no
es un área de privacidad como lo son vestuarios y aseos. La presencia de las cámaras en la mayor parte del centro de
trabajo sugiere una finalidad protectora del patrimonio empresarial y la grabación de conductas que atenten contra
esa finalidad como lo prueba que su instalación tuvo un detonante, las múltiples pérdidas últimamente sufridas lo
que convierte a todas las personas que se encuentren en el recinto en sujetos de sospecha y es esa la razón de ser de
las cámaras. Así, en un momento dado, permiten localizar la conducta irregular de dos trabajadoras, la demandante
y la cajera principal, al menos según lo notificado en estos autos.”
“Semejante entorno específico excluye el factor sorpresa y muestra claramente la situación de riesgo asumido por la
demandante y por cualquier otro responsable de conductas análogas.”
“De conformidad con los parámetros de la doctrina constitucional no cabe negar en la utilización de la prueba
discutida las notas de proporcionalidad pues no se ha mostrado otra medida más idónea para averiguar el origen de
las pérdidas ni más moderada en la consecución de tal propósito al contrario de lo que sucedería con otras medidas
tales como llevar a cabo controles aleatorios que acarrearían molestias innecesarias a trabajadores sin responsabilidad
alguna en los hechos que dieron lugar a la adopción de la medida.”
“El empleo de las cámaras cuando ya se había creado una situación de desconfianza generalizada mostraba a las
claras una voluntad de solventar el estado de cosas creado.”
“Lo anteriormente razonado debe llevarnos a la conclusión de un uso apropiado de la videovigilancia implantada y
que la consecución de su objetivo se ha ajustado a las exigencias razonables de respeto a la intimidad de la persona al
tiempo que no le crean una situación de indefensión pues los actos por lo que se sanciona tienen lugar en un marco
de riesgo asumido, el de actuar a ciencia y paciencia de una observación llevada a cabo por medios tecnológicos y
cuya finalidad, conocida, es combatir las actividades generadoras de pérdidas.”
Son elementos comunes a las situaciones descritas en anteriores resoluciones del Tribunal Constitucional y de esta
Sala una preexistente situación de desconfianza, así el demandante, cuando era Director Técnico de DIR DIAGONAL
en octubre de 2012 estuvo presente en la entrega de una carta de despido disciplinario a un entrenador personal
subordinado suyo, que abrió el torniquete de acceso a la instalación para dejar paso a una persona a las instalaciones,
sin seguir el protocolo habitual de registro previo, y el conocimiento por quienes prestan servicios en el centro de
trabajo de la instalación de los dispositivos de videovigilancia.
Cabe apreciar una razonable similitud entre los supuestos resueltos en las resoluciones a las que se ha hecho mérito
con la lógica diferencia en las conductas objeto de sanción pero este es un aspecto a valorar al margen de la obtención
de la prueba de los hechos que es lo que en primer lugar se deberá resolver.
Es preciso recordar que la sentencia recurrida ha llevado a cabo una separación entre la consideración que le merece
la utilización de la prueba a la luz del apartado 1 del artículo 18 de la Constitución Española (EDL 1978/3879) de la
que otorga al apartado 4 del mismo precepto.
En el primero de los apartados el precepto establece que “ se garantiza el derecho al honor, a la intimidad personal
y familiar y a la propia imagen “ y en cuarto apartado que “ la ley limitará el uso de la informática para garantizar
honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de los derechos”. Atendiendo a lo
decidido en la sentencia se observa que de las conductas imputadas en la carta de despido, consistentes en mala
gestión de los pagos domiciliados por los clientes, no cumplir con su obligación de hacer las reuniones individuales
y de equipo con los técnicos a su cargo, no realizar los informes para la dirección del club y la Dirección de fitness,
dejar pasar a entrenar al Club Dir Avenida Madrid a compañeros de otros clubes que no tiene permiso de acceso, a
los cuales les abre el torniquete, dejar pasar al club Dir Avenida Madrid a personas no socios, sin pagar nada ni con
invitación y sin registrarlos en recepción, a los cuales abre el torniquete con su pulsera y les permite el uso gratuito
de las instalaciones, incumplimiento grave y reiterado de su jornada laboral, la sentencia considera probadas las que
figuran descritas en los ordinales sexto y octavo del relato histórico, ninguno de ellos obtenido mediante grabación
62
de videocámaras y ha considerado los hechos descritos como insuficientes para justificar la sanción de despido.
Por otra parte, de las restantes imputaciones o bien no se consideran probadas por ningún medio o se rechaza
específicamente el medio empleado para su acreditación.
Así ocurre con la cuarta y quinta imputación consistentes en dejar pasar a las instalaciones del club abriendo el
torniquete con su pulsera de uso exclusivamente personal a empleados de otros clubes y a personas no socios y los
movimientos de entrada y salida del puesto de trabajo.
En el caso concreto del demandante, que a la instalación de las cámaras haya precedido un despido disciplinario de
un entrenador personal subordinado suyo por idéntica causa a la que se le imputa en su carta de despido y siendo
conocida dicha instalación por todo el personal que presta servicios en el gimnasio incluido el interesado quien
no era un empleado de base sino que desempeñaba el puesto de Director Técnico permite afirmar que la presencia
de las cámaras, situadas no solo en la entrada sino en todos los espacios públicos del local, salvo en vestuarios y
aseos, estaban destinadas al control de toda irregularidad y concretamente en la entrada, sin que se tenga noticia
de personas ajenas que hubieran accedido en forma inapropiada por sí mismas, constando por el contrario que
lo hacían con auxilio interno y dando lugar a la adopción de las oportunas medidas, como ya fueron tomadas en
octubre de 2012 con otro empleado.
Estas circunstancias excluyen la afectación sorpresiva del trabajador, la indefensión que de ella pudiera derivar,
posibles razones que hayan llevado a establecer en la sentencia el rechazo de la prueba videográfica, en el uso de la
informática.
Extrapolando los conceptos vertidos en nuestra anterior resolución y, en todo caso, necesitando establecer si los
imprescindibles valores constitucionales se hallan presentes en la medida adoptada y en que extensión la necesidad,
la proporcionalidad e idoneidad del uso de las cámaras videográficas han sido satisfechas en la situación sobre la que
se provee y el modo de hacerlo, la situación a valorar presenta los pormenores examinados a continuación. Existía
constancia de las conductas irregulares pero tampoco cabía practicar controles aleatorios afectando a quienes nunca
había participado en las conductas bajo sospecha. Por otra parte el público conocimiento de la colocación de cámaras
aleja la idea de adopción sorpresiva de la conducta y del mantenimiento de una actitud tolerante de la empresa. En
cuanto al caso concreto del demandante, las quejas emitidas por sus compañeros acerca de otras conductas y el
incumplimiento de otras obligaciones laborales le hacían acreedor a una mayor atención respecto del conjunto de
sus deberes como trabajador de suerte que en lo que a su actitud personal concierne la proyección disciplinaria del
medio empleado para la averiguación de sus infracciones no puede considerarse un exceso de las facultades que a su
empleador confiere el artículo 5 c) del Estatuto de los Trabajadores.
A propósito de la trascendencia de aspectos como son la información y el consentimiento la doctrina de la STC

39/2016 de 3 de marzo se concreta en los siguientes términos:
«El consentimiento del afectado es, por tanto el elemento definidor del sistema de protección de datos de carácter
personal. La Ley Orgánica de protección de datos de carácter personal (LORD) establece el principio general de que
el tratamiento de los datos personales con el consentimiento de sus titulares salvo que exista habilitación legal para
que los datos puedan ser tratados sin dicho consentimiento. En este sentido, no podemos olvidar que conforme
señala la STC 292/2000, de 30 de noviembre, “es el legislador quien debe determinar cuándo concurre ese bien o
derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede
limitarse y, además, es el quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición
de tal limitación y sus consecuencias».
De este modo, el art. 6.1 LOPD prevé que «el tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa». El propio art. 6 LOPD, en su apartado 2, enumera
una serie de supuestos en los que resulta posible el tratar y ceder datos sin recabar el consentimiento del afectado;
en concreto, «no será preciso el consentimiento cuando los_datos de carácter personal se recojan para el ejercicio
de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a
las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para
su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad” proteger un interés
vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en
fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos
63
y libertades fundamentales del interesado».
En el ámbito laboral el consentimiento del trabajador pasa, por tanto, como regla general a un segundo plano pues
el consentimiento se entiende implícito en la relación negocial, siempre que el tratamiento de datos de carácter
personal sea necesario para el mantenimiento y el cumplimiento del contrato firmado por las partes. Esta excepción
a la exigencia de consentimiento aparece también recogida en el art. 10.3 b) del Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal , según el cual los datos de carácter personal podrán tratarse sin necesidad del
consentimiento del interesado cuando «se recaben por el responsable del tratamiento con ocasión de la celebración
de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte
el afectado y sean necesarios para su mantenimiento o cumplimiento.
La dispensa del consentimiento se refiere, así, a los datos necesarios para el mantenimiento y cumplimiento de la
relación laboral, lo que abarca, sin duda, las obligaciones derivadas del contrato de trabajo. Por ello un tratamiento de
datos dirigido al control de la relación laboral debe entenderse amparado por la excepción citada, pues está dirigido
al cumplimiento de la misma. Por el contrario, el consentimiento de los trabajadores afectados sí será necesario
cuando el tratamiento de datos se utilice con finalidad ajena al cumplimiento del contrato.
Ahora bien, aunque no sea necesario el consentimiento en los casos señalados, el deber de información sigue
existiendo, pues este deber permite al afectado ejercer los derechos de acceso, rectificación, cancelación y oposición
y conocer la dirección del responsable del tratamiento o, en su caso, del representante ( art. 5 LOPD.
El deber de información previa forma parte del contenido esencial del derecho a la protección de datos, pues resulta
un complemento indispensable de la necesidad de consentimiento del afectado. El deber de información sobre el
uso y destino de los datos personales que exige la Ley Orgánica de protección de datos de carácter personal está
íntimamente vinculado con el principio general de consentimiento para el tratamiento de los datos, pues si no se
conoce su finalidad y destinatarios, difícilmente puede prestarse el consentimiento. Por ello, a la hora de valorar si
se ha vulnerado el derecho a la protección de datos por incumplimiento del deber de información, la dispensa del
consentimiento al tratamiento de datos en determinados supuestos debe ser un elemento a tener en cuenta dada la
estrecha vinculación entre el deber de información y el principio general de consentimiento.
Aplicando la doctrina expuesta al tratamiento de datos obtenidos por la instalación de cámaras de videovigilancia
en el lugar de trabajo, que es el problema planteado en el, presente recurso de amparo; debemos concluir que el
empresario no necesita el consentimiento expreso del trabajador para el tratamiento de las imágenes que han sido
obtenidas a través de las cámaras instaladas en la empresa con la finalidad de seguridad o control laboral, ya que
se trata de una medida dirigida a controlar el cumplimiento de la relación laboral y es conforme con el art. 20.3
del texto refundido de la Ley del estatuto de los trabajadores EDL 2015/182832 , que establece que «el empresario
podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el
trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida
a su dignidad humana». Si la dispensa del consentimiento prevista en el art. 6 LOPD (EDL 1999/63731) se refiere
a los datos necesarios para el mantenimiento y el cumplimiento de la relación laboral, la excepción abarca sin duda
el tratamiento de datos personales obtenidos por el empresario para velar por el cumplimiento de las obligaciones
derivadas del contrato de trabajo . El consentimiento se entiende implícito en la propia aceptación del contrato que
implica reconocimiento del poder de dirección del empresario.
En definitiva, la exigencia de finalidad legítima en el tratamiento de datos prevista en el art. 4.1 LOPD viene dada,
en el ámbito de la videovigilancia laboral, por las facultades de control empresarial que reconoce el art. 20.3 del texto
refundido de la Ley del estatuto de los trabajadores, siempre que esas facultades se ejerzan dentro de su ámbito legal
y no lesionen los derechos fundamentales del trabajador.
Por ello, como hemos señalado, aunque no se requiere el consentimiento expreso de los trabajadores para adoptar
esta medida de vigilancia que implica el tratamiento de datos, persiste 1) deber de información -del art. 5 LOPD.
Sin perjuicio de las eventuales sanciones legales que pudieran derivar, para que el incumplimiento de este deber por
parte del empresario implique una vulneración del art. 18.4 CE exige valorar la observancia o no del principio de
proporcionalidad. Debe ponderarse así el derecho a la protección de datos y las eventuales limitaciones al mismo
justificadas en el cumplimiento de las obligaciones laborales y las correlativas facultades empresariales de vigilancia y
control reconocidas en el art. 20.3 del texto refundido de la Ley del Estatuto de los Trabajadores, en conexión con los
arts. 33 y 38 CE. En efecto, la relevancia constitucional de la ausencia o deficiencia de información en los supuestos
64
de videovigilancia laboral exige la consiguiente ponderación en cada caso de los derechos y bienes constitucionales
en conflicto; a saber, por un lado, el derecho a la protección de datos del trabajador y, por otro, el poder de dirección
empresarial imprescindible para la buena marcha de la organización “productiva, que es reflejo de los derechos
constitucionales reconocidos en los arts. 33 y 38 CE y que, como se ha visto, en lo que ahora interesa se concreta
en la previsión legal ex art. 20.3 del texto refundido de la Ley del estatuto de los trabajadores EDL 2015/182832 que
expresamente faculta al empresario a adoptar medidas de vigilancia y control para verificar el cumplimiento por los
trabajadores de sus obligaciones laborales ( SSTC 186/2000, de 10 de julio), y 170/2013, de 7 de octubre. Esta facultad
general de control prevista en la ley legitima el control empresarial del cumplimiento por los trabajadores de sus
tareas profesionales ( STC 170/2013, de 7 de octubre y STEDH de 12 de enero de 2016, caso Barbulescu v. Rumania),
sin perjuicio de que serán las circunstancias de cada caso las que finalmente determinen si dicha fiscalización llevada
a cabo por la empresa ha generado o no la vulneración del derecho fundamental en juego.
Obviamente, el sometimiento de la falta o insuficiencia de información al reiterado juicio de proporcionalidad

requerirá determinar en cada supuesto, con carácter previo, si se ha producido o no la indicada omisión de la
información debida.
El trabajador conocía que en la empresa se había instalado un sistema de control por videovigilancia, sin que haya
que especificar, más allá de la mera vigilancia, la finalidad exacta que se le ha asignado a ese control. Lo importante
será determinar si el dato obtenido se ha utilizado para la finalidad de control de la relación laboral o para una
finalidad ajena al cumplimiento del contrato, porque sólo si la finalidad del tratamiento de datos no guarda relación
directa con el mantenimiento, desarrollo o control de la relación contractual el empresario estaría obligado a solicitar
el consentimiento de los trabajadores afectados.»
Por las razones expuestas deberá entenderse que en el supuesto examinado el uso de la videocámara revistió carácter
razonable y proporcionado a su objeto sin que por el lugar de su instalación exista riesgo para la vulneración del
derecho al honor a la intimidad personal y familiar ni por las circunstancias de tiempo y oportunidad lo haya
tampoco para el pleno ejercicio de sus derechos al haber actuado el demandante como lo ha hecho siendo conocedor
de que su conducta estaba siendo grabada y de que por lo que respecta a las cámaras de la entrada el acceso indebido
con auxilio interno ya había sido objeto de sanción. Partiendo de la anterior afirmación, con estimación del primero
de los motivos del recurso, de conformidad con el informe del Ministerio Fiscal, declaramos la validez de la prueba
videográfica y como quiera que la sentencia recurrida no pudo incluir en la calificación de las conductas las que
fueron objeto de la prueba cuya validez ahora declaramos, no procede entrar a examinar el segundo de los motivos
del recurso sino casar y anular la sentencia estimando el recurso en el extremo analizado por cuanto se ha razonado
y ordenar la devolución de las actuaciones al Juzgado de lo Social de origen a fin de que con libertad de criterio
resuelva acerca de la calificación de las conductas objeto de prueba videográfica en conjunto con las restantes, sin que
haya lugar a la imposición de las costas a tenor de lo preceptuado en el artículo 235 de la LRJS.
Por lo expuesto, en nombre de S. M. El Rey y por la autoridad conferida por el pueblo español.
FALLO
Por todo lo expuesto, en nombre del Rey, por la autoridad que le confiere la Constitución, esta sala ha decidido
Estimamos el recurso de casación para la unificación de doctrina interpuesto por X, S.L. contra la sentencia dictada el
7 de diciembre de 2015 por la Sala de lo social del Tribunal Superior de Justicia de Cataluña, recurso de suplicación nº
3735. Casamos y anulamos dicha sentencia y resolviendo el debate de suplicación, declaramos la validez de la prueba
videográfica. Devuélvanse las actuaciones al Juzgado de lo Social nº 33 de Barcelona, a fin de que con libertad de
criterio resuelva acerca de la calificación de las conductas cuya prueba fue obtenida mediante cámaras videográfica
sin que haya lugar a la imposición de costas.
Notifíquese esta resolución a las partes e insértese en la colección legislativa.
Así se acuerda y firma.
Jesus Gullon Rodriguez Maria Milagros Calvo Ibarlucea Luis Fernando de Castro Fernandez Jose Luis Gilolmo
Lopez Maria Luisa Segoviano Astaburuaga Jose Manuel Lopez Garcia de la Serrana Rosa Maria Viroles Piñol Maria
Lourdes Arastey Sahun Miguel Angel Luelmo Millan Antonio V. Sempere Navarro Angel Blasco Pellicer Sebastian
Moralo Gallego Jesus Souto Prieto Jordi Agusti Julia
65
Voto particular
que formula la Magistrada Excma. Sra. Doña Maria Luisa Segoviano Astaburuaga en la sentencia dictada en el
recurso 554/2016, al que se adhieren la Magistrada Excma. Sra. Doña Rosa Maria Viroles Piñol y el Magistrado
Excmo. Sr. D. Jordi Agusti Julia
De conformidad con lo establecido en el artículo 260.2 de la Ley Orgánica del Poder Judicial formulo voto particular
a la sentencia dictada en el recurso 554/2016.
El voto particular se funda en las siguientes consideraciones jurídicas:
PRIMERO.
1. Con todo respeto a la opinión mayoritaria de la Sala, que se recoge en la sentencia, discrepo del fallo de la
misma, por los razonamientos que a continuación se expondrán.
La discrepancia estriba en que entiendo que entre la sentencia recurrida y la invocada como contradictoria, en el
recurso formulado por X SL, no concurre la triple identidad exigida por el artículo 219 de la LRJS.
El artículo 219 de la Ley Reguladora de la Jurisdicción Social exige para la viabilidad del recurso de casación para
la unificación de doctrina que exista contradicción entre la sentencia impugnada y otra resolución judicial que ha
de ser -a salvo del supuesto contemplado en el número 2 de dicho artículo- una sentencia de una Sala de lo Social
de un Tribunal Superior de Justicia o de la Sala Cuarta del Tribunal Supremo. Dicha contradicción requiere que
las resoluciones que se comparan contengan pronunciamientos distintos sobre el mismo objeto, es decir, que se
produzca una diversidad de respuestas judiciales ante controversias esencialmente iguales y, aunque no se exige
una identidad absoluta, sí es preciso, como señala el precepto citado, que respecto a los mismos litigantes u otros
en la misma situación, se haya llegado a esa diversidad de las decisiones pese a tratarse de ‘hechos, fundamentos
y pretensiones sustancialmente iguales’, SSTS 16/07/2013 (R. 2275/2012) (EDJ 2013/168363), 22/07/2013 (R.
2987/2012) (EDJ 2013/168368), 25/07/2013 (R. 3301/2012) (EDJ 2013/168366), 16/09/2013 (R. 302/2012) (EDJ
2013/189101), 15/10/2013 (R. 3012/2012) (EDJ 2013/206345), 23/12/2013 (R. 993/2013) (EDJ 2013/280877),
29/04/2014 (R. 609/2013) (EDJ 2014/111381) y 17/06/2014 (R. 2098/2013) (EDJ 2014/125296).
Por otra parte, la contradicción no surge de una comparación abstracta de doctrinas al margen de la identidad de
las controversias, sino de una oposición de pronunciamientos concretos recaídos en conflictos sustancialmente
iguales, SSTS 14/05/2013 (R. 2058/2012) (EDJ 2013/89755), 23/05/2013 (R. 2406/2012) (EDJ 2013/111314),
13/06/2013 (R. 2456/2012) (EDJ 2013/127610), 15/07/2013 (R. 2440/2012) (EDJ 2013/182597), 16/09/2013 (R.
2366/2012) (EDJ 2013/193290), 03/10/2013 (R. 1308/2012) (EDJ 2013/220157), 04/02/2014 (R. 677/2013) (EDJ
2014/106560) y 01/07/2014 (R. 1486/2013) (EDJ 2014/138301).
2. El Juzgado de lo Social número 33 de los de Barcelona dictó sentencia el 16 de marzo de 2015, autos número
1064/2014, estimando la demanda interpuesta por J, declarando la improcedencia del despido notificado el
13 de octubre de 2014, condenando a X S.L. a que, en plazo de cinco días, opte entre readmitir al actor con
abono de los salarios de tramitación, o indemnizarle con la cantidad de 19.075 euros, opción esta última que
conllevará la extinción de la relación laboral.
Tal y como resulta de dicha sentencia, el actor ha venido prestando servicios para la demandada desde el 1
de abril de 2008, con la categoría de director técnico, habiendo estado adscrito a DIR DIAGONAL con 50
entrenadores y técnicos a su servicio, habiendo sido trasladado a DIR AVINGUDA MADRID poco después
de ser sancionado por falta grave -amonestación de 28/01/2014 por incumplir obligación de enviar informe
semanal sobre el servicio, habiendo sido sancionado por el mismo motivo el 28/08/2012-. El 13/10/2014 ha sido
despedido disciplinariamente, imputándosele, entre otras faltas, el dejar pasar a entrenar al club a compañeros de
otros clubes que no tienen permitido el acceso, a los cuales les abre el torniquete con su pulsera, dejando también
pasar a personas no socias sin pagar entrada, sin invitación y sin ser registradas en recepción. Los movimientos
de entrada y salida del puesto de trabajo se detectaron tras analizar el jefe de seguridad y el director de fitness las
grabaciones de las videocámaras de seguridad del gimnasio. La autorización de la instalación de dichas cámaras
no contempla su uso como medio de control del cumplimiento laboral, ni la utilización disciplinaria para con los
trabajadores, que no han sido advertidos explícitamente de esta posibilidad, ni de forma individual, ni por medio
de la representación laboral.
66
La sentencia entendió que la sentencia citada del Tribunal Supremo hace una distinción entre cámaras situadas
para control aleatorio de la actividad de los trabajadores y grabaciones orientadas a comprobación de sospechas
o indicios previos. No obstante, el Tribunal Supremo hace referencia a supuestos de una instalación puntual y
temporal de una cámara tras acreditadas razonables sospechas de incumplimientos contractuales se emplea con
la exclusiva finalidad de verificación de tales hechos, lo que no se corresponde con el supuesto presente, en el
que se pretende utilizar grabaciones obtenidas de cámaras permanentes que no se colocaron para la finalidad
exclusiva de comprobación de sospechas fundadas.
La sentencia mencionada se refiere a cámaras situadas en la línea de cajas de un supermercado y en ese caso
se dice que se trata de grabaciones permanentes de las cuales no se había informado a la trabajadora afectada
de forma que por la empresa no se dio información previa a la trabajadora de la posibilidad de tal tipo de
grabación ni de la finalidad de dichas cámaras instaladas permanentemente, ni, lo que resulta más trascendente,
tampoco se informó, con carácter previo ni posterior a la instalación, a la representación de los trabajadores de
las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones
podían ser examinadas, durante cuánto tiempo y con qué propósitos, ni explicitando muy particularmente que
podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo;
aclara que la ilegalidad de la conducta empresarial no desaparece por el hecho de que la existencia de las cámaras
fuera apreciable a simple vista, puesto que conforme a la citada STC 29/2013 “No contrarresta esa conclusión
que existieran distintivos anunciando la instalación de cámaras y captación de imágenes en el recinto (...) era
necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de
control de la actividad laboral a la que esa captación podía ser dirigida. (...)’.
3. Contra dicha sentencia se interpuso por la representación letrada de X S.L. recurso de casación para la unificación
de doctrina, aportando como sentencia contradictoria, la dictada por la Sala de lo Social del Tribunal Superior
de Justicia de Catalunya el 1 de julio de 2013, recurso 1804/2013.
La parte recurrida ha impugnado el recurso, habiendo informado el Ministerio Fiscal que el recurso ha de ser
declarado procedente.
SEGUNDO.
1. Se procede al examen de la sentencia de contraste para determinar si concurre el requisito de la contradicción,

tal y como lo formula el artículo 219 de la LRJS, que supone que ante hechos, fundamentos y pretensiones
sustancialmente iguales, las sentencias comparadas han llegado a pronunciamientos distintos.
2. La sentencia de contraste, la dictada por la Sala de lo Social del Tribunal Superior de Justicia de Catalunya el 1
de julio de 2013, recurso 1804/2013, desestimó el recurso de suplicación interpuesto por Doña Lorena contra
la sentencia dictada por el Juzgado de lo Social número 26 de los de Barcelona el 30 de julio de 2012, en el
procedimiento número 1134/2011.
Consta en dicha sentencia que la actora ha prestado servicios para Px SA desde el 14 de junio de 2004, con la
categoría de personal de equipo, en el centro de trabajo sito en el Prat de Llobregat, desarrollando su trabajo en
la barra del restaurante, preparando cafés, sirviendo bebidas frías y cobrando a los clientes. Los productos deben
registrarse en el terminal punto de venta TPV, que dispone de una pantalla táctil en la que se van seleccionando
los productos a cobrar y, al registrarlos se genera el recibo que debe entregarse al cliente y se abre el cajón con
el dinero. En la barra existe una cámara de videovigilancia que enfoca directamente al TPV, que no está oculta
y cuya existencia es conocida por la trabajadora, es una cámara fija que capta las imágenes desde arriba, sin
primeros planos de los rasgos faciales de los trabajadores, en lugar abierto al público y sin registrar el sonido.
La cámara está específicamente instalada para controlar la actividad de los trabajadores en la caja registradora
o TPV, siendo tal hecho perfectamente conocido por los trabajadores así como su objetivo y finalidad. Los días
2 y 8 de octubre de 2011 la demandante cobró diversos productos a varios clientes sin registrarlos en el TPV,
observando el encargado el día 8 que la actora no registraba todos los productos que servía y cobraba a los
clientes sin entregarles tickets, ordenó a la trabajadora que finalizara su trabajo y se marchara. El 25 de octubre
de 2011 la empresa envió burofax a la actora, que le fue entregado el 31 de octubre, comunicándole el despido,
con efectos del 25 de octubre, por transgresión de la buena fe contractual, deslealtad y abuso de confianza. La
empresa presentó denuncia por los anteriores hechos dando lugar a la incoación del juicio de faltas 306/2011 del
Juzgado de 1ª Instancia e Instrucción número 2 de El Prat de Llobregat, que dictó sentencia el 31 de diciembre de
67
2011, absolviendo a la actora, al no considerar acreditado que se apropiara de cantidad alguna, aunque consideró
probado que no había registrado varios productos los días 1, 2 y 8 de octubre de 2011. La actora había sido
sancionada en varias ocasiones anteriores.
La sentencia entendió que no se han vulnerado los apartados 1 y 4 del artículo 18.1 de la Constitución, ni los
artículos 1 y 5 de la LOPD, ni tampoco la doctrina contenida en la STC 29/2013, de 11 de febrero. A juicio
de la Sala la doctrina contenida en la referida sentencia -STC 29/2013, de 11 de febrero (EDJ 2013/28049) -
no puede ser extrapolada, con carácter general, a todos los supuestos de grabaciones a través de cámaras de
vídeo-vigilancia, puesto que no pueden tener el mismo tratamiento las cámaras específicamente instaladas
para controlar la actividad en la caja registradora o TPV, siendo ello un hecho perfectamente conocido por
los trabajadores, aunque no se haya sujetado la transmisión de la información a las exigencias derivadas de la
Instrucción 1/2006, pero que hace que los empleados sean plenamente conscientes de la finalidad y utilidad de
dichas cámaras, siendo diferente el caso de cámaras destinadas a un uso genérico como el control de accesos y
cuyas imágenes son aprovechadas a posteriori por la empresa para realizar un control de cumplimiento de la
jornada laboral.
3. Entre la sentencia recurrida y la de contraste no concurren las identidades exigidas por el artículo 219 de la
LRJS.
En principio los dos asuntos enfrentados presentan evidentes similitudes. En efecto, en ambos supuestos se trata
de trabajadores que han sido despedidos por motivos disciplinarios, imputándose en la recurrida que dejaba
pasar a entrenar al club a compañeros de otros clubes que no tienen permitido el acceso, a los cuales les abre el
torniquete con su pulsera, dejando también pasar a personas no socias sin pagar entrada, sin invitación y sin ser
registradas en recepción y en la de contraste el incumplimiento de las instrucciones de la empresa relativa a la
“operativa de atención al cliente’ -no ha registrado en caja la totalidad de los pedidos de los clientes, por lo que su
importe no ha sido contabilizado por la caja registradora, ni les ha entregado en mano el ticket de consumición-
aportando la empresa, en el juicio, como prueba, la reproducción de imágenes obtenida con cámaras de video-
vigilancia, cuya existencia era conocida por los trabajadores, aunque no se les había ofrecido información
previa sobre la finalidad y el objetivo de la instalación de dichas cámaras, ni tampoco se había informado a la
representación de los trabajadores.
Entre las sentencias comparadas existen, no obstante importantes diferencias:
a) En la sentencia recurrida el centro de trabajo cuenta con un sistema de video-vigilancia por razones
de seguridad, destinado a un uso genérico, la vigilancia por motivos de seguridad. En la sentencia de
contraste existe una cámara de vídeo-vigilancia, que enfoca directamente la caja registradora o TPV,
instalada específicamente para controlar la actividad en la caja registradora, hecho perfectamente
conocido por los trabajadores. No consta, en la sentencia de contraste, que el motivo de instalación de las
cámaras fuera la seguridad, ya que consta expresamente -fundamento de derecho tercero con indudable
valor de hecho probado- que las cámaras estaban específicamente instaladas para controlar la actividad
en la caja registradora.
b) En la sentencia recurrida los trabajadores desconocían que las cámaras de video-vigilancia podían tener
por finalidad vigilar su actividad laboral. En la sentencia de contraste los trabajadores eran plenamente
conscientes de la finalidad y utilidad de las cámaras, que era controlar la actividad en la caja registradora,
tal y como figura en el fundamento de derecho tercero con indudable valor de hecho probado “...las
cámaras específicamente instaladas para controlar la actividad en la caja registradora o TPV, siendo ello
un hecho perfectamente conocido por los trabajadores...que hace que los empleados sean plenamente
conscientes de la finalidad y utilidad de dichas cámaras...’No se trata de una mera deducción, como
afirma la sentencia de instancia, sino que, dado los contundentes términos en los que aparece redactado,
se trata de un hecho probado, que no pierde su valor de tal, aunque se encuentre en inadecuado lugar.
c) En la sentencia recurrida las cámaras instaladas para una determinada finalidad -por razones de
seguridad- se utilizan para otra diferente -el control del cumplimiento por el trabajador de sus
obligaciones laborales-. En la sentencia de contraste se utilizan las cámaras para la finalidad para la que
se instalaron, a saber, controlar la actividad en la caja registradora.
Dado los diferentes datos de los que parten las sentencias comparadas han llegado a resultados diferentes, pero
68
no son contradictorios. La sentencia recurrida rechaza el motivo formulado por la empresa recurrente de que no
se aplique la doctrina contenida en la STC 29/2013 -es decir, mantiene la aplicación de la doctrina contenida en
dicha sentencia efectuada por la sentencia de instancia- en tanto la sentencia de contraste razona que la misma
no es de aplicación “puesto que no pueden tener el mismo tratamiento las cámaras específicamente instaladas
para controlar la actividad en la caja registradora o TPV, siendo ello un hecho perfectamente conocido por
los trabajadores...que hace que los empleados sean plenamente conscientes de la finalidad y utilidad de dichas
cámaras, siendo diferente el caso de cámaras destinadas a un uso genérico como el control de accesos y cuyas
imágenes son aprovechadas a posteriori por la empresa para realizar un control de cumplimiento de la jornada
laboral...en el presente caso...siendo público y notorio el objetivo y finalidad de la cámara no puede apreciarse la
vulneración de derecho fundamental..’
TERCERO.
Esta Sala en supuestos similares al ahora examinado ha apreciado la falta de contradicción de las sentencias
comparadas en los siguientes asuntos:
•• Auto de 10 de septiembre de 2015, recurso de casación para la unificación de doctrina 2581/2014, que inadmitió
dicho recurso por falta de contradicción entre las sentencias comparadas.
En la sentencia recurrida consta que la empresa demandada tenía en el centro de trabajo distintas cámaras de
video-vigilancia señalizadas, conocidas en su existencia desde su instalación por notoriedad, tanto por el comité
de empresa como por, los distintos trabajadores, habiendo utilizado la empresa, para despedir al trabajador,
las imágenes obtenidas de la cámara que existe en la zona de acceso a los vestuarios, la del reloj de fichaje
-que no enfoca directamente a éste- y las cámaras ubicadas a la entrada/salida del público por donde acceden
también los trabajadores a su puesto de trabajo y salen al finalizar la jornada. La empresa no había informado
previamente a los trabajadores de en qué casos podían ser visualizadas las grabaciones, durante cuánto tiempo
y con qué finalidad, sin comunicarles que podían ser utilizadas para imponer sanciones disciplinarias por
incumplimiento del contrato de trabajo.
La sentencia razona que los datos obtenidos son datos de carácter personal del ámbito del artículo 18.4 de
la Constitución concluyendo que el contraste entre el alcance legal y constitucional del deber informativo y
el grado de observancia por la empresa demandada en su relación con los trabajadores del Hipermercado,
es revelador del incumplimiento producido, ya que no es suficiente con que los trabajadores conocieran la
existencia de las cámaras para atender las exigencias del derecho fundamental afectado, máxime si se tiene en
cuenta que su ubicación podía explicarse como medida de vigilancia de los clientes, por lo que no cabe admitir
los resultados de esta prueba para fundar la convicción judicial.
En la sentencia de contraste, sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Catalunya de
1 de julio de 2013, recurso 1804/2013, consta que la actora ha prestado servicios en el centro de trabajo sito en
El Prat de Llobregat, desarrollando sus funciones en la barra del restaurante, durante los días 2 y 8 de octubre
de 2011 cobró diversos productos a varios clientes sin registrarlos en el TPV, sin entregar recibo y cobrándoles
y cogiendo el cambio del cajón del dinero que tenía abierto.
La sentencia razona que no resulta de aplicación la doctrina contenida en la STC 29/2013, de 11 de febrero, ya
que no puede tener el mismo tratamiento las cámaras específicamente instaladas para controlar la actividad en
la caja registradora o TPV, siendo ello un hecho perfectamente conocido por los trabajadores...que hace que
los empleados sean plenamente conscientes de la finalidad y utilidad de dichas cámaras, siendo diferente el
caso de cámaras destinadas a un uso genérico como el control de accesos y cuyas imágenes son aprovechadas a
posteriori por la empresa para realizar un control de cumplimiento de la jornada laboral.
El auto aprecia que no existe contradicción entre las sentencias comparadas. En la recurrida la Sala ratificó
el criterio de la Juzgadora de Instancia de que la disposición de las cámaras en las zonas de acceso y salida
del Hipermercado y en la zona de acceso a los vestuarios de los empleados y al reloj de fichaje, sin enfocar
directamente a este último, podía explicarse como medida de vigilancia de los clientes y usuarios del
establecimiento; y que ello, unido a las graves carencias informativas detectadas, llevaron a considerar que
los medios de prueba obtenidos mediante el tratamiento de las imágenes grabadas vulneraban el derecho
fundamental protegido en el art. 18.4 de la CE, por lo que no podía admitirse su práctica y si se practicaron no
podían admitirse sus resultados para fundar la convicción judicial.
69
En la de contraste se valora el conocimiento de los dispositivos de grabación y su posible utilización, a

efectos disciplinarios en el ámbito laboral, y, especialmente respecto de aquellos sistemas cuya finalidad no es
específicamente aquella, de tal manera que en el supuesto que allí se enjuiciaba se entendió que el objeto de tal
sistema de grabación era público y notorio, al estar instalada para controlar la actividad de la caja registradora,
por lo que no se apreció vulneración de derecho fundamental en la utilización de los datos registrados.
•• Auto de 1 de octubre de 2015, recurso de casación para la unificación de doctrina 2584/2014, que inadmitió
El auto tiene idéntico contenido que el anterior, al tratarse del despido efectuado por la misma empresa, siendo
la despedida compañera del trabajador demandante en el asunto anterior y al que la empresa imputa las mismas
faltas que a ésta, aportando la misma grabación, siendo la sentencia recurrida, al igual que la anterior, de la Sala
de lo Social del Principado de Asturias e invocando la misma sentencia de contraste.
En estos dos autos la sentencia de contraste es la misma invocada en el asunto ahora sometido a la consideración
de esta Sala.
•• Sentencia de 21 de julio de 2016, recurso de casación para la unificación de doctrina 318/2015, que desestimó
En la sentencia recurrida, sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Murcia de 3 de
noviembre de 2014, recurso 300/2014, consta que la actora prestaba servicios como dependienta de farmacia
y, sospechando la empresa la existencia de conductas irregulares, contrató los servicios de un detective quien
instaló cámaras que apuntaban al mostrador y a la oficina trasera, no notificando su instalación a la trabajadora,
procediendo la empresa a su despido, a la vista de las irregularidades cometidas -se graban situaciones en las
que se apropia de material y de dinero de la farmacia-.
La sentencia se acoge a la doctrina emanada de la STC 186/2000, de 11 de agosto y ratifica la validez de este
medio de prueba, al estar justificado que la empresa hubiera instalado las cámaras por las fundadas sospechas
que existían sobre la actuación de la trabajadora, al haberse instalado las cámaras durante un corto periodo
de tiempo, teniendo en cuenta que se trataba de una pequeña oficina de farmacia, en la que la dependienta
puede actuar con total libertad de movimientos, sin supervisión directa de la empresa, por lo que la medida
es adecuada, proporcionada y necesaria, atendiendo a los parámetros exigidos por la doctrina constitucional.
Continúa razonando que el supuesto difiere sustancialmente del que es objeto de examen en la STC 29/2013,
de 11 de febrero de 2013 (EDJ 2013/28049), ya que se trata de un sistema permanente de videovigilancia,
establecido con fines de seguridad para todos los visitantes del recinto universitario y es utilizado para una
finalidad para lo que no estaba concebido -cumplimiento de sus obligaciones laborales por el trabajador
despedido- o, al menos los trabajadores no habían sido informados de ello, en tanto en el supuesto examinado
se trata de una grabación puntual y limitada en el tiempo de imágenes referidas a un trabajador concreto,
llevada a cabo por un detective.
En la sentencia de contraste, sentencia dictada por la Sala de lo Social del Tribunal Superior de Justicia del
País Vasco el 9 de abril de 2013, recurso 445/2013 -confirmada por la sentencia de esta de 13 de mayo de 2014,
recurso 1685/2013, que aplica la doctrina contenida en la STC 29/2013- consta que la trabajadora despedida
era cajera de un supermercado, en el que se había instalado de forma permanente un sistema de vigilancia
dirigido a evitar robos por parte de los clientes, no se había comunicado la existencia de tales cámaras a los
representantes unitarios de los trabajadores, por una de las cámaras se graban irregularidades cometidas por la
trabajadora en la emisión de tickets de caja, no hay constancia de que la empresa pudiera tener sospechas sobre
la actuación irregular de la trabajadora.
La sentencia considera que la prueba videográfica es ilegítima y vulnera el artículo 18 de la Constitución,

de acuerdo con los criterios de la STC 29/2013, de 11 de febrero, porque no se había dado información a los
trabajadores sobre la instalación de las cámaras, el propósito de su instalación era la prevención de hurtos por
los clientes y se utilizó con una finalidad distinta, cuando no existían sospechas sobre una actuación irregular
de la trabajadora.
La sentencia dictada por esta Sala de lo Social del Tribunal Supremo, el 21 de julio de 2016, en el recurso de
casación para la unificación 318/2015, entiende que no existe contradicción entre las sentencias comparadas al
70
existir diferencias entre uno y otro supuesto.
Señala que en la sentencia recurrida la empresa tenía fundadas sospechas sobre la comisión de irregularidades
por parte de la trabajadora y eso la lleva a instalar cámaras durante un corto periodo de tiempo, teniendo en
cuenta que se trataba de una pequeña oficina de farmacia, en la que la dependienta puede actuar con total
libertad de movimientos, sin supervisión directa de la empresa, siendo estos elementos los que se valoran para
justificar la actuación de la empresa y calificarla de adecuada,, proporcionada y necesaria, atendiendo a los
parámetros exigidos por la doctrina constitucional.
En la sentencia de contraste las cámaras están instaladas de forma permanente y su objeto es la prevención de
hurtos por parte de los clientes, habiéndose utilizado para una finalidad distinta cuando no existían sospechas
sobre la posible actuación irregular de la trabajadora.
CUARTO.
Por todo lo razonado, entiendo que la sentencia debió desestimar el recurso formulado.
Madrid, 2 de febrero de 2017
PUBLICACIÓN.
En el mismo día de la fecha fue leída y publicada la anterior sentencia por la Excma. Sra. Magistrada Dña. Maria
Milagros Calvo Ibarlucea y el voto particular de la Excma. Sra. Dª Maria Luisa Segoviano Astaburuaga, hallándose
celebrando Audiencia Pública la Sala de lo Social del Tribunal Supremo, de lo que como Letrado/a de la Administración
de Justicia de la misma, certifico.
Fuente de suministro: Centro de Documentación Judicial. IdCendoj: 28079149912017100007”
8.4.1. INFORMES JURÍDICOS DEL GABINETE JURÍDICO DE LA AEPD
Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas
con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en la web
de la propia agencia.
Debe significarse que los informes se emiten en atención a lo descrito en las consultas a las que aquéllos se refieren
por lo que no predeterminan el criterio de la Agencia en caso de que se hayan de tomar en consideración otros
hechos o circunstancias.
Estos son los Informes jurídicos publicados en la página de la Agencia Española de Protección de Datos.
2016-0172 Publicación individualizada de transferencias de valor. Interés legítimo
2016-0006 Publicación datos de funcionarios y empleados públicos
2015-0441 Acceso por los padres a las calificaciones escolares de hijos mayores de edad.
2015-0438 Comunicación de determinados datos derivados de la atención por servicios de urgencias y emergencias
(112) a familiares o allegados.
2015-0364 Distinción entre depuración y segmentación. Uso de hash para comunicar base de datos.
2015-0358 Ejercicio del derecho de oposición en proceso selectivo.
2014-0502 Inclusión de firmas manuscritas en documentos escaneados de Convenios y encomiendas de gestión.
2014-0475 Sistema de videovigilancia en guardería para control laboral.
71
2014-0331 Legalidad de la cesión a la AEAT de los datos de consumo eléctrico.
2014-0300 Cesión de datos de personal sanitario a colegio de médicos.
2014-0244 Uso del censo electoral por candidatos y ejercicio del derecho de oposición.
2014-0222 Menores e historia clínica. Consentimiento y derechos de acceso y oposición.
2014-0196 Contenido de la información de la segunda capa en cookies.
2014-0182 Cesión a concejales de historia social.
2014-0178 Aplicación de la Ley de Transparencia. Casos.
2014-0156 Interés legítimo. Acceso a imágenes de robos por razones de seguridad.
2014-0153 Cámaras panorámicas. Inexistencia de datos.
2014-0148 Inclusión de especialidad médica en ventanilla única.
2014-0137 Notificaciones de expedientes disciplinarios a letrados en tablón de anuncios del Colegio.
2014-0136 Publicidad del domicilio de no ejercientes.
2014-0124 Cesión de datos entre participadas.
2014-0093 Información en dos capas de cookies. Documento sobre política de privacidad y cookies.
2014-0083 Ámbito subjetivo de aplicación de normativa de cookies.
2014-0073 Comunicación de salario de gerente a los socios.
2014-0046 Cesión de datos de afiliados a un militante del partido.
2014-0033 Medidas de seguridad en fichero de clientes de hotel que contiene datos de salud.
2014-0026 Cesión de datos de los procesos a la AEAT.
2014-0020 Cesión de imágenes de videovigilancia a compañía de seguros.
2014-0016 App para estacionamiento controlado. Información de terceras personas. Desproporción en el acceso al
dato de la ubicación.
2014-0011 El consentimiento para el uso de cookies. No cabe un sistema de opt out.
2014-0002 Cesión de datos entre aseguradoras en el caso de seguro múltiple.
2013-0449 Notificación de inclusión en caso de cesión de créditos.
2013-0428 Legitimación de la emisión de justificantes para acompañantes de pacientes con contenido.
2013-0420 Fichero común de bastanteos.
2013-0398 Obligación de inclusión del domicilio profesional en el registro de profesionales.
2013-0390 Acceso a registros de licencia de obras. Interpretación de la Ley 30/1992 conforme a la Ley de Transparencia.
2013-0360 Condición de responsable o encargado de los Centros sanitarios privados concertados por una Mutua
72
para prestar servicios sanitarios.
2013-0348 Exigencia de doble información por el acreedor para inclusión de datos en ficheros de solvencia.
2013-0344 Acceso por policía municipal a cámaras de videovigilancia en autobuses.
2013-0343 No aplicación a servicios de mensajería instantánea de la Ley de conservación.
2013-0293 Cesión de datos de miembros de cofradía.
2013-0283 Recogida de huella dactilar por empresa de alquiler de vehículos para prevenir delitos.
2013-0269 Cesión de datos de usuarios de residencia a Ayuntamiento para comprobación de calidad.
2013-0257 Cesión de informes de tasación de costas a la Agencia Tributaria.
2013-0226 Datos de salud en tarjeta con tecnología RFID.
2013-0197 Red social deportiva. Publicación de vídeos de menores.
2013-0184 Red social y creación de perfiles de empleados.
2013-0147 Acceso a ficheros de solvencia basado en interés legítimo: criterios de ponderación.
2013-0127 Sustracción de recién nacidos. Aportación de perfiles de ADN de fallecidos.
2013-0077 Captación y grabación de imágenes de empleados públicos.
2013-0074 Cesión de datos del Padrón a notario en venta extrajudicial.
2013-0070 Uso por bancos de datos de domiciliaciones con fines comerciales.
2013-0052 Cámaras de videovigilancia en Comunidad de Propietarios. Legitimación.
2013-0016 Cesión a concejal de datos de teléfonos móviles contratados por el Ayuntamiento.
2013-0014 Cancelación de sanciones disciplinarias prescritas.
2013-0012 Medalla con código QR que incluye historia clínica de un paciente.
2012-0452 Uso de dato de salud en contratos de seguros.
2012-0438 Cesión de datos de historia clínica para retirada del permiso de conducción.
2012-0437 Gratuidad del derecho de acceso a historia clínica.
2012-0434 Cesión a Protección Civil de imágenes captadas con cámaras de videovigilancia de tráfico.
2012-0421 Sustracción de recién nacidos. Efectos de la revocación del consentimiento para la inclusión de datos en
la base de datos de ADN.
2012-0382 Cesión de datos de condena penal a colegio de médicos de país de la Unión Europea.
2012-0342 Cesión de datos de denunciantes al denunciado en un expediente sancionador.
2012-0338 Acceso a libro de registro de socios.
2012-0333 Encargado del tratamiento en virtud de atribución de competencias.
73
2012-0328 Captación y procesamiento de imágenes para medición de audiencias.
2012-0297 Registro de matrículas para evitar impagos en estaciones de servicio.
2012-0280 Acceso a ficheros de solvencia y ejercicio de derechos por representante.
2012-0271 Cesión para comprobar el requisito de residencia para bonificación al transporte insular.
2012-0267 Consecuencias de la reordenación del SIP.
2012-0261 Interés legítimo para antipiratería.
2012-0252 Posibilidad de que entidades locales participen en ficheros de solvencia.
2012-0233 Cesión de datos de los asociados. Interés legítimo.
2012-0178 Uso de datos por empresas de recobro. Interés legítimo.
2012-0176 Cesión de listado de llamadas recibidas en teléfono corporativo.
2012-0168 Sistema de evaluación de calidad. Mistery Shopping.
2012-0144 Cláusula de consentimiento en ficheros positivos.
2012-0121 Acceso a datos de retribuciones por colegiados.
2012-0119 Publicación en Internet de datos de los contratistas relativos a deudas de los Ayuntamientos.
2012-0115 Cesión de datos de grabación con videocámara para presentación de demanda.
2012-0112 Interés legítimo. Empresas de recobro.
2012-0111 Interés legítimo. Transmisiones marca-concesionario.
2012-0080 Tratamiento de datos en la investigación de casos de sustracción de recién nacidos.
2012-0002 Datos de salud de familiares para permisos y traslados.
2011-0482 Sistema de rastreo para prevención de suplantación en sms.
2011-0404 Ficheros comunes de prevención del blanqueo. Garantías.
2011-0392 Reconocimiento facial en acceso a clases.
2011-0241 Utilización de red social para fines publicitarios.
No podemos obviar en este curso la especial preocupación de la Agencia Española de Protección de Datos en materia
de menores de edad y acceso a internet así como la necesaria concienciación sobre los datos que comparten a través
de internet y de redes sociales.
Dedica la web de la agencia un espacio propio en su web dirigido a este tema, no sólo dirigido a padres y profesores
sino que también recoge un espacio autónomo para que sean los propios menores los que a través de su web tomen
conciencia de la importancia del cuidado en el uso de internet y los principales riesgos a los que se exponen.
Existe un apartado dentro de la web de la agencia dirigida a “Jóvenes” en la que se explica, entre sus contenidos, cómo
“ser legal en internet”. Qué datos pueden y qué datos no se deben compartir en Internet.
74
1. ¿Sabrías decir cuáles son los datos personales que compartes con otras personas desde tu terminal móvil, tu
tablet y desde una red social?
Tu nombre, tus apellidos, tu fotografía tu domicilio, tu correo electrónico, tu número de teléfono, tu número de
carnet de identidad o de pasaporte… Cualquier información que hace posible que alguien pueda identificarte es
uno de tus datos personales. Un lunar, una pequeña mancha en la piel, una cicatriz, la forma de tus manos o de
cualquier parte de tu cuerpo, un objeto que utilizas como un anillo o un pendiente, tu ropa o incluso la foto de tu
colegio o instituto pueden servir para que alguien te identifique.
Por ejemplo tu imagen, que es un dato personal. Si tu foto aparece en el perfil de una red social o en un perfil
de una aplicación de mensajería, como puede ser Whatsapp, estás compartiendo tu imagen con otras personas.
Si compartes tu ubicación con otras personas ¿sabes exactamente quiénes tienen acceso a tu ubicación? El lugar
en el que te encuentras es un dato personal que habla de ti. Dice a otras personas dónde pueden encontrarte y,
probablemente, lo que haces en un momento determinado o conocer tus hábitos, gustos o aficiones, (si estas en
el colegio, en casa, en el cine, haciendo deporte, etc.).
Si lo necesitas puedes revisar la primera ficha de nuestra guía “No te enredes en internet”, donde explicamos el
significado de “dato personal”.
2. ¿Serías capaz de identificar las personas que acceden a los datos personales que compartes?
Trata de averiguar los datos personales que puedes compartir en internet y luego intenta identificar a las personas
que tienen acceso a estos datos, como, por ejemplo, a tu fotografía de perfil de Whatsapp o de otra aplicación de
mensajería instantánea. (LINE, Hangouts, etc.).
Comprueba los datos personales que puedes compartir en una red social. Revisa las opciones de configuración
de tu red social e identifica a las personas que tienen acceso a tu información personal, recuerda que a veces los
amigos de tus amigos también pueden ver los datos personales que compartes.
•• ¿Estás completamente seguro de quiénes pueden ver lo que compartes en internet?
•• ¿Qué ocurriría si un amigo tuyo pierde o le roban el móvil?
•• ¿Quién podría acceder a tus datos personales si un amigo se deja una sesión de tu red social sin cerrar en un
ordenador al que acceden otras personas?
En la labor de la agencia en materia de concienciación del uso de la información, tecnologías y acceso a internet,
destaca el otorgamiento del ‘Premio a las buenas prácticas educativas en privacidad y protección de datos para
un uso seguro de internet”.
El Premio a las Buenas Prácticas Educativas en Privacidad y Protección de Datos Personales para un Uso Seguro
de Internet tiene por objeto premiar la adopción de buenas prácticas (proyectos técnicos, organizativos, métodos,
acciones de promoción y concienciación, talleres, simulacros, materiales de difusión, etc.) que promuevan y
difundan el derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Educación
Secundaria Obligatoria, Bachillerato y Formación Profesional y que contribuyan a concienciar a los alumnos
sobre el valor de la privacidad y a realizar una utilización responsable de la información de carácter personal,
tanto propia como de terceras personas, en Internet. En esta categoría el jurado ha concedido el premio en la
modalidad dirigida a centros de enseñanza públicos, concertados y privados de Educación Primaria, Educación
Secundaria Obligatoria, Bachillerato y Formación Profesional, al Colegio Sagrado Corazón Hijas de Jesús de
Salamanca, por su labor continuada de concienciación sobre los riesgos asociados a internet y el uso de las nuevas
tecnologías.
El premio −al que pueden presentarse proyectos técnicos, organizativos, métodos, acciones de promoción y
concienciación, talleres, simulacros o materiales de difusión, entre otros− se convoca en dos modalidades:
75
Modalidad A. Tiene por objeto premiar las buenas prácticas llevadas a cabo por centros educativos públicos,
concertados y privados de Educación Primaria, Secundaria, Bachillerato y Formación Profesional. Pueden
concurrir al premio aquellos proyectos que los centros educativos hayan desarrollado durante el curso escolar
2015-2016 o que vayan a poner en marcha en el curso 2016-2017. El premio consistirá en una mención
honorífica, la difusión de las buenas prácticas puestas en marcha o previstas y una dotación de material
escolar por valor de 3.000 euros.
Modalidad B. El premio reconoce el compromiso de personas, instituciones, organizaciones y asociaciones,

públicas y privadas, que se hayan distinguido de manera destacada en el impulso y la difusión entre los
menores de edad del uso seguro de internet, relacionado fundamentalmente con la información personal
y con el valor de la privacidad. Este galardón es honorífico y consiste en un trofeo así como, en su caso, la
difusión de las iniciativas y proyectos premiados.
Es importante, dada la introducción de las modificaciones que el Reglamento va a instaurar, el Plan Estratégico de la
Agencia Española de Protección de Datos del 2015-2019.
http://www.agpd.es/portalwebAGPD/LaAgencia/common/Plan_estrategico_AEPD.pdf#Plan%20estrat%C3%A9gico
9. Cuestiones prácticas, aclaraciones de la Agen-

cia Española de Protección de datos
A continuación vamos a ver algunas publicaciones de la AEPD muy interesantes a nivel práctico, incluso cuestiones
que no sabíamos que tenían implicación para el respecto al derecho a la intimidad o la protección de datos pero que
desconocer puede dar lugar a vernos inmersos en un procedimiento sancionatorio.
9.1. La AEPD conmemora el Día Mundial de los Derechos de los

Consumidores lanzando un nuevo espacio
La Agencia Española de Protección de Datos (AEPD) ha querido unirse a la celebración del Día Mundial de los
Derechos de los Consumidores lanzando un nuevo espacio en su web desde donde los usuarios pueden reclamar sus
derechos en materia de telecomunicaciones.
Desde este espacio se ofrece asesoramiento para que los consumidores sepan a quién dirigirse para reclamar sus
derechos. “Son varios los organismos competentes en esta materia, por lo que resulta fundamental que el ciudadano
sepa ante cuál tiene que presentar su reclamación en función de las circunstancias concretas y cómo debe hacerlo”,
señala la Agencia.
En la creación y puesta en marcha de este nuevo espacio web, la Agencia ha contado con la colaboración de la
Secretaría de Estado para la Sociedad de la Información y la Agenda Digital y la Agencia Española de Consumo,
Seguridad Alimentaria y Nutrición.
Entre las denuncias que recibe la Agencia anualmente, una gran parte de ellas se centran en las empresas y servicios
de telecomunicaciones, ya sea la inserción indebida en ‘ficheros de morosidad’ o la contratación irregular. Como
dato, según la última Memoria de la AEPD, uno de cada tres afectados denunció ante la Agencia por cuestiones
relacionadas con el ámbito de la morosidad, en particular la inclusión indebida en ficheros de solvencia, la
reclamación de deudas o la contratación irregular en servicios ofrecidos por operadoras de telecomunicaciones,
entidades financieras o compañías energéticas.
Con este nuevo espacio la Agencia quiere que el consumidor conozca sus derechos y pueda obtener una respuesta
adecuada a su reclamación.
La página está dividida en cuatro espacios: Qué puedo reclamar y Dónde debo dirigirme; Cómo puedo reclamar;
Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y Qué documentación tengo
que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones
o por inclusión indebida en guías de abonados.
76
Desde el Grupo de Delitos Telemáticos de la Guardia Civil también han querido unirse a esta conmemoración y han
editado una infografía con consejos para comprar de forma segura por Internet. La vemos a continuación.
Entre estos consejos es de vital importancia asegurarnos de que el portal es de confianza, ofrece una navegación
segura (cifrado de datos, protocolos https), el pago sea a través de plataformas seguras.
77
9.2. Cumplir con la LOPD en la Administración de Fincas
La Agencia Española de Protección de Datos (AEPD) acaba de publicar una guía enfocada a facilitar el cumplimiento
de la Ley Orgánica de Protección de Datos (LOPD) por parte de las comunidades de propietarios. Con el fin de
facilitar el trabajo de los administradores de fincas y proteger a los ciudadanos.
La Agencia explica en su comunicado que los temas de protección de datos en comunidades de propietarios son de
los más consultados en su sección de preguntas frecuentes, de ahí que se haya animado a realizar esta guía para dar
herramientas normativas a los administradores, que deben velar porque se cumpla la Ley dentro de la comunidad.
En la guía publicada bajo el título “Protección de Datos y Administración de Fincas” se exponen las cuestiones
generales de la normativa de protección de datos que este sector debe cumplir. “En este sentido, se incluyen secciones
dedicadas a las definiciones de conceptos básicos, a la inscripción de ficheros y el futuro registro de actividades,
a la forma de organizar las relaciones entre la comunidad de propietarios y el administrador, y a las principales
obligaciones de las partes”, señala la AEPD.
Además la guía da respuesta detallada a algunas de las cuestiones que con mayor frecuencia se consultan sobre
administración de fincas. Entre ellas encontramos: información sobre propietarios con pagos pendientes (publicación
en el tablón de avisos de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas),
acceso y obtención de copias de la documentación de la comunidad, requisitos para la instalación de cámaras de
videovigilancia (tema que tratamos en un post anterior) o tratamiento de datos de empleados.
También hay lugar en la guía a los nuevos retos que suponen para los administradores de fincas cumplir con el nuevo
Reglamento Europeo de Protección de Datos que será de obligado cumplimiento el 25 de mayo de 2018.
A este fin pueden consultarse otra series de guías que ya han sido publicadas por la AEPD que ayudan a cumplir con
las nuevas normas. Estas guías son: Guía del Reglamento europeo para responsables de tratamiento, la Guía para el
cumplimiento del deber de información y la Guía para la elaboración de contratos entre responsables y encargados.
9.3. ¿Puedo poner una cámara de videovigilancia en mi plaza de

garaje? Cumplir con la LOPD
La Agencia Española de Protección de Datos estrena Blog, en él se pueden leer una serie de artículos que nos ayudan
a cumplir con la Legislación de Protección de Datos. Hoy nos hacemos eco de uno de ellos, en los que se dan las
claves para cumplir con la LOPD en videovigilancia en una plaza de garaje.
El primer paso para poder colocar una cámara de videovigilancia en una plaza de garaje es pedir permiso a la
comunidad de propietarios, siempre que esté localizada en un edificio de varios propietarios. Éstos deben dar su
consentimiento.
Son varias las disposiciones que establece la AEPD que deben cumplirse. Al considerar que una plaza de garaje,
aunque es un bien privado está abierta al acceso público de viandantes, y que por tanto puede tomar imágenes de
personas, plazas colindantes y espacios comunes, debe contar con el aprobado de la comunidad, recogido en acta.
Solo si contamos con este documento firmado podremos instalar la cámara de videovigilancia.
La Agencia Española de Protección de Datos pone a disposición de todos una Guía de videovigilancia, en la que se
exponen todos los elementos necesarios que deben cumplir para que sean acordes con la LOPD. Esta guía en un
futuro breve contará con nuevos añadidos que tienen en cuenta los últimos cambios legislativos.
Para cumplir con la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) la instalación de la cámara
de videovigilancia debe quedar debidamente informada en la plaza de garaje, con carteles autorizados, que se pueden
extraer de la web de la Agencia. En los carteles, que deben estar claramente visibles, debe indicarse claramente la
identidad del responsable de la instalación. También se debe informar de ante quién pueden ejercer sus derechos los
afectados y dónde pueden hacerlo.
La cámara debe instalarse de forma que capte imágenes para el fin que se ha instalado, este es vigilar la propia plaza,
por lo que su foco debe enfocarse en la propia plaza de garaje y su contenido. No podemos enfocar la totalidad del
garaje.
78
Las imágenes no podrán conservarse por un plazo máximo de un mes. Al permitir la grabación y su almacenamiento,
debemos crear un fichero de tratamiento de datos personales y darlo de alta en la Agencia, en su Registro General.
Si nuestra plaza es exterior y corre el riesgo de tomar imágenes de la vía pública, éstas no pueden captarse ya que
estaremos invadiendo la privacidad e intimidad de los ciudadanos. Solo se podrán tomar en caso de fuerza mayor o
si se toman imágenes parciales y no de la totalidad del espacio.
10. Bibliografía
•• Agencia Española de Protección de Datos. https://www.agpd.es/portalwebAGPD/index-ides-idphp.php
•• Vlex
•• LOPd
•• LSSIyCE
•• http://www.elderecho.com
•• Noticias Jurídicas
•• http://www.cumpleprotecciondedatos.com
•• Blog ECIJA
•• http://www.elmundo.es
•• http://www.expansion.com
•• Centro de documentación judicial. http://www.poderjudicial.es/cgpj/es/Temas/Documentacion-Judicial/El-

Centro-de-Documentacion-Judicial--Cendoj--/
79
IDIT FORMACIÓN
GESTIÓN EMPRESARIAL
www.iditformacion.com
902 602 063

Manual LOPD Amaya

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual LOPD Amaya

Enviado por

Direitos autorais:

Formatos disponíveis

GESTIÓN EMPRESARIAL

902 602 063

1. La LOPD: Definiciones de Protección de Datos. El origen de la protección del dº a la intimidad.

1.1. Introducción al derecho a la intimidad 5

2. Las Agencias de Control 11

3. Cumplimiento legal: Documento de seguridad, obtención del consentimiento, inscripción de

3.1. Requisitos para la validez del consentimiento 19

4.1. Derecho de acceso 32

5.1. Contenido preceptivo (art. 73 y 75.1 y 2 RLOPD) 42

8. Resoluciones y sentencias más destacadas 55

9. Cuestiones prácticas, aclaraciones de la Agencia Española de Protección de datos 76

9.2. Cumplir con la LOPD en la Administración de Fincas 78

1. La LOPD: Definiciones de Protección de Datos. El

1.1. Introducción al derecho a la intimidad

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

c) Derecho a la propia imagen

El desarrollo de la protección de estos derechos lo efectúa, principalmente, la L.O. 1/1982, de 5 de mayo, de

d) Secreto de las comunicaciones

En concreto, y siguiendo la jurisprudencia del Tribunal Constitucional, el 18.3 de la CE consagra la libertad de

Esta especial protección se consagra en el artículo 53 que establece:

3. El reconocimiento, el respeto y la protección de los principios reconocidos en el Capítulo tercero informarán

1.2. La protección de datos

1.2.1. Marco jurídico aplicable a la materia

•• Constitución Artículo 18.1 de la Constitución Española de 1978.

•• Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal.

2. Las Agencias de Control

Sus directores han sido:

•• Juan José Martín-Casallo López (1993-1998)

•• Juan Manuel Fernández López (1998-2002)

•• José Luis Piñar Mañas (2002-2007)

•• Artemi Rallo Lombarte (2007-2011)

•• José Luis Rodríguez Álvarez (2011- 2015)

•• Dña. Mar España Martí (2015-actualidad)

2.2. Agencias autonómicas

2.3. Principales funciones de la AEPD

1. En relación con los afectados

•• Atender a sus peticiones y reclamaciones.

2. En relación con quienes tratan datos

•• Emitir las autorizaciones previstas en la Ley.

•• Dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de

•• Representación de España en los foros internacionales en la materia.

•• Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.

2.4. El protocolo de actuación ante una inspección de la Agencia

2.5. Actuaciones previas de investigación (Inspección)

2.6. Tipos de inspecciones por su origen

•• Historiales clínicos en contenedores de basura ordinarios.

•• Noticias sobre fallos de seguridad en grandes ficheros en soporte papel.

•• Plan Sectorial de Oficio a la Enseñanza Reglada no Universitaria (2006).

El origen de la denuncia se puede dividir en tres grandes grupos:

•• Instituciones y/o organismos públicos.

2.7. Protección de derechos

3. Cumplimiento legal: Documento de seguridad,

El consentimiento del afectado está regulado en las siguientes normas jurídicas:

•• Ley Orgánica de Protección de Datos 15/1999. Artículos 3.h y artículo 6.

•• Reglamento LOPd. Artículos 12 a 17 (Real Decreto 1720/2007)

3.1. Requisitos para la validez del consentimiento

En concreto este precepto establece:

“Artículo 5 Derecho de información en la recogida de datos

a) De la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.

e) De la identidad y dirección del responsable del fichero.

3.2. Forma de obtener el consentimiento

“La voluntad expresada a través de una declaración clara por el interesado”