900 101 694

¿En qué consiste la LOPD?

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos tiene como objetivo primordial regular el tratamiento de datos de carácter personal para garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, y en particular su honor, intimidad y privacidad personal y familiar (art. 18.4 de la Constitución Española).

¿A quién afecta?

La LOPD afecta a todas las personas, empresas u organismos públicos o privados que disponen de datos de carácter personal para el desarrollo de su actividad, estando obligados a adoptar las medidas de índole técnica y organizativa necesaria que garanticen la seguridad de los datos eviten su alteración, pérdida, tratamiento o acceso no autorizado.

¿No tienes claro los conceptos? Nosotros te ayudamos

DATOS DE CARÁCTER PERSONAL: Cualquier información numérica, alfabética, fotográfica o acústica; que concierne a personas físicas identificables o identificadas.
(La ley lo define así: Cualquier información concerniente a personas físicas identificadas o identificables)

FICHERO: Todo conjunto organizado de datos de carácter personal (ya sea en soporte papel o informatizado)

TRATAMIENTO DE DATOS: Operaciones y procedimientos técnicos automatizados o no, que permitan la recogida, grabación, conservación, elaboración, modificación y cancelación; así como las cesiones de datos que son el resultado de comunicaciones, consultas y transferencias.

RESPONSABLE DEL FICHERO: Persona física o jurídica, de naturaleza pública o privada u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento de los datos.

RESPONSABLE DE SEGURIDAD: Persona o personas a la que el Responsable del Fichero ha asignado formalmente la función de controlar y aplicar las medidas de seguridad.

INTERESADO: Persona física titular de los datos que sean objeto de tratamiento.

ENCARGADO DEL TRATAMIENTO: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo, que solo o conjuntamente, trate datos personales por cuenta del Responsable del tratamiento.

CONSENTIMIENTO DEL INTERESADO/ORIGEN: Toda manifestación de voluntad, libre, inequívoca, específica e informada mediante a que el interesado consiente el tratamiento de datos personales.

CESIÓN DE DATOS: Toda revelación de datos realizada a una persona distinta del interesado.

FUENTES ACCESIBLES AL PÚBLICO: Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y l as listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

INCIDENCIA:Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

¿Cuales son tus derechos?

En cumplimiento de las disposiciones legales vigentes, se ofrece a las personas a las que se les recaban datos personales, la posibilidad de ejercitar sus derechos, DERECHO ARCO.

DERECHO DE INFORMACIÓN: En el momento en que se procede a la recogida de los datos personales, el interesado debe ser informado previamente de modo expreso, preciso e inequívoco de, entre otros, la existencia de un fichero, de la posibilidad de ejercitar sus derechos y del responsable del tratamiento.

DERECHO DE ACCESO: El derecho de acceso permite al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento.

DERECHO DE RECTIFICACIÓN: Este derecho se caracteriza porque permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

DERECHO DE CANCELACIÓN: El derecho de cancelación permite que se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.

DERECHO DE OPOSICIÓN: El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.

¿Es obligatorio el Documento de Seguridad?

Se aprueba a través del Real Decreto 994/1999 de 11 de Junio, por el que se establece el Reglamento de medidas de seguridad de los ficheros automatizados o no, que contengan datos de carácter personal, establece que es obligatoria su adopción siempre que se traten datos personales, siendo cual sea el nivel de seguridad del fichero.

¿Tiene infracción el no tener el documento de seguridad?

Se considera infracción grave “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen” art. 43 h. Ley Orgánica 15/1999 de Protección de Datos.

¿Dónde se encuentra recogido su fundamento?

En el art. 9 de la Ley Orgánica 15/1999, establece en el párrafo 1 que “El responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”

¿Es obligatorio que los emplados conozcan la existencia del contenido del Documento de Seguridad o solo concierne al responsable de seguridad?

Toda persona con acceso a datos personales o que intervenga en alguna fase del tratamiento, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecen las funciones obligatorias del personal. Art. 9.1 RD 994/1999. Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Art. 9.2 RD 994/1999.

Infracciones y sanciones

ARTÍCULO 44: TIPOS DE INFRACCIONES
  • Las infracciones se calificarán como leves, graves o muy graves.
  • Son infracciones leves:
    • No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
    • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
    • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
    • La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
  • Son infracciones graves:
    • Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
    • Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
    • Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
    • La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
    • El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
    • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
    • El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.
    • Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
    • No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
    • La obstrucción al ejercicio de la función inspectora.
    • La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.
  • Son infracciones muy graves:
    • La recogida de datos en forma engañosa o fraudulenta.
    • Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
    • No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
    • La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

ARTÍCULO 45: TIPOS DE SANCIONES
  • Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  • Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  • Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
  • La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
    • El carácter continuado de la infracción.
    • El volumen de los tratamientos efectuados.
    • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
    • El volumen de negocio o actividad del infractor.
    • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
    • El grado de intencionalidad.
    • La reincidencia por comisión de infracciones de la misma naturaleza.
    • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
    • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
    • Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
  • El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
    • Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
    • Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
    • Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
    • Cuando el infractor haya reconocido espontáneamente su culpabilidad.
    • Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
  • Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
    • Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
    • Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
    Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
  • En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.
  • El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

Creo que no estoy obligado a inscribir los ficheros manuales o en papel (agendas, listados, fichas…)

La nueva ley en Protección de Datos es aplicable tanto a los ficheros automatizados como a los no automatizados. He aquí la gran diferencia con la anterior LORTAD, donde solo se aplicaba a ficheros automatizados. El soporte de papel, está dentro de la definición de soportes físicos, aunque su aplicación queda demorada hasta el 24 de diciembre de 2007 para ficheros preexistentes.

¿Puedo utilizar los datos de mis clientes para publicidad?

El art. 6 de la Ley Orgánica de Protección de Datos 15/1999, indica que el tratamiento de los datos de carácter personal requiere del consentimiento inequívoco del afectado.

¿Cómo puedo eliminar los datos de una empresa que me remita publicidad?

Esto se puede conseguir ejerciendo el derecho de cancelación. El afectado/interesado deberá dirigirse por escrito al responsable del fichero, acreditando el envío y la recogida de la solicitud; además de aportar copia del DNI.

¿Es importante notificar en la AEPD los ficheros automatizados que están reflejados en el Documento de Seguridad?

La respuesta es SI. El Documento de Seguridad al igual que las auditorias bienales, son de carácter interno y deberán de estar disponibles y actualizados por si fueran requeridos por la AEPD.

¿Se produce el acceso por un tercero de los datos contenidos en los ficheros para la prestación de un servicio al responsable del fichero?

La respuesta es SI. Hay tratamiento de datos por terceros, cuando el fichero es tratado por una persona física o jurídica; ajena a la entidad; ésta tendrá acceso a los datos de carácter personal, bajo la supervisión y autorización de la primera. Es decir, debido a la prestación de un servicio, accede a los datos necesarios almacenados.