¿QUÉ ES LA LOPD? PREGUNTAS FRECUENTES

Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica Española,  que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundmentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

Esta ley afecta a todos los datos que hacen referencia a personas físicas registradas sobre cualquier soporte, informático o no. Quedan excluidas de esta normativa aquellos datos recogidos para uso doméstico, las materias clasificadas del estado y aquellos ficheros que recogen datos sobre Terrorismo y otras formas de delincuencia organizada (no simple delincuencia).

Obligatoriedad de la Ley
Esta ley obliga a todas las personas, empresas y organismos, tanto privados como públicos que dispongan de datos de carácter personal a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos que posean.

A grandes rasgos,
Las obligaciones legales fundamentales son:
Dar de alta los ficheros en la Agencia Española de Protección de datos.
Elaborar y mantener actualizado el Documento de Seguridad.
Obtener la legitimidad de los afectados.

Régimen de sanciones
Las sanciones LOPD previstas para las infracciones por acción u omisión son muy elevadas. Por ejemplo, una falta “leve” como no declarar un fichero, 60.000 € (10 millones de pesetas). Pueden llegar hasta los 600.000 € (100 millones de pesetas) en el caso de una cesión de datos sin consentimiento

¿Sabe si usted trata datos de carácter personal?
¿Cuáles son los datos de carácter personal? Estas y otras preguntas las tiene resueltas en Dudas y preguntas sobre la LOPD.

No tenemos ningún fichero de datos, aunque accedemos a datos de clientes ¿debemos cumplir alguna obligación ante la APD?

Los clientes serán los responsables de los ficheros, pero Uds. se configuran como encargados del tratamiento.

Si acceden, o pueden acceder, a datos de clientes, deben tener suscrito el contrato que regula este acceso y deben tener establecidas las medidas de seguridad que correspondan al nivel de los datos a los que acceden, aunque no tengan que dar de alta ningún fichero ante la APD. Los proveedores de servicios de Hosting o de ASP (aplication service provider), son claros ejemplos de encargados de tratamiento.

¿La LOPD se refiere sólo a los tratamientos “automatizados” de datos personales, o incluye también los tratamientos “manuales”, como por ejemplo fichas en papel?

A diferencia de la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, conocida como LORTAD, la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, conocida como LOPD, ya no limita su ámbito de aplicación a los tratamientos automatizados, sino que se extiende a cualquier tratamiento de datos, sea en soporte informático o en cualquier otro soporte.

Si creamos un fichero a partir de la información que podamos extraer de la guía de teléfonos ¿debemos recabar el consentimiento de los interesados?

Las guías o repertorios telefónicos tienen la consideración legal de fuentes de acceso público, por lo que no será necesario recabar el consentimiento de los interesados. Sin embargo, si se realiza cualquier tipo de comunicación a las personas titulares de esos datos, deberá informárseles expresamente de los siguientes extremos:

  1. el origen de los datos
  2. la identidad del Responsable del fichero
  3. la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición.

¿Puedo utilizar libremente los datos personales que aparezcan en páginas web?

Para ello sería necesario que Internet fuera considerado como fuente de acceso público a estos efectos, pero la enumeración fuentes de acceso público realizada en el artículo 3.j de la LOPD no incluye a Internet.

En opinión de la Agencia de Protección de Datos, Internet no constituye un medio de comunicación, por lo que los datos de carácter personal que aparezcan en la red no podrán ser sometidos a tratamiento sin contar con el consentimiento de los interesados, obtenido conforme a las previsiones legales.

¿Debo comunicar a la Agencia de Protección de Datos el documento de seguridad?

No. El documento de seguridad debe estar a disposición de la Agencia, pero no se debe comunicar nada. La APD da por hecho que Ud. tiene correctamente redactado dicho documento y será lo primero que le pida en caso de inspección.

¿Puedo utilizar los datos personales recabados de alguien para remitirle publicidad?

De acuerdo con el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de carácter personal, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado.

¿Cómo se puede conseguir que eliminen tus datos de los ficheros de las empresas que te remiten publicidad?

Esto se puede evitar ejercitando los derechos de cancelación. Para ello, el afectado deberá dirigirse al responsable de fichero, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, acompañando la copia del DNI. se podrá ver más información acerca del Derecho de cancelación en el apartado dedicado a “Derechos de las Personas”.

¿Es necesario declarar ante la Agencia Española de Protección de Datos el Documento de Seguridad de los Ficheros Automatizados de Datos de Carácter Personal?

El documento de seguridad, al igual que las auditorías bienales, es de carácter interno, pero debe estar disponible y actualizado por si la Agencia lo requiere.

¿Los datos contenidos en los ficheros son tratados por terceras entidades que prestan un servicio al responsable del fichero?

Existe tratamiento de datos por terceros cuando el fichero titularidad de una organización es tratado por una persona, física o jurídica, ajena a su organización, pero bajo el mandato e instrucciones de la primera. Es decir: si como consecuencia de una prestación de servicio al responsable del fichero (también denominado responsable del tratamiento), un tercero accede cuando sea necesario a sus datos de carácter personal almacenados en sus sistemas, la LOPD no lo considera una comunicación de datos sino un tratamiento de datos por cuenta de terceros.

Es habitual que las organizaciones contraten la prestación de servicios como:

Asesoría laboral

Asesoría contable

Asesoría fiscal

Organización de prevención de riesgos laborales

Despacho jurídico

Organización de franqueo

Organización de mantenimiento informático

Organización que presta servicios de housing

Organización proveedora de software

Este acceso deber estar regulado en un contrato conforme lo estipulado en el art. 12 de la LOPD, lo que excluye el deber de obtener el consentimiento del afectado para someter a tratamiento estos datos por terceras entidades. Una vez se haya cumplido la prestación, los datos y soportes deberán ser destruidos y devueltos al responsable del tratamiento.

¿Qué tipos de consentimiento son admitidos por la LOPD?

PRESUNTO:

El consentimiento presunto, se desprende del comportamiento del interesado. Es el caso, por ejemplo, en los que un entrevistado cumplimenta un formulario con sus datos personales, sin consentir expresamente al almacenamiento de los mismos, pero estando informado de las circunstancias relativas a su tratamiento.

El consentimiento presunto, pese a su admisión doctrinal, presenta grandes problemas de inseguridad jurídica conllevando un evidente riesgo.

TÁCITO:

El consentimiento tácito, a diferencia del presunto, no se deriva de actos del interesado sino precisamente de su falta de actuación, de su silencio. El consentimiento tácito es admitido por la LOPD y también por la propia AGPD. De este modo se pronuncia el organismo regulador ante la consulta realizada por numerosos afectados, a los que un operador de telefonía solicitaba su consentimiento para tratar los datos de facturación con fines de promoción publicitaria:

Si, en la carta recibida por los abonados, se requiere el consentimiento para tratar automatizadamente los datos personales, y se informa de que el consentimiento solicitado “facultativo y no obligatorio” es para ofrecer servicios de telecomunicaciones de la propia organización  y no de terceras compañías, y, se incluye la referencia expresa a la posibilidad de ejercer los derechos de acceso, rectificación y cancelación, y del lugar y responsable del fichero ante el que ejercitarlos, y teniendo en cuenta que los destinatarios de la carta pueden conocer los datos de tráfico y facturación objeto de tratamiento, en la medida en que constan en las facturas que le envía peridicamente la compañía remitente, se indica que debe considerarse que la carta remitida se adecuará a las exigencias legales, disponiendo el abonado de la opción de manifestar su consentimiento contrario al tratamiento de los datos, así como de la de revocarlo posteriormente, pudiendo ejercitar el derecho de oposición por escrito y con acuse de recibo.

EXPRESO:

El consentimiento expreso, por su parte, exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio.

El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la ley así lo establece de forma manifiesta.

Si unimos las anteriores consideraciones a los diferentes niveles de sensibilidad de datos (artículo 4 R.D. 994/1999, por el que se aprueba el Reglamento de Medidas de Seguridad) llegaremos a las siguientes conclusiones:

  • Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que sería válido el consentimiento tácito.

  • Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) es necesario el consentimiento expreso.

  • Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.

¿Cómo actúa la Agencia de Protección de Datos?

La Agencia Española de Protección de Datos, previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados. Una vez realizada la inspección, tiene capacidad para imponer las multas contempladas en la ley.

¿Qué se considera dato de carácter personal?

El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, comprende cualquier información concerniente a una persona física identificada o identificable. En este concepto se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

¿Qué es un fichero de “datos personales”?

El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

¿En qué consiste la inscripción de ficheros?

Las empresas que realicen tratamiento de datos de carácter personal deben obligatoriamente inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero de pacientes, fichero de informes, fichero de nóminas, fichero de clientes, etc.).

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda. Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.

Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que notifique la supresión de un fichero, se deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También se deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

En caso de error o falta de cumplimiento en el tratamiento de datos de carácter personal ¿la responsabilidad recae sobre la empresa o sobre el empleado?

La responsabilidad final no recae sobre la persona física sino sobre el Responsable del Fichero, es decir, sobre la empresa. Son múltiples los casos en los que, aún de forma inintencionada, se produce una vulneración por una mala actuación por parte del personal. De ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación de los empleados en materia de LOPD.

¿A qué sanciones se expone una empresa que no cumpla con la LOPD?

La cuantía de las sanciones impuestas por la Agencia de Protección de Datos varía en función a la naturaleza de los derechos personales afectados, así como a la cantidad de información tratada, los beneficios obtenidos por dicho trato o el perjuicio ocasionado a los afectados, entre otras características.

En relación a lo expresado anteriormente, existen tres tipos de infracciones:

  • Infracciones leves: Sanciones entre 900€ y 40.000€
    Se consideran objeto de sanciones leves, entre otros, la no solicitud de inscripción del fichero (o ficheros) de datos en la Agencia Española de Protección de datos, la recopilación de datos sin informar a los afectados o la transmisión de datos a un encargado de tratamiento sin haber suscrito un contrato de prestación de servicios.
  • Infracciones graves: Sanciones entre 40.001€ y 300.000€
    Por infracción grave se entiende, entre otros numerosos supuestos, por ejemplo, el uso de los datos tratados con una finalidad distinta a la original, no permitir el acceso a los ficheros a los afectados, mantener datos inexactos, no seguir los principios y garantías establecidas en la LOPD, mantener el tratamiento de datos sin las condiciones de seguridad exigida según la legislación vigente y tratar datos sin haber obtenido el consentimiento de sus titulares.
  • Infracciones muy graves: Sanciones entre 300.001€ y 600.000€
    Como infracciones muy graves, a título ilustrativo, se puede señalar, no cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos, o la transferencia internacional de datos a países de riesgo sin la autorización del Director de la AEPD.

¿Una dirección de email se considera dato de carácter personal?

Una dirección de e-mail se considera un dato personal, en tanto en cuanto puede identificar a su titular. Partiendo de la definición anterior, por tanto, la libreta de direcciones de Outlook es un fichero que contiene datos de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.

¿Es aplicable la legislación de protección de datos a una persona fallecida?

De conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación, cancelación y oposición son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.

En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de su Reglamento de desarrollo.

Asimismo, el Real Decreto 1720/2007, permite también, en algunos casos, que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

En un tratamiento de datos por parte de terceros ¿Qué diferencia hay entre “Responsable del Fichero” y “Encargado del Tratamiento”?

La LOPD establece que en estos supuestos existe un “Acceso a Datos por Cuenta de Terceros”, en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero y el Encargado del Tratamiento.

El Responsable del Fichero o Responsable de Tratamiento es el titular de los Ficheros de datos de carácter personal. Así la LOPD define al Responsable del Fichero como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento”.

Encargado del tratamiento, en cambio, será la empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento.”

La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del art. 12 LOPD:

  1. No se considerará comunicación de datos (cesión de datos) el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (Responsable del Fichero).
  2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
    1. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de la Ley que el encargado está obligado a implementar.
    2. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
    3. En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente.