PROTECCIÓN DE DATOS DE CARÁCTER … · Española de Protección de Datos (Ley 63/2003) resulte...
Transcript of PROTECCIÓN DE DATOS DE CARÁCTER … · Española de Protección de Datos (Ley 63/2003) resulte...
GRUPO C1
TEMA 8
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: DISPOSICIONES GENERALES.
DATOS ESPECIALMENTE PROTEGIDOS.
AÑO 2015
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 2/40
ÍNDICE: I. DISPOSICIONES GENERALES. ......................................................................................... 4
I.1. Introducción .................................................................................................................. 4 I.2. Marco Normativo .......................................................................................................... 6 I.3. Delimitación Conceptual- ............................................................................................. 7 I.4. Ámbito de Aplicación de la Ley.................................................................................... 8
a) Ámbito objetivo............................................................................................................. 8 b) Ámbito Territorial ......................................................................................................... 9 c) Materias Excluidas del ámbito de aplicación de la Ley. ............................................... 9
I.5. Disposiciones Sectoriales.- creación, modificación o supresión de ficheros públicos y su inscripción. .......................................................................................................................... 10
II. PROTECCIÓN DE DATOS.- ......................................................................................... 13 II.1. Principios ..................................................................................................................... 13
a) Principio de calidad ..................................................................................................... 13 b) Principio de Información en la recogida de datos ....................................................... 14 c) Principio de Consentimiento del Interesado ................................................................ 15 d) Principio de Seguridad de los Datos ............................................................................ 18 e) Deber de Secreto ......................................................................................................... 18 f) Comunicación de Datos .............................................................................................. 18 g) Acceso a los Datos por Cuenta de Terceros: ............................................................... 20
II.2. Los Derechos de las Personas: .................................................................................... 21 a) Impugnación de Valores .............................................................................................. 22 b) El Derecho de Consulta al Registro General de Protección de Datos ......................... 22 c) El Derecho de acceso .................................................................................................. 23 d) El Derecho de Rectificación y Cancelación ................................................................ 24 e) El Derecho de Oposición ............................................................................................. 25 f) Derecho a Indemnización ............................................................................................ 26 g) Tutela de los Derechos ................................................................................................ 26
II.3. Las Medidas de Seguridad. ......................................................................................... 27 II.4. Régimen Sancionador ................................................................................................. 28 II.5. Agencia Española de Protección de Datos .................................................................. 31
III. DATOS ESPECIALMENTE PROTEGIDOS. ............................................................... 32 1. Derecho a no declarar sobre la ideología, religión o creencias: .................................. 33 2. Principio de Consentimiento en los datos especialmente protegidos: ......................... 33 3. Tratamiento de datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual. ....................................................................................................... 33 4. Prohibición de creación y tratamientos de datos especialmente protegidos. ............... 33 5. Tratamiento de los datos de carácter personal relativos a la comisión de infracciones penales o administrativas. .................................................................................................... 34 6. Medidas de Seguridad. ................................................................................................ 34 7. Infracciones ................................................................................................................. 35
IV. ANEXO LEY DE TRANSPARENCIA VS. PROTECCIÓN DE DATOS .................... 36 IV.1. La Publicidad Activa ................................................................................................... 37 IV.2. El Derecho de Acceso a la Información Pública ......................................................... 37
1. LÍMITES AL EJERCICIO DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA. ........................................................................................................................... 37
IV.3. El Principio del Perjuicio o Test del Daño .................................................................. 40
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 3/40
NOTA: Se ha cambiado el orden de los apartados del programa para seguir la coherencia en
la exposición. Además, de la Disposiciones Generales, se ha incluido por su relevancia
el estudio de las disposiciones sectoriales contempladas en el Título IV y en especial,
la creación, modificación o supresión de ficheros públicos y su inscripción en la
Agencia Española de Protección de Datos. Por último, se ha incluido un Anexo sobre
transparencia y protección de datos por cuanto son materias íntimamente relacionadas
y porque se contempla en la Ley de Transparencia aspectos que inciden en la
protección de datos de carácter personal.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 4/40
I. DISPOSICIONES GENERALES.
I.1. INTRODUCCIÓN
Para estudiar el tema de la protección de dato hemos de acudir en primer lugar,
a la Constitución española (CE), que en su artículo 18, garantiza "el derecho al honor,
a la intimidad personal y a la propia imagen", así como, "el secreto de las
comunicaciones y en especial de las postales, telegráficas y telefónicas, salvo
resolución judicial"; y establece en su apartado cuatro que la ley limitará "el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos
y el pleno ejercicio de sus derechos".
La protección de las personas con respecto al tratamiento automatizado de
datos de carácter personal se desarrolló inicialmente por la Ley Orgánica 5/1992, de
29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter
Personal (en adelante, LOTARD).
Con anterioridad a la aprobación de este texto legal España había firmado el 28
de enero de 1982 el Convenio comunitario sobre esta materia, aprobado y ratificado,
para su entrada en vigor en el ámbito de nuestro país, el 1 de octubre de 1985.
Este convenio establecía que los datos de carácter personal que sean objeto
de un tratamiento automatizado se obtendrán y tratarán leal y legítimamente; se
registrarán para finalidades determinadas y legítimas y no se utilizarán de una forma
incompatible con dichas finalidades; serán adecuados, pertinentes y no excesivos en
relación con las finalidades para las cuales se hayan registrado; serán exactos y si
fuera necesario puestos al día; y se conservarán bajo una forma que no permitan la
identificación de las personas concernidas durante un período de tiempo que no
exceda del necesario para las finalidades para las cuales se hayan registrado.
Los datos de carácter personal que revelen el origen racial las opiniones
políticas, las convicciones religiosas u otras convicciones, así como los datos de
carácter personal relativos a la salud o la vida sexual, no podrán tratarse
automatizadamente a menos que el derecho interno prevea garantías apropiadas. La
misma norma regirá en el caso de datos de carácter personal referentes a condenas
penales.
Además de ese convenio, hay que destacar que en el ámbito comunitario, esta
materia se encuentra regulada en la Directiva 1995/46/CE de 24 de octubre, del
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 5/40
Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en
el tratamiento de datos personales y a la libre circulación de estos datos.
La LOTARD fue derogada y sustituida por la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), cuya
última reforma fue realizada por la Ley 62/2003, de 30 de diciembre de medidas
fiscales, administrativas y del orden social. La LOPD pretendía la adaptación de
nuestro derecho interno a las orientaciones normativas de la Unión Europea y, en
concreto, a la citada Directiva Comunitaria 1995/46, de 24 de octubre, pero a la vez ha
pretendido introducir un significativo cambio en su objeto y en su ámbito de aplicación.
En efecto, su objeto es mucho más amplio, más ambicioso y menos concreto.
Ya no pretende regular el tratamiento automatizado de los datos, sino su protección en
general, independientemente de que su tratamiento se haga por métodos
automatizados o manuales, de que se contengan en soportes informáticos, en papel,
etc.
Los principios de la protección de los datos son esencialmente los mismos que
en la LORTAD y responden a los contenidos en el convenio y Directiva antes citados.
Entre las novedades cabe destacar la nueva obligación del responsable del fichero de
informar al interesado, de forma expresa, precisa e inequívoca, en el plazo de tres
meses, cuando los datos no hayan sido recabados directamente de él, y siempre que
no se le haya informado con anterioridad, de el contenido del tratamiento, la
procedencia de los datos, la existencia de un fichero o tratamiento de datos de
carácter personal, de la finalidad de la recogida de éstos, y los destinatarios de la
información, su derecho de acceso, rectificación, cancelación y oposición y la
identidad y dirección del responsable del tratamiento, o en su caso, de su
representante.
Solo se excepciona de esta obligación cuando, a criterio de la Agencia
Española de Protección de Datos (Ley 63/2003) resulte imposible o exija esfuerzos
desproporcionados.
Se introduce el derecho de oposición del interesado a que sus datos sean
tratados cuando existan motivos fundados y legítimos y se regula el procedimiento
para ejercer este derecho.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 6/40
Además hay que destacar la Ley 19/2013, de 9 de diciembre, de
Transparencia, acceso a la información pública y buen Gobierno (artículo 15) y Ley
12/2014, de 16 de diciembre, de Transparencia y Participación Ciudadana de la
Comunidad Autónoma de la Región de Murcia (artículo 25), cuya regulación incide en
la materia que nos ocupa.
I.2. MARCO NORMATIVO
Así pues, el MARCO NORMATIVO de esta materia está constituido por:
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal (LOPD).
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre
de protección de datos de carácter personal.
El Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el
Estatuto de la Agencia de Protección de Datos.
Otras normas que completan el marco normativo de esta materia son las
siguientes:
La Ley 19/2013, de 9 de diciembre, de Transparencia, acceso a la
información pública y buen Gobierno (artículo 15) y Ley 12/2014, de 16 de
diciembre, de Transparencia y Participación Ciudadana de la Comunidad
Autónoma de la Región de Murcia (artículo 25).
La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Además en el ámbito de la Comunidad Autónoma de la Región de Murcia
cabe citar la Resolución de 17 de noviembre de 2009, de la Dirección
General de Calidad e Innovación de los Servicios Públicos por la que se
dicta Circular 1/2009 para la creación, modificación, supresión y notificación
de ficheros públicos con datos personales de la Administración Pública de
Murcia.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 7/40
I.3. DELIMITACIÓN CONCEPTUAL-
El artículo 1 de la LOPD establece que su objeto es garantizar y proteger, en lo
concerniente al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.
Partiendo de ese precepto, la primera cuestión a tratar será determinar qué
hemos de entender por protección de datos.
El artículo 3 da un concepto de datos de carácter personal, definiéndolos como
“cualquier información concerniente a personas físicas identificadas o identificables”.
Ahora bien, es preciso en segundo lugar, determinar frente a qué tiene lugar
dicha protección.
Para ello, acudiremos al concepto de tratamiento de datos que contiene el
citado artículo 3, que lo define como “operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias”.
Más aún, para completar la definición, incluimos el concepto de cesión o
comunicación de datos, que da dicho precepto como “toda revelación de datos
realizada a una persona distinta del interesado”.
Así las cosas, haciendo una interpretación conjunta de todos los preceptos,
podemos entender por protección de datos, la protección de cualquier información
concerniente a personas físicas identificadas o identificables frente a cualquier
operación y procedimiento técnico de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación,
así como las cesiones de datos (esto es, su revelación) que resulten de
comunicaciones, consultas, interconexiones y transferencias”.
Y por último, siguiendo la jurisprudencia existente y en concreto, la Sentencia 292/2000, de 30 de noviembre, podemos decir que este derecho 'persigue garantizar
a esa persona el poder de control sobre sus datos personales, sobre su uso y destino,
con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del
afectado', estableciendo, en cuanto a su ámbito, que 'el objeto de protección del
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 8/40
derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de
la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento
o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque
su objeto no es sólo la intimidad individual, que para ello está la protección que el
artículo 18. 1 CE otorga, sino los datos de carácter personal'.
I.4. ÁMBITO DE APLICACIÓN DE LA LEY.
Para determinar el ámbito de aplicación de la LOPD debemos tratar las
siguientes cuestiones: su ámbito objetivo y territorial, las materias a las que no son de
aplicación y las materias a las que se le aplicará una regulación específica.
a) Ámbito objetivo
De acuerdo con la LOPD, los datos de carácter personal que la ley protege se
refieren a "cualquier información concerniente a personas físicas identificadas o
identificables", y el tratamiento de los mismos del cual se protegen se define como las
"operaciones y procedimientos técnicos de carácter automatizado o no que permitan la
recogida, grabación conservación elaboración, modificación, bloqueo y cancelación,
así como de las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias" (artículos 3.a y 3.c).
En el ámbito de aplicación de la ley se incluyen todos los datos de carácter
personal registrados en soporte físico, que los haga susceptibles de tratamiento y a
toda modalidad de uso posterior por los sectores público o privado.
Así las cosas, quedan excluidos de su ámbito de aplicación los siguientes datos
personales:
Los datos referidos a personas jurídicas, o a los ficheros que se limiten a
incorporar los datos de las personas físicas que presten sus servicios en
aquéllas, consistentes únicamente en su nombre y apellidos, las funciones
o puestos desempeñados, así como la dirección postal o electrónica,
teléfono y número de fax profesionales.
Los datos relativos a empresarios individuales, cuando hagan referencia
a ellos en su calidad de comerciantes, industriales o navieros.
Los datos referidos a personas fallecidas.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 9/40
No obstante, las personas vinculadas al fallecido, por razones familiares o
análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que
contengan datos de éste con la finalidad de notificar el fallecimiento y en su caso,
solicitar, la cancelación de los datos.
b) Ámbito Territorial
En cuanto a su ámbito territorial, la LOPD se aplicará en los siguientes casos:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de
las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español,
le sea de aplicación la legislación española en aplicación de normas de
Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de
la Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, salvo que tales medios se utilicen únicamente con fines
de tránsito
c) Materias Excluidas del ámbito de aplicación de la Ley.
Por el contrario, no será de aplicación la LOPD:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
Sólo se considerarán relacionados con actividades personales o
domésticas los tratamientos relativos a las actividades que se inscriben en
el marco de la vida privada o familiar de los particulares.
b) A los ficheros sometidos a la normativa sobre protección de materias
clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada.
En relación con estos ficheros, el responsable del fichero comunicará
previamente la existencia del mismo, sus características generales y su
finalidad a la Agencia de Protección de Datos.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 10/40
Por último, en el apartado 3 del artículo 2 remite a sus legislaciones específicas
y por lo especialmente previsto, en su caso, por la LOPD (ésta tiene por tanto, carácter
supletorio) el tratamiento de determinados datos personales y en concreto:
Los ficheros regulados por la Legislación electoral.
Los datos que sirvan a fines exclusivamente estadísticos y estén
amparados por la Legislación estatal o autonómica sobre la función
estadística pública.
Los datos contenidos en los informes personales de calificación a que se
refiere la legislación del régimen de personal de las Fuerzas Armadas, los
derivados del Registro Civil y del Registro Central de Penados y Rebeldes,
y los procedentes de imágenes y sonidos obtenidos mediante la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad.
I.5. DISPOSICIONES SECTORIALES.- CREACIÓN, MODIFICACIÓN O SUPRESIÓN DE FICHEROS PÚBLICOS Y SU INSCRIPCIÓN.
Además, de las Disposiciones Generales, la LOPD establece en su Título IV las
llamadas Disposiciones Sectoriales, de cuya regulación estudiaremos por su
importancia, la creación, modificación o supresión de ficheros públicos, así como su
inscripción en el Registro de la Agencia Española de Protección de Datos.
En primer lugar, hemos de dar un concepto de fichero, para lo que acudiremos
de nuevo, al artículo 3 de la LOPD, que lo define como “todo conjunto organizado de
datos de carácter personal, cualquiera que fuere la norma o modalidad de su creación,
almacenamiento, organización y acceso”.
Se ha de distinguir entre ficheros de titularidad PÚBLICA y PRIVADOS.
Por Ficheros de titularidad privada, entendemos aquellos creados y utilizados
por particulares, ya sean personas físicas o empresas, para los que existe, en
principio, un régimen de libertad en lo que se refiere a la creación, siempre que se
cumplan los requisitos que establece la LOPD.
Por ficheros públicos, entendemos aquellos cuya titularidad corresponde a los
entes que integran la Administración Pública, esto es:
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 11/40
La Administración General del Estado
Las entidades y organismos de la Seguridad Social.
Los organismos autónomos del Estado.
Las Sociedades Estatales y entes del Sector público.
Las Administraciones de las CCAA.
Las entidades que integren la Administración Local y sus entidades
dependientes.
En cuanto al procedimiento para la creación, modificación o supresión de los
ficheros públicos se regula en los artículos 20 y siguientes de la LOPD y en los
artículos 57 y siguientes de su Reglamento.
Más en concreto, cabe decir que la creación, modificación o supresión de los
ficheros de las Administraciones Públicas solo podrá hacerse por medio de disposición
general publicada en el Boletín Oficial del Estado (BOE) o Diario Oficial
correspondiente.
El artículo 53 del Reglamento específica el tipo de disposición general,
estableciendo que en la Administración General del Estado o en las entidades u
organismos vinculados o dependientes de la misma deberá revestir la forma de orden
ministerial o resolución del titular de la entidad u organismo correspondiente.
En cuanto a su contenido, cabe decir que de acuerdo con el apartado 2 del
citado artículo, las disposiciones de creación o de modificación de ficheros deberán
indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de
carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de
carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal y, en su caso, las
transferencias de datos que se prevean a países terceros.
f) Los órganos de las Administraciones responsables del fichero.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 12/40
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de
acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto
exigible.
Todo fichero de datos de carácter personal de titularidad pública será notificado
a la Agencia Española de Protección de Datos, por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro General de
Protección de datos, en el plazo de treinta días desde la publicación de la norma o
acuerdo de creación en el diario oficial correspondiente.
En relación con los ficheros de los que sean responsables las CCAA, entidades
Locales y las entidades u organismos vinculados o dependientes de las mismas, las
universidades públicas, así como los órganos de las comunidades autónomas con
funciones análogas a los órganos constitucionales del Estado se estará a su
legislación específica.
En el caso de la Comunidad Autónoma de la Región de Murcia, su regulación
se contiene en la Circular 1/2009, de 17 de noviembre de la Dirección General de
Calidad e Innovación de los servicios públicos sobre procedimiento para la creación,
modificación, supresión y notificación de ficheros públicos con datos personales de la
Administración Pública de la Región de Murcia.
De esa circular, destacaremos que en cuanto a la disposición de creación,
modificación o supresión, cuando se trate de ficheros públicos dependientes de las
Consejerías, adoptarán la forma de Orden del titular de la Consejería correspondiente,
y cuando se trate de ficheros públicos gestionados por sus Organismos Públicos o
Entidades vinculados o dependientes de las mismas, será mediante Resolución del
titular del Organismo Público o Ente.
Y en cuanto al procedimiento de inscripción de la creación, modificación o
supresión de ficheros, éste se regula en el artículo 130 y siguientes del Reglamento,
del que podemos destacar que se iniciará como consecuencia de la notificación por
parte de las CCAA conforme a los modelos o formularios electrónicos publicados al
efecto por la Agencia Española de Protección de Datos.
Asimismo, la resolución corresponde al Director de la Agencia Española de
Protección de Datos, a propuesta del Registro General de Protección de datos.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 13/40
En cuanto al plazo máximo para dictar y notificar resolución acerca de la
inscripción, modificación o cancelación será de un mes. Si en dicho plazo no se
hubiese dictado y notificado resolución expresa, se entenderá inscrito, modificado o
cancelado el fichero a todos los efectos (silencio positivo).
II. PROTECCIÓN DE DATOS.-
Para garantizar la protección de datos, la LOPD establece una serie de
principios, y una serie de derechos para hacer efectivos el cumplimiento de este
derecho fundamental. Además, establece las medidas de seguridad que se han de
adoptar, según el tipo de datos y un régimen sancionador para los supuestos de
incumplimiento de la Ley. Por último, la Ley atribuye a una autoridad independiente la
función de velar por el cumplimiento de la Ley.
Así pues, estos son los apartados a desarrollar en orden a determinar cómo se
articula por Ley, la protección de datos de carácter personal.
II.1. PRINCIPIOS
La LOPD regula en su título II (artículos 4 a 12) una serie de principios que han
de cumplirse para respetar el derecho fundamental a la protección de datos de
carácter personal. Son los siguientes:
a) Principio de calidad
El primero de esos principios es el PRINCIPIO DE CALIDAD, que implica que
los datos han de reunir una serie de características para su tratamiento.
En concreto, los datos han de ser adecuados, pertinentes y no excesivos en
relación con el ámbito y la finalidad, finalidad que ha de ser determinada, explícita y
legítima para las que se hayan obtenido.
Se exige además que no pueda ser utilizada para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 14/40
Por último, se exige que los datos sean exactos y puestos al día, de forma que
respondan con veracidad a la situación actual de la persona.
b) Principio de Información en la recogida de datos
El deber de información al afectado, previo al tratamiento de sus datos de
carácter personal, es uno de los principios fundamentales sobre los que se asienta la
LOPD y así, se regula en su artículo 5 el principio de información en la recogida de
datos, distinguiendo según la información haya sido aportada por el interesado o no.
• DATOS RECABADOS DEL PROPIO INTERESADO.
El apartado 1 del citado precepto establece que los interesados a los que se
soliciten datos personales deberán ser previamente informados de modo expreso,
preciso e inequívoco de los siguientes extremos:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información.
a) Del carácter obligatorio o facultativo de su respuesta a las preguntas que
les sean planteadas.
b) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
c) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
d) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
Este deber de información deberá llevarse a cabo a través de un medio que
permita acreditar su cumplimiento, debiendo conservarse el soporte en el que conste
el mismo.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 15/40
• DATOS NO RECABADOS DIRECTAMENTE DEL PROPIO INTERESADO.
De conformidad con el apartado 4, si la recogida de los datos se ha realizado
sin el conocimiento del interesado se le deberá informar en el plazo de los tres meses siguientes al tratamiento, del contenido de cada uno de los puntos del artículo 5.1.
Por otro lado, no será exigible este deber en los siguientes casos:
a) Cuando una ley lo prevea expresamente
b) Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
c) Cuando la información al interesado resulte imposible.
d) Cuando exija esfuerzos desproporcionados a criterio de la Agencia de
Protección de Datos o del organismo autonómico equivalente, en
consideración al número de interesados, la antigüedad de los datos y a las
posibles medidas compensatorias.
e) Cuando los datos procedan de fuentes accesibles al público y se destinen a
la actividad de publicidad o prospección comercial, en cuyo caso, en cada
comunicación que se dirija al interesado se le informará del origen de los
datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten.
Además es necesario destacar que el responsable del fichero o tratamiento
deberá conservar los documentos o cualquier otro soporte utilizado que acredite el
cumplimiento del deber de información.
Por último, cabe señalar que el incumplimiento del deber de información aquí
visto, se encuentra tipificado como falta leve en el artículo 44.2.d) de la Ley: “Proceder
a la recogida de datos de carácter personal de los propios afectados sin
proporcionarles la información que señala el artículo 5 de la presente Ley'.
c) Principio de Consentimiento del Interesado
Como regla general, la inclusión de datos de carácter personal en un fichero
supondrá que estamos ante un tratamiento de datos de carácter personal, que
requerirá, en principio, el consentimiento del afectado.
Dicho principio aparece recogido en el artículo 6 de la LOPD, al establecer que
“el tratamiento de los datos de carácter personal requerirá el consentimiento
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 16/40
inequívoco del afectado, salvo que la ley disponga otra cosa”, correspondiendo al
responsable del tratamiento la obtención del consentimiento y la prueba de su
existencia por cualquier medio de prueba admisible en derecho.
La manifestación de la voluntad del interesado ha de reunir las siguientes
características:
A. Libre, lo que supone que el mismo deberá haber sido obtenido sin la
intervención de vicio alguno del consentimiento en los términos regulados
por el Código Civil.
B. Inequívoco, lo que implica que no resulta admisible deducir el
consentimiento de los meros actos realizados por el afectado
(consentimiento presunto), siendo preciso que exista expresamente una
acción u omisión que implique la existencia del consentimiento.
C. Específico, es decir, referido a una determinada operación de tratamiento y
para una finalidad determinada, explícita y legítima del responsable del
tratamiento, tal y como impone el artículo 4.2 de la Ley.
D. Informado, es decir que el afectado conozca con anterioridad al
tratamiento la existencia del mismo y las finalidades para las que el mismo
se produce.
El consentimiento podrá ser revocado cuando exista causa justificada para ello
y no se le atribuyan efectos retroactivos, a través de un medio sencillo, gratuito y que
no implique ingreso alguno para el responsable del fichero o tratamiento, admitiéndose
entre otros medio, incluso la llamada a un número de teléfono gratuito o a los servicios
de atención al público.
Una vez comunicado la revocación del consentimiento, el responsable cesará
en el tratamiento de los datos en el plazo máximo de diez días a contar desde su
recepción. Además si se han cedido los datos, deberá comunicar a los cesionarios la
revocación.
No obstante el principio de consentimiento, el apartado 2 del artículo 6 recoge
además los supuestos en los que no será necesario recabar el consentimiento del
titular de los datos, que son los siguientes:
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 17/40
a) Cuando una norma así lo disponga, teniendo en cuenta que dicha norma
deberá tener siempre el rango de ley.
b) Cuando los datos se recojan para el ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias. Estas
funciones deberán estar incluidas en el ámbito de competencias del órgano
de la Administración responsable del fichero.
c) Cuando los datos se refieran a las partes de un contrato o precontrato de una relación de negocios, laboral o administrativa y sean necesarios
para su mantenimiento o cumplimiento. Es decir, se considera que el
consentimiento está implícito en la constitución y mantenimiento de esa
relación.
d) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado. Debe entenderse con relación al contenido del artículo
7.6, es decir, para la prevención o el diagnóstico médicos, la prestación de
asistencia sanitaria o tratamientos médicos, y la gestión de servicios
sanitarios.
El tratamiento de estos datos debe realizarse por un profesional sanitario
sujeto al secreto profesional o por otra persona sujeta asimismo a una
obligación equivalente de secreto.
e) Cuando los datos figuren en fuentes accesibles al público siempre que
el tratamiento que se realice con los datos sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o
por el tercero a quien se comuniquen los datos, en tanto no se vulneren los
derechos y libertades fundamentales del interesado.
A los efectos de la LOPD, se consideran fuentes accesibles al público las
siguientes: Censo promocional, Repertorios telefónicos (normativa
específica), Listas de personas pertenecientes a grupos profesionales
(limitado a: nombre, título, profesión, actividad, grado académico, dirección
e indicación de su pertenencia al grupo), Diarios oficiales, Boletines
oficiales, Medios de comunicación…
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 18/40
d) Principio de Seguridad de los Datos
Este principio se contiene en el artículo 9 de la LOPD e implica que el
responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar
las medidas de índole técnica y organizativa necesarias que garanticen la seguridad
de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso
no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana
o del medio físico o natural.
Además de lo anterior, el responsable del fichero o del tratamiento tiene un
deber de formación del personal que se encuentre a su cargo, quienes habrán de
cumplir asimismo, las medidas de seguridad que se establezcan.
e) Deber de Secreto
De acuerdo con el artículo 10 de la Ley, el responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
En la práctica, este principio implica que las personas que deban operar sobre
los ficheros, o tengan acceso a datos personales, aunque sólo sea a modo de
consulta, deberán estar sometidos por medidas o normas estrictas de conducta
relativas al mantenimiento de la confidencialidad (compromiso de confidencialidad) en
el desempeño de su labor diaria.
Según el tipo de dato que se trate, el incumplimiento del deber de secreto
puede ser constitutivo de una infracción leve, grave o muy grave (en el caso de datos
especialmente protegidos) de acuerdo con el artículo 44 de la LOPD.
f) Comunicación de Datos
Resulta de especial interés el estudio de la comunicación de datos, por cuanto
puede existir un conflicto entre la protección de datos y la cesión que implica en la
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 19/40
mayoría de los casos, la utilización de los datos para finalidades distintas para las que
se recabó inicialmente.
El artículo 11 establece que los datos de carácter personal sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente relacionados
con las funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado.
La Ley exige también que el consentimiento del interesado deba obtenerse con
carácter previo a la cesión, estableciendo que será nulo el consentimiento para la
comunicación de datos, cuando la información que se facilite al interesado no le
permita conocer la finalidad a que se destinarán los datos cuya comunicación se
autoriza o el tipo de actividad de aquel a quien se pretende comunicar.
También cabe señalar que el consentimiento para la comunicación de datos
tiene un carácter de revocable.
Por otro lado, no será preciso el consentimiento en los supuestos previstos en
el apartado 2 del citado artículo 11, que pasamos a ver:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso, la comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el
Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación tenga
como destinatario a instituciones autonómicas con funciones análogas al
Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por
objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 20/40
f) Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero
o para realizar los estudios epidemiológicos en los términos establecidos
en la legislación sobre sanidad estatal o autonómica.
g) Acceso a los Datos por Cuenta de Terceros:
El acceso a los datos por cuenta de terceros se encuentra regulado en el
artículo 12 de la LOPD que establece que no se considerará comunicación de datos el
acceso de un tercero a los datos cuando dicho acceso sea necesario para la
prestación de un servicio al responsable del tratamiento.
De su tenor literal se pude concluir que hace referencia a los llamados
contratos de arrendamiento de servicios, es decir, un contrato por el que una persona
se compromete a prestar algún servicio a otra a cambio de un precio. En este tipo de
contratos, quien los presta actúa por cuenta de quien lo encarga, de modo que el
riesgo o beneficio de los resultados del servicio siempre recaerá sobre el arrendatario
(quien encarga el servicio). Es decir, en el caso de la materia que nos ocupa, el
responsable del fichero (arrendatario de los servicios), continúa teniendo la dirección y
la responsabilidad del tratamiento, de modo que el encargado del tratamiento (o
arrendador de los servicios) sólo está legitimado para realizar aquello que se le
encomienda por medio del contrato.
Es necesario aclarar que dicho precepto se refiere al denominado encargado del tratamiento, que define el artículo 3 de la Ley como toda persona física o jurídica,
autoridad pública, servicio o cualquier otro, organismo que, sólo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento.
No se considerará comunicación siempre que el acceso sea necesario para la
prestación de un servicio al responsable del tratamiento. No obstante lo dicho, La ley
establece una serie de requisitos para la prestación de dichos servicios debiendo
encontrarse regulados en un contrato por escrito o en alguna forma que permita
estipular su celebración y contenido, atendiendo además a las siguientes obligaciones:
Tratar los datos personales únicamente conforme a las instrucciones del
responsable.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 21/40
Cumplir con las normas de seguridad que, de acuerdo a la normativa
vigente, el responsable del fichero y el encargado del tratamiento están
obligados a implantar.
Prohibición de utilizar los datos con un fin distinto al que figure en el
contrato.
Prohibición de comunicar los datos a terceros, ni siquiera para su
conservación.
Destruir los datos personales una vez cumplido el objeto del contrato o
devolverlos al responsable, al igual que cualquier soporte o documento en
que conste algún dato de carácter personal objeto del tratamiento.
No procederá la destrucción de los datos cuando exista una previsión legal que
exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos
garantizando el responsable del fichero dicha conservación.
Por su parte, el encargado del tratamiento conservará, debidamente
bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación
con el responsable del tratamiento.
En caso de incumplimiento de las estipulaciones del contrato, el encargado del
tratamiento será responsable de las infracciones en que hubiera incurrido
personalmente.
Así, como el acceso del prestador de servicios no supone una cesión o
comunicación de datos del artículo 11 LOPD, no le será aplicable el artículo 11.5.
LOPD, en el sentido que el tercero no se encuentra sometido a la Ley, salvo en las
especificaciones marcadas por el artículo 12 del mismo texto legal.
II.2. LOS DERECHOS DE LAS PERSONAS:
Los derechos de las personas que se configuran en la LOPD, en orden a hacer
efectiva la protección de datos de carácter personal son: impugnación de valoraciones,
derecho de consulta, acceso, rectificación y cancelación, oposición, tutela e
indemnización. Aparece, frente a la LORTAD, un nuevo derecho: el de oposición.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 22/40
a) Impugnación de Valores
La impugnación de valores implica que los ciudadanos tienen derecho a no
verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de
manera significativa, que se base únicamente en un tratamiento de datos destinados a
evaluar determinados aspectos de su personalidad”.
Por el contrario, la valoración sobre el comportamiento de los ciudadanos,
basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición
del afectado.
Por todo ello, el afectado podrá impugnar los actos administrativos o decisiones
privadas que impliquen una valoración de su comportamiento, cuyo único fundamento
sea un tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad.
En este caso, el afectado tendrá derecho a obtener información del
responsable del fichero, ya sea éste persona jurídica pública o privada, sobre los
criterios de valoración y el programa utilizados en el tratamiento que sirvió para
adoptar la decisión en que consistió tal acto.
b) El Derecho de Consulta al Registro General de Protección de Datos
El derecho de consulta al Registro General de Protección de Datos, regulado
en el artículo 14 LOPD, permite al interesado cuyos datos hayan sido objeto de
tratamiento, proceder a recabar información del Registro General de Protección de
Datos (de la Agencia Española de Protección de Datos) a fin de conocer la existencia
de tratamientos de datos de carácter personal, la finalidad del mismo y la identidad del
responsable del fichero.
Dicho Registro se configura legalmente como de consulta pública y gratuita, no
existiendo limitación alguna para las consultas efectuadas por parte del interesado.
La información existente en el Registro se limita a determinadas características
de los ficheros: su identificación, quien es el responsable del mismo, donde se ubican
y el tipo de datos que tratan, entre otras.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 23/40
c) El Derecho de acceso
El interesado tendrá derecho a solicitar y obtener gratuitamente información de
sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así
como las comunicaciones realizadas o que se prevén hacer de los mismos.
En virtud de este derecho, el afectado podrá obtener del responsable del
tratamiento información relativa a datos concretos, a datos incluidos en un
determinado fichero o a la totalidad de sus datos sometidos a tratamiento.
El afectado podrá obtener la información a través de uno o varios de los
siguientes sistemas de consulta del fichero:
Visualización en pantalla.
Escrito, copia o fotocopia remitida por correo, certificado o no. Telecopia
Correo electrónico u otros sistemas de comunicación electrónicas.
Cualquier otro sistema que sea adecuado a la configuración o implantación
material del fichero o a la naturaleza del tratamiento, ofrecido por el
responsable.
En cuanto al procedimiento para el ejercicio de este derecho, cabe decir lo
siguiente:
El titular de los datos deberá dirigir una solicitud de acceso al responsable
del fichero, con indicación de sus datos identificativos y de los ficheros a
consultar.
El responsable del fichero deberá resolver sobre dicha petición en el plazo
máximo de un mes a contar desde la recepción de la misma
Transcurrido dicho plazo sin que de forma expresa se responda a la
petición de acceso, el interesado podrá interponer la correspondiente
reclamación (artículo 18 de la LOPD).
El responsable del fichero o tratamiento podrá denegar el acceso a los
datos de carácter personal en los siguientes casos:
Cuando el derecho ya se haya ejercitado en los doces meses anteriores a
la solicitud, salvo que acredite un interés legítimo al efecto.
Cuando así lo prevea una Ley o una norma de derecho comunitario de
aplicación directa o cuando éstas impidan al responsable del tratamiento
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 24/40
revelar a los afectados el tratamiento de los datos a los que se refiera el
acceso.
En cualquier caso, el responsable del fichero informará al afectado de su
derecho de recabar la tutela de la Agencia de Protección de Datos, en los
términos del artículo18 de la LOPD.
d) El Derecho de Rectificación y Cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los
datos que resulten ser inexactos o incompletos y que el ejercicio del derecho de
cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o
excesivos, sin perjuicio del deber de bloqueo que recoge la legislación existente.
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho
de rectificación o cancelación del interesado en el plazo de diez días.
En cuanto al procedimiento para el ejercicio de estos derechos, cabe señalar lo
siguiente:
El titular de los datos deberá presentar una solicitud de rectificación, con
indicación de los datos se refiere y la corrección que haya de realizarse y
deberá ir acompañada de la documentación justificativa de lo solicitado.
Por su parte, en la solicitud de cancelación, el interesado deberá indicar a
qué datos se refiere, aportando al efecto la documentación que lo justifique,
en su caso.
El responsable del fichero resolverá sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de
la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el
artículo 18 de la LOPD.
En el caso de que no disponga de datos de carácter personal del afectado
deberá igualmente comunicárselo en el mismo plazo.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 25/40
La cancelación no procederá en los siguientes supuestos: Cuando los datos de carácter personal deban ser conservados durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las
relaciones contractuales entre la persona o entidad responsable del
tratamiento y el interesado que justificaron el tratamiento de los datos.
-Cuando así lo prevea una ley o una norma de derecho comunitario de
aplicación directa o cuando éstas impidan al responsable del tratamiento
revelar a los afectados el tratamiento de los datos a los que se refiera el
acceso.
En todo caso, el responsable del fichero informará al afectado de su derecho a
recabar la tutela de la Agencia Española de Protección de datos, en los términos
previstos en el artículo 18 de la LOPD.
e) El Derecho de Oposición
De conformidad con el artículo 6, apartado 4 de la LOPD los titulares de los
datos, podrá instar la oposición a su tratamiento en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legítimo y fundado, referido a
su concreta situación personal, que lo justifique, siempre que una Ley no
disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial, en los términos previstos
en el artículo 51 del reglamento, cualquiera que sea la empresa
responsable de su creación.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión
referida al afectado y basada únicamente en un tratamiento automatizado
de sus datos de carácter personal, en los términos previstos en el artículo
36 del reglamento.
En cuanto al procedimiento para el ejercicio de este derecho de oposición,
podemos señalar lo siguiente:
Este derecho se ejercitará mediante solicitud dirigida al responsable del
tratamiento, con indicación de los motivos fundados y legítimos, relativos a
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 26/40
una concreta situación personal del afectado, que justifican el ejercicio de
este derecho, en el primer de los supuestos previstos.
El responsable del fichero resolverá sobre la solicitud de oposición en el
plazo máximo de diez días a contar desde la recepción de la solicitud.
Transcurrido el plazo sin que de forma expresa se responda a la petición, el
interesado podrá interponer la reclamación prevista en el artículo 18 de la
LOPD.
En el caso de que no disponga de datos de carácter personal de los
afectados deberá igualmente comunicárselo en el mismo plazo.
f) Derecho a Indemnización
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en
la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en
sus bienes o derechos tendrán derecho a ser indemnizados.
Para la determinación del tipo de indemnización y cuantía, la Ley distingue
entre ficheros de titularidad pública y privada, estableciendo que en el primer caso, se
estará a lo dispuesto en la legislación reguladora del régimen de responsabilidad de
las Administraciones Públicas, esto es, la Ley 30/1992, de 26 de noviembre, de
Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común.
En el caso de ficheros de titularidad privada, la acción se ejercitará ante los
órganos de la jurisdicción ordinaria.
g) Tutela de los Derechos
Las actuaciones contrarias a lo dispuesto en la LOPD y demás normativa
(denegación al interesado total o parcialmente el ejercicio de los derechos de acceso,
rectificación, cancelación u oposición) pueden ser objeto de reclamación ante la
Agencia Española de Protección de Datos.
La Agencia tiene un plazo máximo de 6 meses para dictar resolución expresa
sobre la procedencia o no de la denegación.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 27/40
Contra las resoluciones de la Agencia de Protección de Datos procederá
recurso contencioso-administrativo.
II.3. LAS MEDIDAS DE SEGURIDAD.
Los responsables de los tratamientos y los ficheros y los encargados del
tratamiento deberán implantar las medidas de Seguridad con arreglo a lo dispuesto en
el Título VIII del Reglamento de desarrollo de la LOPD, con independencia de cuál sea
su sistema de tratamiento.
Se distinguen 3 tipos de niveles de seguridad, a saber:
a) Nivel básico: Es de aplicación a todos los tratamientos de datos, con
independencia de su contenido.
b) Nivel medio: Ficheros que contengan datos relativos a la comisión de
infracciones administrativas o penales, Administraciones tributarias,
servicios financieros, servicios de información sobre solvencia patrimonial y
crédito, Entidades Gestoras y Servicios Comunes de la Seguridad Social,
mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social, los que contengan un conjunto de datos de carácter
personal que ofrezcan una definición de las características o de la
personalidad de los ciudadanos y que permitan evaluar determinados
aspectos de la personalidad o del comportamiento de los mismos.
c) Nivel alto: Ficheros que contengan datos de ideología, religión, creencias,
origen racial, salud o vida sexual así como los que contengan datos
recabados para fines policiales sin consentimiento de las personas
afectadas. Igualmente se incluyen datos derivados de actos de violencia de
género.
Las medidas de seguridad son progresivas y acumulativas, por lo que para los
ficheros de nivel medio serán aplicables, además de las medidas de nivel medio, las
medidas de nivel básico. Asimismo, para los ficheros de nivel alto serán aplicables las
medidas del nivel básico, medio y alto.
La Ley recoge como medida de seguridad común a todos los niveles, el
documento de seguridad, cuyo contenido se regula en el artículo 88 del Reglamento
de desarrollo de la LOPD:
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 28/40
Ámbito de aplicación del Documento de seguridad.
Medidas, normas, procedimientos, reglas y estándares.
Régimen de funciones y obligaciones del personal.
Estructura de los ficheros con datos de carácter personal y descripción de
los sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante incidencias.
Procedimientos de realización de copias de respaldo y recuperación de los
datos en los ficheros o tratamientos automatizados.
Las medidas a adoptar para el transporte de soportes y documentos, así
como para la destrucción de los documentos y soportes, o en su caso, la
reutilización de estos medios.
En el caso de ficheros a los que le sea de aplicación medidas de seguridad de
nivel medio o alto, el documento deberá contener además:
La identificación del responsable o responsables de seguridad.
Los controles periódicos de verificación del cumplimiento del propio
documento de seguridad.
La redacción del Documento de seguridad se exige exclusivamente al
responsable del fichero y es de obligado cumplimiento para el personal con acceso a
los sistemas de información.
II.4. RÉGIMEN SANCIONADOR
La LOPD establece el régimen sancionador para el caso de incumplimiento de
la Ley, en su Título VII, determinando las infracciones, sancionadores, órganos
competentes y procedimiento.
De dicha regulación se puede destacar lo siguiente:
De acuerdo con lo dispuesto en el artículo 44 las infracciones se calificarán
como Leves, Graves y Muy graves.
De conformidad con el artículo 45 de la LOPD, se establecen distintas
sanciones económicas según el tipo de infracción. Así
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 29/40
a) Las infracciones leves serán sancionadas con multa de 900 a 40.000
euros.
b) Las infracciones graves serán sancionadas con multa de 40.001 a
300.000 euros.
c) Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
La tramitación del procedimiento sancionador le corresponde a la Agencia
Española de Protección de Datos. En el caso de las CCAA que tengan
Agencia propia, ésta será la que competente para tramitar el procedimiento
sancionador.
La regulación detallada del procedimiento sancionador se contiene en el
Reglamento de desarrollo de la LOPD, y, en concreto, en los artículos 120 y
siguientes. Las fases del procedimiento serían las siguientes:
A. Actuaciones Previas:
No es una fase propiamente dicha, y tiene por objeto determinar si concurren
circunstancias que justifiquen tal iniciación y en concreto, los hechos que pudieran
justificar la incoación del procedimiento, identificar la persona u órgano que pudiera
resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el
caso. Tendrán una duración de 12 meses y le corresponde al Director de la Agencia
Española de Protección de Datos.
B. Inicio:
El procedimiento sancionador se iniciará de oficio, mediante acuerdo, de la
Agencia Española de Protección de Datos, bien por iniciativa propia, o como
consecuencia de la existencia de una denuncia o una petición razonada de otro
órgano.
C. Resolución:
El plazo para dictar resolución será el que determine las normas aplicables a
cada procedimiento sancionador y se computará desde la fecha en que se dicte el
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 30/40
acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora,
o se acredite debidamente el intento de notificación.
El vencimiento del citado plazo máximo sin que se hay dictado y notificado
resolución expresa, producirá la caducidad del procedimiento y el archivo de las
actuaciones.
La resolución que pone fin al procedimiento habrá de ser motivada y resolverá
todas las cuestiones planteadas en el expediente, siendo ejecutiva cuando ponga fin a
la vía administrativa. Más en concreto, el artículo 48 apartado 2 de la LOPD establece
que sus resoluciones agotan la vía administrativa.
Ello implica, de conformidad con lo establecido en el artículo 116 de la LRJAP,
que los interesados puedan interponer recurso de reposición ante el director de la
Agencia sancionadora en el plazo de un mes a contar desde el día siguiente a la
notificación de la resolución, o, directamente, en el plazo de 2 meses, recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional.
Por último, hay que señalar que en la resolución se adoptarán, en su caso, las
disposiciones cautelares precisas para garantizar su eficacia en tanto no sea ejecutiva.
En caso de desatención por parte del responsable del fichero, la Agencia de
Protección de Datos puede adoptar entre otras medidas, la inmovilización de tales
ficheros, regulada en el artículo 49 de la LOPD
La inmovilización deberá, en todo caso, hacerse mediante resolución motivada
y debe tener como finalidad la restauración de los derechos de las personas
afectadas.
Cuando las infracciones se cometan por Administraciones Públicas, el director
de la Agencia de Protección de Datos dictará resolución en la que se establezcan las
medidas a adoptar para corregir o para que cese la infracción, que se notificará al
responsable del fichero, al órgano de que dependa y a los afectados, pudiendo
proponer además, la iniciación de medidas disciplinarias.
Estas actuaciones y resoluciones se comunicaran también al Defensor del
Pueblo. Las Administraciones afectadas deben comunicar también las resoluciones y
medidas adoptadas al respecto.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 31/40
II.5. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Por último, para completar el régimen de protección de datos de carácter
personal, es necesario conocer la autoridad independiente garante del cumplimiento
de la Ley, esto es, la Agencia Española de Protección de Datos.
El artículo 28 de la Directiva 1995/46/CE de 24 de octubre, establece que “los
Estados miembros dispondrán que una o más autoridades públicas se encarguen de
vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en
aplicación de la presente Directiva”, añadiendo que “estas autoridades ejercerán las
funciones que les son atribuidas con total independencia”.
Por su parte, y en cumplimiento de dicha Directiva, el Título VI de la LOPD
(artículos 35 y siguientes) establece el régimen jurídico de esa autoridad pública en
España, esto es, la denominada AGENCIA DE PROTECCIÓN DE DATOS,
configurándola en su apartado 1 como “un ente de derecho público con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con plena
independencia de las Administraciones Públicas en el ejercicio de sus funciones”,
funciones que se relacionan en el artículo 37.
Más en concreto, dicho precepto establece que la Agencia se regirá por lo
dispuesto en la LOPD y en su Estatuto propio, que será aprobado por el Gobierno.
Dicho Estatuto ha sido aprobado por Real Decreto 428/1993, de 26 de marzo.
En cuanto a sus funciones, cabe decir que con carácter general, le corresponde
a la Agencia Velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, en especial, lo relativo a los derechos de información, acceso,
rectificación, oposición y cancelación de datos.
Asimismo, es necesario señalar que la Agencia ostenta potestades de
inspección, de conformidad con el artículo 40 de la LOPD, como autoridad de control,
pudiendo inspeccionar los ficheros recabando cuantas informaciones precisen para el
cumplimiento de sus contenidos.
Por lo que respecta a su estructura, cabe decir que está integrada por los
siguientes órganos:
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 32/40
-El Director
-El Consejo Consultivo
-El Registro General de Protección de Datos
-La Inspección de Datos
-La Secretaría General de la Agencia
El director de la Agencia dispondrá de una absoluta independencia en el
ejercicio de sus funciones ya que es elegido para un mandato fijo -será nombrado
entre los miembros del Consejo Consultivo de la Agencia por Real Decreto por un
periodo de cuatro años- y este mandato solo podrá ser acortado por las causas que
expresamente fija la Ley.
El Consejo Consultivo estará compuesto por: un Diputado, un senador, un
representante de la Administración Central y otro de la Administración Local, un
miembro de la Real Academia de la Historia, un experto en la materia propuesto por el
Consejo Superior de Universidades, un representante de los usuarios y consumidores,
un representante de cada Comunidad Autónoma que haya creado su propia Agencia
de Protección de Datos y un representante del sector de fichero privados.
III. DATOS ESPECIALMENTE PROTEGIDOS.
Los datos especialmente protegidos, también conocidos como "datos
sensibles" son una categoría de datos que por su especial influencia en la intimidad,
los derechos fundamentales y las libertades públicas del individuo, requieren de una
mayor protección que el resto de sus datos personales. Su tratamiento se encuentra
regulado en el artículo 7 de LOPD, y son los siguientes:
1. Datos que revelen la ideología, afiliación sindical, religión y creencias
2. Datos que hagan referencia al origen racial, la salud o la vida sexual
3. Datos relativos a la comisión de infracciones penales o administrativas
El responsable del fichero que debe tratar los datos especialmente protegidos
en las condiciones previstas en el artículo 7 de la LOPD, respetando las siguientes
condiciones:
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 33/40
1. Derecho a no declarar sobre la ideología, religión o creencias:
De acuerdo con lo establecido en el apartado 2 del artículo 16 de la
Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o
creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento
a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho
a no prestarlo.
2. Principio de Consentimiento en los datos especialmente protegidos:
Cuando se proceda a recabar el consentimiento del titular de lo datos, se
advertirá al interesado acerca de su derecho a no prestarlo.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto
de tratamiento de datos de carácter personal que revelen la ideología, afiliación
sindical, religión y creencias.
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,
en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la
cesión de dichos datos precisará siempre el previo consentimiento del afectado.
3. Tratamiento de datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual.
Los datos de carácter personal que hagan referencia al origen racial, a la salud
y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razón de
interés general, así lo disponga una ley o el afectado consienta expresamente
4. Prohibición de creación y tratamientos de datos especialmente protegidos.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar
datos de carácter personal que revelen la ideología, afiliación sindical, religión,
creencias, origen racial o étnico o vida sexual.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 34/40
5. Tratamiento de los datos de carácter personal relativos a la comisión de infracciones penales o administrativas.
Los datos de carácter personal relativos a la comisión de infracciones penales
o administrativas sólo podrán ser incluidos en ficheros de las Administraciones
públicas competentes en los supuestos previstos en las respectivas normas
reguladoras.
No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical,
religión y creencias y los que hagan referencia al origen racial, a la salud y a la vida
sexual, cuando dicho tratamiento resulte necesario para la prevención o para el
diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por
un profesional sanitario sujeto al secreto profesional o por otra persona sujeta
asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo
anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del
afectado o de otra persona, en el supuesto de que el afectado esté física o
jurídicamente incapacitado para dar su consentimiento
6. Medidas de Seguridad.
Por último, y para completar el régimen especial de protección aplicable a este
tipo de datos, tal y como establece el artículo 81 del Reglamento que desarrolla la
LOPD, y que fue aprobado por el Real Decreto 1720/2007, de 21 de diciembre, el
responsable del fichero deberá garantizar la seguridad de los datos especialmente
protegidos adoptando en su organización las medidas de seguridad correspondientes
a los niveles alto o medio en los siguientes términos:
1. Nivel Alto: el responsable del fichero debe garantizar la seguridad de los
datos que revelan la ideología, afiliación sindical, religión y creencias de las
personas físicas así como la de los datos que hagan referencia al origen
racial, la salud o la vida sexual aplicando en sus ficheros las medidas de
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 35/40
seguridad de nivel alto previstas en el Título VIII del Reglamento que
desarrolla la LOPD.
2. Nivel Medio: el responsable del fichero debe garantizar la seguridad de los
datos relativos a la comisión de infracciones penales o administrativas
aplicando en sus ficheros las medidas de seguridad de nivel medio
previstas en el Título VIII del Reglamento que desarrolla la LOPD.
De manera excepcional, y tal y como establece el artículo 81, 5 del Real
Decreto 1720/2007, en los ficheros que contengan datos relativos a la ideología,
afiliación sindical, religión, creencias, origen racial, salud o vida sexual, se podrán
aplicar las medidas de seguridad de nivel básico únicamente en los siguientes
supuestos:
1. En caso de ficheros o tratamientos de datos sobre la ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual, bastará la
implantación de las medidas de seguridad de nivel básico cuando los datos
se utilicen con la única finalidad de ser realizar una transferencia dineraria a
las entidades de las que los afectados sean asociados o miembros, o
cuando se trate de ficheros o tratamientos no automatizados en los que de
forma incidental o accesoria se contengan aquellos datos sin guardar
relación con su finalidad.
2. También podrán implantarse las medidas de seguridad de nivel básico en
los ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple declaración
de la condición de discapacidad o invalidez del afectado, con motivo del
cumplimiento de deberes públicos.
7. Infracciones
El responsable del fichero debe tener en cuenta que recoger, tratar y ceder
datos de carácter personal vulnerando los principios y garantías establecidas en la
LOPD puede ser constitutivo de infracción leve, grave o muy grave según sea el caso
de que se trate, pudiendo ser sancionado por la Agencia Española de Protección de
Datos (AEPD) con multas de hasta 600.000 euros por la infracción más grave.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 36/40
En relación al tratamiento de datos especialmente protegidos destacamos
como Infracción muy grave, la infracción contenida en el artículo 44.4 de la LOPD,
consistente en recabar y tratar los datos de carácter personal a los que se refiere el
artículo 7.2 (ideología, afiliación sindical, religión y creencias) cuando no medie
consentimiento expreso del afectado; recabar y tratar los datos a los que se refiere el
artículo 7.3 (origen racial, a la salud y a la vida sexual) cuando no lo disponga una ley
o el afectado no haya consentido expresamente o violentar la prohibición contenida en
el apartado 4 del artículo 7.
Dicha infracción es sancionable por la Agencia con multas de 300.001 a
600.000 euros.
IV. ANEXO LEY DE TRANSPARENCIA VS. PROTECCIÓN DE DATOS
La Ley 19/2013, de 19 de de diciembre de Transparencia, Acceso a la
Información Pública y Buen Gobierno tiene por objeto como declara su artículo ampliar
y reforzar la transparencia de la actividad pública, reconocer y garantizar el derecho de
acceso a la información relativa a aquella actividad y establecer las obligaciones de
buen gobierno que deben cumplir los responsables públicos así como las
consecuencias derivadas de su incumplimiento.
La transparencia se encuentra regulada en su Título I, del que se concluye que
se articula en torno a dos grandes conceptos:
a) La publicidad activa en la toma de decisiones y en la actividad pública de
los sujetos incluidos en el ámbito de aplicación de la Ley.
b) El derecho de acceso a la información pública que obre en su poder.
Como ahora veremos, en ambos casos, la protección de datos de carácter
personal constituye el principal límite.
En el mismo sentido, se incluye en la Ley 12/2014, de 16 de diciembre, de
Transparencia y Participación Ciudadana de la Comunidad Autónoma de la Región de
Murcia.
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 37/40
IV.1. LA PUBLICIDAD ACTIVA
De acuerdo con su artículo 5, la obligación de publicidad activa supone que los
Poderes Públicos deberán publicar de forma periódica y actualizada la información
cuyo conocimiento sea relevante para garantizar la transparencia de su actividad
relacionada con el funcionamiento y control de la actuación pública.
Esa información a la que se refiere dicho precepto se desarrolla en los artículos
6, 7 y 8 distinguiéndose entre información institucional, organizativa y de planificación;
información de relevancia jurídica; información económica, presupuestaria y
estadística.
La obligación de difundir esa información no es ilimitada aplicándose aquí los
mismos límites que los previstos para el derecho de acceso a la información pública, y
en especial, el derivado de la protección de datos de carácter personal.
IV.2. EL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA
Podemos definir este derecho, con carácter general como el derecho de
cualquier persona a acceder, previa solicitud, a la información pública que considere
de su interés, con los únicos límites que señale el texto legal.
El derecho de acceso a la información pública se encuentra regulado en el
capítulo III, título I de la Ley.
Uno de los temas más debatidos durante la tramitación de la Ley fue el de su
naturaleza jurídica. Hay quien defendía su configuración como un derecho
fundamental, vinculado al artículo 20 de la CE. Finalmente se regula como un derecho
de desarrollo legal derivado del artículo 105, b) de la Carta Magna.
1. LÍMITES AL EJERCICIO DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA.
1. Límites
La Ley 19/2013, de 9 de diciembre regula también los límites a este derecho.
Así, cabe decir que, este derecho solamente se verá limitado en aquellos casos en
que así sea necesario por la propia naturaleza de la información (límite derivado de la
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 38/40
Constitución Española) o por la concurrencia de un conflicto con otros intereses
protegidos.
Asimismo, la Ley 12/2014, de 16 de diciembre, de Transparencia y
Participación Ciudadana de la Comunidad Autónoma de la Región de Murcia establece
en su artículo 25 en cuanto a los Límites al derecho de acceso a la información
pública, lo siguiente:
1. Será de aplicación al derecho de acceso el régimen de los límites a tal
derecho establecido en el artículo 14 de la Ley 19/2013, de 9 de diciembre,
de transparencia, acceso a la información y buen gobierno.
2. Si la información solicitada contuviera datos de carácter personal se estará
a lo establecido en el artículo 15 de la Ley 19/2013, de 9 de diciembre, y en
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
Analizamos pues, el artículo 14 dispone que el derecho de acceso podrá ser
restringido cuando el mismo suponga un perjuicio para:
a) La seguridad nacional.
b) La defensa.
c) Las relaciones exteriores.
d) La seguridad pública.
e) La prevención, investigación y sanción de los ilícitos penales,
administrativos o disciplinarios.
f) La igualdad de las partes en los procesos judiciales y la tutela judicial
efectiva.
g) Las funciones administrativas de vigilancia, inspección y control.
h) Los intereses económicos y comerciales.
i) La política económica y monetaria.
j) El secreto profesional y la propiedad intelectual e industrial.
k) La garantía de la confidencialidad o el secreto requerido en procesos de
toma de decisión.
l) La protección del medio ambiente
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 39/40
Además, la Ley establece que la aplicación de los límites será justificada y
proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del
caso concreto, especialmente a la concurrencia de un interés público o privado
superior que justifique el acceso. Así por ejemplo, se podría dar la información sobre
efectivos militares destinados en Afganistán pero no su ubicación exacta por evidentes
razones de seguridad.
Con esta previsión y como aclara su Exposición de motivos, el legislador
exigirá la necesidad de valorar en cada caso concreto el interés protegido (límite al
derecho de acceso) y el interés público en la divulgación de la información.
2. Especial referencia a la protección de datos como límite al derecho de acceso a la información pública
Asimismo, dado que el acceso a la información puede afectar de forma directa
a la protección de los datos personales el texto configura estos datos como otro límite
al derecho de acceso en su artículo 15.
Más concretamente, cuando afecte a los denominados datos especialmente
protegidos que revelen la ideología, afiliación sindical, religión y creencias, el acceso
únicamente se podrá autorizar en caso de que se contase con el consentimiento
expreso y por escrito del titular de tales datos.
Y cuando sean datos especialmente protegidos que hagan referencia al origen
racial, a la salud y a la vida sexual, el acceso solo se podrá autorizar en el caso de que
exista consentimiento expreso del afectado o cuando lo permita una norma con rango
de Ley.
La regulación conjunta en texto del derecho de acceso a la información pública
y de la protección de datos personales constituye una novedad digna de mención en
nuestro ordenamiento que debe valorarse de forma positiva, ya que ambos derechos
deben ser vistos como dos derechos complementarios que tienen por finalidad
proteger las libertades personales ante los poderes públicos, viéndose claramente su
conexión con la obligación de las Autoridades públicas de rendir cuentas en el ejercicio
de sus funciones.
Por último, cabe añadir que la Ley en su disposición adicional quinta contempla
posibilidad de que el Consejo de Transparencia y Buen Gobierno y la Agencia
Protección de Datos de Carácter Personal: Disposiciones generales. Datos especialmente protegidos. 40/40
Española de Protección de datos adopten conjuntamente los criterios de aplicación, en
su ámbito de actuación de este artículo 15.
IV.3. EL PRINCIPIO DEL PERJUICIO O TEST DEL DAÑO
En el caso de otro tipo de datos de carácter personal distintos a los analizados
en el apartado anterior, el órgano al que se dirija la solicitud concederá el acceso
previa ponderación suficientemente razonada del interés público en la divulgación de
la información y los derechos de los afectados cuyos datos aparezcan en la
información solicitada, en particular su derecho fundamental a la protección de datos
de carácter personal.
Con esta regulación se consagra en nuestro Ordenamiento, el llamado
Principio del perjuicio o test del daño. Se trata de un principio tradicional en los
ordenamientos jurídicos de nuestro entorno que permite al órgano al que se realiza la
solicitud de acceso al a información pública, evaluarla teniendo en cuenta de una parte
el perjuicio que la divulgación de la información podría ocasionar a intereses públicos o
incluso privados y el interés que quedaría satisfecho con la divulgación.
Para la realización de la citada ponderación, el órgano tomará particularmente
en consideración los siguientes criterios:
a) El menor perjuicio a los afectados derivado del transcurso de los plazos
establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del
Patrimonio Histórico Español.
b) La justificación por los solicitantes de su petición en el ejercicio de un
derecho o el hecho de que tengan la condición de investigadores y motiven
el acceso en fines históricos, científicos o estadísticos.
c) El menor perjuicio de los derechos de los afectados en caso de que los
documentos únicamente contuviesen datos de carácter meramente
identificativo de aquéllos.
d) La mayor garantía de los derechos de los afectados en caso de que los
datos contenidos en el documento puedan afectar a su intimidad o a su
seguridad.