21 de Febrero de 2019
  Inicio
  Políticas de Seguridad y Protección de datos
  Implantación LOPD
  Auditorías
  Asesoramiento y Defensa
Jurídica
  Preguntas Frecuentes
  Glosario
  Derechos de las personas
 

PREGUNTAS FRECUENTES
Ámbito de aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal

¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?

¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis trabajadores una encuesta sobre aficiones/hobbies?

¿Qué información debe proporcionarse a los ciudadanos cuando se recogen sus datos personales? ¿Cómo debe darse esa información?

¿Puedo utilizar los datos personales de alguien para remitirle publicidad?
¿Se pueden crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad?
¿Y si los datos provienen de las guías telefónicas o de los listados de colegios profesionales?

Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis familiares. ¿Qué tengo que hacer?

¿Es legal tratar datos de salud de personas físicas?

¿Se considera dato especialmente protegido el relativo a la aportación, en el IRPF, de un contribuyente a la Iglesia Católica? ¿Y los relativos a la minusvalía y a la afiliación sindical?

¿Qué se entiende por datos de salud? El dato de que una persona es fumadora ¿entra dentro del concepto de dato de salud?

¿Cómo se inscriben, modifican o suprimen los ficheros de mi empresa?

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?

Qué se quiere decir en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio), con la expresión será preciso guardar la información que permita identificar el registro accedido?

El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web?

 

----------------------------------------------------------------------------------------------------

¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?

Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen:

"Artículo 1. Objeto:

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación:

La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado."

Por ello, no le es de aplicación la Ley Orgánica 15/1999:

A los datos de personas jurídicas.
A los datos de las personas fallecidas.

Por el contrario, sí le es de aplicación:

A los datos de los empresarios individuales - personas físicas (por ejemplo, autónomos).
A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos.
A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc.

/|\ Volver /|\

¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis trabajadores una encuesta sobre aficiones/hobbies?

El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y a la finalidad del tratamiento se fija la condición de que una vez desaparezca la necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el responsable del fichero.

/|\ Volver /|\

¿Qué información debe proporcionarse a los ciudadanos cuando se recogen sus datos personales? ¿Cómo debe darse esa información?

El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:

'Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....'
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de los expuesto anteriormente.

/|\ Volver /|\

¿Puedo utilizar los datos personales de alguien para remitirle publicidad?
¿Se pueden crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad?
¿Y si los datos provienen de las guías telefónicas o de los listados de colegios profesionales?

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.'

Por su parte, por fuente accesible al público hay que entender de acuerdo con la definición contenida en el articulo 3 de la Ley Orgánica 15/1999 "aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.'

Por lo tanto, para tratar datos personales debe tenerse previamente el consentimiento (expreso o tácito, pero siempre inequívoco) de sus titulares, salvo que se dé alguna de las excepciones previstas en el artículo 5. Si los datos figuran en fuentes accesibles al público (como las guías telefónicas o los listados de colegios profesionales) es posible su tratamiento sin el consentimiento de los titulares de los datos.

/|\ Volver /|\

¿Es legal el tratamiento de los datos que figuran en el Padrón Municipal de Habitantes o en el Censo Electoral?

Con carácter general la regulación está contenida en la Ley 4/1996, de 10 de enero, que modifica la Ley 7/1985, de 2 de abril, de Bases del Régimen Local en relación con el Padrón Municipal. En concreto el artículo 16 prevé lo siguiente:

'El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos.
La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos:
Nombre y apellidos.
Sexo.
Domicilio habitual.
Nacionalidad.
Lugar y fecha de nacimiento.
Número de documento nacional de identidad o, tratándose de extranjeros, del documento que lo sustituya.
Certificado o título escolar o académico que se posea.
Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución.
Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.'

Respecto de la utilización de los datos del censo electoral, el artículo 41.2. de la Ley Orgánica 5/1985, de 19 de junio, de Régimen Electoral General establece que queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial.

Por ello, un uso distinto de los datos censales del padrón municipal o del censo electoral ocasionaría un incumplimiento de la Ley Orgánica 15/1999.

/|\ Volver /|\

¿Cómo puedo conseguir que eliminen mis datos de los ficheros de las empresas que me remiten publicidad continuamente a mi casa? ¿Cómo puedo eliminar mis datos de un fichero de morosidad en el que estoy incluido? La empresa de luz me remite a mi domicilio un recibo que contiene un error en uno de los números del DNI. ¿Puedo exigir que me lo modifiquen?

El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos deberá dirigirse directamente a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I..

Vd. debe dirigirse a la dirección del responsable del fichero y solicitar allí la cancelación pretendida. Si desconoce esa dirección, puede solicitarla a la Agencia Española de Protección de Datos.

Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

Los modelos para el ejercicio de sus derechos los tiene disponibles en esta página Web, en el apartado Denuncias y Reclamaciones.

/|\ Volver /|\

Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis familiares. ¿Qué tengo que hacer?

La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, lo que significa que Vd. puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, o en su caso, la cancelación de los datos en sus ficheros (derecho de cancelación). En este caso, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.

Si en el plazo de un mes para el derecho de acceso desde la recepción de la solicitud en la oficina referida, ésta no ha sido atendida adecuadamente, podrá dirigirse a la Agencia con copia de la solicitud cursada y de la contestación recibida (si existiera), para que ésta a su vez se dirija a la oficina designada con el objetivo de hacer efectivo el ejercicio de sus derechos.

En el caso expuesto, podrá acceder a la información pretendida si se trata de información sobre sus datos personales, pero no si se trata de información de terceros.

Efectivamente, el derecho de acceso no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés legitimo.

Los modelos para el ejercicio de sus derechos los tiene disponibles en esta página Web, en el apartado Denuncias y Reclamaciones.

/|\ Volver /|\

Mantengo una relación contractual con una empresa que me proporciona ciertos servicios que me interesan. Sin embargo, dicha empresa me remite información de otros productos que no quiero que me envíen ¿Me ampara la LOPD?

Los titulares de los datos pueden instar la oposición al tratamiento automatizado de ese tipo de datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

'...En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.'.

/|\ Volver /|\

¿Cómo puedo solicitar la cancelación de mis datos a la Iglesia Católica?

En el caso de la Iglesia Católica, ésta no posee datos de sus miembros, ni relación alguna de ellos, puesto que el asiento en el Registro Bautismal no es identificable con la pertenencia a la Iglesia Católica.

Cuestión distinta es el Registro que pueda llevar las parroquias, en el que se pueden registrar determinados datos de los feligreses, en cuyo caso, el interesado sí podrá ejercitar el derecho de cancelación, conforme dispone la Ley Orgánica 15/1999.

A la vista de su escrito, debe Vd. dirigirse a su parroquia y solicitar allí la cancelación pretendida.

/|\ Volver /|\

¿Es legal tratar datos de salud de personas físicas?

El artículo 8 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, establece y regula los datos relativos a la salud señalando que sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos.

/|\ Volver /|\

¿Se considera dato especialmente protegido el relativo a la aportación, en el IRPF, de un contribuyente a la Iglesia Católica? ¿Y los relativos a la minusvalía y a la afiliación sindical?

Se plantea en esta consulta si la inclusión en los ficheros de datos relacionados con la opción del contribuyente de contribuir al sostenimiento de la Iglesia Católica es un dato relacionado con la ideología, religión o creencias del afectado.

A nuestro juicio, la respuesta debe ser afirmativa, dado que, si bien de la simple voluntad de contribuir a la Iglesia Católica no se desprende directamente la condición de creyente, la opción por esta alternativa se encontrará íntimamente vinculada a las convicciones, en el peor de los supuestos, filosóficas del contribuyente, debiendo, en este punto recordarse la dicción del artículo 8.1 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, al enumerar los datos sensibles, se refiere a las 'convicciones religiosas o filosóficas', que a nuestro juicio se pondrán de manifiesto cuando el contribuyente opte o no por colaborar con el sostenimiento de la Iglesia Católica.

Igualmente, se considera que la minusvalía es un dato de salud y que la afiliación sindical en un dato de ideología, por lo tanto, también son datos especialmente protegidos.

/|\ Volver /|\

¿Qué se entiende por datos de salud? El dato de que una persona es fumadora ¿entra dentro del concepto de dato de salud?

Por lo que se refiere a los datos de salud, deberá partirse del concepto que quepa dar a los mismos, a partir de las normas, nacionales e internacionales, vigentes en España.

La norma esencial en la protección de datos automatizados de carácter personal en nuestro país es la Ley Orgánica 15/1999. Sin embargo esta norma, si bien se refiere expresamente a los datos de salud, considerándolos expresamente protegidos y limitando la posibilidad de su recopilación y cesión, no establece un concepto concreto de este tipo de datos.

El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa viene a definir la noción de 'datos de carácter personal relativos a la salud', considerando que su concepto abarca 'las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo', pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Añade el citado apartado 45 que 'debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas'.

En este mismo sentido, la Recomendación nº R (97) 5, del Comité de Ministros del Consejo de Europa, referente a la protección de datos médicos, afirma que 'la expresión datos médicos hace referencia a todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con la salud, así como con las informaciones genéticas'.

De lo anteriormente señalado se puede desprender, en principio, que los datos indicados por Vd. en la medida en que pueden ser datos relacionados con la salud serán datos médicos y les será de aplicación las medidas de protección de nivel alto, tal y como establece el artículo 4 del Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal aprobado por Real Decreto 994/1999, de 11 de junio.

Ahora bien, dado que su consulta se plantea solamente en los términos de que si el dato de que una persona fume o no fume se puede considerar dato de salud, habrá que estarse al contexto en el que se encuentra dicha anotación y la finalidad para la que se usa. Es evidente que no es lo mismo anotar en un fichero de control de pasajeros y billetes la condición o no de fumador de una persona (porque no se van a realizar posteriores evaluaciones médicas del mismo) que anotar dicha condición en un fichero de seguros de vida, en el que dicha anotación no va aislada, sino junto con otros datos de salud. En uno y otro caso, las finalidades para las que se va a usar esa anotación son diferentes.

Si el dato de fumador o no fumador no sirve para realizar evaluaciones de salud o médicas, en principio, no parece que sea dato de salud, ya que, aunque sea un dato de riesgo potencial para la salud, no informa por sí solo del estado de salud / pasado, presente o futuro - de la persona. En caso contrario, sí será un dato de salud.

/|\ Volver /|\

¿Cómo se inscriben, modifican o suprimen los ficheros de mi empresa?

El concepto de fichero automatizado esta descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como 'todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso'.

En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa.

Dichos ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al modelo estándar que figura en esta página Web.

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar en todos los casos el modelo establecido en la Resolución de la Agencia Española de Protección de Datos, de 30 de mayo de 2000 (B.O.E. nº 153, de 27 de junio de 2000), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático. Así mismo, se comunica que los citados modelos se pueden obtener a través de Internet en esta página web.

En el caso de que se solicite la modificación de la inscripción de un fichero, deberá notificar, de acuerdo a lo dispuesto en el artículo 26.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable, y en la dirección de su ubicación, o cualquier otra modificación que se pudiera haber producido desde la declaración inicial del fichero objeto de inscripción en el Registro General de Protección de Datos.

Deberá cumplimentar del modelo de notificación, la hoja de solicitud, el apartado de modificación indicando el código de inscripción asignado por la Agencia, señalando aquellos apartados que se modifican respecto a la notificación anterior y los apartados que se pretendan modificar.

Los apartados señalados que se pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación sustituye a la anterior inscripción en el Registro General de Protección de Datos.

/|\ Volver /|\

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?

El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.

Igualmente, los ficheros en soporte papel entran dentro del ámbito de aplicación de la Ley Orgánica 15/1999, aunque su aplicación queda demorada hasta el 24 de diciembre de 2007 para ficheros preexistentes.

No obstante, si Vd. quiere registrar los ficheros en soporte papel, lo puede hacer siempre que quede perfectamente reflejado en el formulario que se trata de esa clase de ficheros (por ej.: en el apartado 6. SISTEMA DE TRATAMIENTO O INFORMACION, en descripción general del sistema de información tendrán que poner la descripción y hacer constar que el fichero está en papel; marcar el apartado OTROS y que NO existen conexiones remotas).

/|\ Volver /|\

¿Qué se quiere decir en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio), con la expresión será preciso guardar la información que permita identificar el registro accedido?

De conformidad con lo dispuesto en el artículo 24 del Reglamento de Medidas de Seguridad, para cada acceso deberán guardarse, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De lo expuesto se deduce que el registro de accesos se refiere, en primer lugar al fichero y dentro del fichero, a los distintos registros accedidos (es decir, a los concretos datos personales que se consultan).

/|\ Volver /|\

¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?

El artículo 12 del Reglamento de Medidas de Seguridad, relativo al control de acceso, establece que:

1.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.

3.- La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.

4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero."

En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fichero.

/|\ Volver /|\

El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?

El artículo 4 del Reglamento de Medidas de Seguridad, señala que:

1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes."

Por ello, si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto.

Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

El mero hecho de alquilar películas pornográficas no presupone dato de ideología ni de orientación sexual. Otra cosa, es que el responsable del fichero incluya en el mismo valoraciones subjetivas que así lo indiquen.

/|\ Volver /|\

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web?

De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.

Lo que acaba de indicarse ha sido ratificado, en cuanto a la existencia de un tratamiento de datos de carácter personal por la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST).

/|\ Volver /|\

¿Qué países pueden considerarse con un nivel de protección equiparable a España?

Se consideran países con nivel de protección adecuado al que presta la Ley Orgánica 15/1999, los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man, las entidades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América.

/|\ Volver /|\

¿Puede la empresa donde trabajo enviar datos de sus trabajadores a Estados Unidos?

En primer lugar indicarle que cualquier empresa que pretenda realizar una transferencia internacional de datos, en este caso de sus empleados, que con anterioridad no venía realizando, deberá de cumplir, por una parte, con el derecho de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, debiendo informar de la transferencia internacional a cada una de las personas afectadas por los datos.

Por otra parte, tal y como se establece en el artículo 26 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en los artículos 6 y 8 del Real Decreto 1332/1994 que sigue en vigor, se deberá comunicar a la Agencia Española de Protección de Datos las transferencias internacionales que se vayan a realizar, dado que, con carácter general, todas las trasferencias internacionales necesitan de la autorización del Director de la Agencia, salvo que se den alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999.

'Artículo 33. Norma general.

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.'

'Artículo 34. Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

/|\ Volver /|\

Si los datos recogidos por una filial española de una multinacional alemana, cumpliéndose todos los requisitos de recogida de datos de la LOPD, se ceden a la matriz en Alemania, ¿Qué responsabilidad tiene la filial española si la matriz alemana utiliza los datos de forma fraudulenta de acuerdo a la legislación española?.

En primer lugar, es necesario señalarle que desde el momento en que se están recogiendo y tratando informaticamente en ficheros, cualquier tipo de datos de carácter personal por parte de empresas ubicadas en España, pertenezcan o no a multinacionales, dicho tratamiento está sometido a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y los ficheros de datos que se creen están sometidos al ámbito de aplicación de dicha Ley Orgánica, debiendo ser previamente comunicados al Registro General de Protección de Datos y adoptándose en ellos las medidas de seguridad correspondientes, de conformidad con lo previsto en el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal aprobado por Real Decreto 994/1999, de 11 de junio.

En segundo lugar, si dichos datos van a ser cedidos posteriormente a la central de la empresa multinacional con sede en Alemania, dicha cesión de datos deberá ser igualmente puesta en conocimiento de cada una de las personas afectadas por los datos y declarada a la Agencia Española de Protección de Datos al tratarse de una transferencia internacional en los términos previstos en los artículos 33 y 34 de la Ley Orgánica 15/1999.

Una vez realizada la transferencia internacional, de conformidad con las disposiciones anteriores, el tratamiento de datos que se realice en Alemania se regulara de conformidad con la legislación alemana y no con la legislación española, aunque, al pertenecer ambos países a la Unión Europa, el nivel de protección será similar en base a la adaptación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

/|\ Volver /|\

Fuente: Agencia Española de Protección de Datos.

© 2019. Reservados todos los derechos.
Teléfono Atención Cliente: 902 11 89 20
Aconsejamos resolución mínima de 800x600 píxels, para una mejor navegación.
Optimizado para Netscape Navigator e Internet Explorer versión 3.0 o superior.
info@protecciondedatos.com
 
¿Guarda información de datos personales de sus clientes?
No
Votar      Ver

¿Conoce las funciones asignadas a la Agencia Española de Protección de Datos?
No
Votar      Ver

¿Valoran sus clientes que su empresa proteja convenientemente sus datos personales?
No
Votar      Ver