La Ley Orgánica de Protección de Datos
de Carácter Personal (LOPD) establece
una serie de obligaciones para las
empresas, los profesionales autónomos y
las Administraciones públicas que sean
titulares de datos de carácter personal
Asimismo, dicha Ley, tiene por objeto
garantizar y proteger, en lo que
concierne al tratamiento de los datos
personales, las libertades públicas y
los derechos fundamentales de las
personas físicas, y especialmente de su
honor e intimidad personal y familiar
La LOPD permanece vigente desde el 15
de enero de 2000, momento en el que
quedó derogada la anterior LORTAD. La
diferencia fundamental entre ambas es
que el ámbito de la LORTAD únicamente
abarcaba los ficheros que contuviesen
datos de carácter personal que se
almacenasen en soporte electrónico.
La LOPD amplia este ámbito a cualquier tipo
de soporte, es decir, los ficheros en
formato papel también están sujetos a esta
reglamentación. No obstante lo anterior, la
LOPD mantiene vigentes algunos aspectos de
la LORTAD. En este sentido se establece que
se mantiene la vigencia de la LORTAD “en
todo lo que no se oponga a la Ley”. Este es
el caso por ejemplo, del Reglamento de
Medidas de Seguridad, cuya vigencia es
anterior a la propia Ley. Éste desarrolla la
mencionada Ley Orgánica y que establece la
obligación de las empresas de poner en
marcha diversas medidas destinadas a
garantizar la protección de dichos datos,
afectando a sistemas informáticos, archivos
de soportes de almacenamiento, personal,
procedimientos operativos, etc. Es por ello
que toda empresa ha de adecuarse a esta
normativa con el fin de cumplir todas las
exigencias legales establecidas.
La Ley Orgánica de Protección de Datos de
Carácter Personal (LOPD) establece una serie
de obligaciones para las empresas, los
profesionales autónomos y las
administraciones públicas que sean
titulares de datos de carácter personal
De acuerdo con la Ley,
son datos de
carácter personal cualquier información
concerniente a personas físicas
identificadas o identificables, es decir,
toda información que aporte datos sobre una
persona física concreta o bien que a través
de dicha información se pueda llegar a
identificar, y no los relativos a personas
jurídicas.
Los datos de carácter personal se dividen en
grupos:
Datos especialmente protegidos
Datos de carácter identificativo
Datos de características personales
Datos de circunstancias sociales
Datos académicos y profesionales
Datos de detalles de empleo
Datos de información comercial
Datos económico-financieros y de seguros
Datos de transacciones
La LOPD es de aplicación a los datos de
carácter personal registrados en soporte
físico, que los haga susceptibles de
tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores
público y privado. Si bien el registro de
datos en soporte físico incluye tanto a los
ficheros informatizados como a los
convencionales, el Reglamento de Medidas de
Seguridad, es únicamente aplicable a los
ficheros informatizados. Por otro lado, los
sujetos a los que es de aplicación la Ley
son todas las personas físicas y
jurídicas tanto de naturaleza pública como
privada. Es decir, la LOPD abarca no
sólo a las empresas privadas sino también a
personas físicas en el desempeño de su
actividad profesional, a las
administraciones públicas, asociaciones,
organismos, ... y en general a toda persona
que trate datos de carácter personal.
Pero, ¿Qué es un dato de carácter
personal?
La Ley 15/99 en su artículo 3 a) define dato
de carácter personal como cualquier
información concerniente a personas físicas
identificadas o identificables. La
definición que nos ofrece esta Ley es poco
clara, parece que dentro de la misma cabe
infinidad de conceptos.
Con el término tratamiento se alude a todo
tipo de operaciones y procedimientos
técnicos de carácter automatizado o no, que
permitan la recogida, grabación,
conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones
de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Resulta una definición muy amplia, pero el
Legislador lo quiso así para poder encuadrar
dentro de la misma cualquier supuesto de
tratamiento que surja como consecuencia del
avance de las tecnologías. El objeto de la
Ley Orgánica 5/1992, de 29 de octubre, de
Regulación del Tratamiento Automatizado de
los Datos de Carácter Personal (LORTAD), hoy
derogada, era menos amplio ya que sólo era
aplicable a los ficheros automatizados, en
cambio la LOPD incluye también dentro de su
ámbito de aplicación los no automatizados,
artículo 3 c) “operaciones y procedimientos
técnicos de carácter automatizado o no.”
Ámbito de aplicación.
1 Ámbito
objetivo. Artículo 2 a).
La LOPD es aplicable a los datos de carácter
personal registrados en soporte físico, que
los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos
datos por los sectores público y privado.
Está excluido de protección. Artículo 2.2:
- Los ficheros mantenidos por personas
físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
Por ejemplo una agenda personal no es un
fichero sometido a la aplicación de esta
Ley.
- Los ficheros sometidos a la normativa
sobre protección de materias
clasificadas. Se refiere a los informes
relativos a la defensa nacional y
protección del Estado. Estos datos se
regulan en la Ley 9/68 de Secretos
Oficiales modificada por la Ley 48/78.
- Los ficheros establecidos para la
investigación del terrorismo y de formas
graves de delincuencia organizada. En
estos supuestos el responsable del
fichero comunicará previamente la
existencia del mismo, sus
características generales y su finalidad
a la Agencia de Protección de Datos. Con
esta exclusión se protege un interés más
fuerte que la intimidad.
2 Ámbito
espacial. Artículo 2.1 2º:
Se regirá por la presente Ley Orgánica todo
tratamiento de datos de carácter personal:
Cuando el tratamiento sea efectuado en
territorio español en el marco de la
actividades de un establecimiento del
responsable del tratamiento.
Cuando al responsable del tratamiento no
establecido en territorio español, le sea de
aplicación la legislación española en
aplicación de normas de Derecho
Internacional Público.
Cuando el responsable de tratamiento no esté
establecido en territorio de la Unión
Europea y utilice en el tratamiento de los
datos medios situados en territorio español,
salvo que tales medios se utilicen
únicamente con fines de tránsito.
3 Ámbito
subjetivo.
La Ley trata de proteger los derechos
fundamentales y las libertades públicas y en
particular el derecho a la intimidad y el
honor de la personas físicas, la Directiva
95/46 del Parlamento Europeo y del Consejo
de 24 de Octubre de 1995, relativa a la
protección de las personas físicas en lo que
respecta al tratamiento de los datos
personales y a la libre circulación de estos
datos, excluye en su artículo 24 a las
personas jurídicas: “las legislaciones
relativas a la protección de las personas
jurídicas respecto del tratamiento de los
datos que las conciernan no son objeto de la
presente Directiva”
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Calidad de los datos. Artículo 4.
Los datos de carácter personal sólo se
podrán recoger para su tratamiento, así como
someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos, en
relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para
las que se hayan obtenido. Estos
condicionantes han de ponerse en relación
con el caso en concreto.
Finalidad.
Los datos de carácter personal objeto de
tratamiento no podrán usarse para
finalidades incompatibles con aquellas para
la que los datos se hubieran recogido. No se
considerará incompatible el tratamiento
posterior de éstos con fines históricos,
estadísticos o científicos. La Ley habla de
finalidades incompatibles, la LORTAD hablaba
de finalidades distintas. A estos efectos la
Agencia de Protección de Datos (APD)
interpreta incompatible como distinto.
Los datos de carácter personal incorporados
al fichero han de responder a la situación
actual, de manera que recojan todas las
modificaciones surgidas, y una vez
incorporadas responderán a la realidad.
Así mismo, los datos de carácter personal
han de ser exactos, de manera que si
resultan ser inexactos o incompletos, en
todo o en parte, han de ser cancelados o
sustituidos de oficio por el responsable del
fichero.
Cuando se ha cumplido la finalidad para la
que se recabaron los datos han de ser
cancelados o destruidos, en caso de no ser
posible han de ser bloqueados.
Artículo 1.1 del R.D 1332/94: “bloqueo de
datos: la identificación y reserva de datos
con el fin de impedir su tratamiento”.
Artículo 16 del R.D 1332/94 “en los casos en
que, siendo procedente la cancelación de los
datos, no sea posible su extinción física,
tanto por razones técnicas como por causa
del procedimiento o soporte utilizado, el
responsable del fichero procederá al bloqueo
de los datos, con el fin de impedir su
ulterior proceso o utilización”.
No serán conservados en forma que permita la
identificación del interesado durante un
periodo superior al necesario para los fines
en base a los cuales hubieran sido recabados
o registrados.
Se prohíbe la recogida de datos por medio de
medios fraudulentos, desleales o ilícitos.
Información. Artículo 5.
Los interesados a los que se soliciten datos
personales deberán ser previamente
informados de modo expreso, preciso e
inequívoco:
a) De que sus datos van
a ser incluidos en un fichero, de la
finalidad de la recogida y de los
destinatarios de la información.
b) De la obligatoriedad o no de dar esos
datos.
c) De las consecuencias de la obtención de
los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos
de acceso, rectificación, cancelación y
oposición.
e) De la identidad y dirección del
responsable del tratamiento o, en su caso,
de su representante para que los afectados
puedan ejercer sus derechos.
Todas estas advertencias deberán ser
recogidas en aquellos cuestionarios e
impresos utilizados para la recogida de los
datos.
No será necesaria la información a que se
refieren los puntos b), c) y d) si el
contenido de ellas se deduce claramente de
la naturaleza de los datos personales que se
solicitan o de las circunstancias en que se
recaban. Las empresas no necesitan pedir a
sus empleados cada mes los datos necesarios
para realizar las nóminas, ya que hay una
relación laboral.
En consecuencia,
cuando se recaban datos personales debe
informarse de modo expreso, preciso e
inequívoco de lo expuesto anteriormente.
Consentimiento. Artículo 6.
La LORTAD no hacía referencia al
consentimiento ni a sus requisitos, sin
embargo la LOPD establece que el tratamiento
de los datos de carácter personal requerirá
el consentimiento inequívoco, es decir,
expreso o tácito, del afectado, salvo que la
ley disponga otra cosa. El artículo 7.2 de
este mismo texto legal exige para los datos
especialmente protegidos consentimiento
expreso y por escrito dada la importancia de
los mismos.
Cuando los datos de carácter personal están
recogidos en fuentes accesibles al público,
que según el artículo 3.j son “aquellos
ficheros cuya consulta puede ser realizada,
por cualquier persona, no impedida por una
norma limitativa o sin más exigencia” .
Tienen la consideración de fuentes
accesibles al público, exclusivamente:
§ El censo promocional.
§ Los repertorios telefónicos.
§ Las listas pertenecientes a grupos de
profesionales que contengan únicamente los
datos de nombre, título, profesión,
actividad, grado académico, dirección e
indicación de su pertenencia al grupo.
§ Los diarios y boletines oficiales.
§ Los medios de comunicación.
No será preciso el consentimiento:
Cuando los datos de carácter personal se
recojan para el ejercicio de las funciones
propias de las Administraciones públicas en
el ámbito de sus competencias.
Cuando se refieran a las partes de un
contrato o precontrato de una relación
negocial, laboral o administrativa y sean
necesarios para su mantenimiento o
cumplimiento.
Cuando el tratamiento de datos tenga por
finalidad proteger un interés vital del
interesado en los términos del artículo 7.6
de la presente Ley.
En estos casos en los que no es necesario el
consentimiento del afectado, éste podrá
oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una
concreta situación personal. En tal
supuesto, el responsable del fichero
excluirá del tratamiento los datos relativos
al afectado.
Por lo tanto, para tratar datos
personales debe tenerse previamente el
consentimiento (expreso o tácito, pero
siempre inequívoco) de sus titulares, salvo
que se dé alguna de las excepciones
previstas en el artículo 5. Si los datos
figuran en fuentes accesibles al público
(como las guías telefónicas o los listados
de colegios profesionales) es posible su
tratamiento sin el consentimiento de los
titulares de los datos.
Seguridad de los datos. Artículo 9.
El responsable del fichero, y, en su caso,
el encargado del tratamiento deberán adoptar
las medidas de índole técnica y organizativa
necesarias que garanticen la seguridad de
los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no
autorizado.
El responsable del fichero es la persona
física o jurídica, de naturaleza pública o
privada, u órgano administrativo, que decida
sobre la finalidad, contenido y uso del
tratamiento. Artículo 3.d.
El encargado de tratamiento es la persona
física o jurídica, autoridad pública,
servicio o cualquier otro organismo que,
sólo o conjuntamente con otros, trate datos
personales por cuenta del responsable del
tratamiento. Artículo 3.g.
Deber de secreto. Artículo 10.
Tanto el responsable del fichero, como el
encargado de tratamiento, así como cualquier
persona que intervenga en cualquier fase del
proceso, están obligados al secreto
profesional respecto de los mismos y al
deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en
su caso, con el responsable del mismo.
Estos son algunos de los
CONCEPTOS
BÁSICOS que la Ley establece para
comprender su funcionamiento:
Datos de carácter personal Cualquier
información concerniente a personas físicas
identificadas o identificables
Fichero Todo conjunto organizado de
datos de carácter personal, cualquiera que
fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso
Tratamiento de datos Operaciones y
procedimientos técnicos de carácter
automatizado o no, que permitan la recogida,
grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y
transferencias
Responsable del fichero o tratamiento
Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo,
que decida sobre la finalidad, contenido y
uso del tratamiento.
Afectado o interesado Persona física
o titular de los datos que sean objeto del
tratamiento
Procedimiento de disociación Todo
tratamiento de datos personales de modo que
la información que se obtenga no pueda
asociarse a persona identificada o
identificable.
Encargado del tratamiento La persona
física o jurídica, autoridad pública,
servicio o cualquier otro organismo que,
sólo o conjuntamente con otros, trate datos
personales por cuenta del responsable del
tratamiento.
Consentimiento del interesado Toda
manifestación de voluntad, libre,
inequívoca, específica e informada, mediante
la que el interesado consienta el
tratamiento de datos personales que le
conciernen
Cesión o comunicación de datos
Toda
revelación de datos realizada a una persona
distinta del interesado.
Fuentes accesibles al público Aquellos ficheros cuya consulta puede ser
realizada, por cualquier persona no impedida
por una norma limitativa o sin más exigencia
que, en su caso, el abono de una
contraprestación.
Tienen la consideración de fuentes de acceso
público, exclusivamente:
- el censo promocional
- los repertorios telefónicos
- las listas de personas pertenecientes a
grupos de profesionales
- diarios, boletines oficiales y los
medios de comunicación
MEDIDAS A ADOPTAR POR PARTE DE LAS
EMPRESAS
Desde un punto de vista práctico, las
empresas se ven obligadas por la LOPD a
llevar a cabo una serie de medidas que
garanticen los derechos de los afectados. De
forma general son estas:
- Proteger los derechos de los afectados
- Disponer de los medios para que los
afectados puedan ejercer sus derechos de
acceso, rectificación, cancelación y
oposición
- Registro de ficheros
- Notificar la existencia, creación y
modificación de los ficheros que
contengan datos de carácter personal en
el Registro General de Protección de
Datos.
- Documento de seguridad
- Elaborar, mantener y aplicar un
documento de seguridad de los datos de
carácter personal
La LOPD establece una serie de sanciones
económicas para los titulares de los
ficheros para los casos en que los
responsables de los mismos y los encargados
de su tratamiento incurran en infracciones.
OBLIGACIONES LEGALES DERIVADAS DE LA
NORMATIVA DE PROTECCIÓN DE DATOS
Inscripción de los ficheros
en el Registro General de la Protección de
Datos. Artículo 26 LOPD. Artículos. 5 y 6
R.D 1332/1994, de 20 de Junio.
Redacción del documento de
seguridad. "El
responsable del fichero elaborará e
implantará la normativa de seguridad
mediante un documento de seguridad de
obligado cumplimiento para el personal con
acceso a los datos automatizados de carácter
personal y a los sistemas de información"
R.D 994/1999, de 11 de Junio.
Redacción de cláusulas
de protección de datos. Artículo 5 LOPD.
Auditoria.
Artículo 17 R.D. 994/1999, de 11 de Junio.
Demás medidas de
seguridad de índole técnica y organizativas
necesarias para garantizar la seguridad de
los datos objeto de tratamiento. Artículos 9
y 10 LOPD y R.D 994/1999, de 11 de junio.
Redacción de los contratos, formularios y cláusulas
necesarias para la recogida de datos, los
tratamientos por terceros y las cesiones o
comunicaciones de datos.
NIVELES DE SEGURIDAD
La ley identifica tres
niveles de medidas de seguridad, BÁSICO,
MEDIO y ALTO, los cuales deberán ser
adoptados en función de los distintos tipos
de datos personales (datos de salud,
ideología, religión, creencias, infracciones
administrativas, de morosidad, etc).
