шаблоны joomla

 
oposiciones-gaite-00
oposiciones-gaite-01
oposiciones-gaite-02
oposiciones-gaite-03
oposiciones-gaite-04
oposiciones-gaite-05
oposiciones-gaite-06
oposiciones-gaite-07
oposiciones-gaite-08
oposiciones-gaite-09
oposiciones-gaite-10
oposiciones-gaite-11
oposiciones-gaite-12
oposiciones-gaite-13

LOPD

La Ley de Protección de Datos Personales

    La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) establece una serie de obligaciones para las empresas, los profesionales autónomos y las Administraciones públicas que sean titulares de datos de carácter personal Asimismo, dicha Ley, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar

     La LOPD permanece vigente desde el 15 de enero de 2000, momento en el que quedó derogada la anterior LORTAD. La diferencia fundamental entre ambas es que el ámbito de la LORTAD únicamente abarcaba los ficheros que contuviesen datos de carácter personal que se almacenasen en soporte electrónico.

     La LOPD amplia este ámbito a cualquier tipo de soporte, es decir,  los ficheros en formato papel también están sujetos a esta reglamentación. No obstante lo anterior, la LOPD mantiene vigentes algunos aspectos de la LORTAD. En este sentido se establece que se mantiene la vigencia de la LORTAD “en todo lo que no se oponga a la Ley”. Este es el caso por ejemplo, del Reglamento de Medidas de Seguridad, cuya vigencia es anterior a la propia Ley. Éste desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc. Es por ello que toda empresa ha de adecuarse a esta normativa con el fin de cumplir todas las exigencias legales establecidas.

    La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) establece una serie de obligaciones para las empresas, los profesionales autónomos y las administraciones públicas que sean titulares de datos de carácter personal.

    De acuerdo con la Ley, son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a través de dicha información se pueda llegar a identificar, y no los relativos a personas jurídicas.

    Los datos de carácter personal se dividen en grupos:

        Datos especialmente protegidos

        Datos de carácter identificativo

        Datos de características personales

        Datos de circunstancias sociales

        Datos académicos y profesionales

        Datos de detalles de empleo

        Datos de información comercial

        Datos económico-financieros y de seguros

        Datos de transacciones

    La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Si bien el registro de datos en soporte físico incluye tanto a los ficheros informatizados como a los convencionales, el Reglamento de Medidas de Seguridad, es únicamente aplicable a los ficheros informatizados. Por otro lado, los sujetos a los que es de aplicación la Ley son todas las personas físicas y jurídicas tanto de naturaleza pública como privada. Es decir, la LOPD abarca no sólo a las empresas privadas sino también a personas físicas en el desempeño de su actividad profesional, a las administraciones públicas, asociaciones, organismos, ... y en general a toda persona que trate datos de carácter personal.

    Pero, ¿Qué es un dato de carácter personal?

    La Ley 15/99 en su artículo 3 a) define dato de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables. La definición que nos ofrece esta Ley es poco clara, parece que dentro de la misma cabe infinidad de conceptos.

    Con el término tratamiento se alude a todo tipo de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

    Resulta una definición muy amplia, pero el Legislador lo quiso así para poder encuadrar dentro de la misma cualquier supuesto de tratamiento que surja como consecuencia del avance de las tecnologías. El objeto de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), hoy derogada, era menos amplio ya que sólo era aplicable a los ficheros automatizados, en cambio la LOPD incluye también dentro de su ámbito de aplicación los no automatizados, artículo 3 c) “operaciones y procedimientos técnicos de carácter automatizado o no.”

    Ámbito de aplicación.

    1 Ámbito objetivo. Artículo 2 a).

    La LOPD es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

    Está excluido de protección. Artículo 2.2:

  • Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Por ejemplo una agenda personal no es un fichero sometido a la aplicación de esta Ley.
  • Los ficheros sometidos a la normativa sobre protección de materias clasificadas. Se refiere a los informes relativos a la defensa nacional y protección del Estado. Estos datos se regulan en la Ley 9/68 de Secretos Oficiales modificada por la Ley 48/78.
  • Los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. En estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. Con esta exclusión se protege un interés más fuerte que la intimidad.

    2 Ámbito espacial. Artículo 2.1 2º:

    Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

    Cuando el tratamiento sea efectuado en territorio español en el marco de la actividades de un establecimiento del responsable del tratamiento.

    Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público.

    Cuando el responsable de tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de los datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

    3 Ámbito subjetivo.

    La Ley trata de proteger los derechos fundamentales y las libertades públicas y en particular el derecho a la intimidad y el honor de la personas físicas, la Directiva 95/46 del Parlamento Europeo y del Consejo de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, excluye en su artículo 24 a las personas jurídicas: “las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva”

    PRINCIPIOS DE LA PROTECCIÓN DE DATOS

    Calidad de los datos. Artículo 4.

    Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Estos condicionantes han de ponerse en relación con el caso en concreto.

    Finalidad. 


    Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para la que los datos se hubieran recogido. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. La Ley habla de finalidades incompatibles, la LORTAD hablaba de finalidades distintas. A estos efectos la Agencia de Protección de Datos (APD) interpreta incompatible como distinto.

    Los datos de carácter personal incorporados al fichero han de responder a la situación actual, de manera que recojan todas las modificaciones surgidas, y una vez incorporadas responderán a la realidad.

    Así mismo, los datos de carácter personal han de ser exactos, de manera que si resultan ser inexactos o incompletos, en todo o en parte, han de ser cancelados o sustituidos de oficio por el responsable del fichero.

    Cuando se ha cumplido la finalidad para la que se recabaron los datos han de ser cancelados o destruidos, en caso de no ser posible han de ser bloqueados.

    Artículo 1.1 del R.D 1332/94: “bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento”.

    Artículo 16 del R.D 1332/94 “en los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización”.

    No serán conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

    Se prohíbe la recogida de datos por medio de medios fraudulentos, desleales o ilícitos.

    Información. Artículo 5.

    Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De que sus datos van a ser incluidos en un fichero, de la finalidad de la recogida y de los destinatarios de la información.
b) De la obligatoriedad o no de dar esos datos.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante para que los afectados puedan ejercer sus derechos.

    Todas estas advertencias deberán ser recogidas en aquellos cuestionarios e impresos utilizados para la recogida de los datos.

    No será necesaria la información a que se refieren los puntos b), c) y d) si el contenido de ellas se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Las empresas no necesitan pedir a sus empleados cada mes los datos necesarios para realizar las nóminas, ya que hay una relación laboral.

    En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de lo expuesto anteriormente.

    Consentimiento. Artículo 6.

    La LORTAD no hacía referencia al consentimiento ni a sus requisitos, sin embargo la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco, es decir, expreso o tácito, del afectado, salvo que la ley disponga otra cosa. El artículo 7.2 de este mismo texto legal exige para los datos especialmente protegidos consentimiento expreso y por escrito dada la importancia de los mismos.

    Cuando los datos de carácter personal están recogidos en fuentes accesibles al público, que según el artículo 3.j son “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia” .

    Tienen la consideración de fuentes accesibles al público, exclusivamente:

  • El censo promocional.
  • Los repertorios telefónicos.
  • Las listas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • Los diarios y boletines oficiales.
  • Los medios de comunicación.

    No será preciso el consentimiento:

Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.

Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

Cuando el tratamiento de datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la presente Ley.

    En estos casos en los que no es necesario el consentimiento del afectado, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

    Por lo tanto, para tratar datos personales debe tenerse previamente el consentimiento (expreso o tácito, pero siempre inequívoco) de sus titulares, salvo que se dé alguna de las excepciones previstas en el artículo 5. Si los datos figuran en fuentes accesibles al público (como las guías telefónicas o los listados de colegios profesionales) es posible su tratamiento sin el consentimiento de los titulares de los datos.

    Seguridad de los datos. Artículo 9.

    El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

    El responsable del fichero es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Artículo 3.d.

    El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Artículo 3.g.

    Deber de secreto. Artículo 10.

    Tanto el responsable del fichero, como el encargado de tratamiento, así como cualquier persona que intervenga en cualquier fase del proceso, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

    Estos son algunos de los CONCEPTOS BÁSICOS que la Ley establece para comprender su funcionamiento:

Datos de carácter personal. Cualquier información concerniente a personas físicas identificadas o identificables

Fichero. Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso

Tratamiento de datos. Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias

Responsable del fichero o tratamiento. Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado. Persona física o titular de los datos que sean objeto del tratamiento

Procedimiento de disociación. Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Encargado del tratamiento. La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Consentimiento del interesado. Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen

Cesión o comunicación de datos. Toda revelación de datos realizada a una persona distinta del interesado.

Fuentes accesibles al público.  Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.


    Tienen la consideración de fuentes de acceso público, exclusivamente:

  • el censo promocional
  • los repertorios telefónicos
  • las listas de personas pertenecientes a grupos de profesionales
  • diarios, boletines oficiales y los medios de comunicación

    MEDIDAS A ADOPTAR POR PARTE DE LAS EMPRESAS

    Desde un punto de vista práctico, las empresas se ven obligadas por la LOPD a llevar a cabo una serie de medidas que garanticen los derechos de los afectados. De forma general son estas:

  • Proteger los derechos de los afectados.
  • Disponer de los medios para que los afectados puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición.
  • Registro de ficheros.
  • Notificar la existencia, creación y modificación de los ficheros que contengan datos de carácter personal en el Registro General de Protección de Datos.
  • Documento de seguridad.
  • Elaborar, mantener y aplicar un documento de seguridad de los datos de carácter personal.

    La LOPD establece una serie de sanciones económicas para los titulares de los ficheros para los casos en que los responsables de los mismos y los encargados de su tratamiento incurran en infracciones.

    OBLIGACIONES LEGALES DERIVADAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS

    Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD. Artículos. 5 y 6 R.D 1332/1994, de 20 de Junio.

    Redacción del documento de seguridad. "El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información" R.D 994/1999, de 11 de Junio.

    Redacción de cláusulas de protección de datos. Artículo 5 LOPD.

    Auditoria. Artículo 17 R.D. 994/1999, de 11 de Junio.

    Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y R.D 994/1999, de 11 de junio.

    Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

    NIVELES DE SEGURIDAD

    La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en fucnción de los distintos tipos de datos personales (datos de salud, ideología, religión, creencias, infracciones administrativas, de morosidad, etc).

NIVEL BÁSICO

TIPO DE DATOS

  • Nombre
  • Apellidos
  • Direcciones de contacto (tanto físicas como electrónicas)
  • Teléfono (tanto fijo como móvil)
  • Otros

MEDIDAS DE SEGURIDAD OBLIGATORIAS

  • Documento de seguridad
  • Régimen de funciones y obligaciones del personal
  • Registro de incidencias
  • Identificación y autenticación de usuarios
  • Control de acceso
  • Gestión de soportes
  • Copias de respaldo y recuperación
---

NIVEL MEDIO

TIPO DE DATOS

  • Comisión infracciones penales
  • Comisión infracciones administrativas
  • Información de Hacienda Pública
  • Información de servicios financieros

MEDIDAS DE SEGURIDAD OBLIGATORIAS 

  • Medidas de seguridad de nivel básico
  • Responsable de Seguridad
  • Auditoría bianual
  • Medidas adicionales de Identificación y autenticación de usuarios
  • Control de acceso físico
---

NIVEL ALTO

TIPO DE DATOS

  • Ideología
  • Religión
  • Creencias
  • Origen racial
  • Salud
  • Vida

MEDIDAS DE SEGURIDAD OBLIGATORIAS 

  • Medidas de seguridad de nivel básico y medio
  • Seguridad en la distribución de soportes
  • Registro de accesos
  • Medidas adicionales de copias de respaldo
  • Cifrado de telecomunicaciones
  •     SANCIONES

    Se establecen una serie de sanciones a los responsables de los ficheros y a los encargados del tratamiento de los ficheros que contengan datos de carácter personal. Estas se clasifican en leves, graves y muy graves, atendiendo a la infracción cometida.

Infracción

Sanción

Leve

de 600 € a 60.000 €

Grave

de 60.000 € a 300.000 €

Muy grave

de 300.000 € a 600.000 €

---