LA LEY ORGÁNICA

DE PROTECCIÓN DE
DATOS.
INDICE

1. INTRODUCCIÓN: EL ORIGEN Y NORMATIVA APLICABLE ............................ 6

1. OBJETIVOS. ............................................................................................................ 6
2. CONTENIDO ........................................................................................................... 7
2.1. EL ORIGEN DE LA PROTECCIÓN DE DATOS PERSONALES. ............... 7
2.2 NORMATIVA APLICABLE. ............................................................................ 8
2.3 DEFINICIONES. .............................................................................................. 11
3. RESUMEN. ............................................................................................................ 13
2. INTRODUCCIÓN: ÁMBITO DE APLICACIÓN .................................................... 14
1. OBJETIVOS. .......................................................................................................... 14
2. CONTENIDO. ........................................................................................................ 15
2.1. ÁMBITO DE APLICACIÓN TEMPORAL ................................................... 15
2.2. ÁMBITO DE APLICACIÓN SUBJETIVO DE LA LOPD. .......................... 15
2.3. ÁMBITO DE APLICACIÓN TERRITORIAL DE LA LOPD. ..................... 16
2.4. TRATAMIENTOS EXCLUIDOS DE LA LOPD. ......................................... 16
2.5. FICHEROS REGULADOS POR NORMAS ESPECÍFICAS. ....................... 17
3. RD 1720/2007, DE 21 DE DICIEMBRE POR EL QUE SE APRUEBA
ELREGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA 15/1999, DE13
DE DICIEMBRE SOBRE PROTECCIÓN DE DATOS DE
CARÁCTERPERSONAL. ......................................................................................... 17
4. RESUMEN ............................................................................................................. 18
3. CONCEPTO DE DATO PERSONAL Y FICHERO ................................................. 18
1. OBJETIVOS. .......................................................................................................... 18
2. CONTENIDO. ........................................................................................................ 19
2.1. CONCEPTO DE DATO DE CARÁCTER PERSONAL ............................... 19
2.2. DATOS PERSONALES ESPECIALMENTE PROTEGIDOS. ..................... 19
2.3. CONCEPTO DE FICHERO A LA LUZ DE LA LOPD................................. 20
4. SUJETOS INTERVINIENTES .................................................................................. 22
1. OBJETIVOS. .......................................................................................................... 22
2. CONTENIDO. ........................................................................................................ 23
2.1. EL INTERESADO. ......................................................................................... 23
2.2. El RESPONSABLE DEL FICHERO O TRATAMIENTO. ........................... 23
2.3. EL ENCARGADO DEL TRATAMIENTO. .................................................. 23
2.4. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ..................... 25
2.5. EL RESPONSABLE DE SEGURIDAD. ........................................................ 25
3. RESUMEN ............................................................................................................. 25
5. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE INFORMACIÓN ................. 26
1. OBJETIVOS ........................................................................................................... 26
2. CONTENIDO. ........................................................................................................ 27
2.1. EL PRINCIPIO DE INFORMACIÓN. ........................................................... 27
2.2. EXCEPCIONES .............................................................................................. 30
3. RESUMEN. ............................................................................................................ 30
6. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE CONSENTIMIENTO .......... 31
1. OBJETIVOS. .......................................................................................................... 31
2. CONTENIDO. ........................................................................................................ 31
2.1. EL PRINCIPIO DE CONSENTIMIENTO. .................................................... 31
2.2. CLASES DE CONSENTIMIENTO ................................................................ 33

2
 2.3. EXCEPCIONES AL CONSENTIMIENTO. .................................................. 34
3. RESUMEN. ............................................................................................................ 34
7. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE CALIDAD ........................... 35
1. OBJETIVOS. .......................................................................................................... 35
2. CONTENIDO. ........................................................................................................ 35
3. RESUMEN. ............................................................................................................ 37
8. LA CESIÓN DE DATOS. REQUISITOS ................................................................. 38
1. OBJETIVOS ........................................................................................................... 38
2. CONTENIDO. ........................................................................................................ 38
2.1. LA CESIÓN DE DATOS PERSONALES. .................................................... 38
3. RESUMEN. ............................................................................................................ 42
9. LA TRANSFERENCIA INTERNACIONAL DE DATOS ....................................... 43
1. OBJETIVOS. .......................................................................................................... 43
2. CONTENIDO. ........................................................................................................ 43
2.1. LA TRANSFERENCIA INTERNACIONAL DE DATOS. ........................... 43
3. RESUMEN. ............................................................................................................ 47
10. DERECHOS DE LOS INTERESADOS. DERECHO DE ACCESO ...................... 48
1. OBJETIVOS. .......................................................................................................... 48
2. CONTENIDO. ........................................................................................................ 48
2.1. EL DERECHO DE ACCESO. ........................................................................ 48
2.2. CONTENIDO. ................................................................................................. 49
2.3. REQUISITOS PARA SU EJERCICIO. .......................................................... 49
2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO. .......................... 49
2.4.1. Denegación del derecho................................................................................ 50
2.4.2. Información que debe aportar el responsable. .............................................. 50
3. RESUMEN. ............................................................................................................ 51
11. DERECHOS DE LOS INTERESADOS. RECTIFICACIÓN Y CANCELACIÓN 52
1. OBJETIVOS. .......................................................................................................... 52
2. CONTENIDO ......................................................................................................... 52
2.1. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN. ............................ 52
2.2. CONCEPTO. ................................................................................................... 53
2.3. REQUISITOS. ................................................................................................. 54
2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO. .......................... 54
2.5. SUPUESTOS DE DENEGACIÓN. ................................................................ 55
2.6. EL BLOQUEO DE DATOS............................................................................ 55
3. RESUMEN. ............................................................................................................ 56
12. DERECHOS DE LOS INTERESADOS. OTROS DERECHOS............................. 57
1. OBJETIVOS ........................................................................................................... 57
2. CONTENIDO. ........................................................................................................ 57
2.1. DERECHO DE IMPUGNACIÓN................................................................... 57
2.2. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN
DE DATOS. ........................................................................................................... 58
2.3. DERECHO DE INDEMNIZACIÓN............................................................... 59
3. RESUMEN ............................................................................................................. 60
13. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. FUNCIONES ...... 60
1. OBJETIVOS ........................................................................................................... 61
2. CONTENIDO. ........................................................................................................ 61
2.1. NATURALEZA Y REGIMEN JURIDICO. ................................................... 61
2.2. FUNCIONES. .................................................................................................. 61

3
 2.3. CAPACIDAD NORMATIVA DE LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS. ................................................................................. 62
2.4. OTRAS FUNCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCION
DE DATOS. ........................................................................................................... 62
2.5. ORGANIGRAMA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
FUNCIONES .......................................................................................................... 62
3. RESUMEN. ............................................................................................................ 63
14. LAS AGENCIAS AUTONÓMICAS DE PROTECCIÓN DE DATOS .................. 64
1. OBJETIVOS ........................................................................................................... 64
2. CONTENIDO. ........................................................................................................ 64
2.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ORIGEN. .... 64
2.2. LAS AGENCIAS AUTONOMICAS DE PROTECCIÓN DE DATOS. ........ 64
2.3. DISTINCIÓN DE FUNCIONES ENTRE LA AGENCIA ESPAÑOLA Y LAS
AGENCIAS DE LAS COMUNIDADES AUTÓNOMAS DE PROTECCIÓN DE
DATOS. .................................................................................................................. 66
3. RESUMEN. ............................................................................................................ 66
15. LA INSCRIPCIÓN DE FICHEROS ........................................................................ 68
1. OBJETIVOS ........................................................................................................... 68
2. CONTENIDO ......................................................................................................... 68
2.1. REGISTRO GENERAL DE PROTECCIÓN DE DATOS. ............................ 68
2.2. LA INSCRIPCION DE FICHEROS. .............................................................. 68
2.3. LOS FICHEROS PÚBLICOS. ........................................................................ 70
2.4. CONCEPTO DE FICHERO A EFECTOS DE INSCRIPCIÓN. .................... 70
3. RESUMEN ............................................................................................................. 71
16. LOS FICHEROS DEL ARTÍCULO 29 DE LA LOPD ........................................... 71
1. OBJETIVOS ........................................................................................................... 72
2. CONTENIDO. ........................................................................................................ 72
2.1. PRESTACIÓN DE SERVICIOS DE INFORMACION SOBRE SOLVENCIA
PATRIMONIAL Y CREDITO. ............................................................................. 72
3. RESUMEN ............................................................................................................. 74
17. LAS MEDIDAS DE SEGURIDAD DETERMINACIÓN DEL NIVEL DE
SEGURIDAD ................................................................................................................. 76
1. OBJETIVOS. .......................................................................................................... 76
2. CONTENIDO. ........................................................................................................ 76
2.1. REGULACIÓN LEGAL DE LAS MEDIDAS DE SEGURIDAD. ............... 76
2.2. LOS NIVELES DE SEGURIDAD. ................................................................ 76
2.3. FICHEROS NO AUTOMATIZADOS (SOPORTE PAPEL) ......................... 79
3 RESUMEN .............................................................................................................. 80
18. LAS MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO ...................................... 81
1. OBJETIVOS. .......................................................................................................... 81
2. CONTENIDO. ........................................................................................................ 82
2.1. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO. .................................... 82
3. RESUMEN. ............................................................................................................ 88
19. LAS MEDIDAS DE SEGURIDAD DE NIVEL MEDIO ....................................... 89
1. OBJETIVOS. .......................................................................................................... 89
2. CONTENIDO. ........................................................................................................ 89
2.1. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO. ...................................... 89
3. RESUMEN. ............................................................................................................ 94
20. LAS MEDIDAS DE SEGURIDAD DE NIVEL ALTO .......................................... 94

4
1. OBJETIVOS. .......................................................................................................... 94
2. CONTENIDO ......................................................................................................... 94
2.1. MEDIDAS DE SEGURIDAD DE NIVEL ALTO.......................................... 94
2.2. MEDIDAS DE SEGURIDAD PARA TODOS LOS NIVELES. ................... 97
3. RESUMEN. ............................................................................................................ 99

5
1. INTRODUCCIÓN: EL ORIGEN Y NORMATIVA
APLICABLE

1. OBJETIVOS.
 Comprender el origen y causas fundamentales que han motivado la
creación de una normativa de protección de datos de carácter personal.
 Conocer los principales desarrollos normativos de aplicación a esta
materia tanto a nivel nacional como internacional.
 Conocer las principales definiciones en esta materia.

6
2. CONTENIDO.

2.1. EL ORIGEN DE LA PROTECCIÓN DE DATOS PERSONALES.

Desde hace siglos el hombre ha sentido la necesidad de salvaguardar y proteger
su espacio “íntimo” o “privado”, frente a ingerencias de la sociedad en la que
convive. Esta necesidad de privacidad, está íntimamente ligada a un derecho tan
reconocido como la libertad y afecta a las esferas más profundas de la
personalidad del individuo. Una sociedad que no garantice la privacidad de sus
miembros, es muy probable que no garantice otros muchos derechos hoy en día
considerados como fundamentales.
Poco a poco, tanto textos legales nacionales como internacionales han ido
recogiendo este derecho a la intimidad personal y familiar profundizando en los
aspectos fundamentales que lo sustentan. Pero la revolución tecnológica en la
que nos encontramos y las nuevas herramientas informáticas de control
poblacional, han generado nuevos peligros para la libertad del individuo hasta
ahora desconocidos, que necesitan de una respuesta legal efectiva.
Hoy en día existen potentes herramientas (data warehouse, data mining etc),
que partiendo de grandes bases de datos, permiten crear perfiles de personas
partiendo de información aparentemente irrelevante, pudiendo llegar a predecir
sus comportamientos. Cuando utilizamos tarjetas de crédito, navegamos por
Internet, pasamos delante de una cámara de seguridad digital, utilizamos el GPS
o hablamos por un teléfono móvil, etc, estamos dejando una información que
puede ser recogida y tratada con fines indebidos.
Continuamente estamos suministrando nuestros datos personales a
instituciones públicas o privadas (Hacienda, bancos, hospitales, compañías de
seguros, etc.) sin saber realmente el destino y finalidad que se le darán a los
mismos.
A todo esto hay que añadir, que estamos admitiendo y asumiendo que
decisiones importantes que afectan a nuestras vidas, sean tomadas por
máquinas que se apoyan en bases de datos sobre las que no tenemos ningún
control.

7
Ante esta nueva realidad de la que desafortunadamente no hay una gran
conciencia social, la protección otorgada por el tradicional derecho a la intimidad
es totalmente insuficiente.
En este contexto, surge en España un nuevo derecho fundamental, “la libertad
informática” que va más allá de proteger la esfera íntima del individuo. Es de
destacar en este punto, la relevancia que ha tenido para la interpretación de este
nuevo derecho la Sentencia del Tribunal constitucional 292/2000, de 20 de
noviembre. El derecho a la “privacidad” de las personas viene a recoger una
realidad más amplia que el derecho a la “intimidad”; ésta deriva de la dignidad
de la persona e implica la existencia de un ámbito propio y reservado frente a la
acción y el conocimiento de los demás (pensamientos, ideología, deseos,
relaciones íntimas, creencias, etc), sin embargo, la “privacidad” abarca además,
aspectos de la vida cotidiana que, no siendo íntimos, pueden considerarse
privados (el número de teléfono, la lista de la compra, el domicilio, la talla del pié,
una fotografía, lugares frecuentados, etc). Todo lo íntimo es privado, pero no
todo lo privado es íntimo.
La normativa de protección de datos personales protege la información
concerniente a personas físicas sea íntima o no (privada). El derecho a la
intimidad como tal, está protegido por la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la
Propia Imagen, sin embargo, es insuficiente para preservar al individuo frente a
los nuevos peligros del tratamiento informatizado de datos.

2.2 NORMATIVA APLICABLE.

En el ámbito europeo, la necesidad de dar una respuesta ante el tratamiento
masivo de datos personales que la incipiente informática proporcionaba,
cristalizó en diferentes textos legales tales como:
 El Convenio Europeo Derechos Humanos de 1950 (art. 8).
 Convenio de 28 de enero de 1981, del Consejo de Europa (Convenio
108).
 Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales a
la libre circulación de estos datos.

8
  Directiva 2002/58/CE relativa al tratamiento de los datos personales ya la
protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre la privacidad y las comunicaciones electrónicas)
A nivel estatal, la normativa en materia de protección de datos se encuentra
recogida en los siguientes textos legales:
 La Constitución de 1978 que establece en su artículo 18.4, que la Ley
deberá limitar el uso de la informática para garantizar el honor, la intimidad
personal y familiar de los ciudadanos y el legítimo ejercicio de sus
derechos.
 La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de
carácter Personal (conocida como LOPD), que es el eje fundamental en
torno al cual gira el régimen jurídico de la protección de datos de carácter
personal en España. Tal y como se verá más adelante en este curso, uno
de los aspectos fundamentales de esta normativa, es la obligación de
implantar las medidas de seguridad tanto técnicas como organizativas
que garanticen la seguridad y confidencialidad de los datos personales
objeto de tratamiento (artículo 9 de la LOPD).
 El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante
RDLOPD), que entrará en vigor el 19 de abril de 2008 y nace con la
vocación no de reiterar los contenidos de la norma superior (LOPD), sino
de completar aquellos puntos que precisan de mayor desarrollo
normativo. Precisamente en este RD es donde vienen reguladas las
medidas de seguridad aplicables para los ficheros automatizados y no
automatizados con datos de carácter personal, a las que hacíamos
mención anteriormente vienen recogidas en este RDLOD.
Con la entrada en vigor del mencionado RD 1720/2007, de 21 de
Diciembre (RDLOPD), quedan derogadas algunas normas que hasta
ahora regulaban también la materia concerniente a los datos de carácter
personal y que son las siguientes:
 Real Decreto 195/2000, de 11 de Febrero, por el que se establece el plazo
para implantar las medidas de seguridad de los ficheros automatizados
que contengan datos de carácter personal.

9
  Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados.
 Real Decreto 1332/1993, de 20 de Junio, por le que se desarrollan
algunos preceptos de de la Ley Orgánica.
 Real Decreto 428/1993, de 26 de Marzo, por el que se aprueba el Estatuto
de la Agencia Española de Protección de Datos.
Junto a la normativa antes descrita, existen otras Normas de carácter
Reglamentario en materia de Protección de datos de carácter personal, que
también deben ser tenidas en cuenta:
o Resolución de 8 de septiembre de 2006, de la Agencia Española de
Protección de Datos, por la que se corrigen errores en las Resoluciones
de 12 de julio de 2006, por las que se crea el Registro Telemático y se
aprueban los formularios electrónicos para inscribir los ficheros en el
Registro General de Protección de Datos.
o Resolución de 1 de septiembre de 2006, de la Agencia Española de
Protección de Datos, por la que se determina la información que contiene
el Catálogo de ficheros inscritos en el Registro General de Protección de
Datos.
o Resolución de 12 de julio de 2006, de la Agencia Española de Protección
de Datos, por la que se crea el Registro Telemático de la Agencia
Española de Protección de Datos.
o Resolución de 12 de julio de 2006, de la Agencia Española de Protección
de Datos, por la que se aprueban los formularios electrónicos a través de
los que deberán efectuarse las solicitudes de inscripción de ficheros en el
Registro General de Protección de Datos, así como los formatos y
requerimientos a los que deben ajustarse las notificaciones remitidas en
soporte informático o telemático.
o Resolución de 22 de junio de 2001, de la Subsecretaría de Justicia, que
concreta el plazo para la implantación de medidas de seguridad de nivel
alto.
o Resolución de 30 de mayo de 2000, de la APD, por la que se aprueban
los modelos normalizados en soporte papel, magnético y telemático, para
la inscripción de los ficheros.

10
Por último, también haremos mención de las Instrucciones emitidas por la AEPD,
y que se aplicarán en materias específicas sobre datos de carácter personal:
 Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de
Protección de Datos sobre el tratamiento de datos personales con fines
de vigilancia a través de sistemas de cámaras o videocámaras. Descarga
de Modelos.
 Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de
Protección de Datos sobre publicación de sus Resoluciones. Instrucción
1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que
se rigen los movimientos internacionales de datos.
 Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de los
derechos de acceso rectificación y cancelación.
 Instrucción 2/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
casinos y salas de bingo.
 Instrucción 1/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
edificios.
 Instrucción 2/1995, de 4 de mayo, de la APD, sobre garantía de los datos
personales recabados en la contratación de seguro de vida de forma
conjunta con un préstamo hipotecario o personal.
 Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de
servicios de información sobre solvencia patrimonial y crédito.

2.3 DEFINICIONES.
- Dato de carácter personal: Cualquier información concerniente a personas
físicas identificadas o identificables.
- Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.
- Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de

11
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
- Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento.
- Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
- Procedimiento de disociación: Todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona identificada o
identificable.
- Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
- Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
- Cesión o comunicación de datos: Toda revelación de datos realizada a una
persona distinta del interesado.
- Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin más
exigencia que, en su caso, el abono de una contraprestación. Tienen
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines
oficiales y los medios de comunicación.
- Sistemas de información: Conjunto de ficheros automatizados, programas,
soportes y equipos empleados para el almacenamiento y tratamiento de datos
de carácter personal.
- Usuario: Sujeto o proceso autorizado para acceder a datos o recursos.
- Recurso: Cualquier parte componente de un sistema de información.

12
- Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización
de los diversos recursos.
- Identificación: Procedimiento de comprobación de la identidad de un usuario.
- Autenticación: Procedimiento de comprobación de la identidad de un usuario.
- Control de acceso: Mecanismo que en función de la identificación ya
autenticada permite el acceso a datos o recursos.
- Contraseña: Información confidencial frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autenticación de un usuario.
- Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de
los datos.
- Soporte: Objeto físico susceptible de ser tratado en un sistema de información
y sobre el cual se pueden gravar o recuperar datos.
- Responsable de seguridad: Persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables.
- Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte
que posibilite su recuperación.

3. RESUMEN.
La normativa de protección de datos no se limita a proteger el derecho a la
intimidad de las personas, va más allá, protege cualquier información
concerniente a personas físicas, sea íntima o no, puesto que esta información
aparentemente irrelevante, puede ser almacenada y tratada informáticamente
con fines indebidos, poniéndose en juego la libertad y dignidad del individuo.
La normativa fundamental de aplicación es:
 Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos.
 Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre la privacidad y las comunicaciones electrónicas).
 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.

13
  El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal.
 R.D. 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia
Española de Protección de Datos (AEPD); como se verá más adelante es
la entidad pública de control, encargada de velar por el cumplimiento de
la normativa de protección de datos en España.
 Formativa Reglamentaria.
 Instrucciones de la AEPD.

2. INTRODUCCIÓN: ÁMBITO DE APLICACIÓN

1. OBJETIVOS.
 Conocer el ámbito de aplicación, temporal, subjetivo y territorial de la
LOPD, los tratamientos de datos excluidos y aquellos que son regulados
por normativas específicas.

14
2. CONTENIDO.
2.1. ÁMBITO DE APLICACIÓN TEMPORAL.
Tal y como establece la Disposición Final Tercera, la LOPD entró en vigor el 14
de Enero de 2000. Para la adecuación de los ficheros con datos personales,
preexistentes a dicha fecha, la LOPD ha establecido un régimen transitorio en
su Disposición Adicional Primera, quedando de la siguiente manera el ámbito
temporal de aplicación de la LOPD:
o Los ficheros automatizados preexistentes al 14 de Enero de 2000: Se
establece que “los ficheros y tratamientos automatizados inscritos o no en
el Registro de Protección de Datos deben adecuarse a la LOPD dentro
del plazo de tres años a contar desde su entrada en vigor...”. Este plazo
adicional para la adecuación a la LOPD finalizó el 14 deenero de 2003.
o Los Ficheros no automatizados preexistentes a la entrada en vigor de la
LOPD: Su adecuación a la LOPD deberá cumplimentarse en el plazo de
doce años a contar desde el 24 de Octubre de 1995, sin perjuicio del
ejercicio de los derechos de acceso, rectificación y cancelación por parte
de los afectados.
De este modo, los ficheros no automatizados preexistentes a la entrada en vigor
de la LOPD no se encuentran incluidos en el ámbito de aplicación de la LOPD
hasta el 24 de Octubre de 2007, pero si les son de aplicación las obligaciones
existentes para el ejercicio de los derechos de los usuarios (derechos de acceso,
rectificación, cancelación y oposición) que se estudiarán en la Unidades
Temáticas 2.4.1 y 2.4.2. del presente Curso.

2.2. ÁMBITO DE APLICACIÓN SUBJETIVO DE LA LOPD.

El artículo 2 de la LOPD establece lo siguiente:
“La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores público y privado."
Por ello, no le es de aplicación la Ley Orgánica 15/1999:
o A los datos de personas jurídicas.
o A los datos de las personas fallecidas.
Por el contrario, sí le es de aplicación:

15
 o A los datos de los empresarios individuales - personas físicas (por
ejemplo, autónomos).
o A la grabación de datos de voz e imágenes, siempre que las mismas
permitan la identificación de las personas que aparecen en dichas voces
o imágenes y se hallen incorporadas a ficheros informáticos.
o A los ficheros de empresas que tengan una relación de personas físicas
de contacto, como Administradores, Gerentes, Directores Generales,
Comerciales, etc.

2.3. ÁMBITO DE APLICACIÓN TERRITORIAL DE LA LOPD.

Hay que partir de lo dispuesto en el párrafo segundo del artículo 2.1 de la LOPD
que, en relación con el ámbito territorial de aplicación de la Ley, establece que
se regirá por la LOPD todo tratamiento de datos de carácter personal:
o Cuando el tratamiento sea efectuado en territorio español en el marco de
las actividades de un establecimiento del responsable del tratamiento.
o Cuando al responsable del tratamiento no establecido en territorio
español, le sea de aplicación la legislación española en aplicación de
normas de Derecho internacional público.
o Cuando el responsable del tratamiento no esté establecido en territorio de
la Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, salvo que tales medios se utilicen únicamente con fines
de tránsito.

2.4. TRATAMIENTOS EXCLUIDOS DE LA LOPD.

El régimen de protección de los datos de carácter personal establecido por la
LOPD no será de aplicación a:
o A los ficheros mantenidos por personas físicas en el ejercicio de
actividades exclusivamente personales o domesticas (por ejemplo los
datos personales de contactos incluidos en un teléfono móvil particular.
o A los ficheros sometidos a la normativa sobre protección de materias
clasificadas.
o A los ficheros establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada. No obstante, en estos supuestos el
responsable del fichero comunicará previamente la existencia del mismo,

16
 sus características generales y su finalidad a la Agencia Española de
Protección de Datos.

2.5. FICHEROS REGULADOS POR NORMAS ESPECÍFICAS.

El artículo 2.3. de la LOPD establece que se regirán por sus disposiciones
específicas, y por lo especialmente previsto, en su caso, por la LOPD, los
siguientes tratamientos de datos personales:
o Los ficheros regulados por la legislación de régimen electoral.
o Los que sirvan a fines exclusivamente estadísticos, y estén amparados
por la legislación estatal o autonómica sobre la función estadística pública.
o Los que tengan por objeto el almacenamiento de los datos contenidos en
los informes personales de calificación a que se refiere la legislación del
régimen del personal de las fuerzas armadas.
o Los derivados del Registro Civil y del Registro Central de Penados y
Rebeldes.
o Los procedentes de imágenes y sonidos obtenidos mediante la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad, de
conformidad con la legislación sobre la materia.

3. RD 1720/2007, DE 21 DE DICIEMBRE POR EL QUE SE

APRUEBA ELREGLAMENTO DE DESARROLLO DE LA LEY
ORGÁNICA 15/1999, DE13 DE DICIEMBRE SOBRE PROTECCIÓN
DE DATOS DE CARÁCTERPERSONAL.
Tal y como se estudió en la unidad temática 1.1.1 de este curso, la legislación
en materia de Protección de Datos de carácter personal, tendrá como eje
principal la Ley Orgánica 15/1999, de 13 de diciembre sobre Protección de Datos
de Carácter Personal, Ley que será de aplicación directa en esta materia.
Ahora bien, con la publicación en el BOE, el 19 de Enero de 2008, del RD
1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de Diciembre, de protección de datos de carácter personal
(RDLOPD), que es una norma del poder Ejecutivo que desarrolla una ley, esto
es, contempla las cuestiones secundarias o de detalle, pero siempre debe estar
guiado por los parámetros que fija la norma superior.

17
La finalidad de este RDLOPD es acrecentar la seguridad jurídica, resolviendo
aquellas lagunas que pudieran existir en la actualidad en relación a la protección
de datos de carácter personal.
El nuevo Real Decreto hace especial hincapié en las medidas de seguridad
informáticas que deben aplicarse para la protección de los ficheros
automatizados, así como también determina las medidas a adoptar en relación
a los datos recogidos en ficheros no automatizados (es decir, en soporte papel).
Estas medidas de seguridad serán objeto de estudio en la unidad temática 3.1.1
de este curso.

4. RESUMEN
 Respecto al ámbito temporal, para los ficheros automatizados
preexistentes al 14 de Enero de 2000 el plazo máximo para su adecuación
fue el 14 de enero de 2003, mientras que para Los Ficheros no
automatizados preexistentes a la entrada en vigor de la LOPD su plazo
es hasta el 24 de Octubre de 2007.
 Respecto al ámbito territorial, en principio se regirán por la LOPD los
tratamientos de datos personales realizados en territorio español salvo
aquellos que sean de mero transito.
 Respecto al ámbito subjetivo la LOPD, no es de aplicación a los datos de
personas jurídicas ni a los datos de las personas fallecidas.
 Existen tratamientos de datos excluidos de la LOPD y tratamientos que se
regulan por normativas específicas.
 El RDLOPD es la norma subsidiaria a la LOPD, a la que complementa,
desarrollando también aquellas materias que no vienen desarrolladas en
la Ley Orgánica.

3. CONCEPTO DE DATO PERSONAL Y FICHERO

1. OBJETIVOS.

 Conocer el concepto de dato de carácter personal y sus distintas

clasificaciones.
 Conocer el concepto de fichero a la luz de la LOPD.

18
2. CONTENIDO.

2.1. CONCEPTO DE DATO DE CARÁCTER PERSONAL.

El concepto de dato de carácter personal viene recogido en el artículo 3.a) de
la LOPD y lo define como:
“Cualquier información concerniente a personas físicas identificadas o
identificables”
De esta definición se deben sacar las siguientes conclusiones:
o Se refiere a personas físicas: a los datos relativos a personas jurídicas
(sociedades limitadas, sociedades anónimas, fundaciones,
asociaciones etc.) no les es de aplicación esta normativa.
o Deben ser personas identificadas o identificables: es decir, en el
supuesto de que se cuente con datos personales relativos a personas
físicas cuya identificación sea prácticamente imposible o requiera
esfuerzos totalmente desproporcionados tampoco será de aplicación
esta normativa.
o Consiste en cualquier información, por ejemplo el nombre y apellidos,
dirección, teléfono, D.N.I., la talla del pié, la lista de la compra, una
imagen, incluso un sonido que se recoja en un fichero automatizado o
no, le será de aplicación esta normativa.

2.2. DATOS PERSONALES ESPECIALMENTE PROTEGIDOS.

Si bien es cierto que cualquier información concerniente a una persona física
identificada o identificable es dato de carácter personal, es evidente que
existen datos que por afectar a la esfera íntima de la persona merecen un
tratamiento especial, estos son los datos conocidos como especialmente
protegidos.
Estos datos se recogen en el artículo 7 de la LOPD y son los siguientes:
o Ideología, religión y creencias: Nadie puede ser obligado a declarar
sobre este tipo de datos por mandato constitucional. Para su recogida
y tratamiento es absolutamente necesario el consentimiento expreso
y por escrito del interesado salvo en los ficheros mantenidos por
partidos políticos, sindicatos, confesiones religiosas, asociaciones,
fundaciones etc., respecto a los datos de sus miembros o asociados

19
 ya que este consentimiento en principio se sobreentiende. Pero será
necesario para la cesión de los mismos a terceros.
o Afiliación sindical: el dato de afiliación sindical ha pasado a
considerarse como especialmente protegido por la vigente normativa
de protección de datos.
o Origen racial: después de lo que ha supuesto la creación de los
conocidos listados en la Segunda Guerra Mundial, en los que el criterio
de inclusión de personas estaba basado exclusivamente en su origen
racial, el tratamiento de estos datos debe estar amparado en una Ley
o debe requerir el consentimiento expreso del interesado.
o Salud: datos que puedan revelar dolencias o enfermedades que ha
padecido, padece o padecerá o tendrá tendencia a padecer en el
futuro una persona.
o Orientación sexual.
El tratamiento de este tipo de datos requiere el consentimiento expreso del
interesado. El consentimiento expreso frente al consentimiento tácito (válido
para las demás categorías de datos), supone que se debe contar con una
manifestación expresa del interesado para el tratamiento de sus datos
personales (por ejemplo una firma).
Tal y como se verá en las unidades temáticas referidas a las medidas de
seguridad para el tratamiento de los datos personales, existen tres niveles de
seguridad que se aplicarán en función de la sensibilidad de los

2.3. CONCEPTO DE FICHERO A LA LUZ DE LA LOPD.

La LOPD en su artículo 3.b) define fichero como:
“Todo conjunto organizado de datos de carácter personal, cualquiera que
fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso”
Por tanto, siempre que exista un conjunto organizado de datos, sea
informático (base de datos informatizada) o en soporte papel (archivador de
fichas ordenadas alfabéticamente por personas), será de aplicación la
LOPD. Es necesario resaltar el concepto de “conjunto organizado”, es decir,
en el supuesto de tratarse de un fichero no estructurado, de tal forma que la

20
búsqueda de un individuo en el mismo pueda suponer esfuerzos
desproporcionados, no se trataría de un fichero.
Hay que destacar de la definición de fichero, que se refiere a “cualquier forma
de almacenamiento”, por tanto, a los ficheros en soporte papel también les
será de aplicación la LOPD.
Así mismo existen ficheros públicos (no confundir con fuente accesible al
público) y ficheros privados. La consideración de un fichero como público o
privado vendrá determinada por el responsable del fichero, es decir, en el
supuesto de que el responsable sea una entidad pública (por ejemplo un
Ayuntamiento) el fichero será público y en el supuesto de que el responsable
sea una entidad privada (por ejemplo una sociedad anónima privada) el
fichero será privado.
Los ficheros de titularidad pública vienen recogidos en el Título IV de la
LOPD. Para su creación, modificación o supresión (a diferencia de los
ficheros privados) es necesaria una disposición de carácter general publicada
en el Boletín Oficial del Estado o Diario Oficial correspondiente.
Los derechos de los interesados (como por ejemplo el acceso o cancelación
de sus datos) pueden verse limitados ante estos ficheros cuando entra en
juego la Defensa Nacional o la persecución de infracciones penales o
administrativas.
Los ficheros de los Cuerpos y Fuerzas de Seguridad merecen un tratamiento
específico en el artículo 22 de la LOPD. Los ficheros de estos Cuerpos con
finalidades administrativas, estarán sujetos al régimen general de la LOPD,
sin embargo los ficheros creados con fines policiales podrán crearse sin el
consentimiento de los afectados siempre que sean necesarios para la
prevención de un peligro real para la seguridad pública o para la represión de
infracciones penales, debiendo ser clasificados en función de su fiabilidad.

21
4. SUJETOS INTERVINIENTES
1. OBJETIVOS.
 Estudiar los sujetos principales que intervienen en el tratamiento de
datos de carácter personal y aprender las obligaciones y
responsabilidades que impone la Ley para cada uno de ellos.

22
2. CONTENIDO.
2.1. EL INTERESADO.
La LOPD en su artículo 3.e) define al afectado o interesado como:
“Persona física titular de los datos que sean objeto del tratamiento a que se
refiere el apartado c) del presente artículo”.
Por tanto, la condición de interesado siempre recaerá en una persona física.
El interesado debe ser informado por el responsable del fichero del
tratamiento de sus datos, debe consentirlo, y ostenta los derechos de acceso,
rectificación, cancelación y oposición que se estudiarán en las unidades
temáticas correspondientes.

2.2. El RESPONSABLE DEL FICHERO O TRATAMIENTO.

La LOPD en su artículo 3.d) define al responsable del fichero o tratamiento
como:
“Persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.
Por tanto, la condición de responsable del fichero puede recaer en una
persona tanto física como jurídica. El responsable del fichero tiene la
capacidad de decisión sobre el tratamiento que recibirán los datos
incorporados al fichero, por tanto, deberá informar y obtener el
consentimiento de los afectados (salvo excepción legal), implantar las
medidas de seguridad que correspondan para garantizar la confidencialidad
de la información tratada, respetar los principios fundamentales marcados por
la LOPD y garantizar a los afectados el ejercicio de sus derechos.
En el supuesto de eventuales infracciones de la normativa de protección de
datos, deberá responder ante la Agencia Española de Protección de Datos.

2.3. EL ENCARGADO DEL TRATAMIENTO.

La LOPD en su artículo 3.g) define al encargado del tratamiento como:
“La persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales por
cuenta del responsable del fichero”.

23
El encargado de tratamiento recibe el cometido de tratar unos datos
personales por parte del responsable del fichero. Un habitual ejemplo de
encargado de tratamiento, puede ser una asesoría laboral que confecciona
nóminas para sus clientes (generalmente empresas). La asesoría está
haciendo un tratamiento de datos sobre un fichero (fichero de gestión de
personal) del que el responsable es su cliente. El responsable del fichero es
la empresa que contrata los servicios de la asesoría laboral siendo ésta
encargada de tratamiento.
Esta situación debe quedar reflejada en un contrato por escrito (artículo 12
de la LOPD) en el que se establezca que el encargado de tratamiento
(asesoría) no podrá ceder los datos a terceros ni siquiera para su
conservación mientras dure el trabajo encomendado, deberá adoptar las
medidas de seguridad que sean necesarias y, una vez terminados los
servicios (la confección de las nóminas) deberá devolver los datos o
destruirlos a elección del responsable del fichero. En el supuesto de que el
encargado del tratamiento incumpla las estipulaciones del contrato será
considerado responsable del fichero con todas sus consecuencias.
Otro ejemplo habitual de encargado de tratamiento puede ser una empresa
de mantenimiento de hardware, ya que prestando este tipo de servicios
accede y trata los ficheros del responsable del fichero, por tanto debe
garantizar contractualmente la confidencialidad de los datos tratados
mientras preste el servicio. En definitiva, cualquier profesional o empresa
externa al responsable del fichero que prestándole sus servicios acceda o
trate los ficheros de éste, en principio tendrá la consideración de encargado
de tratamiento debiendo reflejarse así en un contrato.
Algunos ejemplos más de encargados de tratamiento pueden ser: empresas
de servicios de hosting de la web del responsable (acceden a ficheros del
responsable obtenidos vía web), empresas de marketing mailing (acceden a
ficheros de clientes para organizar campañas publicitarias), empresas de
servicios de control horario y de presencia (acceden al listado de trabajadores
del responsable del fichero), empresas de prevención de riesgos laborales
(acceden a datos de trabajadores) etc.

24
2.4. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
Tal y como se verá en la unidad temática correspondiente, es el Organismo
Público o Autoridad de Control que tiene asignada la función de velar por el
cumplimiento de la normativa de protección de datos en España. Entre sus
distintas competencias está la inspectora y sancionadora.

2.5. EL RESPONSABLE DE SEGURIDAD.

El responsable de seguridad, es un concepto que se estudiará en profundidad
cuando se analicen las medidas de seguridad impuestas por la vigente
normativa de protección de datos, sin embargo, dado que es muy usual
confundir la figura del responsable del fichero con la del responsable de
seguridad conviene aclarar en este punto la diferencia entre ambos. El
responsable de seguridad es aquella persona física que dentro de una
organización tiene asignadas una serie de funciones que van dirigidas a
preservar la seguridad de los datos personales tratados, pero el responsable
del fichero es la organización. Generalmente se nombra responsable de
seguridad al responsable del departamento informático de la organización.

3. RESUMEN
El interesado es la persona física titular de los datos tratados.
 El responsable del fichero es la persona física o jurídica que decide
sobre la finalidad, contenido y uso del tratamiento.
 El encargado del tratamiento es la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o conjuntamente
con otros, trata datos personales por cuenta del responsable del
fichero.
 La Agencia Española de Protección de Datos, es la Autoridad de
Control con capacidad inspectora y sancionadora.
 El responsable de seguridad es aquella persona física que dentro de
una organización tiene asignadas una serie de funciones que van
dirigidas a preservar la seguridad de los datos personales tratados.

25
5. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE
INFORMACIÓN

1. OBJETIVOS.
 Conocer el principio de información al afectado para el tratamiento de
sus datos personales y el alcance del mismo.

26
  Aprender las implicaciones prácticas que tiene el respeto de este
principio para el tratamiento de datos personales.

2. CONTENIDO.
2.1. EL PRINCIPIO DE INFORMACIÓN.
Este principio viene recogido en el artículo 5 de la LOPD:
“Artículo 5. Derecho de información en la recogida de datos.
1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que
les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso,
de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de
la Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, deberá designar, salvo que tales medios se utilicen con
fines de tránsito, un representante en España, sin perjuicio de las acciones
que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las advertencias a que
se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del
apartado 1 si el contenido de ella se deduce claramente de la naturaleza de
los datos personales que se solicitan o de las circunstancias en que se
recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del
interesado, éste deberá ser informado de forma expresa, precisa e
inequívoca, por el responsable del fichero o su representante, dentro de los

27
tres meses siguientes al momento del registro de los datos, salvo que ya
hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e) del
apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior cuando
expresamente una Ley lo prevea, cuando el tratamiento tenga fines
históricos, estadísticos o científicos, o cuando la información al interesado
resulte imposible o exija esfuerzos desproporcionados, a criterio de la
Agencia de Protección de Datos o del organismo autonómico equivalente, en
consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los
datos procedan de fuentes accesibles al público y se destinen a la actividad
de publicidad o prospección comercial, en cuyo caso, en cada comunicación
que se dirija al interesado se le informará del origen de los datos y de la
identidad del responsable del tratamiento así como de los derechos que le
asisten.”
Cuando una organización recabe datos personales para incluirlos en un
fichero, deberá con carácter previo a su inclusión, informarle al interesado de
los siguientes extremos:
a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida
y los destinatarios de la información.
b) El carácter optativo u obligatorio de las preguntas.
c) Las consecuencias sobre la obtención de los datos, así como la negativa
a suministrarlos.
d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación
y oposición.
e) La identidad y dirección del responsable del tratamiento o su
representante.
El interesado, salvo algunas excepciones, tiene el derecho a ser informado
de que sus datos serán incluidos en un fichero, de la finalidad del mismo, de
la identidad y dirección de su responsable.
Esto implica que los formularios que utilice la organización para la captación
de datos personales deberán incluir una advertencia legal que recoja los

28
extremos indicados. En muchas ocasiones la organización no cuenta con
estos formularios, por tanto es necesario estudiar la forma en la que los datos
son captados, para incluir en el proceso la advertencia legal de referencia.
Por ejemplo, se puede solucionar el problema incluyendo la advertencia legal
en el presupuesto, contrato de servicios o cualquier documento que pueda
firmar el interesado. Pero se recuerda que únicamente se podrán tratar los
datos de aquella persona que haya sido informada de los extremos recogidos
en el artículo 5 de la LOPD. Es habitual el envío de cartas informativas a los
afectados, dando plazos para rechazar el tratamiento de sus datos
personales. El problema de estos envíos es de carácter probatorio para el
responsable; salvo que las cartas sean enviadas con acuse de recibo no
quedará constancia del cumplimiento del deber de información al interesado.
Asimismo, cuando los datos son obtenidos desde la página web de la
organización, se deberá incluir en la misma, una política de privacidad donde
se informe al interesado de lo establecido en el mencionado artículo 5 LOPD.
Es conveniente que en el proceso de captación de datos por este medio, el
interesado acepte la política de privacidad mencionada.
Respecto a los datos de trabajadores de la organización (que también deben
ser informados del tratamiento que recibirán sus datos personales) la
solución puede estar en la firma de un anexo al contrato de trabajo, donde se
le informe de lo recogido en el artículo 5 de la LOPD. En este anexo se suele
aprovechar para recabar un compromiso de confidencialidad del trabajador
respecto a la información de la organización a la que tenga acceso en el
desarrollo de su trabajo.
El objetivo consiste en poder probar, que el interesado ha leído la advertencia
legal donde se le informa del tratamiento de sus datos en los términos del
artículo 5 LOPD.
Cuando los datos no han sido obtenidos del propio interesado (lo cual puede
ser en muchas ocasiones ilegal como se verá), en principio, éste deberá ser
informado en los tres meses siguientes a su obtención salvo que suponga un
esfuerzo desproporcionado a criterio de la AEPD.
¿Cuándo es un esfuerzo desproporcionado?, es un concepto jurídico
indeterminado que deberá ser interpretado en cada caso por la AEPD y la
Audiencia Nacional (artículo 5.4 de la LOPD).

29
 Si los datos han sido obtenidos de fuentes accesibles al público (que dada su
importancia serán objeto de estudio detallado en este curso), con fines de
prospección comercial, en cada envío publicitario se debe informar del origen
de los datos, de la identidad responsable del fichero y de los derechos que
asisten al interesado.
2.2. EXCEPCIONES.
No habrá que informar:
o Cuando una Ley lo disponga.
o Cuando el tratamiento tenga una finalidad histórica, científica o
estadística.
o Cuando haya sido informado con anterioridad a la cesión de sus datos.
o Cuando suponga un esfuerzo desproporcionado a criterio de la AEPD.
o Cuando se obtienen de una fuente accesible al público y se destinen
a prospección comercial, pero en cada envío se deberá informar de la
fuente de obtención de datos, la identidad y dirección del responsable
así como de los derechos que le asisten al interesado.

3. RESUMEN.
En esta Unidad Temática se ha estudiado el principio de Información recogido
en el artículo 5 de la LOPD. El tratamiento de datos personales requiere que
el interesado haya sido informado previamente de:
a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida
y los destinatarios de la información.
b) El carácter optativo u obligatorio de las preguntas.
c) Las consecuencias sobre la obtención de los datos, así como la negativa
a suministrarlos.
d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación
y oposición.
e) La identidad y dirección del responsable del tratamiento o su
representante.
Este principio no es absoluto y tiene ciertas excepciones.

30
6. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE
CONSENTIMIENTO

1. OBJETIVOS.
 Estudiar el principio del consentimiento recogido en el artículo 6 de la
LOPD así como su alcance.

2. CONTENIDO.
2.1. EL PRINCIPIO DE CONSENTIMIENTO.
Este principio viene recogido en el artículo 6 de la LOPD:
“Artículo 6. Consentimiento del afectado.

31
1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal
se recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes
de un contrato o precontrato de una relación negocial, laboral o administrativa
y sean necesarios para su mantenimiento o cumplimiento; cuando el
tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7 apartado 6 de la presente
Ley, o cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido
por el responsable del fichero o por el del tercero a quien se comuniquen los
datos, siempre que no se vulneren los derechos y libertades fundamentales
del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado
para el tratamiento de los datos de carácter personal, y siempre que una Ley
no disponga lo contrario, éste podrá oponerse a su tratamiento cuando
existan motivos fundados y legítimos relativos a una concreta situación
personal. En tal supuesto, el responsable del fichero excluirá del tratamiento
los datos relativos al afectado.”
Este consentimiento se define en el artículo 3.h) LOPD como:
“Toda manifestación de voluntad, libre, inequívoca, específica e informada,
mediante la que el interesado consienta el tratamiento de datos personales
que le conciernen”.
El tratamiento de datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa (artículo 6
LOPD).
El consentimiento debe ser:
o Libre, lo que supone que el mismo deberá haber sido obtenido sin la
intervención de vicio alguno del consentimiento en los términos
regulados por el Código Civil.

32
 o Específico, es decir, referido a una determinada operación de
tratamiento y para una finalidad determinada, explícita y legítima del
responsable del tratamiento, tal y como impone el artículo 4.2 de la
LOPD.
o Informado, es decir que el afectado conozca con anterioridad al
tratamiento, la existencia del mismo y las finalidades para las que el
mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD
impone el deber de informar a los interesados de una serie de
extremos que en el mismo se contienen.
o Inequívoco, lo que implica que no resulta admisible deducir el
consentimiento de los meros actos realizados por el afectado
(consentimiento presunto), siendo preciso que exista expresamente
una acción u omisión que implique la existencia del consentimiento.
El consentimiento del afectado será necesario para:
o El tratamiento de sus datos personales.
o Para tratar datos especialmente protegidos debe ser expreso.
o Para la cesión de los datos personales.
Todo tratamiento de datos personales requiere el consentimiento del
afectado salvo en las excepciones marcadas por la LOPD. Cuando se trate
de datos especialmente protegidos (Unidad Temática 2.1.1 de este Curso)
este consentimiento deberá ser expreso (se recomienda que siempre sea por
escrito). Asimismo es necesario el consentimiento para cualquier cesión de
datos personales a terceros.
2.2. CLASES DE CONSENTIMIENTO.
En principio la LOPD establece dos tipos de consentimiento:
a) Consentimiento expreso: Para datos especialmente protegidos.
Aunque la Ley hace una distinción entre consentimiento expreso por escrito
y consentimiento expreso, se recomienda para el tratamiento de este tipo de
datos contar con la firma del interesado.
b) Consentimiento tácito: Supone que una falta de actividad del interesado
ante el conocimiento del tratamiento de sus datos personales se interpreta
como una aceptación del mismo. El problema de este tipo de consentimiento
es el de la prueba del mismo (cuya carga corresponderá al responsable de
los ficheros).

33
 Por tanto, siempre que sea posible, se recomienda obtener y conservar la
firma del interesado consintiendo el tratamiento de sus datos personales.
El consentimiento es siempre revocable aunque sin efectos retroactivos.

2.3. EXCEPCIONES AL CONSENTIMIENTO.

El consentimiento del afectado no será necesario (artículo 6.2 de la
LOPD):
o Cuando así lo establezca una Ley.
o Cuando los datos de carácter personal se recojan para el ejercicio de
las funciones propias de las Administraciones públicas en el ámbito de
sus competencias.
o Cuando los datos de carácter personal se refieran a las partes de un
contrato o precontrato en una relación negocial, laboral o
administrativa y sean necesarios para su desarrollo, cumplimiento y
control.
o Cuando el tratamiento de los datos tenga por finalidad proteger un
interés vital del interesado.
o Cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo
perseguido por el responsable del fichero o por el del tercero a quien
se comuniquen los datos, siempre que no se vulneren los derechos y
libertades fundamentales del interesado.
Se recuerda en este punto que cualquier cesión de datos personales
necesita, salvo en determinadas ocasiones, el consentimiento del afectado.

3. RESUMEN.
 El tratamiento de datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la Ley disponga
otra cosa (artículo 6 de la LOPD).
 El consentimiento puede ser expreso o tácito, siendo necesario para
el tratamiento de datos especialmente protegidos recabar el
consentimiento expreso y por escrito (recomendable en todos los
casos).
 El consentimiento es siempre revocable aunque sin efectos
retroactivos.

34
  El principio de consentimiento no es absoluto, tiene excepciones
recogidas por el artículo 6.2 de la LOPD.
 Es necesario distinguir entre el principio de información y el principio
de consentimiento. El hecho de que en determinadas ocasiones no
sea necesario recabar el consentimiento del interesado no significa
que no haya que informar del tratamiento que recibirán los datos
personales.

7. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE

CALIDAD

1. OBJETIVOS.
 Conocer el principio de calidad de los datos y sus implicaciones prácticas.

2. CONTENIDO.
Este principio viene recogido en el artículo 4 de la LOPD:
“Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento,
así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes
y no excesivos en relación con el ámbito y las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenido.

35
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de éstos con
fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo
o en parte, o incompletos, serán cancelados y sustituidos de oficio por los
correspondientes datos rectificados o completados, sin perjuicio de las
facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados
o registrados. No serán conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en base a los
cuales hubieran sido recabados o registrados. Reglamentariamente se
determinará el procedimiento por el que, por excepción, atendidos los valores
históricos, estadísticos o científicos de acuerdo con la legislación específica, se
decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el
ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.”
El principio de calidad de los datos implica las siguientes obligaciones:
El consentimiento del afectado para el tratamiento de sus datos personales tiene
que referirse a una finalidad determinada, explícita y legítima. El tratamiento de
datos para una finalidad distinta o incompatible de la consentida por el afectado
constituye una infracción grave. Por esta razón, la advertencia legal, a la que
hemos hecho referencia en la Unidad Temática 2.2.1 del presente Curso, deberá
recoger todos lo usos y tratamientos (finalidades) que recibirán los datos
personales, puesto que serán las finalidades consentidas por el interesado las
que deberán determinar el tratamiento de sus datos.
Otro aspecto fundamental es que los datos deben ser adecuados pertinentes y
no excesivos, es decir proporcionales a la finalidad para la que han sido
obtenidos. Es relativamente frecuente, que en los cuestionarios utilizados por
distintas organizaciones, se pidan datos que no son estrictamente necesarios

36
para la prestación del servicio. Estos datos son posteriormente utilizados para
finalidades de prospección comercial, elaboración de perfiles de usuarios etc. Tal
y como se ha visto al estudiar el principio de información, el interesado debe ser
informado del contenido obligatorio o facultativo de las preguntas, por tanto, si
se piden datos que no sean estrictamente necesarios para la prestación del
servicio, se deberá informar al interesado de su derecho a no suministrarlos (es
frecuente la utilización de asteriscos en los campos obligatorios indicándolo así
en el cuestionario utilizado)
Asimismo este principio obliga a que los datos personales tratados deben ser
exactos y puestos al día. Es decir, deben ser actualizados respondiendo a la
situación real del afectado. El mantenimiento de ficheros con datos personales
inexactos es motivo de infracción.
Los datos personales deben ser cancelados cuando hayan dejado de ser
pertinentes a la finalidad para la que fueron obtenidos.
Para la cesión de datos a terceros, además de ser necesario como hemos visto
el consentimiento del interesado, la finalidad de ésta cesión debe ser legítima.
En el supuesto de que el interesado no conozca la finalidad de la cesión de sus
datos, la cesión será nula.

3. RESUMEN.
 El consentimiento del afectado para el tratamiento de sus datos
personales tiene que referirse a una finalidad determinada, explícita y
legítima.
 Los datos deben ser adecuados pertinentes y no excesivos, es decir
proporcionales a la finalidad para la que han sido obtenidos.
 Los datos personales tratados deben ser exactos y puestos al día.
 Los datos personales deben ser cancelados cuando hayan dejado de ser
pertinentes a la finalidad para la que fueron obtenidos.

37
8. LA CESIÓN DE DATOS. REQUISITOS

1. OBJETIVOS
 Comprender los requisitos necesarios para proceder a una cesión legal
de datos personales a terceros.

2. CONTENIDO.
2.1. LA CESIÓN DE DATOS PERSONALES.
2.1.1. Definición.
La cesión de datos personales es definida en el artículo 3, i) de la LOPD, como:
"toda revelación de datos realizada a persona distinta del interesado".
2.1.2. Requisitos
Toda cesión de datos en principio requiere el consentimiento informado del
afectado (artículo 11 de la LOPD). Además, la finalidad de la misma debe ser
legítima conforme a los intereses de cedente y cesionario. Las excepciones a
este consentimiento son las siguientes:

38
 o Cuando la cesión está autorizada en una Ley. Por ejemplo la cesión de
los datos de los trabajadores por parte de la empresa a la Tesorería
General de la Seguridad Social, está no solo amparada sino obligada por
Ley.
o Cuando se trate de datos recogidos de fuentes accesibles al público
(estudiadas en la Unidad Temática 2.2.4 de este Curso).
o Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique.
Por ejemplo la cesión de los datos del interesado por una agencia de viajes a un
hotel con el objeto de realizar la reserva. Nos encontramos ante una relación
jurídica (contratación de un viaje) que para materializarse, requiere
necesariamente la cesión. Si no hay cesión no se puede cumplir el contrato. El
elemento de absoluta necesidad de cesión para el cumplimiento de la relación
jurídica, será determinante para aplicar esta excepción.
o Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el
Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación tenga
como destinatario a instituciones autonómicas con funciones análogas al
Defensor del Pueblo o al Tribunal de Cuentas.
o Cuando la cesión se produzca entre Administraciones Públicas y tenga
por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos.
o Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero
o para realizar los estudios epidemiológicos en los términos establecidos
en la legislación sobre sanidad estatal o autonómica.
Asimismo, será nulo el consentimiento para la comunicación de los datos de
carácter personal a un tercero, cuando la información que se facilite al interesado
no le permita conocer la finalidad a la que destinarán los datos cuya

39
comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden
comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene
también un carácter de revocable.
Aquél a quien se comuniquen los datos de carácter personal se obliga, por el
solo hecho de la comunicación, a la observancia de las disposiciones de la
LOPD.
Si la comunicación se efectúa previo procedimiento de disociación, no será
aplicable lo establecido en los apartados anteriores puesto que el afectado deja
de ser persona identificada o identificable y por tanto la información cedida no
contendrá datos personales.
A tenor del artículo 44,4,b). de la LOPD se considera infracción muy grave la
cesión de datos de carácter personal sin consentimiento del interesado fuera de
los casos en que estén permitidas.
Asimismo, el artículo 27 de la LOPD obliga al responsable del fichero a informar
al afectado, en el momento de realizar la primera cesión, del destinatario y
finalidad de la misma salvo las excepciones recogidas en este artículo. Esta es
una de las polémicas obligaciones impuestas por la LOPD, de muy difícil puesta
en práctica.
Conviene reseñar que las cesiones de datos entre empresas del mismo, grupo,
a efectos de la LOPD, son consideradas como cesión de datos, debiendo cumplir
con todos los requisitos estudiados anteriormente.
Siempre que la cesión se produzca entre entidades que tengan distinta
personalidad jurídica se considerará cesión de datos. Por ejemplo, la cesión de
datos personales entre empresas filiales (cada filial tiene su propia personalidad
jurídica y su propio C.I.F.), se considerará cesión de datos, mientras que la
cesión de datos personales entre sucursales (que no tienen personalidad jurídica
propia), no se considerará cesión de datos.
Asimismo, conviene no confundir la figura de la cesión de datos con la del
encargado de tratamiento del artículo 12 de la LOPD En la cesión de datos,
surgen dos responsables de fichero, el cedente y el cesionario. Tanto el uno
como el otro deberán inscribir el fichero cedido en el Registro General de
Protección de Datos y serán responsables del cumplimiento de todas las
obligaciones recogidas en la LOPD para los responsables de los ficheros.

40
Por el contrario, el encargado del tratamiento, como la propia palabra lo dice, es
un encargado no un responsable, al que se le ha encomendado un tratamiento
de datos sobre un fichero del que no es titular. Además, y esta es una diferencia
fundamental con la cesión, deberá devolver los datos tratados o destruirlos, a
elección del responsable que le ha encomendado el tratamiento, una vez
terminado el encargo.

2.1.3. La cesión de datos entre Administraciones Públicas.

Las cesiones de datos entre Administraciones Públicas, están recogidas en el
artículo 21 de la LOPD. Este artículo establece dos supuestos en los que debe
ampararse la cesión de datos:
o El ejercicio de competencias similares o idénticas
o En el supuesto de ejercicio de funciones distintas se exige una habilitación
legal, es decir, una norma con rango de Ley que lo autorice.
Por tanto, si por ejemplo una Administración Local con competencias en
Urbanismo, cede datos a Una Administración Autonómica con competencias
también en Urbanismo, será una cesión legal puesto que son Administraciones
con competencias similares o idénticas.
En el supuesto de que no fuera así, es decir, que fueran administraciones con
competencias distintas, debe haber una norma con rango de Ley que autorice la
cesión entre las Administraciones.
Asimismo, está permitido que una Administración pueda ceder datos que tenga
o elabore con destino a otra, por ejemplo el artículo 38.4 de la Ley 30/92
establece que las solicitudes, escritos y comunicaciones que los ciudadanos
dirijan a cualesquiera órganos de la Administración Pública, pueden presentarse
ante cualquiera de las oficinas que enumera el precepto, teniendo éstas que
darles el curso correspondiente.
La Administración Pública, también puede acogerse a la figura del encargado del
tratamiento del artículo 12 de la LOPD y su utilización es muy habitual para la
externalización de servicios.

2.1.4. Cuadro resumen

Una vez estudiados los principios fundamentales recogidos en la LOPD así como
las cesiones de datos y la figura del encargado del tratamiento, a continuación

41
se recoge un esquema de las fuentes de obtención de datos, las cesiones y los
accesos por terceros más comunes en cualquier organización.

3. RESUMEN.
 La cesión de datos se define como "toda revelación de datos realizada a
persona distinta del interesado".
 Para que la cesión sea conforme a la LOPD, debe estar consentida por el
afectado y debe responder a una finalidad legítima entre cedente y
cesionario. Por tanto el afectado debe ser informado de la cesión de sus
datos, la finalidad de la misma y de la identidad del cesionario.
 Existen excepciones al consentimiento para la cesión de datos
personales.
 El consentimiento para la comunicación de los datos de carácter personal
tiene carácter de revocable.

42
  La cesión de datos entre Administraciones Públicas debe hacerse entre
Administraciones con competencias similares o idénticas, de lo contrario,
deberá haber una Ley que ampare esa cesión.

9. LA TRANSFERENCIA INTERNACIONAL DE DATOS

1. OBJETIVOS.
 Conocer el concepto de transferencia internacional y los requisitos
legalmente establecidos para su realización.

2. CONTENIDO.
2.1. LA TRANSFERENCIA INTERNACIONAL DE DATOS.

2.1.1. Definición.
En las transferencias internacionales de datos suelen distinguirse dos supuestos:
aquellos en que se está en presencia de transferencias internacionales que
implican auténticas cesiones de datos, de aquellos otros, en que la transferencia
se efectúa para el tratamiento de los datos por cuenta de terceros, aunque en
ambos supuestos, conforme a la LOPD se trataría de transferencias
internacionales.
Dichas transferencias internacionales se regulan en los artículos 33 y 34 de la
LOPD, y se definen por la Norma Primera de la instrucción 1/2000 de 1 de
diciembre, de la Agencia Española de Protección de Datos, relativa a las normas
por las que se rigen los Movimientos Internacionales de Datos como: "Toda
transmisión de los mismos fuera del territorio español. En particular, se
consideran como tales las que constituyan una cesión o comunicación de datos
y las que tengan por objeto la realización de un tratamiento de datos por cuenta
del responsable de fichero".
Debe señalarse que dicha Instrucción ha fijado los criterios orientativos seguidos
por la Agencia Española de Protección de Datos en la materia, aclarando a los
interesados el procedimiento a seguir para dar cumplimiento a las previsiones
contenidas en la normativa reguladora de la materia.
2.1.2. Normativa aplicable.

43
El Movimiento Internacional de datos es regulado por La LOPD en su Título V.
artículos 33 y 34.
“Artículo 33. Norma general.
1. No podrán realizarse transferencias temporales ni definitivas de datos de
carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos
para someterlos a dicho tratamiento con destino a países que no proporcionen
un nivel de protección equiparable al que presta la presente Ley, salvo que,
además de haberse observado lo dispuesto en ésta, se obtenga autorización
previa del Director de la Agencia de Protección de Datos, que sólo podrá
otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se
evaluará por la Agencia de Protección de Datos atendiendo a todas las
circunstancias que concurran en la transferencia o categoría de transferencia de
datos. En particular, se tomará en consideración la naturaleza de los datos de
finalidad y la duración del tratamiento o de los tratamientos previstos, el país de
origen y el país de destino final, las normas de Derecho, generales o sectoriales,
vigentes en el país tercero de que se trate, el contenido de los informes de la
Comisión de la Unión Europea, así como las normas profesionales y las medidas
de seguridad en vigor en dichos países.”
“Artículo 34. Excepciones.
Lo dispuesto en el artículo anterior no será de aplicación:
a) Cuando la transferencia internacional de datos de carácter personal resulte de
la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial
internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico
médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión
de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación
específica.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista.

44
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre
el afectado y el responsable del fichero o para la adopción de medidas
precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del afectado, por el responsable del
fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la
salvaguarda de un interés público. Tendrá esta consideración la transferencia
solicitada por una Administración fiscal o aduanera para el cumplimiento de sus
competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa
de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo,
desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un
nivel de protección adecuado.”

2.1.3. Requisitos.
En esta materia es necesario, también analizar la Instrucción número 1/2000, de
1 de diciembre, de la AEPD, relativa a las normas por las que se rigen los
movimientos internacionales de datos.
Toda transferencia de datos personales a terceros países deberá respetar en
principio todo lo contenido en la Ley de origen (en nuestro caso la
LOPD).
Existen una serie de países declarados como “seguros” por la Comisión Europea
tras el análisis de su legislación interna sobre protección de datos personales.
Fundamentalmente son los países incluidos en el Espacio Económico Europeo.
La transferencia de datos a estos países, en principio requiere únicamente el
respeto a la Ley de origen.
Asimismo existen países con los que la Unión Europea ha suscrito convenios
bilaterales que regulan la transferencia de datos con estos Estados (por ejemplo
el “acuerdo del puerto seguro” con los Estados Unidos).

45
Pero la transferencia de datos a países no declarados como seguros, requiere la
autorización de la AEPD, que la concederá cuando cedente y cesionario
garanticen contractualmente el respeto a los mínimos exigibles marcados tanto
por la AEPD como por la Comisión. (Decisión 2001/497/CE de la Comisión, de
15 de junio de 2001 relativa a las cláusulas tipo para la transferencia
internacional de los datos personales a un tercer país previstas en la Directiva
95/46/CE y Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001
relativa a las cláusulas tipo para la transferencia internacional de los datos
personales a los encargados de tratamiento establecidos en terceros países).
La no aplicación del régimen de autorización previa del artículo 33 de la LOPD
en modo alguno exime del cumplimiento de los requisitos y obligaciones legales
propias de las cesiones o comunicaciones de datos, es decir, que la misma se
efectúe a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y cesionario y, que la misma cuente con el
previo consentimiento del interesado, otorgado con carácter previo a la cesión y
suficientemente informado de la finalidad a que se destinarán los datos cuya
comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden
comunicar (artículo 11.3 de la LOPD), salvo que se trate de alguno de los
supuestos en que legalmente esta excepcionado dicho consentimiento (artículo
11.2 de la LOPD).
A lo anterior no afecta que la transferencia se efectúe entre sociedades
integradas en un mismo grupo. Se recuerda que toda cesión o transferencia de
datos entre distintas personas jurídicas sean o no pertenecientes al mismo
grupo, será considerada cesión (o transferencia en su caso) por la LOPD por
tanto deberá respetar los requisitos establecidos para la misma.
Asimismo, será preciso que se comunique (aunque no esté sujeta a autorización)
la transferencia a la Agencia Española de Protección de Datos, conforme a lo
previsto en el artículo 6 del Real Decreto 1332/94, de 20 de junio, por el que se
desarrollan algunos preceptos de la Ley Orgánica, en el que se establece en
cuanto a la notificación de ficheros de titularidad privada a la Agencia Española
de Protección de Datos, que la misma deberá especificar "Las transferencias
temporales o definitivas que se prevean realizar a otros países, con expresión
de los mismos".

46
Como hemos visto, el respeto a la Ley de origen para cualquier transferencia
internacional de datos es pieza clave para su legitimidad.
Cuando la transferencia sea para que el cesionario de los datos realice un
tratamiento sobre los datos transferidos sería de aplicación la figura del
encargado del tratamiento (estudiada en la Unidad Temática 2.1.2 de este
Curso). Por tanto, en cumplimiento del artículo 12 de la LOPD, en estos casos
se deberá suscribir un contrato de tratamiento de datos por cuenta de terceros
en el que el encargado de tratamiento deberá asumir las obligaciones
establecidas en el mencionado artículo de la LOPD.

3. RESUMEN.
 Se define transferencia internacional de datos como toda transmisión de
los mismos fuera del territorio español. En particular, se consideran como
tales las que constituyan una cesión o comunicación de datos y las que
tengan por objeto la realización de un tratamiento de datos por cuenta del
responsable de fichero.
 La transferencia puede consistir en una cesión de datos como tal o el
encargo de un tratamiento sobre un fichero.
 Toda transferencia internacional de datos requiere el cumplimiento de la
Ley de origen, en nuestro caso la LOPD.
 Existen países declarados como seguros por la Comisión que no están
sujetos a autorización previa de la AEPD para la transferencia de datos a
los mismos. Para la transferencia de datos a países no declarados como
seguros es necesaria la autorización previa de la AEPD.
 Toda transferencia de datos requiere ser notificada a la AEPD.

47
10. DERECHOS DE LOS INTERESADOS. DERECHO DE
ACCESO

1. OBJETIVOS.
 Conocer el contenido y alcance del derecho de acceso.

2. CONTENIDO.
2.1. EL DERECHO DE ACCESO.
Este derecho viene recogido en el artículo 15 y 17 de la LOPD:
“Artículo 15. Derecho de acceso.
1. El interesado tendrá derecho a solicitar y obtener gratuitamente información
de sus datos de carácter personal sometidos a tratamiento, el origen de dichos
datos así como las comunicaciones realizadas o que se prevén hacer de los
mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por
medio de su visualización, o la indicación de los datos que son objeto de
tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en
forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de
dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado
a intervalos no inferiores a doce meses, salvo que el interesado acredite un
interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.”
“Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación.
1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como
los de rectificación y cancelación serán establecidos reglamentariamente.
2. No se exigirá contraprestación alguna por el ejercicio de los derechos de
oposición, acceso, rectificación o cancelación.”
El Derecho de Acceso es la facultad o capacidad que se reconoce al afectado
de recabar información de sus datos de carácter personal sometidos a

48
tratamiento, el origen de los mismos y las cesiones o comunicaciones realizadas
o que se prevean realizar. Este derecho se ejercerá en intervalos no inferiores a
doce meses ante el mismo responsable, salvo que el interesado acredite un
interés legítimo (artículo
15 de la Ley Orgánica 15/1999, artículo 30 del RD 1720/2007, de 21 de diciembre
(RDLOPD) y las normas 1ª y 2ª de la Instrucción 1/1998 de la Agencia).

2.2. CONTENIDO.
El acceso podrá consistir en la mera consulta de los ficheros por medio de la
visualización, o en la indicación de los datos objeto de tratamiento por escrito,
copia, telecopia, o fotocopia, certificada o no. La información deberá ser legible
e inteligible sin utilizar claves o códigos cualquiera que sea el medio utilizado.

2.3. REQUISITOS PARA SU EJERCICIO.

Se ejercerá de forma gratuita mediante solicitud o petición dirigida al responsable
del fichero, formulada mediante cualquier medio que garantice la identificación
del afectado (D.N.I. u otro medio análogo) y en la que conste el fichero o ficheros
a consultar.
La petición en que se concreta la solicitud deberá contener el domicilio a efectos
de notificaciones, fecha y firma del solicitante.
El interesado deberá utilizar cualquier medio que permita acreditar el envío y la
recepción de la solicitud.

2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO.

El responsable del fichero resolverá la petición de acceso en el plazo máximo de
un mes a contar desde la recepción de la solicitud.
El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.
En el caso de que la solicitud no reúna los requisitos especificados en el apartado
2.3, el responsable del fichero deberá solicitar la subsanación de los mismos.
Si la contestación al derecho de acceso fuera estimatoria el acceso se hará
efectivo en el plazo de diez días.

49
En el caso de los ficheros de titularidad privada sólo podrá denegarse el acceso
cuando la solicitud sea llevada a cabo por persona distinta del afectado.

2.4.1. Denegación del derecho.

En relación con los ficheros de las Fuerzas y Cuerpos de Seguridad con fines
policiales, que contengan datos de carácter personal, cuando su ejercicio
pudiera ser una amenaza contra:
o la defensa del Estado,
o la Seguridad Pública,
o la protección de derechos y libertades de terceros
o las necesidades de las investigaciones que se estén realizando por parte
de los Cuerpos y Fuerzas de Seguridad.
En relación con los ficheros de la Hacienda Pública podrá denegarse, cuando se
obstaculicen actuaciones administrativas para asegurar el cumplimiento de las
obligaciones tributarias, o cuando el afectado esté siendo objeto de actuaciones
inspectoras.
En relación con las Administraciones Públicas en general podrá denegarse
cuando concurran algunas de las circunstancias siguientes:
o Razones de interés público.
o Intereses de terceros más dignos de protección.
El afectado al que se deniegue estos derechos podrá ponerlo en conocimiento
del Director de la Agencia de Protección de Datos, que decidirá sobre la
procedencia o improcedencia de la denegación.

2.4.2. Información que debe aportar el responsable.

La información comprenderá los datos de base del afectado y los resultantes de
cualquier elaboración o proceso de los mismos, así como el origen de los datos,
las comunicaciones realizadas o que se prevean realizar y la especificación de
los concretos usos y finalidades para los que se almacenaron los datos.
La información se facilitará de modo perfectamente comprensible.
En el caso de que los datos provengan de fuentes diversas, deberán
especificarse las mismas identificando la información que proviene de cada una
de ellas.

50
Si el responsable del fichero incumple algunas de estas obligaciones, el afectado
podrá interponer la reclamación oportuna, o, en su caso, la denuncia ante la
Agencia de Protección de Datos.

3. RESUMEN.
 El derecho de acceso es la facultad o capacidad que se reconoce al
afectado de recabar información de sus datos de carácter personal
sometidos a tratamiento, el origen de los mismos y las cesiones o
comunicaciones realizadas o que se prevean realizar.
 No es un derecho absoluto ya que existen determinadas excepciones
vinculadas generalmente a los poderes públicos.
 Su ejercicio está sometido a unos requisitos de forma.
 La contestación a un derecho de acceso debe hacerse en los treinta días
siguientes a la solicitud.
 Este derecho se ejercerá en intervalos no inferiores a doce meses ante el
mismo responsable, salvo que el interesado acredite un interés legítimo.

51
11. DERECHOS DE LOS INTERESADOS.
RECTIFICACIÓN Y CANCELACIÓN

1. OBJETIVOS.
 Conocer el contenido y alcance los derechos de rectificación y
cancelación.

2. CONTENIDO
2.1. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN.
Estos derechos vienen reconocidos en el artículo 16 de la Ley Orgánica 15/1999
y en las normas 1ª y 3ª de la Instrucción 1/98 de la Agencia.
“Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente
a disposición de las Administraciones Públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado”.
“Artículo 32 del RD 1720/2007, de 21 de Diciembre, Derecho de rectificación o
cancelación.

52
1. La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección
que haya de realizarse y deberá ir acompañada de la documentación justificativa
de lo solicitado.
En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere,
aportando al efecto la documentación que lo justifique, en su caso.
2. El responsable del fichero resolverá sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo 18
de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal del afectado deberá
igualmente comunicárselo en el mismo plazo.
3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del fichero deberá comunicar la rectificación o cancelación
efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de
diez días contados desde la recepción de dicha comunicación, proceda,
asimismo, a rectificar o cancelar los datos.
La rectificación o cancelación efectuada por el cesionario no requerirá
comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por
parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de
diciembre.

2.2. CONCEPTO.
El responsable del fichero tiene la obligación de mantener la exactitud de los
datos tal y como se ha visto al estudiar el principio de calidad de los datos.
Asimismo, en virtud de este principio, los datos personales deben ser cancelados
cuando termina la finalidad con la que han sido obtenidos.
Estos derechos consisten en la facultad o capacidad del afectado por la que
puede instar al responsable del fichero a cumplir con la obligación de mantener
la exactitud de los datos, rectificando o cancelando los datos de carácter
personal cuando resulten incompletos o inexactos, o bien sean inadecuados o
excesivos, en su caso, o cuyo tratamiento no se ajuste a la Ley.

53
Cuando los datos rectificados o cancelados hubieran sido cedidos previamente,
el responsable del fichero deberá notificar la rectificación y cancelación
efectuada al cesionario.
No obstante los datos de carácter personal deberán ser conservados durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado.

2.3. REQUISITOS.
Se ejercen de forma gratuita mediante solicitud o petición dirigida al responsable
del fichero, formulada mediante cualquier medio que garantice la identificación
del afectado (D.N.I. u otro medio análogo) y en la que consten los datos que hay
que cancelar o rectificar y el fichero o ficheros en que se encuentran.
La petición en que se concreta la solicitud deberá contener el domicilio a efectos
de notificaciones, fecha y firma del solicitante y acompañar fotocopia del DNI.
La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección
que debe realizarse y deberá ir acompañada de la documentación justificativa de
la rectificación solicitada, salvo que la misma dependa exclusivamente del
consentimiento del interesado.
En la solicitud de cancelación, el interesado deberá indicar si revoca el
consentimiento otorgado, en los casos en que la revocación proceda, o si, por el
contrario, se trata de un dato erróneo o inexacto, en cuyo caso deberá
acompañar la documentación justificativa.
El interesado deberá utilizar cualquier medio que permita acreditar el envío y la
recepción de la solicitud.

2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO.

La rectificación y/o cancelación se harán efectivas por el responsable del fichero
dentro de los diez días siguientes al de la recepción de la solicitud.
El responsable del fichero deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción.

54
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del fichero deberá notificar la rectificación o cancelación efectuada
al cesionario.
Si el responsable del fichero considera que no procede acceder a lo solicitado
se lo comunicará motivadamente en el plazo de diez días.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones Públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la
supresión.
Si el responsable del fichero incumple algunas de estas obligaciones, el afectado
podrá interponer la oportuna reclamación, o, en su caso, denuncia ante la
Agencia de Protección de Datos.

2.5. SUPUESTOS DE DENEGACIÓN.

En el caso tanto de los ficheros privados como de los ficheros públicos existe un
deber de conservación de los datos para el plazo que se establezca en cada
caso por la legislación aplicable y, en todo caso, cuando su cancelación pudiese
causar perjuicio al afectado o a terceros.
Esta disposición es común a ambos tipos de ficheros.
Existen unas excepciones específicas previstas para los ficheros públicos, que
podrán denegar la cancelación. Por ejemplo Fuerzas y Cuerpos de Seguridad
para fines policiales, en el caso de los ficheros de la Hacienda Pública podrá
denegarse cuando se obstaculicen actuaciones administrativas para asegurar el
cumplimiento de las obligaciones tributarias, o cuando el afectado esté siendo
objeto de actuaciones inspectoras, por razones de interés público o intereses de
terceros más dignos de protección.

2.6. EL BLOQUEO DE DATOS.

Los datos personales deben ser cancelados (borrados) una vez que han dejado
de ser necesarios para la finalidad con la que se obtuvieron. Es necesario
resaltar que consiste una obligación para el responsable del fichero.
Sin embargo, la legislación vigente puede obligar a conservar los datos (por
ejemplo Hacienda obliga a la conservación de los datos con trascendencia
tributaria durante 5 años), pero no significa que puedan ser utilizados.

55
Asimismo se permite la conservación de los datos de clientes durante 15 años
(este es el plazo establecido en el artículo 1964 del Código Civil para la
prescripción de las acciones personales), de proveedores durante 6 años
(artículo 30 del Código de Comercio) y 5 años para los datos de los empelados
(Ley sobre Infracciones y Sanciones en el orden social, Ley General de
Seguridad Social y la Ley de Prevención de Riesgos Laborales).
Estos datos se deberán conservar bloqueados únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, para la atención de posibles
responsabilidades derivadas del tratamiento, durante el plazo de prescripción de
éstas. El bloqueo de datos consiste en su conservación, de una forma separada
de los demás datos personales con los que cuente la organización y con acceso
restringido únicamente a personas debidamente autorizadas. Una vez cumplidos
los plazos de prescripción se deberá proceder al borrado físico de los mismos.
El bloqueo también procederá cuando, siendo pertinente la cancelación, no sea
posible llevarla a cabo por razones físicas o técnicas.

3. RESUMEN.
 Estos derechos consisten en la facultad o capacidad del afectado por la
que puede instar al responsable del fichero a cumplir con la obligación de
mantener la exactitud de los datos, rectificando o cancelando los datos de
carácter personal cuando resulten incompletos o inexactos, o bien sean
inadecuados o excesivos, en su caso, o cuyo tratamiento no se ajuste a
la Ley.
 Su ejercicio está sujeto a requisitos de forma.
 Asimismo, no es absoluto ya que tiene excepciones fundamentalmente en
el ámbito público.
 Los datos personales se pueden conservar de forma bloqueada incluso
habiendo culminado la finalidad que motivó su obtención hasta que
prescriban las eventuales acciones civiles, mercantiles, laborales, penales
o administrativas o de cualquier otra índole que pudieran derivarse del
tratamiento efectuado. Una vez pasados estos plazos de prescripción los
datos deberán destruirse físicamente.

56
12. DERECHOS DE LOS INTERESADOS. OTROS
DERECHOS

1. OBJETIVOS
 Conocer los derechos que asisten al interesado. Concretamente el
derecho a impugnación, el derecho a consulta en el Registro General de
Protección de datos y el derecho a indemnización.

2. CONTENIDO.
Los derechos a que se hace referencia a continuación tienen carácter
personalísimo, por lo que sólo pueden ejercerse por parte del afectado.
Podrá, no obstante, actuar su representante legal cuando el afectado se
encuentre en situación de minoría de edad o este declarado incapaz para el
ejercicio de sus derechos.

2.1. DERECHO DE IMPUGNACIÓN.

Este derecho viene recogido en el artículo 13 de la LOPD:
“Artículo 13. Impugnación de valoraciones
1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con
efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se
base únicamente en un tratamiento de datos destinados a evaluar determinados
aspectos de su personalidad.
2. El afectado podrá impugnar los actos administrativos o decisiones privadas
que impliquen una valoración de su comportamiento, cuyo único fundamento sea
un tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad.
3. En este caso, el afectado tendrá derecho a obtener información del
responsable del fichero sobre los criterios de valoración y el programa utilizados
en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
4. La valoración sobre el comportamiento de los ciudadanos basada en un
tratamiento de datos, únicamente podrá tener valor probatorio a petición del
afectado.”
Precisamente uno de los mayores peligros que tiene el tratamiento informatizado
de la información referente a personas, es que permite la creación de perfiles de

57
individuos partiendo de información aparentemente irrelevante. Estos perfiles
pueden corresponderse con la realidad o no, es decir, existe un margen de error.
Son simplemente los resultados de cruzar información a través de un software
especializado, pero con los grandes avances que se están dando en todas las
disciplinas, estos perfiles son cada vez más acertados o ajustados. El problema
reside en que pueden condicionar la vida de los afectados si no existiera una
norma que lo impidiese, en nuestro caso la LOPD.
El afectado puede impugnar los actos administrativos o decisiones privadas que
impliquen una valoración de su comportamiento cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad (artículo 13 de la LOPD). La LOPD no admite que
una persona pueda verse sometida a una decisión con trascendencia jurídica,
basada únicamente en el resultado que ha dado el tratamiento informatizado de
la información concerniente a su persona.

2.2. DERECHO DE CONSULTA AL REGISTRO GENERAL DE

PROTECCIÓN DE DATOS.
Este derecho viene recogido en el artículo 14 de la LOPD:
“Artículo 14. Derecho de Consulta al Registro General de Protección de
Datos
Cualquier persona podrá conocer, recabando a tal fin la información oportuna del
Registro General de Protección de Datos, la existencia de tratamientos de datos
de carácter personal, sus finalidades y la identidad del responsable del
tratamiento. El Registro General será de consulta pública y gratuita”.
El Registro General de Protección de Datos en la Agencia de Protección de
Datos tiene asignada la misión de dar a conocer la existencia de los ficheros o
tratamientos de datos de carácter personal, para hacer posible el ejercicio de los
derechos de acceso, rectificación, cancelación y oposición. Es un registro de
consulta pública y gratuita.
En el Registro General queda inscrita una descripción de los ficheros que sus
responsables tienen la obligación legal de inscribir. Por tanto, se puede averiguar
mediante consulta al Registro información de aspectos concretos de los ficheros,
tales como su finalidad, estructura, identidad del responsable del tratamiento,
ubicación, cesiones previstas etc.

58
La principal información que facilita la Agencia es la dirección de la oficina o
dependencia del responsable del fichero o tratamiento ante la que se ejercen los
derechos de acceso, rectificación, cancelación y oposición. Es el responsable
del fichero el que dispone de los datos y el que puede rectificarlos o cancelarlos,
o dar acceso al afectado sobre mismos.
La función de la Agencia es informar al afectado para que pueda ejercer los
derechos que la Ley Orgánica le reconoce. Para el caso de que el responsable
del fichero desatienda la solicitud del afectado está previsto el Procedimiento de
Tutela de Derechos que consiste básicamente en que será la Agencia la que se
dirigirá en nombre del interesado, al responsable que le ha denegado sus
derechos. En el supuesto que el responsable tampoco cumpla con sus
obligaciones, la Agencia puede abrir el correspondiente procedimiento
sancionador.

2.3. DERECHO DE INDEMNIZACIÓN.

Este derecho viene recogido en el artículo 19 de la LOPD:
“Artículo 19. Derecho a indemnización.
1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto
en la presente Ley por el responsable o el encargado del tratamiento, sufran
daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá
de acuerdo con la legislación reguladora del régimen de responsabilidad de las
Administraciones Públicas.
3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante
los órganos de la jurisdicción ordinaria”.
Las lesiones que el incumplimiento de los preceptos de la LOPD pueda producir
al afectado, en sus bienes o derechos, generan derecho de indemnización, bien
de acuerdo con el procedimiento establecido de responsabilidad de las
Administraciones Públicas, en el caso de los ficheros de titularidad pública, o
bien ante los Tribunales ordinarios para los ficheros de titularidad privada
(artículo 19 de la LOPD).
Es decir, las sanciones de la AEPD, son sanciones administrativas (como una
multa de tráfico) cuyo montante no va a parar al interesado. Si el interesado
pretende resarcirse por el perjuicio causado, deberá acudir a los Tribunales de

59
Justicia y demostrar dicho perjuicio solicitando la indemnización por daños y
perjuicios que corresponda.

3. RESUMEN
 La impugnación de valoraciones consiste en que nadie puede verse
sometido a una decisión con trascendencia jurídica, basada
exclusivamente en un tratamiento informático de la información
concerniente a su persona.
 El Registro General de Protección de Datos en la Agencia de Protección
de Datos tiene asignada la misión de dar a conocer la existencia de los
ficheros o tratamientos de datos de carácter personal, para hacer posible
el ejercicio de los derechos de acceso, rectificación, cancelación y
oposición. Es el responsable del fichero, no la AEPD, el que dispone de
los datos y el que puede rectificarlos o cancelarlos, o dar acceso al
afectado sobre mismos.
 Las multas de la AEPD, son sanciones administrativas que no van a parar
a manos del interesado. Si el interesado quiere resarcirse por el perjuicio
causado por el tratamiento ilegítimo de sus datos deberá acudir a los
Jueces y Tribunales.

13. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE

DATOS. FUNCIONES

60
1. OBJETIVOS
 Conocer la naturaleza, regulación normativa, régimen jurídico y estructura
de la Agencia Española de protección de Datos de Carácter Personal.
 Conocer las funciones de la Agencia Española de Protección de Datos de
Carácter Personal, su capacidad inspectora y de instrucción de
procedimientos tanto de tutela de derechos como de procedimientos
sancionadores.

2. CONTENIDO.
2.1. NATURALEZA Y REGIMEN JURIDICO.
La Agencia Española de Protección de Datos es un ente de derecho público, con
personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena
independencia de las Administraciones Públicas en el ejercicio de sus funciones.

2.2. FUNCIONES.
o Su finalidad principal es velar por el cumplimiento de la legislación sobre
protección de datos personales y controlar su aplicación, en especial en
lo relativo a los derechos de información, acceso, oposición, rectificación
y cancelación de datos.
o La Agencia Española de Protección de Datos atenderá a las peticiones y
reclamaciones de los afectados, les informará de sus derechos
reconocidos en la Ley y promoverá campañas de difusión a través de los
medios.
o En relación a aquellos responsables del tratamiento de datos la Agencia
Española de Protección de Datos será la competente para emitir aquellas
autorizaciones previstas en la Ley como la dispuesta en el artículo 33 de
la LOPD para el movimiento internacional de datos a países que no
proporcionen un nivel de protección equiparable al que presta la
normativa española sobre protección de datos.
o La Agencia podrá exigir a los responsables de los ficheros o a aquellos
que traten datos de carácter personal las medidas de corrección que
considere oportunas, podrá incluso ordenar, en caso de ilegalidad, el cese
en el tratamiento y la cancelación de los datos.

61
 o La Agencia Española tiene atribuida la potestad sancionadora por lo que
podrá abrir expedientes sancionadores a los responsables de los ficheros,
tanto de oficio como por denuncia. Para ello podrá recabar la ayuda e
información que precise para el desarrollo de sus funciones.

2.3. CAPACIDAD NORMATIVA DE LA AGENCIA ESPAÑOLA DE

PROTECCIÓN DE DATOS.
o La Agencia Española de Protección de Datos dictará las Instrucciones y
recomendaciones de adecuación de los tratamientos a la LOPD, dictará
recomendaciones en materia de seguridad y control de acceso a los
ficheros.
o Informará de los Proyectos de normas de desarrollo de la LOPD e
informará también de los Proyectos de normas que incidan en materias
de protección de datos.

2.4. OTRAS FUNCIONES DE LA AGENCIA ESPAÑOLA DE

PROTECCION DE DATOS.
o En materia de telecomunicaciones tutelará los derechos y garantías de
los abonados y usuarios en el ámbito de las comunicaciones electrónicas,
incluyendo el envío de comunicaciones comerciales no solicitadas
realizadas a través de correo electrónico o medios de comunicación
electrónica equivalente.
o Además velará por la publicidad en los tratamientos, publicando
anualmente una lista de los mismos.
o Será la representación de España en los foros internaciones en la materia.
o Elaborará una Memoria Anual, presentada por conducto del Ministerio de
Justicia, a las Cortes.

2.5. ORGANIGRAMA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN

DE DATOS LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
FUNCIONES

62
3. RESUMEN.
La Agencia Española de Protección de Datos es el ente público encargado de
velar por el cumplimiento de la LOPD, y tiene atribuidas funciones normativas,
inspectoras y sancionadoras.
La Agencia Española de Protección de Datos es un ente de derecho público, con
personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena
independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Asimismo tiene asignada la misión de realizar acciones conducentes a la difusión
y conocimiento de la normativa de protección de datos.
Algunos de las obligaciones impuestas por la vigente normativa de comercio
electrónico son fiscalizadas por la AEPD, teniendo especial relevancia su labor
en la lucha contra el spam o correo electrónico no solicitado.

63
14. LAS AGENCIAS AUTONÓMICAS DE PROTECCIÓN
DE DATOS

1. OBJETIVOS
 Conocer el origen de la Agencia Española de Protección de Datos.
 Conocer y diferenciar la Agencia Española de Protección de Datos de las
Agencias Autonómicas de Protección de Datos.

2. CONTENIDO.
2.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ORIGEN.

El artículo 28 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de

24 de Octubre de 1995 relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos
prevé que en “los estados miembros una o más autoridades públicas se
encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas
por ellos en aplicación de la presente Directiva; Estas autoridades ejercerán las
funciones que le son atribuidas con total independencia.”
Como transposición de esta directiva tenemos la ya conocida Ley Orgánica
15/1999 de 13 de diciembre, de protección de datos de carácter personal, la cual,
dedica parte del Título VI para definir su naturaleza y régimen jurídico y funciones
de la Agencia Española de Protección de datos.

2.2. LAS AGENCIAS AUTONOMICAS DE PROTECCIÓN DE DATOS.

El artículo 41 de la LOPD regula la posibilidad de atribuir a los órganos
correspondientes de las Comunidades Autónomas determinadas funciones de la
Agencia Española de Protección de Datos cuando afecten a ficheros de datos
de carácter personal creados o gestionados por las Comunidades Autónomas y
por la Administración Local de su ámbito territorial. A estos Órganos se les
garantizarán plena independencia y objetividad en el ejercicio de su cometido. A
su vez, estas Comunidades Autónomas podrán crear y mantener sus propios
registros de ficheros para el ejercicio de las competencias que se les reconoce
sobre los mismos.
2.2.1. La Agencia de Protección de Datos de la Comunidad de Madrid.

64
La Agencia de Protección de Datos de la Comunidad de Madrid tiene como
finalidad garantizar y proteger los derechos fundamentales de las personas
físicas respecto al honor e intimidad familiar y personal, en lo relativo al
tratamiento de sus datos personales. Sus competencias versan sobre los
ficheros de titularidad pública creados o gestionados por la Comunidad
Autónoma de Madrid, Entes que integran la Administración Local de su ámbito
territorial, Universidades públicas y Corporaciones de derecho público
representativas de intereses económicos y profesionales de la misma.

2.2.2. La Agencia Vasca de Protección de Datos.

La Agencia Vasca de Protección de Datos tiene la consideración de autoridad de
control, y la ley le garantiza la plena independencia y objetividad en el ejercicio
de su cometido. Las funciones de la Agencia Vasca de Protección de Datos le
vienen fijadas en el artículo 17 de la Ley 2/2004 del Parlamento Vasco. Dichas
funciones son las siguientes:
Velar por el cumplimiento de la legislación sobre protección de datos y controlar
su aplicación, emitir las autorizaciones previstas en las leyes y reglamentos,
dictar las instrucciones precisas para adecuar los tratamientos a los principios de
la legislación vigente en materia de protección de datos, atender las peticiones y
reclamaciones formuladas por los afectados, proporcionar información a las
personas acerca de sus derechos en materia de tratamiento de los datos de
carácter personal, requerir a los responsables y a los encargados de los
tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias
para la adecuación del tratamiento de datos a la legislación en vigor y, en su
caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros
cuando no se ajuste a dicha legislación, salvo en la que se refiera a
transferencias internacionales de datos, entre otras.

2.2.3. La Agencia Catalana de Protección de Datos.

La Agencia Catalana de Protección de Datos tiene, en lo referente a su ámbito
de actuación, las competencias de registro, control, inspección, sanción y
resolución, así como la de adopción de propuestas e instrucciones. Estas
competencias se concretan en las funciones siguientes:

65
Velar por el cumplimiento de la legislación vigente sobre protección de datos de
carácter personal y controlar su aplicación, velar por el cumplimiento de las
disposiciones que la Ley de estadística de Cataluña dispone respecto a la
recogida de datos estadísticos y al secreto estadístico, dictar, si procede y sin
perjuicio de competencias de otros órganos, las instrucciones necesarias, entre
otras.

2.3. DISTINCIÓN DE FUNCIONES ENTRE LA AGENCIA ESPAÑOLA Y

LAS AGENCIAS DE LAS COMUNIDADES AUTÓNOMAS DE
PROTECCIÓN DE DATOS.
La Agencia Española de Protección de Datos, en principio es competente para
los ficheros tanto públicos como privados.
En el supuesto de que una Comunidad Autónoma, haya creado su propia
Agencia de Protección de Datos, ésta será competente para el control de los
ficheros públicos creados o gestionados por la propia Comunidad Autónoma y
por la Administración Local de su ámbito territorial, pero no será competente para
el control de los ficheros de titularidad privada.
Por tanto, los ficheros de titularidad privada serán siempre competencia de la
Agencia Española de Protección de Datos, mientras que el control de los ficheros
públicos dependerá de la existencia o no de una Agencia
Autonómica de Protección de Datos en el ámbito territorial del responsable del
fichero público.
Respecto a la inscripción de los ficheros, tanto públicos como privados, siempre
hay que realizarla ante el Registro competente, que es el Registro General de
Protección de Datos de la Agencia Española.

3. RESUMEN.
La Ley Orgánica de Protección de Datos prevé la creación de Autoridades de
Control de protección de datos en las Comunidades Autónomas, Autoridades
que tendrán funciones muy similares a la Agencia Española de Protección de
Datos pero solo tendrán autoridad sobre aquellos ficheros con datos de carácter
personal creados o gestionados por las mismas Comunidades Autónomas y por
las Administraciones Locales de su ámbito territorial, es decir, tendrán control
sobre aquellos ficheros públicos creados por estas Administraciones y no sobre

66
aquellos ficheros de titularidad privada cuyo control seguirá correspondiendo a
la Agencia Española de Protección de Datos.

67
15. LA INSCRIPCIÓN DE FICHEROS

1. OBJETIVOS
 Conocer la existencia y objetivo del Registro General de Protección de
Datos.
 Saber qué, cómo y quién debe inscribir los ficheros en el Registro General
de Protección de Datos.
 Aprender a inscribir los ficheros en el Registro General de Protección de
Datos.

2. CONTENIDO
2.1. REGISTRO GENERAL DE PROTECCIÓN DE DATOS.
Es el órgano de la AEPD al que corresponde velar por la publicidad de la
existencia de los ficheros y tratamientos de datos de carácter personal, con miras
a hacer posible el ejercicio de los derechos de información, acceso, rectificación
y cancelación de datos regulados en los artículos 14 a 17 de la LODP. Según el
artículo 14 de la Ley Orgánica 15/1999, cualquier persona podrá conocer,
recabando a tal fin la información oportuna del RGPD, la existencia de
tratamientos de datos de carácter personal, sus finalidades y la identidad del
responsable del fichero o tratamiento. El RGPD será de consulta pública y
gratuita.

2.2. LA INSCRIPCION DE FICHEROS.

2.2.1. Objeto de inscripción en el RGPD.

Serán objeto de inscripción en el Registro General de Protección de Datos:
o Los ficheros de las Administraciones Públicas.
o Los ficheros de titularidad privada.
o Las autorizaciones de transferencias internacionales de datos de carácter
personal con destino a países que no presten un nivel de protección
equiparable al que presta la LOPD a que se refiere el art. 33.1 de la citada
Ley.
o Los códigos tipo, a que se refiere el artículo 32 de la LOPD.

68
 o Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de información, acceso, rectificación, cancelación y
oposición.
2.2.2. Obligados a notificar la creación de ficheros para su inscripción en
el RGPD.
Toda persona o entidad, de naturaleza pública o privada que proceda a la
creación de ficheros de datos de carácter personal lo notificará previamente a la
Agencia Española de Protección de Datos. La inscripción del fichero en el RGPD
debe ser previa a su creación.
Cualquier modificación posterior en el contenido de la inscripción de un fichero
en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos,
mediante una solicitud de modificación o de supresión de la inscripción, según
corresponda. En ambos casos será necesario citar el Código de Inscripción
asignado por el RGPD al fichero.

2.2.3. La Inscripción.
Dependiendo de la titularidad del fichero, pública o privada, se cumplimentará y
presentará en la Agencia Española de Protección de Datos el correspondiente
modelo de notificación, utilizando para ello, utilizando para ello, cualquiera de los
medios siguientes:
_ Formas de presentación de la Notificación:
o A través de Internet con certificado de firma electrónica reconocido.
o A través de Internet sin certificado de firma electrónica reconocido.
o En soporte papel impreso con código de barras bidimensional PDF 417.
_ Como presentar la notificación:
La inscripción de ficheros en la AEPD se realizará a través del sistema de
Notificaciones Telemáticas a la AEPD (NOTA), que permite a los responsables
de ficheros con datos de carácter personal de titularidad pública y de titularidad
privada cumplir con esa obligación.
Las notificaciones realizadas a través de Internet con certificado de firma
electrónica se remiten al Registro Telemático de la AEPD, una vez
cumplimentada la Notificación y la Hoja de solicitud de forma correcta, se indicará
en el formulario que no se realizarán más cambios mediante el botón «Finalizar
formulario» antes de proceder a la firma de la notificación. En este momento

69
aparecerá un icono en el lugar previsto para la firma de la persona que efectúa
la notificación.
Una vez firmada, se enviará la notificación mediante el formulario electrónico al
Registro Telemático de la AEPD mediante el botón
Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá
por el mismo medio un mensaje de confirmación de la solicitud, en el que
constarán los datos proporcionados por el interesado, junto con la acreditación
de la fecha y hora en que produjo la recepción y una clave de identificación de
la transmisión. El mensaje de confirmación se configurará de forma que pueda
ser impreso o archivado informáticamente por el interesado y que garantizará la
identidad del registro y tendrá el valor de recibo de presentación.
Las notificaciones realizadas a través de Internet sin firma electrónica, una vez
cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberán
ser enviadas mediante el formulario electrónico pulsando el botón
«Generar/Enviar» que se encuentra en la Hoja de solicitud. El formulario le
indicará que se está conectando con el servidor de la AEPD y, acto seguido, el
sistema le enviará la Hoja de solicitud (en formato PDF) que confirma que la
notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por
la persona que efectúa la notificación, es la que deberá remitir a la AEPD.
Las notificaciones en soporte papel y en soporte informático (disquete, CDROM)
deben enviarse a la dirección de la AEPD.

2.3. LOS FICHEROS PÚBLICOS.

La creación, modificación o supresión de los ficheros de las Administraciones
Públicas, en principio sigue el mismo procedimiento que las inscripciones de los
ficheros privados. La diferencia reside en que las Administraciones Públicas
deben crear sus ficheros, previamente a su inscripción, por medio de disposición
general publicada en el "Boletín Oficial del Estado" o diario oficial
correspondiente (artículo 20 de la LOPD). Esta disposición general publicada en
el diario oficial correspondiente debe ser presentada junto con la solicitud de
inscripción.

2.4. CONCEPTO DE FICHERO A EFECTOS DE INSCRIPCIÓN.

Un fichero viene determinado por su finalidad, el concepto de fichero es un
concepto lógico, no físico. Es muy habitual que una organización cuente con

70
distintos ficheros físicos repartidos en distintas aplicaciones (Access, Excel,
bases de datos de aplicaciones específicas, etc) pero que sean todos utilizados
con la misma finalidad (p. e. la gestión de clientes).
En este caso, aunque físicamente existan diferentes ficheros, jurídicamente
existe un único fichero de clientes que tendrá que ser objeto de inscripción, es
decir, no hay que inscribir cada tabla o cada base de datos existente sino que
hay que inscribir el conjunto de ficheros que responda a una única finalidad como
único fichero. De la misma manera, en el supuesto de que un único fichero físico
sea utilizado para finalidades distintas, habrá que hacer tantas inscripciones
como finalidades tenga este fichero.

3. RESUMEN
El objetivo del Registro General de Protección de datos es velar por la publicidad
de los ficheros sin que la inscripción implique por si misma el cumplimiento del
resto de obligaciones de la normativa de protección de datos. La no inscripción
de los ficheros en el Registro es sancionable por la AEPD.
El concepto de fichero para su inscripción es un concepto lógico de fichero, no
un concepto físico puesto que la existencia de un fichero viene determinada por
su finalidad. Un fichero físico que sea utilizado con diferentes finalidades implica
jurídicamente la existencia de tantos ficheros como finalidades tenga el fichero.

16. LOS FICHEROS DEL ARTÍCULO 29 DE LA LOPD

71
1. OBJETIVOS
 Distinguir aquellos ficheros sobre solvencia patrimonial y crédito de los
ficheros relativos a cumplimientos o incumplimientos de obligaciones
dinerarias.
 Comprender el significado y relevancia del artículo 29 de la Ley Orgánica
de Protección de Datos: “Prestación de servicios de información sobre
solvencia patrimonial y crédito”.

2. CONTENIDO.
2.1. PRESTACIÓN DE SERVICIOS DE INFORMACION SOBRE
SOLVENCIA PATRIMONIAL Y CREDITO.

El artículo 29 de la LOPD recoge dos tipos de ficheros: los ficheros de solvencia

patrimonial y crédito y los ficheros conocidos como de morosidad.

2.1.1. Ficheros de solvencia patrimonial y crédito, artículo 29.1.

Este tipo de ficheros tiene como finalidad principal informar sobre la solvencia
patrimonial y de crédito de un individuo y no hay que confundirlo con los ficheros
de cumplimiento o incumplimiento de obligaciones dinerarias (morosos), es
decir, el hecho de que una persona no sea solvente no tiene que implicar
necesariamente que haya incumplido alguna obligación dineraria. El artículo 29.1
de la LOPD dice lo siguiente:
“Quienes se dediquen a la prestación de servicios de información sobre la
solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal
obtenidos de los registros y las fuentes accesibles al público establecidos al
efecto o procedentes de informaciones facilitadas por el interesados o con su
consentimiento”
Por tanto, para la creación de este tipo de ficheros, los datos sólo pueden
obtenerse de:
o Fuentes accesibles al público establecidas al efecto.
o Del propio interesado o con su consentimiento.
2.1.2. Ficheros de morosidad, artículo 29.2.
Para el estudio de este tipo de ficheros es preciso analizar previamente los
sujetos implicados: el acreedor, el afectado y la empresa que gestiona el fichero

72
de morosos. El acreedor es la persona, física o jurídica, que ostenta un crédito
contra el afectado; el afectado es la persona física que resulta obligada al pago
del crédito; y la empresa que gestiona el fichero de morosos es aquella que
recibe, por parte del acreedor, una solicitud de inclusión en su registro de
morosidad de los datos del afectado por el incumplimiento de pago de una
deuda.
El artículo 29.2 de la LOPD establece lo siguiente:
“Podrán tratarse también datos de carácter personal relativos a cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien
actúe por su cuenta o interés. En estos casos se notificará a los interesados
respecto de los que hayan registrado datos de carácter personal en ficheros, en
el plazo máximo de treinta días desde dicho registro, una referencia de los que
hubiesen sido incluidos y se les informará de su derecho a recabar información
de la totalidad de ellos, en los términos establecidos por la presente Ley”
Estos ficheros hacen referencia a cumplimientos o incumplimientos de
obligaciones dinerarias, por tanto, los datos que forman parte de estos ficheros,
tal y como establece el artículo 29.2 de la LOPD, deben ser obtenidos del
acreedor o por quien actúe por su cuenta o interés siempre que:
o Exista una deuda previa, cierta, vencida y exigible, que haya resultado
impagada.
o Haya habido un requerimiento previo de pago a quien corresponda, en su
caso, el cumplimiento de la obligación.
No podrán incluirse en los ficheros de esta naturaleza datos personales sobre
los que exista un principio de prueba documental que aparentemente contradiga
alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la
desaparición cautelar del dato personal desfavorable en los supuestos en que
ya se hubiera efectuado su inclusión en el fichero de morosidad. En este caso,
será el acreedor el responsable de notificar en el menor tiempo posible, la
modificación o cancelación del dato a la empresa responsable del registro de
morosos.
Cuando una persona es incluida en un fichero de morosidad, será la empresa
responsable del registro de morosos la encargada de notificar al interesado,
respecto de los datos de carácter personal que hayan registrado en sus ficheros,
en el plazo de treinta días desde dicho registro, una referencia de los datos que

73
hubiesen sido incluidos y se le informará de su derecho a recabar información
de la totalidad de ellos.
No es necesario el consentimiento del afectado para la inclusión de sus datos en
ese tipo de ficheros, no obstante, éste podrá solicitar la cancelación de sus datos
presentando la documentación que acredite que no resulta obligado al pago del
crédito.
Hasta la entrada en vigor de la LOPD cuando una persona era incluida en un
fichero de morosos se le mantenía indefinidamente registrada en el mismo.
Aunque hubiera pagado su deuda continuaba en el fichero de morosidad con
saldo cero. Esto se hacía así, porque a las entidades de crédito les interesaba
tener la información de aquellas personas que alguna vez en su vida habían
resultado morosas.
Con la entrada en vigor de la LOPD, el pago de la deuda por parte del afectado
implica automáticamente la cancelación de sus datos en el fichero de morosos
quedando absolutamente prohibido mantener sus datos en el referido fichero con
saldo cero. Asimismo, la LOPD ha establecido un límite temporal máximo de
permanencia de seis años en estos ficheros.
2.1.3. Características comunes.
En los supuestos a que se refieren los dos apartados anteriores, cuando el
interesado lo solicite, el responsable del tratamiento le comunicará los datos, así
como las evaluaciones y apreciaciones que sobre el mismo hayan sido
comunicadas durante los últimos seis meses y el nombre y dirección de la
persona o entidad a quien se hayan revelado los datos.
Sólo se podrán registrar y ceder los datos de carácter personal que sean
determinantes para enjuiciar la solvencia económica de los interesados y que no
se refieran, cuando sean adversos, a más de seis años, siempre que respondan
con veracidad a la situación actual de aquéllos.

3. RESUMEN
El artículo 29 de la LOPD recoge dos tipos de ficheros:
 Ficheros de solvencia patrimonial y crédito: revelan la solvencia positiva
o negativa de los afectados y los datos contenidos en los mismos solo
pueden obtenerse del propio interesado o de una fuente accesible al
público destinada al efecto.

74
 Ficheros de cumplimiento o incumplimiento de obligaciones dinerarias:
revelan el incumplimiento de obligaciones dinerarias y los datos
contenidos en los mismos son suministrados por el acreedor que ostenta
el crédito contra el afectado no siendo necesario el consentimiento de
éste. El interesado tiene derecho a ser informado de la inclusión de sus
datos en estos ficheros en el plazo de un mes desde su inclusión y existe
un plazo máximo de permanencia de seis años.

75
17. LAS MEDIDAS DE SEGURIDAD DETERMINACIÓN
DEL NIVEL DE SEGURIDAD

1. OBJETIVOS.
 Aprender a asignar el nivel de seguridad aplicable en función de la
sensibilidad de los datos tratados en una organización.

2. CONTENIDO.
2.1. REGULACIÓN LEGAL DE LAS MEDIDAS DE SEGURIDAD.
El artículo 9 de la LOPD, establece que el responsable del fichero y, en su caso,
el encargado del tratamiento, deberán adoptar las medidas técnicas y
organizativas que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Este artículo ha sido desarrollado por el Real Decreto 1720/2007, de 21 de
Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de Diciembre, de protección de datos de carácter personal para
ficheros que contengan datos de carácter personal (RDLOPD).
El RDLOPD, será la norma de referencia a la hora de establecer tanto el nivel de
seguridad a cumplir, como las medidas de seguridad a implantar. Este
Reglamento establece tres niveles de seguridad, básico, medio y alto, que
dependen de la sensibilidad de los datos tratados. Por tanto, el primer paso a
seguir, es la determinación del nivel de seguridad necesario, para seguidamente
analizar las medidas de seguridad que corresponden a cada nivel.

2.2. LOS NIVELES DE SEGURIDAD.

Los niveles de seguridad vienen determinados como se ha dicho, por la
sensibilidad de los datos tratados, por lo tanto, el primer paso consiste en
establecer el nivel de seguridad adecuado a la organización:

2.2.1. Datos de nivel alto.

76
2.2.1.1. Datos de Ideología, religión, creencias y afiliación sindical: la pertenencia
a una confesión religiosa, sindicato, partido político etc., son considerados datos
de nivel alto. Por ejemplo, la retención de la cuota sindical por el departamento
de recursos humanos, es un dato de nivel alto al revelar la afiliación sindical.
La asignación tributaria a la Iglesia Católica en la declaración del IRPF, también
es considerado un dato de nivel alto por la AEPD.
2.2.1.2. Datos de salud: En principio son aquellos datos que revelan el estado de
salud presente, pasado o futuro, físico o mental del interesado. Por ejemplo, el
porcentaje de minusvalía de un trabajador en el fichero de nómina es
considerado un dato de salud. Asimismo las altas y bajas, asociadas a accidente
laboral, enfermedad profesional o enfermedad común son datos de nivel alto.
2.2.1.3. Datos de origen racial: tras la experiencia de la II Guerra Mundial, el
almacenamiento de este tipo de datos está ciertamente restringido a casos
excepcionales.
2.2.1.4. Datos de vida sexual: son aquellos datos que pueden revelar las
tendencias o inclinaciones sexuales del interesado.
2.2.1.5. Datos recabados para fines policiales sin el consentimiento del
interesado: Son aquellos datos que los cuerpos y fuerzas de seguridad pueden
recabar en una investigación, siempre que esté en juego la seguridad ciudadana
o la persecución de un delito.
Sin embargo, se producirá una disminución del nivel de seguridad, de alto a bajo,
en lo relativo a ficheros o tratamientos de datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual cuando:
o Los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a las entidades de las que los afectados sean asociados o
miembros (por ejemplo el pago de la cuota sindical a través de la nómina).
o Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan aquellos datos sin guardar relación
con su finalidad.
o Los ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez del afectado, con
motivo del cumplimiento de deberes públicos.
2.2.2. Datos de nivel medio.

77
2.2.2.1. Datos relativos a la comisión de infracciones penales o administrativas:
son los datos relativos a las sanciones administrativas y penales impuestas por
la Administración Pública y los Tribunales de Justicia.
2.2.2.2. Datos de Hacienda Pública: Son aquellos datos cuyo responsable sea la
Hacienda Pública Estatal, la de una Comunidad Autónoma, o la Local. Por
ejemplo, los datos fiscales de clientes, que sean objeto de tratamiento por una
asesoría (que no tiene la condición de Administración Pública) no son datos de
Hacienda Pública. Los datos de recaudación de un Ayuntamiento, sí son datos
de Hacienda Pública.
2.2.2.3. Datos de servicios financieros: el RDLOPD no especifica lo que se debe
entender por servicio financiero, pero en principio son aquellos datos de carácter
financiero tratados por entidades financieras. Por ejemplo, un tipo de datos que
suelen generar dudas interpretativas, son los referentes al número de la cuenta
bancaria o tarjeta de crédito. Estos datos son de nivel básico, puesto que es
distinto conocer un número de cuenta bancaria, que prestar el servicio bancario
como tal. La entidad financiera que preste el servicio financiero correspondiente,
tendrá que adoptar el nivel medio de seguridad. La Agencia Española de
Protección de Datos para clasificar este tipo de datos recurre a la Clasificación
Nacional de Actividades Económicas aprobada por el Real Decreto 1560/1992
(en concreto los epígrafes 65 y 67.1).
En cuanto al mercado de seguros y planes de pensiones la AEPD es proclive a
considerar estas actividades como servicios financieros.
2.2.2.4. Datos de solvencia patrimonial y crédito: son los relativos al
cumplimiento o incumplimiento de obligaciones dinerarias conocidos como
ficheros de “morosos” así como los ficheros de información sobre solvencia
patrimonial. Pero no hay que confundirlos con los ficheros internos de impagados
que una empresa pueda tener. Se refiere a los ficheros de consulta pública
establecidos en el artículo 29 de la LOPD.
2.2.2.5. Datos que permitan obtener la permiten elaborar la personalidad de un
individuo: un ejemplo clásico de este tipo de datos, pueden ser aquellos
obtenidos de un test psicotécnico en un proceso de selección.
2.2.3. Datos de nivel básico
2.2.3.1. Son todos los demás datos relativos a personas físicas identificadas o
identificables.

78
A continuación le presentamos un cuadro resumen de las diferentes categorías
de datos clasificadas por niveles de seguridad:

o Pasan de un nivel básico de seguridad al nivel medio los ficheros de las

Entidades Gestoras y Servicios Comunes de la Seguridad Social que
tengan relación con sus competencias y las mutuas de accidentes de
trabajo y de enfermedades profesionales de la Seguridad Social.
o Desaparece el nivel “básico cualificado – Medio atenuado” relativo a los
ficheros que contienen datos personales sobre características o
personalidad de los afectados, que permitan deducir su comportamiento,
pasando a ser de nivel medio.
o Desde el nivel básico de seguridad pasan a un nivel alto todos los datos
derivados de la violencia de género.
o Se clasifican como de nivel alto los ficheros de los que sean responsables
los operadores que presten servicios de comunicaciones electrónicas
disponibles al público o exploten redes públicas de comunicaciones
electrónicas respecto de los datos de tráfico y a los datos de localización.

2.3. FICHEROS NO AUTOMATIZADOS (SOPORTE PAPEL)

En relación a los ficheros en soporte papel el RDLOPD establece por primera
vez en el Capítulo IV, artículos del 105 al 114, medidas dirigidas a proteger los
tratamientos de datos en soporte pape y ello con el fin de garantizar la
confidencialidad e integridad de los datos que contienen, debiendo adoptarse

79
políticas de seguridad específicas para los tratamientos de datos en soporte
papel.
En resumen, algunas de las medidas a adoptar con este tipo de ficheros serán
las siguientes:
o El acceso a los documentos se realizará sólo por persona autorizada.
o Las empresas establecerán políticas adecuadas para facilitar la
conservación, localización y consulta de la información.
o Los archivadores donde se encuentre la documentación deberán
establecer las medidas adecuadas para evitar el acceso por personas
autorizadas.
o El responsable de seguridad designado coordina y controla la aplicación
de las medidas de seguridad en ficheros en soporte papel.
o Se realizará una auditoría bienal de los ficheros en soporte papel.
o La sala en la que se encuentran los armarios o archivadores que
almacenen datos de carácter personal de nivel alto permanecerá cerrada
mediante llave u otro dispositivo equivalente mientras no sea necesario el
acceso a documentos.
o La copia o reproducción de los documentos sólo podrá realizarse bajo el
control del personal autorizado.
o Se registrará el acceso por personal autorizado a la documentación que
pueda ser utilizada por múltiples usuarios.
o En el trabajo de la información se adoptarán medidas para evitar su
manipulación.

3 RESUMEN
 La implantación de medidas de seguridad tanto técnicas como
organizativas que garanticen la confidencialidad e integridad de los datos
personales es una obligación para el tratamiento de estos datos.
 Existen tres niveles de seguridad, básico, medio y alto que se implantarán
en función de la sensibilidad de los datos tratados.

80
18. LAS MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

1. OBJETIVOS.
 Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel básico.

81
2. CONTENIDO.
2.1. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO.
El Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de
protección de datos de carácter personal para ficheros que contengan datos de
carácter personal. Tal y como se ha estudiado en la Unidad Temática 3.1.1 del
presente Curso, existen tres niveles de seguridad, básico, medio y alto que se
aplicarán en función de la sensibilidad de los datos tratados. En esta unidad
estudiaremos las medidas correspondientes a un nivel básico que son las que a
continuación se relacionan:
2.1.1. Documento de seguridad.
“Artículo 88. Documento de seguridad.
1. El responsable del fichero o tratamiento elaborará un documento de seguridad
que recogerá las medidas de índole técnica y organizativa acordes a la normativa
de seguridad vigente que será de obligado cumplimiento para el personal con
acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los
ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.
También podrán elaborarse distintos documentos de seguridad agrupando
ficheros o tratamientos según el sistema de tratamiento utilizado para su
organización, o bien atendiendo a criterios organizativos del responsable. En
todo caso, tendrá el carácter de documento interno de la organización.
3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares
encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los
datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

82
f) Los procedimientos de realización de copias de respaldo y de recuperación de
los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en
su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad
de nivel medio o las medidas de seguridad de nivel alto, previstas en este título,
el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento
de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento
de seguridad deberá contener la identificación de los ficheros o tratamientos que
se traten en concepto de encargado con referencia expresa al contrato o
documento que regule las condiciones del encargo, así como de la identificación
del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se
incorporen y traten de modo exclusivo en los sistemas del encargado, el
responsable deberá anotarlo en su documento de seguridad. Cuando tal
circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del
responsable, podrá delegarse en el encargado la llevanza del documento de
seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.
Este hecho se indicará de modo expreso en el contrato celebrado al amparo del
artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación
de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del
cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado
y será revisado siempre que se produzcan cambios relevantes en el sistema de
información, en el sistema de tratamiento empleado, en su organización, en el
contenido de la información incluida en los ficheros o tratamientos o, en su caso,
como consecuencia de los controles periódicos realizados. En todo caso, se
entenderá que un cambio es relevante cuando pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.

83
8. El contenido del documento de seguridad deberá adecuarse, en todo
momento, a las disposiciones vigentes en materia de seguridad de los datos de
carácter personal”
El documento de seguridad es el documento principal de obligado cumplimiento
para todo el personal que tenga acceso a datos personales de la organización y
debe recoger las medidas de seguridad tanto técnicas como organizativas
implantadas. Corresponde al responsable del fichero su elaboración y
aprobación. Es un documento que únicamente habrá que exhibirlo en caso de
inspección de la AEPD, es decir, no está sujeto a ningún procedimiento de
registro o presentación para su aprobación ante la Administración Pública.
Deberá contener como mínimo:
 Ámbito de aplicación.
 Medidas, normas, procedimientos, reglas y estándares que garanticen el
nivel de seguridad.
 Funciones y obligaciones del personal.
 Estructura de los ficheros y descripción de los sistemas de información
(Inventario de hardware y software así como de ficheros con datos
personales, estableciendo los recursos que los tratan)
 Procedimiento de notificación, gestión y respuesta de las incidencias de
seguridad.
 Procedimientos de realización de copias de respaldo y de recuperación
de los datos.
2.1.2. Las funciones del personal.
“Artículo 89. Funciones y obligaciones del personal.
1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de
usuarios con acceso a los datos de carácter personal y a los sistemas de
información estarán claramente definidas y documentadas en el documento de
seguridad.
También se definirán las funciones de control o autorizaciones delegadas por el
responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para
que el personal conozca de una forma comprensible las normas de seguridad
que afecten al desarrollo de sus funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento”..

84
Deben estar claramente definidas y documentadas. Es decir, el documento de
seguridad deberá recoger una relación del personal con acceso a datos
personales, estableciendo las funciones y accesos autorizados para cada uno
de ellos. El objetivo consiste, en que cada usuario únicamente pueda acceder a
aquellos datos y recursos que necesite para desarrollar su trabajo.

2.1.3. El personal debe conocer sus obligaciones en materia de seguridad.

El responsable del fichero deberá tomar las medidas conducentes a que todo el
personal de su organización, que pueda tener acceso a datos personales,
conozca sus obligaciones en materia de seguridad. Esta obligación suele
cumplirse con la entrega de un documento informativo, acompañado de un curso
formativo, al personal con acceso a datos personales de la organización
(haciéndoles firmar acuse de recibo del mismo).

2.1.4. Existencia de un registro de incidencias de seguridad.

“Artículo89. Registro de incidencias. Deberá existir un procedimiento de
notificación y gestión de las incidencias que afecten a los datos de carácter
personal y establecer un registro en el que se haga constar el tipo de incidencia,
el momento en que se ha producido, o en su caso, detectado, la persona que
realiza la notificación, a quién se le comunica, los efectos que se hubieran
derivado de la misma y las medidas correctoras aplicadas”.
El RDLOPD no define lo que debe considerarse como incidencia de seguridad,
pero en principio, todo el personal de la organización que tenga conocimiento de
una incidencia que pueda afectar a la seguridad de los datos tiene la obligación
de comunicarlo. Estas comunicaciones deberán registrarse en el libro de
incidencias recogido en el documento de seguridad.

2.1.5. Establecimiento de procedimientos de identificación (cuentas de

acceso) y autentificación (contraseña).
“Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel

85
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible.
Todo usuario con acceso a datos personales debe tener un usuario
(identificación) y contraseña (autenticación), que le permitirán el acceso
únicamente a aquellos datos que sean precisos para el desarrollo de sus
funciones. Estas contraseñas deben ser seguras (p.e. número mínimo de
caracteres, alternar mayúsculas y minúsculas, no introducir información
directamente relacionada con el usuario etc) y debe haber un procedimiento de
asignación y anulación de las mismas. La concesión, alteración o anulación de
accesos debe ser realizada exclusivamente por personal autorizado.
Asimismo deben ser cambiadas periódicamente (recomendable mínimo cada 6
meses). Es importante resaltar que la contraseña únicamente la debe conocer el
usuario no pudiendo compartirse.

2.1.6. Gestión de soportes.

“Artículo. Gestión de soportes.
1. Los soportes y documentos que contengan datos de carácter personal
deberán permitir identificar el tipo de información que contienen, ser
inventariados y solo deberán ser accesibles por el personal autorizado para ello
en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte
imposibiliten su cumplimiento, quedando constancia motivada de ello en el
documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter
personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de
los locales bajo el control del responsable del fichero o tratamiento deberá ser
autorizada por el responsable del fichero o encontrarse debidamente autorizada
en el documento de seguridad.

86
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar
la sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga
datos de carácter personal deberá procederse a su destrucción o borrado,
mediante la adopción de medidas dirigidas a evitar el acceso a la información
contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal
que la organización considerase especialmente sensibles se podrá realizar
utilizando sistemas de etiquetado comprensibles y con significado que permitan
a los usuarios con acceso autorizado a los citados soportes y documentos
identificar su contenido, y que dificulten la identificación para el resto de
personas.
Cualquier soporte de la organización (cintas, DVD´s, CD´s, memorias extraíbles
etc) que contenga datos personales debe estar inventariado, etiquetado y
almacenado en un lugar con acceso restringido. La salida de soportes fuera de
los locales de la organización debe de estar autorizada por el responsable del
fichero. Asimismo es fundamental la destrucción física de cualquier soporte que
sea desechado incluido el papel (por ejemplo es frecuente que en casos de
renovación de equipos informáticos no se tomen medidas respecto al formateo
de los discos duros antiguos previamente a su retirada).
2.1.7. Copias de seguridad
“Artículo 94. Copias de respaldo y recuperación.
1. Deberán establecerse procedimientos de actuación para la realización como
mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera
producido ninguna actualización de los datos.
2. Asimismo, se establecerán procedimientos para la recuperación de los datos
que garanticen en todo momento su reconstrucción en el estado en que se
encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o
tratamientos parcialmente automatizados, y siempre que la existencia de
documentación permita alcanzar el objetivo al que se refiere el párrafo anterior,
se deberá proceder a grabar manualmente los datos quedando constancia
motivada de este hecho en el documento de seguridad.

87
3. El responsable del fichero se encargará de verificar cada seis meses la
correcta definición, funcionamiento y aplicación de los procedimientos de
realización de copias de respaldo y de recuperación de los datos.
4. Las pruebas anteriores a la implantación o modificación de los sistemas de
información que traten ficheros con datos de carácter personal no se realizarán
con datos reales, salvo que se asegure el nivel de seguridad correspondiente al
tratamiento realizado y se anote su realización en el documento de seguridad.
Si está previsto realizar pruebas con datos reales, previamente deberá haberse
realizado una copia de seguridad”.
Se deben hacer al menos semanalmente (salvo que los datos no hayan
cambiado durante la semana). El sistema utilizado debe garantizar la
reconstrucción de los datos en el estado en el que se encontraban antes de su
pérdida. Debe existir un plan de contingencia o procedimiento documentado para
la recuperación de desastres. Asimismo debe designarse a una persona que
asumirá esta obligación y, un sustituto para garantizar la copia en situaciones de
baja laboral o vacaciones del responsable. El soporte utilizado para realizar la
copia deberá estar etiquetado inventariado y almacenado en un lugar seguro.
Cuando la organización realice pruebas por ejemplo, para el cambio de
equipamientos informáticos o de software, no debe realizarlas con datos reales
de personas físicas, deberá utilizar datos ficticios.

3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel básico son las siguientes:
 Contar con un Documento de Seguridad.
 Las funciones del personal con acceso a datos personales deben estar
documentadas. El personal sólo debe acceder a los datos y recursos
necesarios para el desarrollo de sus funciones.
 El responsable del fichero debe tomar las medidas necesarias para que
el personal conozca sus obligaciones en materia de seguridad.
 Debe existir un registro de incidencias de seguridad.
 Todo el personal con acceso a datos debe tener un usuario y contraseña.
 Los soportes con datos personales deben estar etiquetados,
inventariados y almacenados en un lugar seguro. En el caso de que vayan
a ser desechados se procederá a su destrucción previa.

88
  Copias de seguridad semanales salvo que los datos no se hayan
modificado en este tiempo.

19. LAS MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

1. OBJETIVOS.
 Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel medio.

2. CONTENIDO.
2.1. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO.
El RD 1720/2007, de 21 de diciembre (en adelante RDLOPD) es la norma de
referencia en esta materia. Tal y como se ha estudiado en la Unidad Temática
3.1.1 del presente Curso, existen tres niveles de seguridad, básico, medio y alto

89
que se aplicarán en función de la sensibilidad de los datos tratados. En esta
unidad estudiaremos las medidas correspondientes a un nivel medio que son las
que a continuación se relacionan:
2.1.1. Designación de uno o varios responsables de seguridad.
“Artículo 95. Responsable de seguridad.
En el documento de seguridad deberán designarse uno o varios responsables
de seguridad encargados de coordinar y controlar las medidas definidas en el
mismo. Esta designación puede ser única para todos los ficheros o tratamientos
de datos de carácter personal o diferenciada según los sistemas de tratamiento
utilizados, circunstancia que deberá hacerse constar claramente en el
documento de seguridad.
En ningún caso esta designación supone una exoneración de la responsabilidad
que corresponde al responsable del fichero o al encargado del tratamiento de
acuerdo con este reglamento”.
El responsable de seguridad no debe confundirse con la figura del responsable
del fichero. El responsable de seguridad es aquella persona física designada por
el responsable del fichero que asumirá las obligaciones de coordinar y controlar
las medidas de seguridad definidas en el documento de seguridad.
Si bien es cierto que el cargo de responsable de seguridad es de especial
relevancia dentro de una organización, conviene resaltar que la responsabilidad
por el incumplimiento del RDLOPD corresponde al responsable del fichero.
Lo más indicado es que sea designado como responsable de seguridad, aquella
persona con mayores conocimientos de informática dentro de la organización
(por ejemplo el administrador de sistemas).
2.1.2. Auditoría.
“Artículo 96. Auditoría.
1. A partir del nivel medio los sistemas de información e instalaciones de
tratamiento y almacenamiento de datos se someterán, al menos cada dos años,
a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se
realicen modificaciones sustanciales en el sistema de información que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

90
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas
y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o
tratamiento para que adopte las medidas correctoras adecuadas y quedarán a
disposición de la Agencia Española de Protección de Datos o, en su caso, de las
autoridades de control de las comunidades autónomas”.
El artículo 17 de la LOPD establece la obligación de realizar una Auditoria cada
dos años, interna o externa, con el objeto de verificar el cumplimiento de lo
establecido en el RDLOPD. Esta Auditora debe dictaminar sobre la adecuación
de las medidas de seguridad implantadas conforme a las exigencias del RMS.
En segundo lugar debe identificar las deficiencias y en tercer lugar debe proponer
las medidas correctoras que sean necesarias.
Conviene resaltar que la auditoría puede realizarse por personal propio de la
organización, es decir no es necesario acudir a un auditor externo.
La AEPD no viene exigiendo titulación específica para el Auditor, aunque es
recomendable una titulación en informática y una experiencia reconocida en esta
materia.
2.1.3. Identificación y autenticación.
“Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la
posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
información.
Artículo 99. Control de acceso físico.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los lugares donde se hallen instalados los equipos físicos que
den soporte a los sistemas de información”.
Tal y como hemos visto en el nivel básico de seguridad es necesario que todo el
personal con acceso a datos personales tenga su usuario y contraseña
(identificación y autenticación). Pero en el nivel medio, es además necesario que
las cuentas de acceso estén personalizadas, es decir, no se permiten usuarios

91
genéricos tales como “invitado 1” o “genérico3”. La cuenta de acceso deberá
estar personalizada de manera que identifique personalmente a cada usuario.
Asimismo, en el nivel medio de seguridad, como medida añadida al sistema de
identificación y autenticación, se debe limitar el número reiterado de intentos de
acceso fallidos. Algo parecido a lo que sucede en un cajero automático cuando
se introduce erróneamente el PIN un número reiterado de veces. El RDLOPD no
establece el número intentos fallidos (recomendable 4 intentos).
2.1.4. Control de acceso físico.
“Artículo 19. Control de acceso físico.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los locales donde se encuentren ubicados los sistemas de
información con datos de carácter personal”.
El acceso físico a los locales donde se encuentren ubicados los sistemas de
información, sólo podrá realizarlo personal autorizado. En principio, el centro de
procesamiento de datos de la organización deberá estar protegido físicamente
contra accesos no autorizados. Esta obligación es en muchas ocasiones
desproporcionada y de difícil cumplimiento.
En organizaciones de cierto tamaño es habitual que exista una sala destinada a
ubicar los servidores de toda la organización (Centro de Procesamiento de
Datos). Estas salas suelen estar protegidas con múltiples y diversos sistemas de
seguridad teniendo acceso a ellas únicamente el personal debidamente
autorizado.
Pero en organizaciones pequeñas, la exigencia de crear una sala específica para
ubicar el servidor de la organización suele ser problemático y de difícil aplicación
por falta de medios y de espacio en muchas ocasiones.
2.1.5. Gestión de soportes.
“Artículo 97. Gestión de soportes y documentos.
1. Deberá establecerse un sistema de registro de entrada de soportes que
permita, directa o indirectamente, conocer el tipo de documento o soporte, la
fecha y hora, el emisor, el número de documentos o soportes incluidos en el
envío, el tipo de información que contienen, la forma de envío y la persona
responsable de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que
permita, directa o indirectamente, conocer el tipo de documento o soporte, la

92
fecha y hora, el destinatario, el número de documentos o soportes incluidos en
el envío, el tipo de información que contienen, la forma de envío y la persona
responsable de la entrega que deberá estar debidamente autorizada”.
Además del cumplimiento de las medidas de seguridad de nivel básico, es
necesario crear un registro de entrada y salida de datos.
Las entradas de soportes informáticos que deban introducirse en las
dependencias del responsable del fichero con datos referidos a los ficheros
calificados como de nivel medio de seguridad, deberán ser anotadas en un
registro de entrada de soportes informáticos en el que se hará constar: el sistema
al que afectan los datos, tipo de soporte, fecha de entrada, hora de entrada, tipo
de información, forma de envío, origen del fichero, y la persona responsable de
la recepción.
Deberá ser registrada la salida de soportes informáticos con indicación en el
registro de salida de soportes informáticos: el tipo de soporte, fecha y hora de
salida, tipo de información, forma de envío, tipo de autorización de salida,
destinatario y persona responsable de la entrega.
La persona responsable de la recepción (en el caso de entrada de soportes) o
de la extracción de datos del sistema (en el caso de la salida), lo debe notificar
al responsable de seguridad y éste lo anotará en el registro correspondiente
(entrada o salida).
2.1.6. Registro de incidencias
“Artículo 100. Registro de incidencias.
1. En el registro regulado en el artículo 90 deberán consignarse, además, los
procedimientos realizados de recuperación de los datos, indicando la persona
que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido
necesario grabar manualmente en el proceso de recuperación.
2. Será necesaria la autorización del responsable del fichero para la ejecución
de los procedimientos de recuperación de los datos”.
En el nivel medio de seguridad debe registrarse, además de lo visto para el nivel
básico, los procedimientos realizados de recuperación de datos personales, la
persona que lo ejecutó, los datos restaurados y los datos que hayan tenido que
ser grabados manualmente.

93
3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel medio son las siguientes:
 Designación de uno o varios responsables de seguridad.
 Auditoría cada dos años interna o externa.
 Las cuentas de acceso deben estar personalizadas y se limitará el número
máximo de intentos fallidos.
 Control de acceso físico a las instalaciones donde estén los equipos
informáticos.
 Registro de entrada y salida de documentos.
 Se deben registrar los procesos de recuperación de datos.
 Prohibición de hacer pruebas con datos reales.

20. LAS MEDIDAS DE SEGURIDAD DE NIVEL ALTO

1. OBJETIVOS.
 Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel alto, así como una serie de medidas aplicables a todos los niveles.

2. CONTENIDO
2.1. MEDIDAS DE SEGURIDAD DE NIVEL ALTO.
El Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de
protección de datos de carácter personal para ficheros que contengan datos de
carácter personal (en adelante RDLOPD) es la norma de referencia en esta
materia. Tal y como se ha estudiado en la Unidad Temática 3.1.1. del presente
Curso, existen tres niveles de seguridad, básico, medio y alto que se aplicarán
en función de la sensibilidad de los datos tratados. En esta unidad estudiaremos
las medidas correspondientes a un nivel alto que son las que a continuación se
relacionan:

94
2.1.1. Gestión de soportes
“Artículo 101. Gestión y distribución de soportes.
1. La identificación de los soportes se deberá realizar utilizando sistemas de
etiquetado comprensibles y con significado que permitan a los usuarios con
acceso autorizado a los citados soportes y documentos identificar su contenido,
y que dificulten la identificación para el resto de personas.
2. La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice
que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando
éstos se encuentren fuera de las instalaciones que están bajo el control del
responsable del fichero.
3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos
portátiles que no permitan su cifrado. En caso de que sea estrictamente
necesario se hará constar motivadamente en el documento de seguridad y se
adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en
entornos desprotegidos”.
2.1.2. Registro de accesos.
“Artículo 103. Registro de accesos.
1. De cada intento de acceso se guardarán, como mínimo, la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso
y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la
información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarán bajo el control
directo del responsable de seguridad competente sin que deban permitir la
desactivación ni la manipulación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad se encargará de revisar al menos una vez al mes
la información de control registrada y elaborará un informe de las revisiones
realizadas y los problemas detectados.
6. No será necesario el registro de accesos definido en este artículo en caso de
que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.

95
b) Que el responsable del fichero o del tratamiento garantice que únicamente él
tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior
deberá hacerse constar expresamente en el documento de seguridad”.
De cada acceso a los ficheros afectados por el nivel de seguridad alto, se debe
guardar, como mínimo, la identificación del usuario, la fecha y hora en que se
realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado
(conocidos como ficheros LOG). Si se trata de un acceso autorizado, se guardará
la clave del registro o bien la información que permita identificar el registro
accedido. El período mínimo de conservación de los datos registrados será de
dos años. El responsable de seguridad deberá revisar periódicamente la
información de control de accesos registrada, respecto a los ficheros afectados
por medidas de seguridad de nivel alto, elaborando un informe mensual de las
revisiones realizadas y los problemas detectados.
2.1.3. Copia de seguridad.
“Artículo 102. Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo de los datos y de los procedimientos
de recuperación de los mismos en un lugar diferente de aquel en que se
encuentren los equipos informáticos que los tratan, que deberá cumplir en todo
caso las medidas de seguridad exigidas en este título, o utilizando elementos
que garanticen la integridad y recuperación de la información, de forma que sea
posible su recuperación”.
Las copias de respaldo de los ficheros mencionados anteriormente, deben
almacenarse en un lugar diferente de aquel en que se encuentran los equipos
informáticos. Con esta medida se pretende garantizar la recuperación de la
información en el supuesto de catástrofe (por ejemplo un incendio de las
instalaciones).
Se ha discutido sobre lo que debe entenderse por un “lugar diferente”, es decir,
si bastaría con almacenar la copia en otra sala del mismo edificio o por el
contrario sacarla fuera de las instalaciones. La interpretación más extendida y
coherente, es que debe sacarse la copia de seguridad fuera de las instalaciones,
ya que esta medida de seguridad, va destinada claramente a la recuperación de
los datos en caso de gran catástrofe, ante la cual en muchas ocasiones, no basta
con almacenar los datos en otro lugar del edificio.

96
Si bien es cierto que esta medida únicamente se exige para los ficheros con
datos de nivel alto, es recomendable tomarla desde un nivel básico de seguridad.
2.1.4. Transmisión por redes de telecomunicaciones.
“Artículo 104. Telecomunicaciones.
Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad
de nivel alto, la transmisión de datos de carácter personal a través de redes
públicas o redes inalámbricas de comunicaciones electrónicas se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice
que la información no sea inteligible ni manipulada por terceros”.
La transmisión de los datos de nivel alto a través de redes de telecomunicaciones
se realizará cifrando dichos datos, o utilizando cualquier otro mecanismo que
garantice que la información no sea legible ni manipulada por terceros. Por
ejemplo, el envío de un correo electrónico con datos de nivel alto, dado que
Internet es una red abierta, deberá viajar cifrado (p.e. utilizando firma electrónica
de modo que en caso de interceptación no pueda accederse a su contenido).

2.2. MEDIDAS DE SEGURIDAD PARA TODOS LOS NIVELES.

2.2.1. Ficheros temporales
Los ficheros temporales (creados con una finalidad limitada en el tiempo) deben
cumplir con el nivel de seguridad que les correspondan. Asimismo, se deben
borrar aquellos ficheros temporales que hayan dejado de ser necesarios para los
fines que motivaron su creación.
Artículo 87. Ficheros temporales o copias de trabajo de documentos.
1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado
exclusivamente para la realización de trabajos temporales o auxiliares deberán
cumplir el nivel de seguridad que les corresponda conforme a los criterios
establecidos en el artículo 81.
2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido
una vez que haya dejado de ser necesario para los fines que motivaron su
creación.
2.2.2. Régimen de trabajo fuera de los locales de ubicación del fichero:
Cualquier tratamiento de datos fuera de los locales del responsable del fichero
deberá ser autorizada por éste (por ejemplo ordenadores portátiles),
garantizándose el nivel de seguridad que corresponda.

97
“Artículo 86. Régimen de trabajo fuera de los locales del responsable del fichero
o encargado del tratamiento.
1. Cuando los datos personales se almacenen en dispositivos portátiles o se
traten fuera de los locales del responsable de fichero o tratamiento, o del
encargado del tratamiento será preciso que exista una autorización previa del
responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel
de seguridad correspondiente al tipo de fichero tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el
documento de seguridad y podrá establecerse para un usuario o para un perfil
de usuarios y determinando un periodo de validez para las mismas”.
2.2.3. El acceso a datos a través de redes de telecomunicaciones:
Debe garantizar un nivel de seguridad equivalente al correspondiente a los
accesos en modo local (por ejemplo, accesos a través de ADSL, VPN, escritorios
remotos etc.)
“Artículo 85. Acceso a datos a través de redes de comunicaciones.
Las medidas de seguridad exigibles a los accesos a datos de carácter personal
a través de redes de comunicaciones, sean o no públicas, deberán garantizar un
nivel de seguridad equivalente al correspondiente a los accesos en modo local,
conforme a los criterios establecidos en el artículo 80”.
A continuación le presentamos un cuadro resumen de las medidas de seguridad
necesarias divididas por niveles:

98
3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel alto son las siguientes:
 Cifrado de soportes.
 Deben quedar registrados todos los accesos a los datos personales,
incluidos los intentos fallidos. Este registro se debe conservar durante dos
años. Mensualmente el responsable de seguridad debe revisar los
accesos redactando el correspondiente informe.
 Almacenamiento de una copia de seguridad fuera de las instalaciones.
 El envío de datos de nivel alto a través de redes de telecomunicaciones
deberá hacerse cifrando dichos datos.
Las medidas de seguridad correspondientes a todos los niveles son las
siguientes:
 Los ficheros temporales también deben garantizar el nivel de seguridad
que les corresponda.
 Cualquier tratamiento de datos fuera de las instalaciones del responsable,
debe ser autorizado por el responsable del fichero.
 El acceso a datos personales a través de redes de telecomunicaciones,
también deberá realizarse cumpliendo con las medidas de seguridad que
correspondan.

99
100