Guia Proteccion Datos para Eell Altaresolucion

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el
Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del
Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa.
El Observatorio de la Seguridad de la Informacin es un referente nacional e internacional al servicio de
los ciudadanos, empresas y administraciones espaolas para describir, analizar, asesorar y difundir la
cultura de la seguridad y la confanza de la Sociedad de la Informacin.
Datos de contacto:
Instituto Nacional de Tecnologas de la Comunicacin (INTECO)
Observatorio de la Seguridad de la Informacin
Avda. Jos Aguado, 41. Edifcio INTECO. 24005 Len
Telfono: +(34) 987 877 189 / Email: observatorio@inteco.es
www.inteco.es
Depsito Legal: LE - 316 - 2009
Imprime: grfcas CELARAYN, s.a.
( 3
1. Contexto y destinatarios de la gua 5
2. Marco legal 9
3. Principios bsicos de la proteccin de datos de carcter personal 12
4. Agentes y organismos implicados 17
5. Ficheros incluidos en el mbito de aplicacin de la LOPD 24
6. Fases de implantacin de la LOPD 26
7. Fase I: Adaptacin a los fcheros 27
8. Fase II: Legitimacin de datos de carcter personal 39
9. Fase III: Polticas de seguridad de los datos 52
Anexo I Tratamiento de datos habituales por parte de las
entidades locales 71
Anexo II Glosario 78
ndice
( 5
Esta gua tiene como propsito ofrecer informacin prctica y recomen-
daciones para la adaptacin de las Entidades Locales a la Ley Orgnica
15/1999 de Proteccin de Datos de Carcter Personal (en adelante, LOPD)
y, en especial, a su Reglamento de Desarrollo (en adelante RDLOPD), en
vigor desde abril de 2008.
El objetivo ltimo es acercar a las Entidades Locales (en adelante, EELL) el
contenido de la normativa en materia de proteccin de datos de carcter per-
sonal, para determinar los procesos de adaptacin a la LOPD y RDLOPD.
1.1. BENEFICIOS QUE APORTA EL CUMPLIMIENTO DE LA NORMATIVA
DE PROTECCIN DE DATOS
1.1.1. COMPROMISO DE LAS EELL CON LOS DEREChOS FuNDAMENTALES
En el compromiso de las EELL con el cumplimiento de la Constitucin Espa-
ola se encuentra el derecho fundamental de la proteccin de datos perso-
nales, que se concreta en el cumplimiento de la LOPD y del RDLOPD.
La LOPD garantiza y protege, en lo que concierne al tratamiento de los
datos personales, las libertades pblicas y los derechos fundamenta-
les de las personas fsicas, especialmente su honor, intimidad y priva-
cidad personal y familiar.
El Reglamento de Desarrollo de la LOPD, aprobado mediante el Real De-
creto 1720/2007, actualiza esta norma de alto rango, adecuando su mbito
a las prcticas y riesgos actuales a los que se encuentran expuestos los da-
tos de los ciudadanos. una de las principales novedades que aporta el Re-
glamento, que sustituye al anterior de 1999, es que su alcance comprende
tanto los fcheros en soporte informtico como los archivos documentales.
Contexto y destinatarios de la gua
1. Contexto y destinatarios de la gua
6 )

1.1.2. CALIDAD EN LA GESTIN ADMINISTRATIvA DE PROCESOS
bASADOS EN LAS TIC Y SuELO INDISPENSAbLE PARA EL DE-
SARROLLO FuTuRO DE LA LEY 11/2007
Entre los benefcios para las EELL de la implantacin de las medidas exigi-
das, adems de dar cumplimiento a la Ley, estaran los siguientes:
Implica una proteccin adecuada de los datos personales que evita su
mal uso, deterioro, acceso no autorizado o prdida.
Mejora la calidad en la gestin administrativa de procesos basados en
las TIC.
Genera un fondo imprescindible para el desarrollo de la adaptacin
a la Ley 11/2007 de Acceso Electrnico de los Ciudadanos a los Ser-
vicios Pblicos. Esta Ley tiene entre sus objetivos la creacin de las
condiciones de confanza en el uso de las tecnologas. Al mismo tiempo,
establece las medidas necesarias para la preservacin de la integridad
de los derechos fundamentales y, en especial, los relacionados con la
intimidad por medio de la garanta de seguridad de los sistemas, datos y
comunicaciones.
Las Administraciones Pblicas Locales, en consecuencia, debern garanti-
zar, a partir de 2010, el principio de igualdad y accesibilidad a los servicios
prestados de manera electrnica, pero tambin la seguridad y la privacidad
de los datos y de las comunicaciones con los ciudadanos y empresas.
De esta forma, el respeto a la normativa vigente de proteccin de datos se
convierte en un asunto crtico para la aplicacin efectiva de la Ley 11/2007
por los Gobiernos Locales.
Gua para entidades locales: cmo adaptarse a la normativa sobre proteccin de datos
( 7
1.1.3. EL PAPEL DE LAS EELL COMO EJEMPLO PARA EL ENTORNO
El cumplimiento de la LOPD por parte de las Entidades Locales debe servir
como referencia para su entorno de infuencia, siendo ejemplo de cum-
plimiento y origen de difusin y concienciacin de la proteccin de los datos
personales.
1.2. DESTINATARIOS DE LA GUA
La gua esta dirigida a los Ayuntamientos, Entidades Supramunicipales, Di-
putaciones, Consells y Cabildos Insulares. En consecuencia, los destinata-
rios de esta gua son:
Los Alcaldes, Concejales, Presidentes y Diputados.
Los Secretarios, Tesoreros e Interventores.
Los coordinadores de proteccin de datos de Ayuntamientos y mancomu-
nidades, consultores tecnolgicos, responsables de informtica y aseso-
res jurdicos de la Administracin Local.
En la elaboracin de los contenidos de esta gua se ha pensando en espe-
cial en aquellas Entidades de pequeo y mediano tamao.
Su Ayuntamiento o Entidad Local, cuenta con una poltica de
tratamiento de datos efcaz y conforme a ley?
El establecimiento de una poltica de proteccin de datos personales
no slo atae a los responsables de seguridad, que suelen ser pro-
fesionales de perfl informtico, sino que requiere la implicacin y el
compromiso de los tcnicos responsables de las reas.
Es clave la decisin y voluntad de los responsables polticos de la
Entidad.
8 )
Los responsables de una Entidad Local debern evidenciar su compromiso
con la LOPD, mediante el establecimiento e implantacin de un plan para la
adaptacin a la normativa sobre proteccin de datos. Este plan deber
tener en cuenta los siguientes aspectos:
Establecer una planifcacin realista de adaptacin al RDLOPD.
Elaborar el Documento de Seguridad (o actualizarlo, en caso de que ya
exista), describiendo claramente los objetivos, alcance y nivel de los f-
cheros afectados, la organizacin de la proteccin de datos en la Entidad
y las medidas de seguridad a implementar.
Identifcar explcitamente los roles y responsabilidades de los usuarios
y los tcnicos en materia de proteccin de datos, ya se trate de personal
interno o de colaboradores externos.
Facilitar los recursos materiales, tcnicos y humanos necesarios para
la debida implantacin de las medidas de seguridad requeridas por el
RDLOPD.
Comunicar y dar formacin a todos los usuarios y tcnicos que acceden
a los datos de carcter personal de la Entidad.
El cumplimiento de la LOPD es responsabilidad de todos
El respeto a los principios de proteccin del honor, la intimidad y la
privacidad personal y familiar de los ciudadanos por las Entidades
Locales es de suma importancia.
Las consecuencias de su incumplimiento implican responsabilidades
para la Entidad y para el personal (interno o colaboradores externos)
que accede a los datos de carcter personal.
( 9
El marco legal en materia de proteccin de datos responde a la necesidad
de garantizar y proteger las libertades pblicas y los derechos fundamenta-
les de las personas fsicas, y especialmente su honor, intimidad y privacidad
personal y familiar. Se trata de evitar que los datos sean utilizados de forma
inadecuada o fraudulenta, o sean tratados o cedidos a terceros sin consen-
timiento inequvoco del titular.
A nivel europeo, la Directiva 95/46/CE del Parlamento Europeo y del
Consejo, de 24 de Octubre de 1995 constituye un texto de referencia en
materia de proteccin de datos personales. Crea un marco regulador desti-
nado a establecer un equilibrio entre un nivel elevado de proteccin de la vida
privada de las personas y la libre circulacin de datos personales dentro de
la unin Europea (uE). Fija lmites estrictos para la recogida y utilizacin de
los datos personales y solicita la creacin, en cada Estado miembro, de un
organismo nacional independiente encargado de la proteccin de los datos.
A nivel estatal, la Sentencia 292/2000, de 30 de Noviembre de 2000 del
Tribunal Constitucional seala que el derecho fundamental a la proteccin
de datos, a diferencia del derecho a la intimidad del art. 18.1 CE (con quien
comparte el objetivo de ofrecer una proteccin constitucional de la vida pri-
vada personal y familiar) atribuye a su titular el poder jurdico de imponer a
terceros la realizacin u omisin de determinados comportamientos cuya
concreta regulacin debe establecer la Ley. Esta Ley, conforme al art. 18.4
CE, debe limitar el uso de la informtica, bien desarrollando el derecho fun-
damental a la proteccin de datos (art. 81.1 CE), bien regulando su ejercicio
(art. 53.1 CE). La peculiaridad del derecho fundamental a la proteccin de
datos respecto del de la intimidad radica en su distinta funcin, lo que impli-
ca que tambin su objeto y contenido diferan:
La funcin del derecho fundamental a la intimidad del art. 18.1 CE es la de
proteger frente a cualquier invasin que pueda realizarse en el mbito de
la vida personal y familiar que la persona desea excluir del conocimiento
ajeno y de las intromisiones de terceros en contra de su voluntad (por
todas STC 144/1999, de 22 de julio, FJ 8).
Marco legal
2. Marco legal
10 )
En cambio, el derecho fundamental a la proteccin de datos persigue
garantizar a la persona un poder de control sobre sus datos perso-
nales, sobre su uso y destino, con el propsito de impedir su trfco
ilcito y lesivo para la dignidad y derecho del afectado.
En 1992 nace la Ley Orgnica 5/1992, de 29 de octubre, de Regula-
cin del Tratamiento Automatizado de los Datos de Carcter Personal
(LORTAD), que regula de forma especfca la materia de proteccin de
datos. Su mbito de aplicacin se circunscribe a los fcheros de carcter au-
tomatizado, estableciendo el derecho de informacin y acceso a los datos,
el derecho de rectifcacin y cancelacin, los principios relativos a la calidad
de los datos, a la informacin sobre su recogida, el consentimiento, la segu-
ridad y la cesin de los mismos. Esta norma sienta una serie de garantas
y derechos dentro de un marco normativo nacional.
En 1999 se aprueba la actual Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de Carcter Personal (LOPD), norma que deroga
la LORTAD y que tiene como fnalidad principal transponer a la normativa
nacional la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de
24 de Octubre de 1995, relativa a la proteccin de las personas fsicas en
lo que respecta al tratamiento de datos personales y a la libre circulacin de
esos datos.
Como principal novedad, la LOPD introduce en su mbito de aplicacin los
fcheros no automatizados o fcheros manuales
1
, centrando toda su protec-
cin en el tratamiento de datos de carcter personal sea cual sea el soporte
o medio de su tratamiento, con el fn de proteger los derechos fundamenta-
les y libertades pblicas de los ciudadanos.
Ficheros manuales o ficheros en papel.
Marco legal
( 11
Operativamente, la Ley se apoya en el Reglamento de Medidas de Segu-
ridad de los Ficheros Automatizados que contengan Datos de Carcter
Personal, aprobado por Real Decreto 994/1999 de 11 de junio y publicado
en el bOE de 25 de junio de 1999. El Reglamento constituye un instrumento
para facilitar los mecanismos prcticos de cumplimiento de las prescripcio-
nes establecidas en la LOPD, cuyo nuevo Reglamento de Desarrollo ha
sido aprobado por Real Decreto 1720/2007 de 21 de diciembre. Este
Reglamento, en vigor desde el 19 de abril de 2008, deroga al anterior, y
articula, entro otras, las siguientes novedades:
Se aplica tambin a los fcheros y tratamientos no automatizados (ma-
nuales) y se fjan criterios especfcos sobre las medidas de seguridad de
los mismos.
Se garantiza que las personas, antes de consentir que sus datos sean re-
cogidos y tratados, puedan tener un pleno conocimiento de la utilizacin
que se vaya a hacer de los mismos.
El interesado dispondr de un medio sencillo y gratuito para ejercitar sus
derechos de acceso, rectifcacin, cancelacin y oposicin, sin tener que
usar correo certifcado ni otros medios que supongan un gasto adicional.

Todos los datos derivados de la violencia de gnero pasan del nivel bsi-
co de seguridad a un nivel alto.
Marco legal
12 )
Calidad, secreto y seguridad de los datos, informacin en la
recogida y consentimiento del afectado son principios bsi-
cos dispuestos en los artculos 4, 5 y 6 de la LOPD
3.1. CALIDAD DE LOS DATOS
Se debe perseguir la calidad de los datos, de forma que se garantice el uso
adecuado de los mismos, sin que puedan ser utilizados para fnalidades
incompatibles con aquellas para las que hubieran sido recabados. Slo po-
drn ser recogidos para el cumplimiento de fnalidades determinadas, expl-
citas y legtimas. Se prohbe la recogida de datos por medios fraudulentos,
desleales o ilcitos.
Este principio de calidad garantiza adems que los datos sean exactos y es-
tn actualizados y que no se mantendrn indefnidamente sin justifcacin.
Los datos debern ser tratados de forma leal y lcita.
En el caso de que alguna obligacin legal establezca la necesidad de con-
servar los datos una vez concluida la fnalidad que motiv su recogida, el
responsable del fchero slo podr conservarlos previa disociacin de los
mismos, sin perjuicio de la obligacin de bloqueo prevista en la Ley Orgni-
ca 15/1999, de 13 de diciembre, y en el RDLOPD
2
.
El bloqueo de los datos consiste en la identificacin y reserva de los mismos con el fin de impedir su trata-
miento excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la
atencin de las posibles responsabilidades nacidas del tratamiento y slo durante el plazo de prescripcin
de dichas responsabilidades. Transcurrido ese plazo deber procederse a la supresin de los datos. (art.
5. b) RDLOPD)
Principios bsicos de la proteccin de datos de carcter personal
3.
Principios bsicos de la proteccin de
datos de carcter personal
( 13
3.2. INFORMACIN EN LA RECOGIDA DE DATOS
El afectado ser informado, en el momento en el que se recaben sus datos,
del alcance del tratamiento que se va a realizar. El art.5 LOPD establece lo
siguiente:
Los interesados a los que se soliciten datos personales debern ser
previamente informados de modo expreso, preciso e inequvoco:
a. De la existencia de un fichero o tratamiento de datos de carcter per-
sonal, de la finalidad de la recogida de stos y de los destinatarios
de la informacin.
b. Del carcter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
c. De las consecuencias de la obtencin de los datos o de la negativa
a suministrarlos.
d. De la posibilidad de ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin.
e. De la identidad y direccin del responsable del tratamiento o, en su
caso, de su representante.
Este principio de informacin se debe incorporar de manera legible en
formularios, cupones, cuestionarios o impresos, tanto automatizados
como manuales, en los que se proceda a la recogida de datos. Ade-
ms se incorporar en los contratos que se suscriban, con la fnalidad de
informar sobre el tratamiento que se va a realizar de los datos de clientes,
proveedores o personal laboral. Se incluirn de igual forma en los procesos
de convocatorias de oposiciones y licitaciones. hay que tener en cuenta
que el consentimiento se considera nulo en el caso de que en el contrato se
incorporen consentimientos no relacionados con la fnalidad principal que no
sean destacados de forma adecuada.
14 )
Este principio de informacin constituye un elemento estratgico y debe
existir siempre, aun cuando no quepa consentimiento. Prueba de su impor-
tancia est en la acreditacin del mismo recogida en el art. 18 del RDLOPD,
que establece lo siguiente:
El deber de informacin al que se refiere el artculo 5 de la Ley Orgnica
5/999, de 3 de diciembre, deber llevarse a cabo a travs de un
medio que permita acreditar su cumplimiento, debiendo conservarse
mientras persista el tratamiento de los datos del afectado.
3.3. CONSENTIMIENTO DEL AFECTADO
El consentimiento del afectado implica la manifestacin de voluntad, libre,
inequvoca, especfca e informada, mediante la que el interesado consiente
el tratamiento de sus datos personales.
Tal y como seala la Ley Orgnica 15/1999, de 13 de diciembre, de Protec-
cin de Datos de Carcter Personal, el consentimiento no ser preciso en
los siguientes casos:
Cuando los datos de carcter personal se recojan para el ejercicio de las
funciones propias de las Administraciones Pblicas en el mbito de
sus competencias.
Cuando se referan a las partes de un contrato o precontrato de una re-
lacin negocial, laboral o administrativa y sean necesarios para su man-
tenimiento o cumplimiento.
Cuando el tratamiento de los datos tenga por fnalidad proteger un inters
vital del interesado en los trminos del artculo 7 apartado 6 de la Ley.
Cuando los datos fguren en fuentes accesibles al pblico y su trata-
miento sea necesario para la satisfaccin del inters legtimo perseguido
por el responsable del fchero o por el del tercero a quien se comuniquen
( 15
los datos, siempre que no se vulneren los derechos y libertades funda-
mentales del interesado.
En los casos en los que no sea necesario el consentimiento del afectado
para el tratamiento de los datos de carcter personal, y siempre que una
Ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando
existan motivos fundados y legtimos relativos a una concreta situacin per-
sonal. En tal supuesto, el responsable del fchero excluir del tratamiento los
datos relativos al afectado.
3.4. DATOS ESPECIALMENTE PROTEGIDOS
Este principio hace referencia a datos de carcter personal que revelan la
ideologa, afliacin sindical, religin, creencias, origen racial, salud, vida
sexual y comisin de infracciones penales o administrativas.
3.5. SEGURIDAD DE LOS DATOS
Todas las empresas, organizaciones, asociaciones e instituciones, pblicas
y privadas, que almacenen, traten y accedan a fcheros de datos de carcter
personal, deben aplicar medidas de seguridad tcnicas y organizativas que
garanticen la confdencialidad, integridad y disponibilidad de la informacin.
3.6. DEBER DE SECRETO
Este principio recoge las obligaciones de secreto, confdencialidad y custo-
dia que incumben a todo el personal y, de manera particular, a aquellos que
en el desarrollo de sus funciones accedan a fcheros que contienen datos
personales.
3.7. COMUNICACIN DE DATOS
Se entiende por comunicacin de datos toda revelacin de datos realizada a
una persona distinta del afectado o interesado. Los datos de carcter perso-
16 )
nal objeto del tratamiento slo podrn ser comunicados a un tercero para el
cumplimiento de fnes directamente relacionados con las funciones legtimas
del cedente y del cesionario con el previo consentimiento del interesado.
3.8. ACCESO POR CUENTA DE TERCEROS
Supone la prestacin de un servicio al responsable del fchero por parte de
una tercera empresa denominada Encargado del Tratamiento, que accede
a los datos del fchero para el cumplimiento de la prestacin contratada, ac-
tuando en nombre, por cuenta y de acuerdo a las instrucciones establecidas
por el Responsable del Fichero.
( 17
4.1. PRINCIPALES AGENTES
3
Afectado / interesado: es la persona fsica titular de los datos que sern
objeto del tratamiento. En el caso que nos ocupa, los afectados seran los
ciudadanos cuyos datos estn siendo tratados por la Entidad Local.
Responsable de fchero o tratamiento: la Entidad local que decide so-
bre la fnalidad, contenido y uso del tratamiento se considera responsable
del fchero.
Encargado de tratamiento: persona fsica o jurdica, autoridad pblica,
servicio o cualquier otro organismo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del fchero (que en
este caso ser la Entidad Local).
Cesionario de datos: persona fsica o jurdica, pblica o privada u rga-
no administrativo, al que se revelen los datos.
Responsable de seguridad: persona/s a las que el responsable del
fchero ha asignado formalmente la funcin de coordinar y controlar las
medidas de seguridad aplicables.
Usuario: persona autorizada para acceder a datos o recursos.
4.2. ORGANISMOS IMPLICADOS
A nivel nacional, la Agencia Espaola de Proteccin de datos es el ente
encargado de velar por el cumplimiento de la normativa sobre la protec-
cin de datos. Adems, las comunidades autnomas de Madrid, Catalua
y el Pas vasco disponen a su vez de Agencias de mbito autonmica.
Las competencias de las agencias autonmicas versan sobre los fcheros
3 El Anexo II incluye un Glosario que profundiza en las definiciones de los agentes implicados y conceptos
referentes a la proteccin de datos.
4. Agentes y organismos implicados
Agentes y organismos implicados
4. Agentes y organismos implicados
18 )
de titularidad pblica creados o gestionados por la Comunidad Autnoma,
Entes que integran la Administracin Local de su mbito territorial, univer-
sidades Pblicas y Corporaciones de Derecho Pblico representativas de
intereses econmicos y profesionales de la misma.
4.2.1. AGENCIA ESPAOLA DE PROTECCIN DE DATOS
Es un Ente de Derecho pblico, con personalidad jurdica propia y plena
capacidad pblica y privada, que acta con plena independencia de las Ad-
ministraciones Pblicas en el ejercicio de sus funciones, que son las si-
guientes:
velar por el cumplimiento de la legislacin sobre proteccin de datos y
controlar su aplicacin, en especial en lo relativo a los derechos de infor-
macin, acceso, rectifcacin, oposicin y cancelacin de datos.
Emitir las autorizaciones previstas en la Ley o en sus disposiciones re-
glamentarias.
Dictar, en su caso y sin perjuicio de las competencias de otros rganos,
las instrucciones precisas para adecuar los tratamientos a los principios
de la presente Ley.
Atender las peticiones y reclamaciones formuladas por las personas afec-
tadas.
Proporcionar informacin a las personas acerca de sus derechos en ma-
teria de tratamiento de los datos de carcter personal.
Requerir a los responsables y los encargados de los tratamientos, previa
audiencia de stos, la adopcin de las medidas necesarias para la ade-
cuacin del tratamiento de datos a las disposiciones de esta Ley y, en
su caso, ordenar la cesacin de los tratamientos y la cancelacin de los
fcheros, cuando no se ajuste a sus disposiciones.
( 19
Ejercer la potestad sancionadora en los trminos previstos por el Ttulo
vII de la presente Ley.
Informar, con carcter preceptivo, los proyectos de disposiciones gene-
rales que desarrollen la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal.
Recabar de los responsables de los fcheros cuanta ayuda e informacin
estime necesaria para el desempeo de sus funciones.
velar por la publicidad de la existencia de los fcheros de datos con ca-
rcter personal, a cuyo efecto publicar peridicamente una relacin de
dichos fcheros con la informacin adicional que el Director de la Agencia
determine.
Redactar una memoria anual y remitirla al Ministerio de Justicia.
Ejercer el control y adoptar las autorizaciones que procedan en relacin
con los movimientos internacionales de datos, as como desempear las
funciones de cooperacin internacional en materia de proteccin de datos
personales.
velar por el cumplimiento de las disposiciones que la Ley de la Funcin
Estadstica Pblica establece respecto a la recogida de datos estadsticos y
al secreto estadstico, as como dictar las instrucciones precisas, dictaminar
sobre las condiciones de seguridad de los fcheros constituidos con fnes ex-
clusivamente estadsticos y ejercer la potestad a la que se refere el artculo
46 de la Ley respecto de las infracciones de las Administraciones Pblicas.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Agencia Espaola de Proteccin de Datos
www.agpd.es
20 )
4.2.2. AGENCIA CATALANA DE PROTECCIN DE DATOS
Tiene, respecto de su mbito de actuacin, las competencias de registro,
control, inspeccin, sancin y resolucin, y tambin la adopcin de propues-
tas e instrucciones. Estas competencias se concretan en las funciones si-
guientes:
velar por el cumplimiento de la legislacin vigente sobre proteccin de da-
tos de carcter personal y controlar su aplicacin, especialmente aquello
que hace referencia a los derechos de informacin, acceso, rectifcacin,
cancelacin y oposicin.
velar por el cumplimiento de las disposiciones que la Ley de Estadstica
de Catalua dispone con respecto a la recogida de datos estadsticos y al
secreto estadstico, y adoptar las medidas correspondientes para garan-
tizar las condiciones de seguridad de los fcheros constituidos con fnali-
dades exclusivamente estadsticas, salvo aquello que hace referencia a
las transferencias internacionales de datos. A estos efectos, la Agencia,
dentro de su mbito de competencias, puede adoptar instrucciones y re-
soluciones dirigidas en los rganos administrativos y solicitar la colabora-
cin del Instituto de Estadstica de Catalua.
Dictar, sin perjuicio de competencias de otros rganos, las instrucciones
necesarias para adecuar los tratamientos personales a los principios de
la legislacin en materia de proteccin de datos de carcter personal.
Requerir a los responsables y a los encargados del tratamiento la adop-
cin de las medidas necesarias para la adecuacin del tratamiento de da-
tos personales objeto de investigacin a la legislacin vigente en materia
de proteccin de datos de carcter personal y, si ocurre, ordenar el cese
de los tratamientos y la cancelacin de los fcheros, excepto lo que hace
referencia a las transferencias internacionales de datos.
( 21
Proporcionar informacin sobre los derechos de las personas en materia
de tratamiento de datos personales.
Agencia Catalana de Proteccin de Datos
www.apdcat.net

4.2.3. AGENCIA DE PROTECCIN DE DATOS DE LA COMuNIDAD DE
MADRID
Tiene como fnalidad garantizar y proteger los derechos fundamentales de
las personas fsicas respecto al honor e intimidad familiar y personal, en lo
relativo al tratamiento de sus datos personales.
Las funciones de la Agencia se detallan a continuacin:
velar por el cumplimiento de la legislacin en materia de proteccin de
datos y controlar su aplicacin.
Ejercer labores informativas, encaminadas a facilitar a las personas el
conocimiento de sus derechos en materia de proteccin de datos.
Dar trmite a las peticiones y reclamaciones formuladas por los ciudada-
nos en el ejercicio de sus derechos de acceso, rectifcacin, cancelacin
y oposicin en relacin con los fcheros sobre los que la Agencia Auton-
mica de la Comunidad de Madrid tiene atribuidas competencias.
Dictar, en su caso, las instrucciones que sean necesarias para adaptar los
tratamientos de datos de carcter personal a los principios de la normati-
va aplicable en materia de proteccin de datos.
Adoptar las medidas que resulten de aplicacin, para que los responsa-
bles de los fcheros adapten los tratamientos de datos de carcter perso-
nal a la normativa vigente en materia de proteccin de datos.
22 )
Ordenar la inmovilizacin de los fcheros que no se ajusten a las disposi-
ciones legales en materia de proteccin de datos.
Agencia de Proteccin de Datos de la Comunidad de Madrid
www.madrid.org/apdcm
4.2.4. AGENCIA vASCA DE PROTECCIN DE DATOS
Tiene la consideracin de autoridad de control, y la ley le garantiza la plena
independencia y objetividad en el ejercicio de sus funciones.
Las funciones principales de la Agencia se detallan a continuacin:
velar por el cumplimiento de la legislacin sobre proteccin de datos y
controlar su aplicacin, en especial en lo relativo a los derechos de infor-
macin, acceso, rectifcacin, oposicin y cancelacin de datos.
Dictar, en su caso, y sin perjuicio de las competencias de otros rganos,
las instrucciones precisas para adecuar los tratamientos a los principios
de la legislacin vigente en materia de proteccin de datos.
Atender las peticiones y reclamaciones formuladas por los afectados.
Proporcionar informacin a las personas acerca de sus derechos en ma-
teria de tratamiento de los datos de carcter personal.
Requerir a los responsables y a los encargados de los tratamientos,
previa audiencia de stos, la adopcin de las medidas necesarias para
la adecuacin del tratamiento de datos a la legislacin en vigor y, en su
caso, ordenar la cesacin de los tratamientos y la cancelacin de los f-
cheros cuando no se ajuste a dicha legislacin, salvo en la que se refera
a transferencias internacionales de datos.
( 23
Ejercer la potestad sancionadora y, en su caso, proponer la iniciacin de
procedimientos disciplinarios contra quienes estime responsables de las
infracciones tipifcadas en el artculo 22 de la ley, as como adoptar las
medidas cautelares que procedan, salvo en lo que se refera a las trans-
ferencias internacionales de datos. Todo ello en los trminos previstos
en la ley.
velar por la publicidad de la existencia de los fcheros de datos con carc-
ter personal, a cuyo efecto publicar anualmente una relacin de dichos
fcheros con la informacin adicional que el director de la Agencia vasca
de Proteccin de Datos determine.
velar por el cumplimiento de las disposiciones que la legislacin sobre
la funcin estadstica pblica establece respecto a la recogida de da-
tos estadsticos y al secreto estadstico, as como dictar las instrucciones
precisas, dictaminar sobre las condiciones de seguridad de los fcheros
constituidos con fnes exclusivamente estadsticos y ejercer la potestad a
la que se refere el artculo 24.
Colaborar con la Agencia de Proteccin de Datos del Estado y entidades
similares de otras comunidades autnomas en cuantas actividades sean
necesarias para una mejor proteccin de la seguridad de los fcheros de
datos de carcter personal y de los derechos de los ciudadanos en rela-
cin con los mismos.
Atender a las consultas que en materia de proteccin de datos de ca-
rcter personal le formulen las Administraciones Pblicas, instituciones y
corporaciones a que se refere el artculo 2.1 de esta ley, as como otras
personas fsicas o jurdicas, en relacin con los tratamientos de datos de
carcter personal incluidos en el mbito de aplicacin de la ley.
Agencia vasca de Proteccin de Datos
www.avpd.euskadi.net
24 )
Los fcheros de datos de carcter personal en soporte informtico no pre-
sentan grandes dudas, puesto que para su creacin se exige, con carcter
previo, la grabacin, depuracin y estructuracin del conjunto de datos que
forman parte del fchero.
En cuanto a los fcheros manuales, para poder determinar que los datos
registrados son susceptibles de tratamiento, y en consecuencia, se encuen-
tren incluidos en el mbito de aplicacin de la LOPD, hay que atender a los
siguientes requisitos:
Que el tratamiento se refera a datos de carcter personal comprendidos
en un fchero en soporte no automatizado.
Que dichos datos se encuentren estructurados u ordenados conforme a
criterios especfcos relativos a personas fsicas, que permitan acceder sin
esfuerzos desproporcionados a sus datos personales, ya sea aqul centra-
lizado, descentralizado o repartido de forma funcional o geogrfca.
Qu fcheros se regirn por sus disposiciones especfcas
y por la LOPD?
Los fcheros regulados por la legislacin de rgimen electoral.
Los que sirvan a fnes exclusivamente estadsticos, y estn am-
parados por la legislacin estatal o autonmica sobre la funcin
estadstica pblica.
Los que tengan por objeto el almacenamiento de los datos conte-
nidos en los informes personales de califcacin a que se refere
la legislacin del rgimen del personal de las fuerzas armadas.
Los derivados del Registro Civil y del Registro Central de Penados
y Rebeldes.
Los procedentes de imgenes y sonidos obtenidos mediante la
utilizacin de videocmaras por las Fuerzas y Cuerpos de Segu-
ridad, de conformidad con la legislacin sobre la materia.
5. Ficheros incluidos en el mbito de
aplicacin de la LOPD
Ficheros incluidos en el mbito de aplicacin de la LOPD
( 25
Qu fcheros quedan exentos de la aplicacin de la LOPD?
Los fcheros mantenidos por personas fsicas en el ejercicio de
actividades exclusivamente personales o domsticas.
Los fcheros sometidos a la normativa sobre proteccin de mate-
rias clasifcadas.
Los fcheros establecidos para la investigacin del terrorismo y
de formas graves de delincuencia organizada. No obstante, en
estos supuestos el responsable del fchero comunicar previa-
mente la existencia del mismo, sus caractersticas generales y su
fnalidad a la Agencia Espaola de Proteccin de Datos.
Ficheros incluidos en el mbito de aplicacin de la LOPD
26 )
Las obligaciones que establece la LOPD son de aplicacin a todas las EELL,
independientemente de su tamao, siempre que almacenen y traten datos
de carcter personal en sus sistemas de informacin.
Esas obligaciones se concretan en unos principios de cumplimiento bsico
que integran las fases de implantacin, que son:
Adaptacin de los fcheros.
Legitimacin de datos de carcter personal.
Proteccin: polticas de seguridad de los datos.
Fases de implantacin de la LOPD en EELL
6. Fases de implantacin de la LOPD
Fases de implantacin de la LOPD
( 27
En el ejercicio de sus competencias, las EELL realizan una serie de funcio-
nes o actividades que generan la recogida y el tratamiento de datos perso-
nales, en fcheros automatizados y no automatizados, relativos a diferentes
colectivos: ciudadanos, empleados, etc.
Almacenamiento de datos personales en EELL
Una Entidad Local est obligada a notifcar la creacin de los fcheros
para su inscripcin ante el Registro General de Proteccin de Datos
4

(Art. 55 RDLOPD: Notifcacin de fcheros) siempre que se encuentren den-
tro del alcance de aplicacin del RDLOPD, independientemente de la es-
tructura de las bases de datos utilizadas.
rgano de la AEPD al que corresponde velar por la publicidad de los ficheros y tratamientos de datos
de carcter personal, con miras a hacer posible el ejercicio de los derechos de informacin, acceso, recti-
ficacin y cancelacin de datos.
7. Fase I: Adaptacin de los fcheros
Fase I: Adaptacin de los fcheros
28 )
El plazo de inscripcin de los fcheros es de 30 das desde la publicacin en
el boletn Ofcial del Estado o Diario Ofcial del acuerdo de creacin, modif-
cacin, o supresin del fchero por el organismo pblico correspondiente.
Las Agencias Autonmicas sern de referencia para todas aquellas EELL
de la autonoma correspondiente; es decir, cada Entidad deber declarar
los fcheros con datos de carcter personal a su correspondiente Agencia
autonmica, en su caso. una vez realizada la declaracin, la Agencia auto-
nmica inscribir de ofcio los fcheros ante la AEPD, con el fn de velar por
la publicidad y calidad del Registro General de Proteccin de Datos.
El proceso de inscripcin ante la AEPD incluye las fases siguientes, que se
analizarn en detalle en los siguientes epgrafes:
Identifcar e inventariar los fcheros.
Formalizar el trmite de disposiciones pblicas.
Cumplimentar el formulario para la declaracin de fcheros.
7.1. IDENTIFICACIN E INVENTARIO DE FIChEROS
La primera tarea que deben llevar a cabo las EELL es la identifcacin de
los colectivos cuyos datos estn siendo tratados por la Entidad. A ttulo de
ejemplo, estos colectivos pueden ser:
Ciudadanos.
Empleados.
Personas afectadas por actividades de gestin de manera indirecta, mul-
tas o trmites especfcos de carcter puntual.
( 29
De estos colectivos, se obtiene informacin de diferente naturaleza: datos
identifcativos (nombre, direccin...), datos fscales (bancarios, AEAT,),
datos comerciales o aquellos datos relativos a afliacin sindical.
Identifcados los colectivos sobre los que la EELL recabar informacin, se
debe localizar dnde se encuentran los datos, teniendo en cuenta que la
informacin puede ser almacenada en fcheros automatizados, no automa-
tizados o manuales, y mixtos.
hecho esto, se defnir cada fchero de manera clara y ordenada, recogien-
do todos aquellos datos que se obtienen de cada colectivo, (identifcativos,
fscales, etc.), para continuar con el proceso de declaracin.
7.2. FORMALIzACIN DEL TRMITE DE DISPOSICIONES PBLICAS
La Ley obliga a todas las EELL, independientemente de su tamao y perso-
nalidad jurdica, a la inscripcin de los fcheros de carcter personal ante el
Registro General de Proteccin de Datos.
En el caso de aquellos organismos de titularidad pblica, la Ley puntualiza
que la notifcacin de los fcheros ante el Registro General de Proteccin de
Datos slo podr hacerse previa disposicin general, publicada en el bole-
tn Ofcial o Diario Ofcial, ya sea del Estado o de la Comunidad Autnoma
correspondiente.
una buena prctica, cuando sea viable, es elaborar un proyecto
de ordenanza que refeje la creacin, modifcacin o supresin de
fcheros de carcter personal.
30 )
El proyecto constar de dos partes:
El desarrollo de la ordenanza propiamente dicha, donde se explique de
manera clara la fnalidad de la publicacin y las medidas de seguridad a
adoptar respecto a los fcheros de datos personales.
Anexos por cada fchero de carcter personal que deba crear el organis-
mo, detallando la siguiente informacin obligatoria:
La identifcacin del fchero o tratamiento, indicando su denomi-
nacin, la descripcin de su fnalidad y los usos previstos.
El origen de los datos, indicando el colectivo de personas sobre los
que se pretende obtener datos de carcter personal o que resulten
obligados a suministrarlos, el procedimiento de recogida de los da-
tos y su procedencia.
La estructura bsica del fchero mediante la descripcin detallada
de los datos identifcativos y, en su caso, de los datos especialmente
protegidos, as como de las restantes categoras de datos de ca-
rcter personal incluidas en el mismo y el sistema de tratamiento
utilizado en su organizacin.
Las comunicaciones de datos previstas, indicando, en su caso,
los destinatarios o categoras de destinatarios.
Las transferencias internacionales de datos previstas a terceros
pases, con indicacin, en su caso, de los pases de destino de los
datos.
Los rganos responsables del fchero.
Los servicios o unidades ante los que pudiesen ejercitarse los dere-
chos de acceso, rectifcacin, cancelacin y oposicin.
El nivel bsico, medio o alto de seguridad que resulte exigible, de
acuerdo con lo establecido en el ttulo vIII del RDLOPD.
( 31
Se publicar en el boletn Ofcial del Estado o Diario Ofcial, para formalizar
el trmite de disposiciones pblicas exigido por la Agencia de Proteccin de
Datos.
La inscripcin de fcheros deber encontrarse actualizada en todo momento.
As, cualquier modifcacin que afecte al contenido de la inscripcin de un
fchero deber ser previamente notifcada a la Agencia Espaola de Protec-
cin de Datos o a las autoridades de control autonmicas competentes, a fn
de proceder a su inscripcin en el registro correspondiente, conforme a lo
dispuesto en el artculo 55 del RDLOPD.
Tratndose de fcheros de titularidad pblica, cuando se pretenda la supre-
sin del fchero o la modifcacin que afecte a alguno de los requisitos pre-
vistos en el artculo 55, deber haberse adoptado, con carcter previo a la
notifcacin, la correspondiente norma o acuerdo en los trminos previstos
en los artculos 52 a 54 del captulo I del Ttulo v del RDLOPD.
De otro lado, una de las novedades del RDLOPD es el sistema de tratamien-
to de datos. En este sentido, se establece en el Reglamento de Desarrollo
de la LOPD que la notifcacin de un fchero de datos de carcter personal
es independiente del sistema de tratamiento empleado en su organizacin
y del soporte/s empleados para el tratamiento de los datos. As, cuando los
datos de carcter personal objeto de un tratamiento estn almacenados en
diferentes soportes, automatizados y no automatizados o exista una copia
en soporte no automatizado de un fchero automatizado slo ser precisa
una sola notifcacin.
32 )
Ejemplo de Disposicin Pblica a elaborar por las EELL
Ordenanza aprobada por el Pleno de la Corporacin Municipal, sesin celebrada el
da . de . de .
Por la parte que se aprueba la creacin (modificacin o supresin) de los ficheros de
datos de carcter personal del Ayuntamiento de
Primero: Creacin de ficheros (Modificacin o Supresin).
Se crean en este Ayuntamientos los ficheros de datos de carcter personal sealados
en el Anexo I.
Segundo: Medidas de seguridad.
Los ficheros, independientemente del soporte en que se encuentren, que por la pre-
sente Ordenanza se crean, cumplen las medidas de seguridad establecidas en el RD
70/007 de de Diciembre, por el que se aprueba el Reglamento de Medidas de
Seguridad de los ficheros que contengan datos de carcter personal. (En caso de su-
presin de ficheros: motivo de la supresin, destino de los mismos y, en su caso, des-
truccin)
Tercero: Publicacin.
De conformidad con se ordena que la presente Ordenanza sea publicada en el Bo-
letn Oficial de
Cuarto: Entrada en vigor.
La presente ordenanza entrar en vigor al da siguiente de su publicacin en el Boletn
Oficial de
ANEXO I
Fichero: (Nombre Fichero)
. Identificacin del fichero o tratamiento, indicando su denominacin, finalidad y usos
previstos.
. Origen de los datos, indicando el colectivo de personas sobre los que se pretende
obtener datos de carcter personal o que resulten obligados a suministrarlos, el proce-
dimiento de recogida de los datos y su procedencia.
3. Estructura bsica del fichero, con descripcin detallada de los datos identificativos,
y en su caso, de los datos especialmente protegidos, as como de las restantes cate-
goras de datos de carcter personal incluidas en el mismo y el sistema de tratamiento
utilizado en su organizacin. Atendiendo al sistema de tratamiento, los sistemas de infor-
macin podrn ser automatizados, no automatizados o parcialmente automatizados.
. Comunicaciones de datos previstas, indicando, en su caso, los destinatarios o cate-
goras de destinatarios.
5. Transferencias internacionales de datos previstas, con indicacin, en su caso, de los
pases de destino de los datos.
6. rganos responsables del fichero.
7. Servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rec-
tificacin, cancelacin y oposicin.
8. El nivel bsico, medio o alto de seguridad que resulte exigible, de acuerdo con lo
establecido en el ttulo VIII del RDLOPD.
ANEXO n (un anexo para cada fichero)
( 33
7.3. FORMULARIO PARA LA DECLARACIN DE FIChEROS
La Entidad, mediante disposicin pblica, habr notifcado en el boletn Of-
cial correspondiente o Diario Ofcial la creacin, modifcacin, y cancelacin
de fcheros de carcter personal, trmite exigido por Ley a todos aquellos
organismos de titularidad pblica
5
con carcter previo a la declaracin del
fchero mediante el formulario NOTA
En este sentido, el RDLOPD establece en su artculo 54.1.c lo siguiente,
refrindose a la declaracin de un fchero pblico:
La disposicin o acuerdo de creacin del fichero deber contener
entre otros extremos: la estructura bsica del fichero mediante la
descripcin detallada de los datos identificativos, y en su caso, de
los datos especialmente protegidos, as como de las restantes ca-
tegoras de datos de carcter personal incluidas en el mismo y el
sistema de tratamiento utilizado en su organizacin.
En este sentido se entiende por sistema de tratamiento el modo en que
se organiza o utiliza un sistema de informacin. Atendiendo al sistema de
tratamiento, los sistemas de informacin podrn ser automatizados, no au-
tomatizados o parcialmente automatizados.
El formulario NOTA es el sistema de Notifcaciones Telemticas a la
Agencia Espaola de Proteccin de Datos que permite a los responsa-
bles de fcheros con datos de carcter personal cumplir con la obligacin de
notifcar sus fcheros ante la Agencia Espaola de Proteccin de Datos.
5 Como seala el art. 55. del RDLOPD: Todo fichero de datos de carcter personal de titularidad
pblica ser notificado a la Agencia Espaola de Proteccin de Datos por el rgano competente de la
Administracin responsable del fichero para su inscripcin en el Registro General de Proteccin de
Datos, en el plazo de treinta das desde la publicacin de su norma o acuerdo de creacin en el diario
oficial correspondiente.
34 )
Es una herramienta fcil e intuitiva que ayuda a los responsables de fcheros
en el proceso de notifcacin
6
.
Obtencin del formulario NOTA a travs de www.agpd.es
El formulario electrnico NOTA consta de dos partes:
Formulario de notifcacin de fcheros, en el que se facilitan datos del
tipo: responsable del fchero, origen y fnalidad de los datos tratados, nivel
de seguridad aplicable al fchero, boletn Ofcial o Diario de la Provincia
en el que se realiz el trmite de disposicin pblica, etc.
6 El artculo 30.3 del RDLOPD establece que: La notificacin se efectuar en soporte electrnico,
ya mediante comunicacin electrnica a travs de Internet mediante firma electrnica o en soporte
informtico, utilizando al efecto el programa de ayuda para la generacin de notificaciones que la
Agencia pondr a disposicin de los interesados de forma gratuita. Ser igualmente vlida la notifica-
cin efectuada en soporte papel cuando para su cumplimentacin hayan sido utilizados los modelos
o formularios publicados por la Agencia
( 35
Formulario hoja de solicitud, que recoge nicamente los datos del res-
ponsable, o persona con capacidad legal que efecta la notifcacin de
los fcheros ante el Registro General de Proteccin de Datos.
Ambas partes ofrecen el mismo aspecto visual de un formulario en soporte
papel pero en formato electrnico PDF y pueden ser cumplimentados desde
el sitio web de la AEPD o archivar el documento en el equipo y cumplimen-
tarlo mediante un programa de lectura del formato PDF.
Como primer paso se ha de rellenar el formulario de Notifcacin, que
permite optar por dos modelos de declaracin:
Declaracin tipo: mediante esta opcin del formulario electrnico, se
pueden declarar fcheros de titularidad pblica de forma rpida y simpli-
fcada, ya que la notifcacin est precumplimentada parcialmente para
fcheros relacionados con la gestin de los de recursos humanos, gestin
del padrn, gestin econmica o control de acceso. Si el responsable
considera que la declaracin tipo no se ajusta parcialmente a los reque-
rimientos propios de la Entidad en cuestin, puede realizar algunos cam-
bios aadiendo datos especfcos.
Declaracin normal: en el caso de que la declaracin tipo no se adapte
al fchero que el responsable pretende notifcar, deber optar por este
formato de declaracin, donde se presenta un formulario vaco.
Realizados los apartados de la notifcacin, se recomienda guardar los cam-
bios efectuados antes de pasar a la siguiente fase: cumplimentar la hoja de
Solicitud que nos facilita el sistema.
El sistema de NOTA se puede presentar ante el registro a travs de los si-
guientes medios: Internet, con y sin frma electrnica, y formulario impreso
en papel. A continuacin se describen estos medios por la diferente casus-
tica que encierra cada uno de ellos:
36 )
Internet con certifcado: la Agencia Espaola de Proteccin de Datos
pone a disposicin de los responsables la notifcacin de los fcheros a
travs de Internet con una frma electrnica
7
.
Cumplimentada la Notifcacin y la hoja de Solicitud por parte del respon-
sable, o persona con representacin sufciente para el tratamiento del f-
chero, ser necesario proceder a la frma electrnica del formulario NOTA
para su envo.
una vez frmado, se enviar automticamente al Registro Telemtico de
la Agencia Espaola de Proteccin de Datos, creado mediante Resolu-
cin de la Agencia de 12 de julio de 2006, para la remisin de solicitudes,
escritos, y comunicaciones por medios telemticos con certifcado de fr-
ma electrnica reconocido.
Recibido el formulario NOTA en el Registro Telemtico, se emitir por el
mismo medio un mensaje de confrmacin de la solicitud, en el que cons-
tarn los datos proporcionados por el interesado, junto con la acreditacin
de la fecha y hora en que se produjo la recepcin y una clave de identif-
cacin de la transmisin.
La no recepcin del mensaje de confrmacin, o en su caso, la recepcin
de un mensaje de indicacin de error implica la no recepcin efectiva del
mismo. En este caso, deber realizarse la presentacin en otro momento
o a travs de otros medios.
Internet sin certifcado: la notifcacin de los fcheros podr realizarse a
travs de Internet, aunque el responsable del fchero no disponga de un
certifcado de frma electrnica.
7 La firma electrnica asocia la identidad de una persona o de un equipo informtico al mensaje o docu-
mento que se enva, basndose en un mtodo criptogrfico para cifrar y descifrar informacin utilizando
tcnicas que hacen posible el intercambio de mensajes de manera segura y que las comunicaciones slo
puedan ser ledos por las personas a quienes van dirigidas.
( 37
Para ello, una vez cumplimentada la Notifcacin y la hoja de solicitud de
forma correcta, se deber enviar nicamente la Notifcacin electrnica-
mente pulsando el botn Generar/Enviar que se encuentra en la hoja
de solicitud.
El formulario indicar que se est conectando con el servidor de la Agen-
cia Espaola de Proteccin de Datos y, acto seguido, enviar una nueva
hoja de Solicitud (en formato PDF) que confrma que la Notifcacin ha
sido enviada correctamente.
Dicha hoja de solicitud, cumplimentada y frmada por la persona que
efecta la notifcacin, es la que deber remitirse a la AEPD: Agencia
Espaola de Proteccin de Datos, C/ Jorge Juan N6, 28001- Madrid.
No se considerar recibida la Notifcacin efectuada por Internet hasta
que tenga entrada en la Agencia Espaola de Proteccin de Datos la hoja
de Solicitud debidamente cumplimentada y frmada de forma manual por
el responsable del fchero.
Formulario en papel: Los responsables que no dispongan de los medios
necesarios para la notifcacin de fcheros a travs de Internet podrn
presentar el formulario electrnico cumplimentado en soporte papel. Para
ello, se ha de cumplimentar tanto el formulario Notifcacin de fcheros
como la hoja de Solicitud de forma correcta.
Cubierto el formulario, el responsable deber imprimir la Notifcacin y la
hoja de Solicitud en un formato de seguridad, facilitado por la Agencia,
donde se genera y fgurar un cdigo de barras bidimensional (nube de
puntos).
Firmada la hoja de Solicitud por la persona que, con representacin su-
fciente, formula la notifcacin de los fcheros de datos personales, ste
presentar conjuntamente el formulario de Notifcacin de fcheros y la
hoja de Solicitud ante la Agencia Espaola de Proteccin de Datos me-
diante correo ordinario o presencialmente.
38 )
Cdigo de barras bidimensional (www.agpd.es)
( 39
En el tratamiento de datos personales necesarios para el ejercicio de las
competencias de las EELL, estas deben atender una serie de obligaciones,
a las que se aluda en la exposicin de los principios bsicos de la protec-
cin de datos:
Informar al afectado con carcter previo al tratamiento de los datos de
carcter personal.
Recoger los datos imprescindibles para el ejercicio de las competencias
de la Entidad Local.
Facilitar a los ciudadanos el ejercicio de los derechos de Acceso, Rectif-
cacin, Cancelacin y Oposicin.Se analiza a continuacin las implicacio-
nes para la Entidad de cada una de estas obligaciones.
8.1. DEBER DE INFORMACIN PREVIO AL TRATAMIENTO DE LOS
DATOS DE CARCTER PERSONAL
El deber de informacin previo al tratamiento de datos personales forma
parte de los principios bsicos de proteccin de datos, y se constituye como
un deber prestacional previo del responsable de fchero. Del cumplimiento
de este deber depende, de modo esencial, la efcacia del derecho funda-
mental a la proteccin de datos.
Es obligacin de los Organismos Pblicos que van a registrar y tratar datos
de carcter personal informar al interesado de forma previa, expresa,
precisa e inequvoca, a travs del medio que se utilice para la recogida de
los mismos. La informacin debe incluir los siguientes puntos:
La existencia de un fchero o tratamiento de datos de carcter personal,
la fnalidad de la recogida de stos y los destinatarios de la informacin.
El carcter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
Fase II: Legitimacin de datos de carcter personal
8.
Fase II: Legitimacin de datos de carcter
personal
40 )
Las consecuencias de la obtencin de los datos o de la negativa a su-
ministrarlos.
La posibilidad de ejercitar los derechos de acceso, rectifcacin, cance-
lacin y oposicin.
La identidad y direccin del responsable del tratamiento o, en su caso,
de su representante
8
.
Propuesta de modelo para la recogida de informacin
Los datos personales recogidos sern incorporados y tratados en el fichero (indicar
nombre), cuya finalidad es (describir), inscrito en el Registro General de Proteccin de
Datos, y podrn ser cedidos a (indicar). El rgano responsable del fichero es (indicar),
y la direccin donde el interesado podr ejercer los derechos de acceso, rectificacin,
cancelacin y oposicin, junto con la documentacin acreditativa de la identidad, es
(indicar), todo lo cual se informa en cumplimiento del Articulo 5 de la Ley Orgnica
5/999, de 3 de diciembre, de Proteccin de Datos de Carcter Personal.
Se debe incorporar la clusula en todos los formularios de recogida de datos
personales, independientemente del formato del mismo (en papel o a travs
de pginas web).
Debe utilizarse algn medio que asegure, sin lugar a dudas, que el intere-
sado ha ledo el texto y otorga su consentimiento. En el caso de recoger
los datos mediante una pgina web, se suele obligar a marcar una casilla
situada al lado del texto.
8 Cuando los datos de carcter personal no hayan sido recabados directamente por la EELL que realiza su
tratamiento, el interesado deber ser informado, en un plazo de tres meses, de forma expresa, precisa e
inequvoca de la procedencia de los datos recogidos, as como de la finalidad de la recogida, de la identi-
dad y direccin del responsable y de la posibilidad de ejercicio de los derechos A.R.C.O
( 41
Ejemplo de formulario en pgina web
En el caso de ser un formulario en papel, basta la indicacin del consenti-
miento en la frma del documento.
42 )
Ejemplo de formulario impreso (www.agpd.es)
8.2. OTROS ASPECTOS RELEVANTES PARA LA LEGITIMACIN DE
LOS DATOS
Los impresos de solicitud de informacin deben contener exclusivamente
los campos necesarios para llevar a cabo la fnalidad especfca. Los datos
personales deben estar permanentemente actualizados y se debern
cancelar cuando se queden obsoletos.
En el formulario de recogida de datos debe especifcarse qu datos son obli-
gatorios para llevar a cabo la fnalidad correspondiente, y cules son de ca-
rcter voluntario, y por tanto no imprescindibles para el objetivo especfco.
No se requerir el consentimiento del interesado respecto de los datos
que recabe la EELL para el ejercicio de sus competencias, esto es, para el
desempeo de sus actividades como Administracin municipal. As, la utili-
zacin de los datos del Padrn por los distintos servicios municipales ser
posible siempre que se utilicen para actos dictados en ejercicio de las com-
( 43
petencias municipales y que su utilizacin sea exclusivamente de los datos
identifcativos de la persona y los datos del domicilio, siempre y cuando este
ltimo sea relevante para el ejercicio de la competencia.
Por un lado, se podrn ceder los datos del padrn a otras Administraciones
Pblicas o miembros de la corporacin poltica que lo soliciten, sin consenti-
miento previo del afectado, solamente cuando sean necesarios para el ejerci-
cio de sus respectivas competencias, y exclusivamente para asuntos en los
que la residencia o el domicilio sean datos relevantes (por ejemplo, para enviar
una carta personalizada por necesidades de informacin: informacin cultural
de la Entidad Local, actividades sociales, aparcamientos de residentes, etc.).
Por el contrario s ser necesario el consentimiento del afectado para tratar
datos personales en el mbito de otras actividades complementarias que
no forman parte de las competencias en sentido estricto (por ejemplo, el
tratamiento de datos personales necesario para la gestin de actividades
voluntarias o extraprestacionales como felicitar a los ciudadanos por su ono-
mstica o en Navidad).
Para el supuesto en el que los responsables de fcheros necesiten realizar
un tratamiento de datos considerados especialmente protegidos (aflia-
cin sindical, religin o creencias), se requerir autorizacin expresa y por
escrito por parte del interesado.
Otros datos especialmente protegidos, como los datos de salud, vida sexual
u origen racial o etnia, necesitarn el consentimiento del interesado cuando
no exista una ley que posibilite su recogida. En el caso de los datos de salud
hay que considerar como datos personales los referentes a salud pasada,
presente y futura, fsica o mental de un individuo. Se consideran datos de
salud los referidos a porcentaje de discapacidad o su informacin gentica.
En este sentido hay una excepcin: estos datos podrn ser tratados sin
consentimiento cuando resulten necesarios para la prevencin o el diagns-
tico mdico, la prestacin de asistencia sanitaria o la gestin de servicios
44 )
sanitarios, siempre que este tratamiento lo realice un profesional sujeto a
secreto profesional.
Cabe destacar que todos aquellos datos que vayan a ser cedidos a otros
Organismos Pblicos, salvo que la Ley disponga lo contrario (ej. contrato
negocial, datos pblicos por inters legitimo, etc.), han de tener la autori-
zacin pertinente, tal y como determina el artculo 6.1 de la LOPD. No ser
preciso dicho consentimiento para recoger datos personales si as viene
establecido en una ley, o cuando se recojan en el ejercicio de las funciones
propias de las Administraciones Pblicas en el mbito de sus competencias,
por ejemplo los casos de la Agencia Estatal de Administracin Tributaria y
los datos solicitados por Jueces, Ministerio Fiscal, Tribunales, etc.
Por otro lado, tambin es una obligacin el secreto profesional, en virtud
del cual los datos personales no han de ser revelados. Por ello, el profe-
sional del tratamiento de los datos deber difundir a todos aquellos que no
sean funcionarios y que participan en el tratamiento, parcial o total, las con-
secuencias del incumplimiento de sus obligaciones.
El apartado tercero del artculo 123 del RDLOPD, seala que la obligacin
de secreto se extiende a las informaciones que los funcionarios conozcan
en el ejercicio de las funciones de inspeccin, incluso despus de haber
cesado en las mismas.
8.3. DEREChOS DE ACCESO, RECTIFICACIN, CANCELACIN y
OPOSICIN (ARCO)
Todo ciudadano tiene una serie de derechos en relacin a los datos perso-
nales que se almacenan o tratan por parte de las distintas EELL, que, a su
vez, tienen la obligacin legal de facilitar su ejercicio.
Estos derechos conocidos como ARCO (Acceso, Rectifcacin, Cancelacin
y Oposicin) slo pueden ser ejercidos por el interesado ante el responsable
del fchero, excepto en los casos en que el interesado es menor de edad o
( 45
posee algn tipo de incapacidad, en cuyo caso puede actuar mediante repre-
sentante legal.
Cada responsable de fchero debe facilitar una forma de contacto gratuita y
concreta, como puede ser la direccin postal. Adicionalmente, los Organis-
mos pblicos tienen la obligacin de poner a disposicin de los ciudadanos
aquellos medios telemticos necesarios para facilitar la vida de los mismos
por los siguientes canales de comunicacin:
Registro electrnico, para recibir a travs de correo electrnico todo tipo
de solicitudes, escritos y comunicaciones dirigidos a la Administracin.
Atencin telefnica que posibilite, dentro de unos criterios de seguridad,
recibir las solicitudes o comunicados de una manera directa y personal.
Realizado el contacto con el interesado, se le debe informar del proceso a
seguir para la tramitacin de su solicitud.
El ejercicio de los derechos deber llevarse a cabo mediante una solicitud
dirigida al responsable del fchero, que contendr:
Nombre y apellidos.
Fotocopia del DNI del interesado. En los casos excepcionales descritos
anteriormente, adems, sern necesarios los datos del representante le-
gal y el documento acreditativo de la representacin. La fotocopia del DNI
puede ser sustituida siempre que se acredite la identidad por cualquier
otro medio vlido legalmente (pasaporte, permiso de conducir, etc.).
Domicilio a efectos de notifcaciones.
Fecha y frma del solicitante.
Documentacin adicional para la justifcacin de la peticin que se formula.
46 )
El interesado podr utilizar cualquier medio que permita acreditar el envo
de la solicitud.
El responsable del fchero deber adoptar las medidas oportunas para ga-
rantizar que todas las personas de su organizacin que tengan acceso a
datos de carcter personal puedan informar del procedimiento a seguir por
el interesado para el ejercicio de sus derechos.
Derechos de los interesados
El interesado puede ejercer su derecho de reclamacin ante la AEPD en los
siguientes casos:
Que no sea atendida su solicitud en el plazo estipulado por Ley.
Que le sea denegado el ejercicio de sus derechos respecto a los datos
personales.
( 47
El artculo 117 y siguientes del RDLOPD describen el procedimiento de tu-
tela de los derechos de acceso, rectifcacin, cancelacin y oposicin que
puede iniciar el/los afectado/s, expresando con claridad el contenido de su
reclamacin y de los preceptos de la Ley Orgnica 15/1999, de 13 de di-
ciembre, que se consideran vulnerados.
Si el procedimiento de tutela de los derechos de acceso, rectifcacin, can-
celacin y oposicin no prospera, el interesado dispone de la opcin de
trmite por va contencioso-administrativa.
A continuacin se desarrolla el contenido de cada uno de los derechos:
Derecho de acceso
(art. 15 LOPD)
La Entidad tiene la obligacin de informar gratuitamente de todos aquellos
datos que posee sobre un ciudadano.
La informacin, cualquiera que sea el soporte en el que se facilite, se ofre-
cer en un formato que se pueda leer y entender, facilitando los datos si-
guientes:
Datos de la persona interesada.
Origen de los datos, que puede ser el propio interesado u otra Entidad
que los ha cedido. En el caso de que los datos provengan de fuentes
externas, debern especifcarse las mismas, identifcando la informacin
que proviene de cada una de ellas.
Organizaciones a las que se les ha cedido los datos.
Especifcacin de las fnalidades para las que se recabaron los datos.
9 Disponibles Modelos de ejercicio del derecho de acceso en: https://www.agpd.es/portalweb/canalciuda-
dano/denunciasciudadano/derecho_acceso_den/index-ides-idphp.php
48 )
El responsable del fchero deber contestar toda solicitud que se le dirija, con
independencia de que fguren o no datos personales del interesado en sus
fcheros, debiendo utilizar cualquier medio que permita acreditar el envo y la
recepcin, es decir, se debe responder igualmente cuando no se tienen datos
de carcter personal del interesado que ejercita su derecho de acceso.
La Entidad deber resolver la peticin por parte del ciudadano en un plazo
mximo de un mes desde la recepcin de la solicitud.
La solicitud de este derecho slo podr ser realizada en plazos superiores
a doce meses, salvo que el interesado acredite un inters legtimo, en cuyo
caso podr ejercitarlo con anterioridad.
En los supuestos de denegacin de acceso del artculo 30 RDLOPD, el res-
ponsable del fchero informar al afectado de su derecho a recabar la tutela
de la Agencia Espaola de Proteccin de Datos o, en su caso, de las auto-
ridades de control de las comunidades autnomas, conforme a lo dispuesto
en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre.
Derecho de rectificacin
10
(art. 16 LOPD)
Cualquier individuo tiene derecho a la correccin de todos aquellos datos
que considere inexactos o incompletos, inadecuados o excesivos sobre su
persona, por lo que podr solicitar del responsable del fchero la rectifcacin
de los mismos.
La solicitud de rectifcacin deber indicar el dato que es errneo y la correc-
cin que debe realizarse, y deber ir acompaada de la documentacin que
evidencie la rectifcacin solicitada. El responsable del tratamiento tendr la
obligacin de hacer efectiva la solicitud de rectifcacin del interesado en el
plazo de diez das.
0 Disponibles Modelos de ejercicio del derecho de rectificacin: https://www.agpd.es/portalweb/canal-
ciudadano/denunciasciudadano/derecho_rectificacion_den/index-ides-idphp.php
( 49
Derecho de cancelacin
11
(art. 16 LOPD)
Cuando los datos del interesado sean inexactos o incompletos, inadecua-
dos o excesivos sobre su persona, ste podr solicitar del responsable del
fchero la cancelacin de los mismos.
La cancelacin dar lugar al bloqueo de los datos, entendindose como la
identifcacin y reserva de datos con el fn de impedir su tratamiento, man-
tenindolos exclusivamente a disposicin de las Administraciones pblicas,
Jueces y Tribunales.
Prescritas las posibles responsabilidades derivadas del tratamiento de datos
personales se deber proceder a la supresin o borrado de dichos datos.
Las condiciones que suponen el bloqueo de datos debern indicarse en el
documento de seguridad, donde fgurarn las caractersticas de acceso a
los datos nicamente por los sujetos establecidos en la normativa y bajo las
condiciones especifcadas. El responsable del tratamiento tendr la obliga-
cin de hacer efectivo el derecho de cancelacin del interesado en el plazo
de diez das.
El RDLOPD distingue entre cancelacin y revocacin del consentimiento al
sealar, en su artculo 17, que el afectado podr revocar su consentimiento
a travs de un medio sencillo, gratuito y que no implique ingreso alguno para
el responsable del fchero o tratamiento.
El responsable cesar en el tratamiento de los datos en el plazo mximo de
diez das a contar desde el de la recepcin de la revocacin del consentimien-
to, sin perjuicio de su obligacin de bloquear los datos conforme a lo dispuesto
en el artculo 16.3 de la Ley Orgnica 15/1999, de 13 de diciembre.
Disponibles Modelos de ejercicio del derecho de cancelacin: https://www.agpd.es/portalweb/canal-
ciudadano/denunciasciudadano/derecho_cancelacion_den/index-ides-idphp.php
50 )
Si los datos hubieran sido cedidos previamente, el responsable del tra-
tamiento, una vez revocado el consentimiento, deber comunicarlo a los
cesionarios, para que stos cesen en el tratamiento de los datos en caso
de que an lo mantuvieran, conforme al artculo 16.4 de la Ley Orgnica
15/1999, de 13 de diciembre.
El artculo 33 apartados 1 y 2 del RDLOPD recoge los supuestos de denega-
cin de los derechos de rectifcacin y cancelacin. Concretamente seala
que:
. La cancelacin no proceder cuando los datos de carcter perso-
nal deban ser conservados durante los plazos previstos en las dis-
posiciones aplicables o, en su caso, en las relaciones contractuales
entre la persona o entidad responsable del tratamiento y el interesa-
do que justificaron el tratamiento de los datos.
. Podr tambin denegarse los derechos de rectificacin o cance-
lacin en los supuestos en que as lo prevea una ley o una norma de
derecho comunitario de aplicacin directa o cuando stas impidan
al responsable del tratamiento revelar a los afectados el tratamiento
de los datos a los que se refiera el acceso.
Al igual que en los supuestos de denegacin de acceso del artculo 30
RDLOPD, en todo caso, el responsable del fchero informar al afectado
de su derecho a recabar la tutela de la Agencia Espaola de Proteccin
de Datos o, en su caso, de las autoridades de control de las Comunidades
Autnomas, conforme a lo dispuesto en el artculo 18 de la Ley Orgnica
15/1999, de 13 de diciembre.
( 51
Derecho de oposicin
12
(art. 34 RDLOPD)
Es el derecho del afectado a que no se lleve a cabo el tratamiento de
sus datos de carcter personal o se cese en el mismo en los siguientes
supuestos:
Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legtimo y fundado, refe-
rido a su concreta situacin personal, que lo justifque, siempre que una
Ley no disponga lo contrario.
Cuando se trate de fcheros que tengan por fnalidad la realizacin de
actividades de publicidad y prospeccin comercial, en los trminos pre-
vistos en el artculo 51 del Reglamento, cualquiera que sea la empresa
responsable de su creacin.
Cuando el tratamiento tenga por fnalidad la adopcin de una decisin
referida al afectado y basada nicamente en un tratamiento automatizado
de sus datos de carcter personal, en los trminos previstos en el artculo
36 del Reglamento.
Disponibles Modelos de ejercicio del derecho de oposicin: Disponibles Modelos de ejercicio del de-
recho de oposicin: https://www.agpd.es/portalweb/canalciudadano/denunciasciudadano/derecho_oposi-
cion_den/index-ides-idphp.php
52 )
Toda Entidad, con independencia de su tamao y fnalidad de negocio, de-
ber implantar un conjunto de polticas de seguridad respecto a los datos
que manejan en el ejercicio de sus competencias.
Estas polticas tienden a garantizar la continuidad de sus actividades en
el caso de que se produzcan incidencias, fallos, infracciones por parte de
terceros, prdidas accidentales o desastres que afecten a los datos e in-
formaciones que son almacenados y tratados, ya sea a travs de sistemas
informticos o en otro tipo de soportes, como el papel.
Por ello, la LOPD, a travs del Reglamento de 21 de diciembre del 2007,
obliga a todas las empresas, organizaciones, asociaciones e instituciones,
tanto pblicas como privadas, que almacenen, traten y accedan a fcheros
de datos de carcter personal, a aplicar una serie de medidas de seguridad
de carcter tcnico y organizativo que garanticen la confdencialidad, integri-
dad y disponibilidad de la informacin.
Las medidas debern ser adoptadas e implantadas por el responsable del f-
chero, y en su caso por el Encargado del Tratamiento donde se traten datos de
carcter personal. Las medidas se pueden clasifcar de la siguiente forma:
Medidas organizativas, destinadas a establecer procedimientos, nor-
mas, reglas y estndares de aplicacin, que garanticen la seguridad y
cuyos destinatarios son los usuarios que tratan los datos de los fcheros.
Medidas tcnicas, destinadas principalmente a conservar la integridad
fsica de la informacin, para evitar robos, prdidas o alteraciones no jus-
tifcadas.
Estas medidas sern de aplicacin a todos aquellos fcheros que contengan
datos de carcter personal, independientemente de su soporte (electrnico o
papel), as como a los locales donde se almacenan dichos datos y los continen-
tes que los soportan (armarios, archivadores, ordenadores, servidores, etc.).
Fase III: Polticas de seguridad de los datos
9.
Fase III: Polticas de seguridad de los
datos
( 53
A los fcheros de datos de carcter personal se les aplica las medi-
das de seguridad segn el grado de informacin sensible que con-
tienen, en relacin con la mayor o menor necesidad de garantizar la
confdencialidad, integridad y disponibilidad de la informacin.
Los niveles de seguridad aplicables se clasifcan en bsico, medio y
alto atendiendo al tipo de dato de carcter personal a proteger:
El RDLOPD establece los niveles de seguridad de forma acumulativa, te-
niendo la consideracin de mnimos legales exigibles. As, en caso de trata-
miento de fcheros de nivel medio, debern implantarse todas y cada una de
las medidas de seguridad descritas para el nivel bsico y las del nivel medio.
Igualmente suceder con los fcheros de nivel alto, que debern implantar
las medidas descritas para el nivel bsico, el medio y el alto.
NIVEL BSICO
Nombre, apellidos, DNI, telfono, domicilio, n cta bancaria
Los referidos a ideologa, afliacin

sindical, religin, creencias, origen racial, salud o vida sexual, cuando los datos se utilicen
nicamente con la fnalidad de realizar una transferencia dineraria a las entidades de las que
los afectados sean miembros
Los fcheros no automatizados que de forma incidental con-

tengan datos especialmente protegidos
Los fcheros cuyo tratamiento tenga como fnalidad

el cumplimiento de deberes pblicos, en el caso de datos como el grado de minusvala o la
declaracin de la condicin de invalidez.
NIVEL MEDIO
Comisiones de infracciones administrativas o penales
Aquello de lo que sean responsables

las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias
Ficheros de entidades gestoras, servicios comunes de la Seguridad Social, mutuas de

accidentes de trabajo y enfermedades profesionales de la Seguridad Social
hacienda
pblica (datos relativos a tributos u otras obligaciones fscales que trata la administracin,
no los relativos a los impuestos que declaran las empresas)
Datos que permitan deducir el

comportamiento de los ciudadanos.
NIVEL ALTO
Ideologa o afliacin sindical
Religin o creencias
Origen radical o tnico
Salud (servicios
sociales, necesidades de atencin mdica especial)
vida sexual
Recogidos para fnes policiales

sin consentimiento del interesado
violencia de gnero.
54 )
Cada organizacin podr incrementar las medidas de seguridad de
los datos de acuerdo a otros criterios, ofreciendo de esta forma ma-
yores garantas, siempre y cuando se ajusten a los mnimos exigidos
respecto a los datos tratados.
Antes de analizar las medidas de seguridad que el Reglamento prev para
fcheros automatizados y no automatizados, se muestran una serie de par-
ticularidades:
Acceso a travs de redes de comunicaciones desde una ubicacin ex-
terna a los sistemas de informacin que tratan los datos personales.
Debern adoptarse medidas de seguridad que garanticen la seguridad de
la informacin.
Tratamiento de los datos fuera de la ubicacin de los sistemas de
informacin que los almacenan.
Esta medida de seguridad hace referencia al supuesto en el que se rea-
lice algn tipo de tratamiento de datos personales fuera de las instalacio-
nes de la Entidad Local. Tendra cabida en este supuesto el ejemplo en
el que un empleado utilice un porttil desde su hogar, o traslade expe-
dientes mediante su almacenamiento en un disco duro externo o en una
memoria uSb.
Con esta medida de seguridad se garantiza el control de los datos tratados
fuera de la Entidad en dispositivos especialmente sensibles, ya que conlle-
van un mayor nivel de riesgo de prdida de confdencialidad e integridad.
Generacin de fcheros temporales necesarios para desarrollar las
actividades de la Entidad Local.
( 55
Los fcheros temporales, independientemente del plazo de vigencia que
tengan y su fnalidad, debern tener implantadas las medidas de segu-
ridad que son requeridas para los datos que contenga (es decir, si slo
contiene datos de identifcacin, bastar con cumplir las medidas de nivel
bsico, si contiene datos fnancieros o sufcientes para tener un perfl del
usuario, se debern implantar las medidas de nivel medio, y si contiene
datos de salud, ideologa o afliacin sindical dispondr adems de las
medidas de nivel alto
13
.
A continuacin se desarrollan las medidas de seguridad especfcas para los
fcheros automatizados y para fcheros no automatizados
14
.
9.1. MEDIDAS DE SEGURIDAD PARA FIChEROS AUTOMATIzADOS
15
Se estructuran segn los niveles de seguridad (bsico, medio y alto) defni-
dos en el RDLOPD para los fcheros automatizados.
9.1.1. MEDIDAS DE SEGuRIDAD DE NIvEL bSICO
Documento de seguridad
Es un documento interno a elaborar por la Entidad Local, de obligado cum-
plimiento para todo el personal que accede a los fcheros de datos de carc-
ter personal y a los sistemas de informacin, o que haya conocido o haga
uso de esa informacin por otros medios.
3 El RDLOPD obliga a fijar polticas de seguridad para aquel personal que no est autorizado al acceso
a los datos de carcter personal pero pueden hacer peligrar la seguridad como por ejemplo personal de
limpieza que abandona documentacin en el exterior, personal de mantenimiento que desconecta el fluido
elctrico sin avisar, etc.
Las medidas comunes a los dos tipos de tratamiento se han ubicado en esta primera parte, en la de
ficheros automatizados. Quedar indicado de forma explcita las medidas de seguridad que afectan slo a
cada tipo de ficheros tanto automatizados como no automatizados.
5 Se recomienda la lectura de la Gua de Seguridad de la AEPD disponible en www.agpd.es
56 )
En l deben quedar recogidos todas las polticas, reglas, medidas y proce-
dimientos de seguridad establecidos por el responsable del fchero.
Se debe mantener siempre actualizado ante cualquier modifcacin de los
fcheros, del personal y de los sistemas de informacin de que dispone la
Entidad.
El documento de seguridad debe contener:
- mbito de aplicacin: especifcacin detallada de los recursos
protegidos.
- Medidas, normas, procedimientos, reglas y estndares de seguri-
dad.
- Funciones y obligaciones del personal.
- Estructura y descripcin de los fcheros y sistemas de informacin.
- Procedimiento de notifcacin, gestin y respuesta ante incidencias.
- Procedimiento de copias de respaldo y recuperacin de datos.
- Medidas adoptadas en el transporte, destruccin y/o reutilizacin
de soportes y documentos.
En caso de que fueran de aplicacin a los fcheros las medidas de seguridad
de nivel medio o alto, el documento de seguridad deber contener, adems
de los campos descritos anteriormente, los siguientes:
Identifcacin del responsable de seguridad.
Control peridico del cumplimiento del documento.
En caso de haber contratado la prestacin de servicios por terceros para
determinados fcheros, en el documento de seguridad se debe hacer cons-
tar esta circunstancia, indicando una referencia al contrato y su vigencia as
como los fcheros objeto de este tratamiento.
( 57
Si se ha contratado la prestacin de servicios en relacin con la totalidad de
los fcheros y tratamientos de datos del responsable, y dichos servicios se
prestan en las instalaciones del encargado del tratamiento se podr delegar
en ste la llevanza del documento de seguridad.
Funciones y obligaciones del personal
Todo el personal que acceda a los datos de carcter personal est obligado
a conocer y observar las medidas, normas, procedimientos, reglas y
estndares que afecten a las funciones que desarrolla.
Constituye una obligacin del personal notifcar al responsable del fchero
(o de seguridad, en su caso) las incidencias de seguridad de las que tengan
conocimiento respecto a los recursos protegidos, segn los procedimientos
establecidos en la Gua de Seguridad de la AEPD.
Todas las personas debern guardar el debido secreto y confden-
cialidad sobre los datos personales que conozcan en el desarrollo
de su trabajo.
Se deben incluir las obligaciones detalladas de los perfles que afectan a to-
dos los fcheros (por ejemplo, administrador/es de los sistemas, responsable/s
de informtica, responsable/s de seguridad, responsable/s de seguridad fsi-
ca, etc). Es importante que se concrete la persona o cargo que corresponde
a cada perfl. Tambin deben contemplarse los procedimientos de actuacin
o delegacin de funciones para casos de ausencia. Este apartado se propone
principalmente como un recopilatorio que agrupe las medidas que en el resto
del Documento se asignan a perfles concretos.
El personal que realice trabajos que no impliquen el tratamiento de datos
personales tendrn limitado el acceso a estos datos, a los soportes que los
contengan, o a los recursos del sistema de informacin.
58 )
Cuando se trate de personal ajeno, el contrato de prestacin de servicios
recoger expresamente la prohibicin de acceder a los datos personales
y la obligacin de secreto respecto de aquellos datos que hubiera podido
conocer durante la prestacin del servicio.
El responsable de fcheros establecer la delegacin de autorizaciones en
los usuarios que se relacionen, identifcando a los usuarios respecto de sus
perfles y autorizaciones necesarias para el desarrollo de su ejercicio.
Procedimiento de notificacin, gestin y registro de incidencias
Se entiende por incidencia cualquier anomala que afecte o pudiera afec-
tar a la seguridad, a la integridad, confdencialidad o disponibilidad de
los datos. As se pueden considerar los accesos no autorizados, la prdida
o extravo de datos, una incorrecta gestin de los soportes, las averas de
equipos, etc.
Cualquier persona que sea conocedora de una incidencia respecto a la se-
guridad de los datos de carcter personal o de las medidas de seguridad
correspondientes tiene la obligacin de comunicarlo al responsable de se-
guridad, que emprender las medidas necesarias para su correccin, o el
traslado de la misma al rea de la Entidad Pblica que se encargue de su
resolucin, realizando en este caso un seguimiento para verifcar las accio-
nes llevadas a cabo.
El responsable del fchero o, por delegacin, el responsable de seguridad,
ser el responsable de mantener un registro de las incidencias en el que,
adems de los datos especifcados en la notifcacin, se incluirn las medi-
das adoptadas en cada caso para la solucin de dicha incidencia.
Resuelta la incidencia, el responsable de seguridad debe verifcar su resolu-
cin. En el caso de que el propio responsable haya sido la persona que ha
resuelto la incidencia deber ser una persona diferente la que verifque. De
( 59
esta forma se consigue que no recaiga en la misma persona la resolucin y
verifcacin del incidente.
En el nivel bsico de seguridad se deben cubrir los siguientes campos en el
registro: tipo, momento de su deteccin, persona que la notifca, efectos y
medidas correctoras. Del mismo modo se debe realizar el procedimiento de
notifcacin y la gestin de las mismas.
Identificacin y autenticacin
El RDLOPD establece que el responsable del fchero se encargar de la ela-
boracin de un listado actualizado de usuarios con acceso autorizado a
los sistemas de informacin y por consiguiente, a los datos de carcter
personal que tratan. Sobre estos usuarios se han de establecer procedi-
mientos de identifcacin y autenticacin para dicho acceso.
Se establece como necesaria la identifcacin y autenticacin
de forma inequvoca y personalizada de todos los usuarios au-
torizados en el sistema.
Ello supone que cada usuario tendr un nombre de usuario indivi-
dual y una contrasea asociada al mismo, de uso personal e intrans-
ferible, que se valida cada vez que accede al sistema.
En resumen, para esta medida de seguridad y slo para fcheros automati-
zados, dentro del nivel bsico se deben contemplar: la identifcacin y au-
tenticacin personalizada, el procedimiento de asignacin y distribucin de
contraseas, el almacenamiento ininteligible de las contraseas y la periodi-
cidad del cambio de contraseas (< 1 ao).
60 )
Control de acceso
El responsable del fchero se encargar de fjar qu usuarios estn autoriza-
dos a acceder a ciertos recursos, como por ejemplo, equipos informticos,
programas, aplicaciones, bases de datos, redes, etc., de acuerdo con su
perfl funcional y sus competencias laborales.
Para ello, una vez identifcados los usuarios, se han de establecer meca-
nismos para evitar que puedan acceder a datos o recursos con derechos
distintos de los autorizados, asegurando la confdencialidad y disponibilidad
de la informacin.
En el caso de existir personal ajeno a la Entidad (colaboradores externos,
subcontratas de servicios, etc.), que traten datos personales para desarrollar
sus actividades y necesiten acceso a los mismos, sern debidamente infor-
mados y formados acerca de todas las obligaciones en materia de proteccin
de datos de carcter personal establecidas en el documento de seguridad.
Respecto del control de acceso, se deben atender para el nivel bsico: la re-
lacin actualizada de usuarios y accesos autorizados, el control de accesos
permitidos a cada usuario segn las funciones asignadas, los mecanismos
que eviten el acceso a datos o recursos con derechos distintos de los auto-
rizados, la concesin de permisos de acceso slo por personal autorizado
as como las mismas condiciones para personal ajeno con acceso a los
recursos de datos.
Gestin de soportes
El RDLOPD establece que los soportes informticos que contengan datos
de carcter personal debern estar claramente identifcados, siempre y
cuando, las caractersticas fsicas del soporte lo permitan. Esta identifca-
cin deber refejar el contenido del soporte de manera clara para aquellas
personas autorizadas a su tratamiento.
( 61
En cuanto al traslado de soportes o documentos que contengan da-
tos de carcter personal fuera de los locales en los que est ubicado
el fchero, debern aplicarse todas aquellas medidas que imposibili-
ten su prdida o deterioro.
Cuando un soporte informtico (copias de seguridad, disquetes, cintas, etc.)
vaya a ser reutilizado, se adoptarn las medidas necesarias para su forma-
teo, con objeto de impedir cualquier recuperacin posterior de la informacin
que contena almacenada el dispositivo. Si el soporte no puede ser reutilizado
o se quiere eliminar, se proceder a su destruccin fsica de forma que resulte
totalmente irrecuperable la informacin que contiene.
Para el nivel bsico, en lo que respecta a la medida de gestin de soportes
se debe realizar un inventario de soportes, la identifcacin del tipo de in-
formacin que contienen, o el sistema de etiquetado, el acceso restringido
al lugar de almacenamiento, la autorizacin de las salidas de soportes (in-
cluidas a travs de e-mail) y las medidas para el transporte y el desecho de
soportes.
Copias de respaldo y recuperacin
La recuperacin de los datos de las copias de seguridad se realizar por el
responsable de seguridad o aquellos administradores de sistema designados
por l, previa autorizacin. Tanto el proceso de copia de seguridad, como el
de recuperacin de datos, debern someterse a una verifcacin por parte del
responsable del fchero al menos cada seis meses.
La medida de copias de respaldo en el nivel bsico, y slo para fcheros au-
tomatizados, comprender: la copia de respaldo semanal, los procedimientos
de generacin de copias de respaldo y recuperacin de datos, la verifcacin
semestral de los procedimientos, la reconstruccin de los datos a partir de la
ltima copia o la grabacin manual en su caso, si existe documentacin que
62 )
lo permita, as como las pruebas con datos reales y la copia de seguridad y
aplicacin del nivel de seguridad correspondiente.
9.1.2. MEDIDAS DE SEGuRIDAD DE NIvEL MEDIO
Responsable de seguridad
Para facilitar el trabajo en materia de seguridad de la informacin, el respon-
sable del fchero designar por escrito uno o varios responsables encarga-
dos de coordinar y controlar el cumplimiento de las medidas de seguridad
descritas en el documento de seguridad.
Esta fgura es designada como responsable de seguridad, encargado de
velar por el cumplimiento de las medidas, reglas y normas de seguridad
establecidas por el responsable del fchero, no siendo responsable jurdico
ante estamentos reguladores y sancionadores.
En todo caso, la designacin no debe ser entendida como una delegacin
de responsabilidad. El responsable de seguridad es el encargado de coordi-
nar y controlar las medidas del documento.
Auditora
Los sistemas de informacin e instalaciones de tratamiento de datos se so-
metern a un proceso de auditora interna o externa, al menos cada dos
aos, por una persona que examine de forma objetiva e independiente el
cumplimiento del RDLOPD.
Con carcter extraordinario deber realizarse dicha auditora siempre
que se realicen modifcaciones sustanciales en el sistema de informa-
cin que puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con el objeto de verifcar la adaptacin, adecuacin y efcacia de
las mismas. Esta auditora inicia el cmputo de dos aos sealado en el p-
rrafo anterior.
( 63
Se elaborar un Informe de Auditora con el resultado de la revisin
realizada que incluya todos los datos, hechos, no conformidades y
observaciones surgidas en la evaluacin, as como las medidas co-
rrectoras correspondientes a las desviaciones halladas.
Los Informes de Auditora sern analizados por el responsable de segu-
ridad, quien elevar las conclusiones al responsable del fchero para que
adopte las medidas correctoras adecuadas, quedando dichos informes a
disposicin de la AEPD.
Identificacin y autenticacin
Esta medida descrita para el nivel bsico se ve reforzada en este apartado,
debido a la obligacin de adoptar medidas que impidan el intento reiterado
de acceso no autorizado al sistema.
Se debe implantar el bloqueo automtico de acceso, por ejemplo, cuando se
registren tres intentos de acceso fallido de forma consecutiva, permitiendo
de esta manera, al responsable de seguridad evitar amenazas de usuarios
no autorizados que intenten realizar ataques para averiguar contraseas de
acceso.
Control de acceso fsico
Esta medida de seguridad se ve aumentada en el nivel medio para los fche-
ros automatizados, ya que se deben establecer las restricciones de acceso
fsico a los locales donde se encuentren ubicados los sistemas de informa-
cin o servidores con datos de carcter personal.
El responsable de seguridad deber refejar en el documento de seguridad
un listado con todas aquellas personas que tengan derecho de acceso a las
salas que albergan fsicamente los servidores, adems de establecer qu
64 )
tipo de medidas de seguridad sern implantadas para restringir el acceso de
personal no autorizado a las instalaciones.
Gestin de soportes
La medida de seguridad de gestin de soportes en el nivel medio, y slo
para fcheros automatizados, comprender: un sistema de registro de entra-
da y salida de soportes informticos que permita, directa e indirectamente,
conocer: el tipo de soporte, fecha y hora, origen, tipo de informacin, pro-
cedimiento de recepcin/envo y la persona responsable que deber estar
autorizada para la recepcin/entrega.
Registro de incidencias
Esta medida de seguridad se ve aumentada en el nivel medio para los f-
cheros automatizados ya que afecta a la recuperacin de los datos de las
copias de seguridad, requiriendo un registro del personal que ejecuta la re-
cuperacin, los datos que han sido recuperados, y en su caso, los datos
grabados manualmente.
Ser necesaria la autorizacin por escrito del responsable del fchero para la
ejecucin de los procedimientos de recuperacin de los datos.
9.1.3. MEDIDAS DE SEGuRIDAD DE NIvEL ALTO
Gestin y distribucin de soportes
La fnalidad ltima de esta medida consiste en evitar que, ante cualquier in-
cidencia que pueda producirse en la distribucin de los datos o en el soporte
que los contiene, terceras personas no autorizadas puedan acceder a la
informacin y modifcarla. Por ello, se recomienda la utilizacin de mecanis-
mos de seguridad mediante claves de acceso a los fcheros o la encriptacin
de los datos con programas especializados para evitarlo.
( 65
As, la medida de gestin de soportes en el nivel alto y slo para fcheros au-
tomatizados comprende el sistema de etiquetado confdencial, el cifrado de
datos en la distribucin de soportes as como el cifrado de informacin
en dispositivos porttiles fuera de las instalaciones, evitando el uso de dis-
positivos que no permitan el cifrado o que se adopten medidas alternativas.
Registro de accesos
Esta medida implica que todas las aplicaciones o programas internos que
traten con datos de carcter personal, han de confgurarse para que regis-
tren y almacenen los datos de todos aquellos usuarios que acceden o inten-
tan acceder a la aplicacin.
Esta medida de seguridad se ve aumentada en el nivel alto para los fche-
ros automatizados respecto del registro de accesos (usuario, hora, fchero,
tipo de acceso, autorizado o denegado), la revisin mensual del registro por
el responsable de seguridad y la conservacin durante dos aos. No ser
necesario este registro si el responsable del fchero es una persona fsica y
es el nico usuario.
Copias de respaldo y recuperacin
Las copias de seguridad y los procedimientos de restauracin de datos de-
ben ser conservados fuera de la ubicacin principal de los sistemas de infor-
macin, a fn de garantizar la continuidad de la actividad y la disponibilidad
de la informacin ante cualquier incidencia grave o muy grave, sea fsica o
lgica, que afecte a los equipos o servidores centrales (incendios, inunda-
ciones, etc.).
Telecomunicaciones
habitualmente se utilizan redes de telecomunicaciones abiertas
16
para trans-
mitir fcheros y archivos. Para evitar que durante la transmisin de datos
puedan producirse intercepciones o manipulaciones no deseadas de datos
6 Tipo de redes en las cuales los datos no son cifrados mientras se transmiten entre dos puntos, permi-
tiendo que puedan ser interceptados.
66 )
de carcter personal, deben utilizarse mecanismos de cifrado de los datos
utilizando programas especializados, o transmitir datos a travs de redes
privadas, que garanticen que la comunicacin entre dos puntos es segura y
no pueda ser interceptada por terceras personas.
9.2. MEDIDAS DE SEGURIDAD PARA FIChEROS NO AUTOMATIzADOS
Las siguientes medidas de seguridad -desarrolladas en el apartado ante-
rior- son de obligado cumplimiento tanto en fcheros automatizados como no
automatizados, por lo que tienen que implementarse de igual forma en estos
ltimos: documento de seguridad, funciones y obligaciones del personal,
registro de incidencias, control de acceso, gestin de soportes, responsable
de seguridad y auditora. Por tanto, se remite al lector al punto anterior para
conocer las implicaciones.
Se analizan a continuacin las medidas de seguridad de nivel bsico, medio
y alto especfcas para fcheros no automatizados.
9.2.1. MEDIDAS DE SEGuRIDAD DE NIvEL bSICO
Criterios de archivo
Todos los organismos e instituciones pblicas, necesitan gestionar la crea-
cin, distribucin y recuperacin de los documentos que utilizan en el desa-
rrollo de sus actividades.
La gestin documental es una metodologa para regular la produccin, cir-
culacin, uso y control de los documentos que tiene como objetivo el man-
tenimiento y disposicin de los documentos de una organizacin, a lo largo
de su ciclo vital, de forma efciente.
El RDLOPD establece que, en caso de no existir legislacin aplicable a este
tipo de soportes, ser el responsable del fchero quien establezca sus pro-
pios criterios de archivo documental.
( 67
Dispositivos de almacenamiento
El Reglamento establece que todos aquellos fcheros en soporte papel que
contengan datos de carcter personal deben estar debidamente almacena-
dos, imposibilitando su acceso a todas aquellas personas que no tengan
autorizado su tratamiento. Para ello, los mecanismos de seguridad ms uti-
lizados son los armarios o archivadores, que debern disponer de mecanis-
mos adecuados de cierre como llaves de seguridad, candados (con llave o
cdigo de dgitos) o tarjetas magnticas.
Lo importante es garantizar que el acceso a la documentacin no se realiza
por personas no autorizadas. Por ejemplo, si los expedientes estn en el
despacho del nico funcionario que los trata, y ste siempre lo cierra con
llave cuando no est, no ser necesario aadir una nueva medida de segu-
ridad adicional.
Custodia de los soportes
Cuando la documentacin que contenga datos de carcter personal no se
encuentre almacenada segn las medidas anteriormente mencionadas (ar-
marios con llave, tarjetas magnticas, etc.) por encontrarse en proceso de
revisin o tramitacin, la persona a cargo de los mismos debe ser diligente
y custodiarla para evitar accesos no autorizados.
Si el responsable del tratamiento de los documentos se ausenta de su puesto
de trabajo, deber aplicar las medidas de seguridad oportunas a fn de evitar
que personal no autorizado acceda a los documentos como guardar la docu-
mentacin en cajoneras, armarios o estanteras a ser posible bajo llave.
9.2.2. MEDIDAS DE SEGuRIDAD DE NIvEL MEDIO
Las medidas de seguridad de nivel medio que establece el RDLOPD para
fcheros no automatizados son el nombramiento de un responsable de se-
guridad y la realizacin de auditorias peridicas.
68 )
Estas medidas son de comn desarrollo e implantacin al de los fcheros
automatizados (vase Medidas de seguridad para fcheros automatizados,
nivel medio).
9.2.3. MEDIDAS DE SEGuRIDAD DE NIvEL ALTO
Almacenamiento de la informacin
Esta medida exige a la Entidad Local la custodia de aquellos armarios o
archivadores provistos de medidas de seguridad propias (llaves, tarjetas
magnticas), en reas que imposibiliten el acceso de personal no autori-
zado a los datos.
Las medidas que deben adoptar estas dependencias pueden consistir en
la restriccin de acceso mediante llaves de seguridad, lectores de tarjeta
magnticos, dispositivos de acceso mediante claves, dispositivos biom-
tricos, etc.
Cuando resultase desproporcionada o inviable la adopcin de este tipo de
medidas, el responsable del fchero o tratamiento adoptar medidas que im-
pidan el acceso de personas no autorizadas a la documentacin (por ejem-
plo, cerrar con llave las dependencias donde se realiza el tratamiento de
los datos personales cuando el personal autorizado no est presente en la
misma).
Copia o reproduccin
En el ejercicio de las actividades de un organismo pblico, se hace
puntualmente necesaria la realizacin de copias de documentos origi-
nales para evitar su deterioro, prdida, etc.
En el caso de las copias realizadas a documentos que contengan datos de
carcter personal de nivel alto, slo podrn ser realizadas y supervisadas
por las personas que se autoricen en el documento de seguridad.
( 69
Se obliga a la destruccin de la copia cuando ha dejado de tener el uso
para el que fue creada, garantizando la imposibilidad de recuperacin de la
informacin.
Acceso a la documentacin
El RDLOPD establece que el acceso a la documentacin se limitar ex-
clusivamente al personal autorizado.
De un lado, se establecern mecanismos que permitan identifcar los ac-
cesos realizados en el caso de documentos que puedan ser utilizados por
mltiples usuarios.
De otro, y por lo que respecta al acceso de personas no incluidas en el prra-
fo anterior, el acceso deber quedar adecuadamente registrado de acuerdo
con el procedimiento establecido al efecto en el documento de seguridad.
Con el fn de evitar accesos no autorizados, se deben implantar mecanis-
mos de prevencin y de deteccin, como llaves de seguridad o tarjetas mag-
nticas, para garantizar un adecuado control de acceso a los recursos en los
locales correspondientes de la Entidad.
En la deteccin de accesos indebidos se recomienda la utilizacin de me-
dios tcnicos, en la medida que sea posible, como cmaras de vigilancia de
circuito cerrado o alarmas, que permitan detectar qu personas han accedi-
do a las dependencias sin autorizacin.
Traslado de la documentacin
Cuando la documentacin, independientemente de los datos personales
que contenga, haya de ser trasladada fuera de su ubicacin original, se han
de aplicar medidas de seguridad que impidan el acceso o manipulacin de
los datos por parte de terceras personas.
70 )
El traslado se podr hacer por valija separada cuando se trate de un servi-
cio de correo interno, custodiado por un funcionario pblico o por personal
laboral propio. En caso de que se requieran medidas de seguridad ms
rigurosas, se recomienda realizar el desplazamiento mediante armarios do-
tados de las pertinentes medidas de seguridad como la utilizacin de llaves
o lectores magnticos, y en la medida de lo posible, cuya posesin slo
corresponder al responsable de seguridad.
( 71
Para fnalizar el anlisis acerca de la adaptacin de las Entidades Locales a
la normativa sobre proteccin de datos, se ha considerado oportuno evaluar
aquellos fcheros de datos personales susceptibles de un tratamiento ms
comn, por contener datos que requieren medidas de seguridad de ni-
vel alto o tratarse de datos de gran relevancia para los interesados.
Se han identifcado los siguientes fcheros, cuya existencia es muy probable
en el mbito de una Entidad Local:
Padrn de habitantes.
Padrn de vehculos.
Servicios sociales.
Licencia de actividad de locales comerciales.
videovigilancia.
A continuacin, se realiza un anlisis de la utilizacin de estos fcheros en
las Entidades Pblicas Locales y se propone una serie de buenas prcticas
para un adecuado tratamiento de los mismos.
PADRN DE hABITANTES
Todas las personas que viven en Espaa tienen la obligacin de inscribirse
en el padrn municipal de habitantes del lugar donde tengan su residencia
habitual, segn la Ley 7/1985, de 2 de abril, Reguladora de las bases del
Rgimen Local (en adelante, LbRL).
Las EELL no tienen el deber de recabar el consentimiento del interesado
para el tratamiento de los datos del padrn, ya que, como indica el artculo
6.2 de la LOPD, el padrn forma parte de las funciones administrativas que
son competencia de los Ayuntamientos.
Tratamiento de datos habituales por parte de las entidades locales
Anexo I Tratamiento de datos
habituales por parte de las entidades locales
72 )
El artculo 16.3 de la LbRL dispone lo siguiente:
Los datos del Padrn municipal se cedern a otras Administracio-
nes Pblicas que lo soliciten sin consentimiento previo del afectado
solamente cuando les sean necesarios para el ejercicio de sus res-
pectivas competencias, y exclusivamente para asuntos en los que
la residencia o el domicilio sean datos relevantes. Tambin pueden
servir para elaborar estadsticas oficiales sometidas al secreto esta-
dstico, en los trminos previstos en la Ley /989, de 9 de mayo,
de la Funcin Estadstica Pblica.
Por lo tanto, la Administracin que solicite los datos al Ayuntamiento
debe justifcar que son para alguna de las competencias que le reco-
noce el ordenamiento jurdico, adems de argumentar la relevancia de la
residencia o el domicilio para este tratamiento.
Por otro lado, respecto a los fnes estadsticos, los Ayuntamientos estn
obligados a facilitar la informacin de los datos del padrn al Instituto
Nacional de Estadstica, siempre que se justifque su peticin dentro de las
competencias que le otorga la Ley de Funcin Estadstica Pblica.
Por lo que respecta a la cesin de estos datos a las Fuerzas y Cuerpos
de Seguridad del Estado, cuando los datos sean solicitados dentro de una
investigacin policial, el responsable del fchero del padrn nicamente
debe comprobar que el solicitante acredita que pertenece como miem-
bro a las Fuerzas y Cuerpos de Seguridad del Estado. Esta situacin
viene regulada por el artculo 22.2 de la LOPD en el que se indica que la
recogida y tratamiento de datos personales por las Fuerzas y Cuerpos de
Seguridad se puede realizar sin consentimiento del afectado cuando se trate
de la prevencin de un peligro real para la seguridad pblica o para la repre-
sin de infracciones reales.
( 73
Respecto a las medidas de seguridad a aplicar a este tipo de fcheros, debe
tenerse en cuenta que se trata de datos clasifcados como nivel bsico.
PADRN DE VEhCULOS
La fnalidad del tratamiento de los datos de este fchero es la recaudacin
del impuesto municipal de circulacin, adems de mantener un registro de
propietarios de vehculos (por ejemplo, para la gestin de transferencias).
Si en el momento en el que se establezca este tipo de fchero se incorpora-
sen nicamente datos de salud de los propietarios de los vehculos refe-
rentes exclusivamente al grado de discapacidad o a la simple declaracin
de la condicin de discapacidad o invalidez del afectado el fchero pasara
a ser clasifcado de nivel bsico, entrando, de esta forma, a ser considerado
en la exclusin contemplada en el artculo 81.6 del RDLOPD sobre la apli-
cacin de los niveles de seguridad.
En el caso de tener contratada la gestin de algn servicio relacionado con
los vehculos, por el que se tenga que acceder a este fchero para poder
realizar las funciones encomendadas, hay que prestar especial atencin al
artculo 12 de la LOPD, que hace referencia al acceso a los datos por cuenta
de terceros.
La LOPD permite que el responsable del fchero habilite el acceso material
a datos de carcter personal por parte de la entidad que va a prestarle un
servicio (esto es, encargado del tratamiento) sin que pueda considerarse
dicho acceso como una cesin de datos. Si bien se exige que en el contrato
deben constar una serie de requisitos, tales como seguir las instrucciones
del responsable del fchero, no utilizar los datos para un fn distinto, no co-
municarlos a otras personas, estipular las medidas de seguridad del artculo
9 y, cumplida la prestacin, destruir los datos o proceder a su devolucin al
responsable del fchero.
74 )
SERVICIOS SOCIALES
Los Servicios Sociales estn disponibles y son accesibles para todos los
ciudadanos sin discriminacin por algn motivo personal. Los fcheros de
datos personales gestionados por los Servicios Sociales de las Entida-
des Pblicas Locales se clasifcan con nivel de seguridad alto.
La LOPD, en su artculo 7, considera como datos especialmente protegidos
los relativos a la ideologa, afliacin sindical, religin y creencias, as como
los datos personales que hagan referencia al origen racial, a la salud y a la
vida sexual. Si bien, respecto a los primeros nicamente se puede llevar a
cabo el tratamiento con el consentimiento expreso y por escrito del intere-
sado. Respecto a los segundos, slo podrn ser recabados cuando as lo
disponga una Ley o cuando el afectado consienta expresamente.
Por lo tanto, cuando una entidad local recabe datos deber manifestar una
adecuada justifcacin de la fnalidad de la propia prestacin social.
En este sentido, a modo de ejemplo, cabe sealar la Resolucin R/00431/2008
de la AEPD en la que fgura como hecho probado la remisin de felicitacio-
nes navideas por parte de una Entidad Local, en cantidad aproximada de
quinientas, utilizando para ello datos obtenidos de los participantes en activi-
dades de las Escuelas de Padres, de la Escuela de verano (en este caso los
destinatarios eran menores), y de los servicios de Teleasistencia y Ayudas
a domicilio (tratndose, en este caso, de benefciarios de ayudas sociales).
Dichos datos haban sido recopilados a partir de entrevistas personales rea-
lizadas por el Teniente de Cargo 3 y de los formularios de participacin en
las actividades citadas.
Ante estos hechos, entre los fundamentos de derecho empleados en la cita-
da Resolucin se encuentra el apartado 2 del artculo 4 LOPD -principio de
calidad de datos- aplicable al supuesto de hecho que se analiza al disponer
lo siguiente:
( 75
Los datos de carcter personal objeto de tratamiento no podrn
usarse para finalidades incompatibles con aquellas para las que
los datos hubieran sido recogidos. No se considerar incompatible
el tratamiento posterior de stos con fines histricos, estadsticos o
cientficos.
En defnitiva, las EELL deben tener siempre presente el deber de informar
al interesado cuando, en relacin a los fcheros de datos personales gestio-
nados por los Servicios Sociales de las Entidades Pblicas Locales, se pre-
tenda recabar el consentimiento, ya que los datos no pueden ser tratados
para fnes distintos a los que motivaron su recogida, pues esto supondra un
nuevo uso que requiere el consentimiento del interesado.
LICENCIA DE ACTIVIDAD DE LOCALES COMERCIALES
La solicitud de una licencia de actividad es un acto obligatorio y previo al
inicio de cualquier actividad empresarial cuyo ejercicio requiera necesaria-
mente un local. El nivel de clasifcacin de los datos de estos fcheros
es bsico.

Es habitual en las EELL que esta solicitud sea en formato papel, por lo que
se debe incorporar a la misma un texto explicativo en el que se indiquen
claramente los siguientes puntos:
Existencia de un fchero, declarado en la Agencia de Proteccin de Datos,
donde se van a incorporar los datos de la solicitud indicando quin es el
responsable del fchero.
Finalidad del tratamiento de los datos.
Cesiones a terceros (en su caso).
Forma de ejercer los derechos de acceso, rectifcacin, cancelacin y
oposicin, ofreciendo un medio de contacto para su ejercicio.
76 )
VIDEOVIGILANCIA
La captacin y grabacin de imgenes de personas fsicas identifcadas o
identifcables por medio de sistemas de videocmaras es considerado por
la LOPD, segn su artculo 3a), como dato de carcter personal. un nmero
cada vez mayor de EELL instalan dispositivos de este tipo.
hay que tener en cuenta que se considera tratamiento de datos per-
sonales la captacin, grabacin, conservacin, elaboracin, modif-
cacin, bloqueo, cancelacin y cesin de imgenes.
La Agencia Espaola de Proteccin de Datos, en virtud de la competencia
que la LOPD le otorga, dict la Instruccin 1/ 2006, de 8 de noviembre de
2006, por la que se regula el tratamiento de imgenes, con el objeto de
garantizar los derechos de las personas cuyas imgenes son tratadas por
videocmaras con fnes de vigilancia.
Se excluyen las imgenes grabadas para uso domstico y el tratamiento de
imgenes por parte de las Fuerzas y Cuerpos de Seguridad del Estado, que
est regulado por la Ley Orgnica 4/97, de 4 de agosto.
Las principales exigencias a implantar son las siguientes:
Para cumplir con el deber de informacin, se debe colocar en las zonas
videovigiladas al menos un distintivo informativo ubicado en lugar su-
fcientemente visible, tanto en espacios abiertos como cerrados.
Este distintivo deber de incluir una referencia a la Ley Orgnica 15/1999,
de Proteccin de Datos, una indicacin de la fnalidad para la que se tratan
los datos y una mencin expresa a la identifcacin del responsable ante
quin puedan ejercitarse los derechos en materia de Proteccin de Datos.
( 77
Slo se considerar admisible la instalacin de cmaras cuando la
fnalidad de vigilancia no pueda obtenerse mediante otros medios
que resulten menos intrusivos para la intimidad de las personas.
Las imgenes slo sern tratadas cuando sean adecuadas, pertinentes
y no excesivas en relacin con el mbito y las fnalidades determinadas,
que hayan justifcado la instalacin de las cmaras.
La creacin de un fchero de imgenes de videovigilancia exige su previa
notifcacin a la Agencia Espaola de Proteccin de Datos, para la ins-
cripcin en su Registro General.
Acceso de personas ajenas 78 )
Afectado o interesado: persona fsica titular de los datos que sean ob-
jeto del tratamiento.
Responsable del fchero o tratamiento: persona fsica o jurdica, de
naturaleza pblica o privada, u rgano administrativo, que decida sobre
la fnalidad, contenido y uso del tratamiento.
Encargado del fchero o tratamiento: persona fsica o jurdica, auto-
ridad pblica, servicio o cualquier otro organismo que, solo o conjunta-
mente con otros, trate datos personales por cuenta del responsable del
tratamiento.
Responsable de Seguridad: persona o personas a las que el responsa-
ble del fchero ha asignado formalmente la funcin de coordinar y contro-
lar las medidas de seguridad aplicables.
Auditora: examen crtico y sistemtico que realiza una persona o grupo
de personas independientes del sistema auditado.
Datos de carcter personal: cualquier elemento que permite determi-
nar, de manera directa o indirecta, la identidad fsica, fsiolgica, psquica,
econmica, cultural o social de una persona fsica.
Fichero: conjunto organizado de datos de carcter personal, cualquiera
que sea la forma o modalidad de su creacin, almacenamiento, organiza-
cin y acceso. Es, por tanto, el soporte fsico, sea automatizado o no, en
el que se recoge y almacena, de manera organizada, el conjunto de datos
que integra la informacin.
Fichero automatizado: conjunto de datos almacenados en dispositivos
informticos (PC, lectores DvD, etc.) que requieren de herramientas ca-
paces de descifrar la informacin que contienen para su tratamiento.
Fichero no automatizado: conjunto de datos almacenados en soportes
que no requieren de herramientas para su tratamiento, como el papel.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema
de informacin. Atendiendo al sistema de tratamiento, los sistemas de
informacin podrn ser automatizados, no automatizados o parcialmente
automatizados.
Anexo II Glosario
( 79 Glosario
Respecto a este trmino y segn recoge el RDLOPD en su artculo 54.1.c,
la disposicin o acuerdo de creacin del fchero deber contener, entre
otros extremos, la estructura bsica del fchero mediante la descripcin
detallada de los datos identifcativos, y en su caso, de los datos especial-
mente protegidos, as como de las restantes categoras de datos de ca-
rcter personal incluidas en el mismo y el sistema de tratamiento utilizado
en su organizacin.
Tratamiento de datos: operaciones y procedimientos tcnicos de carc-
ter automatizado o no, que permitan la recogida, grabacin, conservacin,
elaboracin, modifcacin, bloqueo y cancelacin, as como las cesiones
de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Cesin o comunicacin de datos: toda revelacin de datos realizada a
una persona distinta del interesado.
Autenticacin: procedimiento de comprobacin de la identidad de un
usuario.
Identifcacin: procedimiento de reconocimiento de la identidad de un
usuario.
Niveles de seguridad: son los niveles en que se dividen las medidas de
seguridad atendiendo a la naturaleza de la informacin tratada. En base
a ello existen tres niveles de seguridad: bsico, medio y alto.
Recurso: cualquier parte que compone un sistema de informacin.
Sistema de informacin: conjunto de fcheros automatizados, progra-
mas y equipos empleados para el almacenamiento y tratamiento de datos
de carcter personal (servidores, PC de sobremesa, etc.).
Incidencia: cualquier anomala que afecte o pudiera afectar a la seguri-
dad de los datos.
Soporte: objeto fsico susceptible de ser tratado en un sistema de infor-
macin y sobre el cual se pueden grabar o recuperar datos.
Accesos autorizados: autorizaciones concedidas a un usuario para la
utilizacin de los diversos recursos.
80 )
Bloqueo de datos: la identifcacin y reserva de los datos con el fn de
impedir su tratamiento.
Copia de respaldo: copia de los datos de un fchero automatizado en un
soporte que posibilite su recuperacin.
Fuentes accesibles al pblico: aquellos fcheros cuya consulta puede
ser realizada por cualquier persona, no impedida por una norma que lo
limite. Tienen la consideracin de fuentes de acceso pblico, exclusiva-
mente, el censo promocional, los repertorios telefnicos en los trminos
previstos por su normativa especfca y las listas de personas pertene-
cientes a grupos de profesionales que contengan nicamente los datos
sde nombre, ttulo, profesin, actividad, grado acadmico, direccin e
indicacin de su pertenencia al grupo. Asimismo, tienen el carcter de
fuentes de acceso pblico, los Diarios y boletines Ofciales y los medios
de comunicacin.
Glosario
ms informacin
http://www.inteco.es
http://observatorio.inteco.es

Guia Proteccion Datos para Eell Altaresolucion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Proteccion Datos para Eell Altaresolucion

Cargado por

Copyright:

Formatos disponibles

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el

Los referidos a ideologa, afliacin

Los fcheros no automatizados que de forma incidental con-

Los fcheros cuyo tratamiento tenga como fnalidad

Aquello de lo que sean responsables

Ficheros de entidades gestoras, servicios comunes de la Seguridad Social, mutuas de

Datos que permitan deducir el

Origen radical o tnico

Recogidos para fnes policiales

También podría gustarte