Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA 8
AO 2015
NDICE:
I.
2/40
NOTA:
Se ha cambiado el orden de los apartados del programa para seguir la coherencia en
la exposicin. Adems, de la Disposiciones Generales, se ha incluido por su relevancia
el estudio de las disposiciones sectoriales contempladas en el Ttulo IV y en especial,
la creacin, modificacin o supresin de ficheros pblicos y su inscripcin en la
Agencia Espaola de Proteccin de Datos. Por ltimo, se ha incluido un Anexo sobre
transparencia y proteccin de datos por cuanto son materias ntimamente relacionadas
y porque se contempla en la Ley de Transparencia aspectos que inciden en la
proteccin de datos de carcter personal.
3/40
I. DISPOSICIONES GENERALES.
I.1. INTRODUCCIN
Para estudiar el tema de la proteccin de dato hemos de acudir en primer lugar,
a la Constitucin espaola (CE), que en su artculo 18, garantiza "el derecho al honor,
a la intimidad personal y a la propia imagen", as como, "el secreto de las
comunicaciones y en especial de las postales, telegrficas y telefnicas, salvo
resolucin judicial"; y establece en su apartado cuatro que la ley limitar "el uso de la
informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos
y el pleno ejercicio de sus derechos".
La proteccin de las personas con respecto al tratamiento automatizado de
datos de carcter personal se desarroll inicialmente por la Ley Orgnica 5/1992, de
29 de octubre, de Regulacin del Tratamiento Automatizado de los Datos de Carcter
Personal (en adelante, LOTARD).
Con anterioridad a la aprobacin de este texto legal Espaa haba firmado el 28
de enero de 1982 el Convenio comunitario sobre esta materia, aprobado y ratificado,
para su entrada en vigor en el mbito de nuestro pas, el 1 de octubre de 1985.
Este convenio estableca que los datos de carcter personal que sean objeto
de un tratamiento automatizado se obtendrn y tratarn leal y legtimamente; se
registrarn para finalidades determinadas y legtimas y no se utilizarn de una forma
incompatible con dichas finalidades; sern adecuados, pertinentes y no excesivos en
relacin con las finalidades para las cuales se hayan registrado; sern exactos y si
fuera necesario puestos al da; y se conservarn bajo una forma que no permitan la
identificacin de las personas concernidas durante un perodo de tiempo que no
exceda del necesario para las finalidades para las cuales se hayan registrado.
Los datos de carcter personal que revelen el origen racial las opiniones
polticas, las convicciones religiosas u otras convicciones, as como los datos de
carcter personal relativos a la salud o la vida sexual, no podrn tratarse
automatizadamente a menos que el derecho interno prevea garantas apropiadas. La
misma norma regir en el caso de datos de carcter personal referentes a condenas
penales.
Adems de ese convenio, hay que destacar que en el mbito comunitario, esta
materia se encuentra regulada en la Directiva 1995/46/CE de 24 de octubre, del
4/40
la
5/40
la Ley
19/2013, de 9 de diciembre, de
6/40
I.3. DELIMITACIN CONCEPTUALEl artculo 1 de la LOPD establece que su objeto es garantizar y proteger, en lo
concerniente al tratamiento de los datos personales, las libertades pblicas y los
derechos fundamentales de las personas fsicas, y especialmente de su honor e
intimidad personal y familiar.
Partiendo de ese precepto, la primera cuestin a tratar ser determinar qu
hemos de entender por proteccin de datos.
El artculo 3 da un concepto de datos de carcter personal, definindolos como
cualquier informacin concerniente a personas fsicas identificadas o identificables.
Ahora bien, es preciso en segundo lugar, determinar frente a qu tiene lugar
dicha proteccin.
Para ello, acudiremos al concepto de tratamiento de datos que contiene el
citado artculo 3, que lo define como operaciones y procedimientos tcnicos de
carcter automatizado o no, que permitan la recogida, grabacin, conservacin,
elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias.
Ms an, para completar la definicin, incluimos el concepto de cesin o
comunicacin de datos, que da dicho precepto como toda revelacin de datos
realizada a una persona distinta del interesado.
As las cosas, haciendo una interpretacin conjunta de todos los preceptos,
podemos entender por proteccin de datos, la proteccin de cualquier informacin
concerniente a personas fsicas identificadas o identificables frente a cualquier
operacin y procedimiento tcnico de carcter automatizado o no, que permitan la
recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin,
as como las cesiones de datos (esto es, su revelacin) que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Y por ltimo, siguiendo la jurisprudencia existente y en concreto, la Sentencia
292/2000, de 30 de noviembre, podemos decir que este derecho 'persigue garantizar
a esa persona el poder de control sobre sus datos personales, sobre su uso y destino,
con el propsito de impedir su trfico ilcito y lesivo para la dignidad y derecho del
afectado', estableciendo, en cuanto a su mbito, que 'el objeto de proteccin del
7/40
a) mbito objetivo
De acuerdo con la LOPD, los datos de carcter personal que la ley protege se
refieren a "cualquier informacin concerniente a personas fsicas identificadas o
identificables", y el tratamiento de los mismos del cual se protegen se define como las
"operaciones y procedimientos tcnicos de carcter automatizado o no que permitan la
recogida, grabacin conservacin elaboracin, modificacin, bloqueo y cancelacin,
as como de las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias" (artculos 3.a y 3.c).
En el mbito de aplicacin de la ley se incluyen todos los datos de carcter
personal registrados en soporte fsico, que los haga susceptibles de tratamiento y a
toda modalidad de uso posterior por los sectores pblico o privado.
As las cosas, quedan excluidos de su mbito de aplicacin los siguientes datos
personales:
9 Los datos referidos a personas jurdicas, o a los ficheros que se limiten a
incorporar los datos de las personas fsicas que presten sus servicios en
aqullas, consistentes nicamente en su nombre y apellidos, las funciones
o puestos desempeados, as como la direccin postal o electrnica,
telfono y nmero de fax profesionales.
9 Los datos relativos a empresarios individuales, cuando hagan referencia
a ellos en su calidad de comerciantes, industriales o navieros.
9 Los datos referidos a personas fallecidas.
Proteccin de Datos de Carcter Personal: Disposiciones generales. Datos especialmente protegidos.
8/40
b) mbito Territorial
En cuanto a su mbito territorial, la LOPD se aplicar en los siguientes casos:
a) Cuando el tratamiento sea efectuado en territorio espaol en el marco de
las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio espaol,
le sea de aplicacin la legislacin espaola en aplicacin de normas de
Derecho Internacional pblico.
c) Cuando el responsable del tratamiento no est establecido en territorio de
la Unin Europea y utilice en el tratamiento de datos medios situados en
territorio espaol, salvo que tales medios se utilicen nicamente con fines
de trnsito
se
considerarn
relacionados
con
actividades
personales
9/40
10/40
11/40
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de
acceso, rectificacin, cancelacin y oposicin.
h) Las medidas de seguridad con indicacin del nivel bsico, medio o alto
exigible.
Todo fichero de datos de carcter personal de titularidad pblica ser notificado
a la Agencia Espaola de Proteccin de Datos, por el rgano competente de la
Administracin responsable del fichero para su inscripcin en el Registro General de
Proteccin de datos, en el plazo de treinta das desde la publicacin de la norma o
acuerdo de creacin en el diario oficial correspondiente.
En relacin con los ficheros de los que sean responsables las CCAA, entidades
Locales y las entidades u organismos vinculados o dependientes de las mismas, las
universidades pblicas, as como los rganos de las comunidades autnomas con
funciones anlogas a los rganos constitucionales del Estado se estar a su
legislacin especfica.
En el caso de la Comunidad Autnoma de la Regin de Murcia, su regulacin
se contiene en la Circular 1/2009, de 17 de noviembre de la Direccin General de
Calidad e Innovacin de los servicios pblicos sobre procedimiento para la creacin,
modificacin, supresin y notificacin de ficheros pblicos con datos personales de la
Administracin Pblica de la Regin de Murcia.
De esa circular, destacaremos que en cuanto a la disposicin de creacin,
modificacin o supresin, cuando se trate de ficheros pblicos dependientes de las
Consejeras, adoptarn la forma de Orden del titular de la Consejera correspondiente,
y cuando se trate de ficheros pblicos gestionados por sus Organismos Pblicos o
Entidades vinculados o dependientes de las mismas, ser mediante Resolucin del
titular del Organismo Pblico o Ente.
Y en cuanto al procedimiento de inscripcin de la creacin, modificacin o
supresin de ficheros, ste se regula en el artculo 130 y siguientes del Reglamento,
del que podemos destacar que se iniciar como consecuencia de la notificacin por
parte de las CCAA conforme a los modelos o formularios electrnicos publicados al
efecto por la Agencia Espaola de Proteccin de Datos.
Asimismo, la resolucin corresponde al Director de la Agencia Espaola de
Proteccin de Datos, a propuesta del Registro General de Proteccin de datos.
12/40
II. PROTECCIN DE DATOS.Para garantizar la proteccin de datos, la LOPD establece una serie de
principios, y una serie de derechos para hacer efectivos el cumplimiento de este
derecho fundamental. Adems, establece las medidas de seguridad que se han de
adoptar, segn el tipo de datos y un rgimen sancionador para los supuestos de
incumplimiento de la Ley. Por ltimo, la Ley atribuye a una autoridad independiente la
funcin de velar por el cumplimiento de la Ley.
As pues, estos son los apartados a desarrollar en orden a determinar cmo se
articula por Ley, la proteccin de datos de carcter personal.
II.1. PRINCIPIOS
La LOPD regula en su ttulo II (artculos 4 a 12) una serie de principios que han
de cumplirse para respetar el derecho fundamental a la proteccin de datos de
carcter personal. Son los siguientes:
a) Principio de calidad
El primero de esos principios es el PRINCIPIO DE CALIDAD, que implica que
los datos han de reunir una serie de caractersticas para su tratamiento.
En concreto, los datos han de ser adecuados, pertinentes y no excesivos en
relacin con el mbito y la finalidad, finalidad que ha de ser determinada, explcita y
legtima para las que se hayan obtenido.
Se exige adems que no pueda ser utilizada para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos.
13/40
Por ltimo, se exige que los datos sean exactos y puestos al da, de forma que
respondan con veracidad a la situacin actual de la persona.
14/40
sin el conocimiento del interesado se le deber informar en el plazo de los tres meses
siguientes al tratamiento, del contenido de cada uno de los puntos del artculo 5.1.
Por otro lado, no ser exigible este deber en los siguientes casos:
a) Cuando una ley lo prevea expresamente
b) Cuando el tratamiento tenga fines histricos, estadsticos o cientficos.
c) Cuando la informacin al interesado resulte imposible.
d) Cuando exija esfuerzos desproporcionados a criterio de la Agencia de
Proteccin de Datos o del organismo autonmico equivalente, en
consideracin al nmero de interesados, la antigedad de los datos y a las
posibles medidas compensatorias.
e) Cuando los datos procedan de fuentes accesibles al pblico y se destinen a
la actividad de publicidad o prospeccin comercial, en cuyo caso, en cada
comunicacin que se dirija al interesado se le informar del origen de los
datos y de la identidad del responsable del tratamiento as como de los
derechos que le asisten.
Adems es necesario destacar que el responsable del fichero o tratamiento
deber conservar los documentos o cualquier otro soporte utilizado que acredite el
cumplimiento del deber de informacin.
Por ltimo, cabe sealar que el incumplimiento del deber de informacin aqu
visto, se encuentra tipificado como falta leve en el artculo 44.2.d) de la Ley: Proceder
a la recogida de datos de carcter personal de los propios afectados sin
proporcionarles la informacin que seala el artculo 5 de la presente Ley'.
15/40
inequvoco del afectado, salvo que la ley disponga otra cosa, correspondiendo al
responsable del tratamiento la obtencin del consentimiento y la prueba de su
existencia por cualquier medio de prueba admisible en derecho.
La manifestacin de la voluntad del interesado ha de reunir las siguientes
caractersticas:
A. Libre, lo que supone que el mismo deber haber sido obtenido sin la
intervencin de vicio alguno del consentimiento en los trminos regulados
por el Cdigo Civil.
B. Inequvoco, lo que implica que no resulta admisible deducir el
consentimiento
de
los
meros
actos
realizados
por
el
afectado
16/40
Censo
promocional,
Repertorios
telefnicos
(normativa
17/40
e) Deber de Secreto
De acuerdo con el artculo 10 de la Ley, el responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carcter personal estn
obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirn aun despus de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
En la prctica, este principio implica que las personas que deban operar sobre
los ficheros, o tengan acceso a datos personales, aunque slo sea a modo de
consulta, debern estar sometidos por medidas o normas estrictas de conducta
relativas al mantenimiento de la confidencialidad (compromiso de confidencialidad) en
el desempeo de su labor diaria.
Segn el tipo de dato que se trate, el incumplimiento del deber de secreto
puede ser constitutivo de una infraccin leve, grave o muy grave (en el caso de datos
especialmente protegidos) de acuerdo con el artculo 44 de la LOPD.
f) Comunicacin de Datos
Resulta de especial inters el estudio de la comunicacin de datos, por cuanto
puede existir un conflicto entre la proteccin de datos y la cesin que implica en la
18/40
mayora de los casos, la utilizacin de los datos para finalidades distintas para las que
se recab inicialmente.
El artculo 11 establece que los datos de carcter personal slo podrn ser
comunicados a un tercero para el cumplimiento de fines directamente relacionados
con las funciones legtimas del cedente y del cesionario con el previo consentimiento
del interesado.
La Ley exige tambin que el consentimiento del interesado deba obtenerse con
carcter previo a la cesin, estableciendo que ser nulo el consentimiento para la
comunicacin de datos, cuando la informacin que se facilite al interesado no le
permita conocer la finalidad a que se destinarn los datos cuya comunicacin se
autoriza o el tipo de actividad de aquel a quien se pretende comunicar.
Tambin cabe sealar que el consentimiento para la comunicacin de datos
tiene un carcter de revocable.
Por otro lado, no ser preciso el consentimiento en los supuestos previstos en
el apartado 2 del citado artculo 11, que pasamos a ver:
a)
b)
c)
d)
e)
19/40
f)
20/40
21/40
a) Impugnacin de Valores
La impugnacin de valores implica que los ciudadanos tienen derecho a no
verse sometidos a una decisin con efectos jurdicos, sobre ellos o que les afecte de
manera significativa, que se base nicamente en un tratamiento de datos destinados a
evaluar determinados aspectos de su personalidad.
Por el contrario, la valoracin sobre el comportamiento de los ciudadanos,
basada en un tratamiento de datos, nicamente podr tener valor probatorio a peticin
del afectado.
Por todo ello, el afectado podr impugnar los actos administrativos o decisiones
privadas que impliquen una valoracin de su comportamiento, cuyo nico fundamento
sea un tratamiento de datos de carcter personal que ofrezca una definicin de sus
caractersticas o personalidad.
En este caso, el afectado tendr derecho a obtener informacin del
responsable del fichero, ya sea ste persona jurdica pblica o privada, sobre los
criterios de valoracin y el programa utilizados en el tratamiento que sirvi para
adoptar la decisin en que consisti tal acto.
22/40
c) El Derecho de acceso
El interesado tendr derecho a solicitar y obtener gratuitamente informacin de
sus datos de carcter personal sometidos a tratamiento, el origen de dichos datos, as
como las comunicaciones realizadas o que se prevn hacer de los mismos.
En virtud de este derecho, el afectado podr obtener del responsable del
tratamiento informacin relativa a datos concretos, a datos incluidos en un
determinado fichero o a la totalidad de sus datos sometidos a tratamiento.
El afectado podr obtener la informacin a travs de uno o varios de los
siguientes sistemas de consulta del fichero:
9 Visualizacin en pantalla.
9 Escrito, copia o fotocopia remitida por correo, certificado o no. Telecopia
9 Correo electrnico u otros sistemas de comunicacin electrnicas.
9 Cualquier otro sistema que sea adecuado a la configuracin o implantacin
material del fichero o a la naturaleza del tratamiento, ofrecido por el
responsable.
En cuanto al procedimiento para el ejercicio de este derecho, cabe decir lo
siguiente:
9 El titular de los datos deber dirigir una solicitud de acceso al responsable
del fichero, con indicacin de sus datos identificativos y de los ficheros a
consultar.
9 El responsable del fichero deber resolver sobre dicha peticin en el plazo
mximo de un mes a contar desde la recepcin de la misma
Transcurrido dicho plazo sin que de forma expresa se responda a la
peticin de acceso, el interesado podr interponer la correspondiente
reclamacin (artculo 18 de la LOPD).
9 El responsable del fichero o tratamiento podr denegar el acceso a los
datos de carcter personal en los siguientes casos:
9 Cuando el derecho ya se haya ejercitado en los doces meses anteriores a
la solicitud, salvo que acredite un inters legtimo al efecto.
9 Cuando as lo prevea una Ley o una norma de derecho comunitario de
aplicacin directa o cuando stas impidan al responsable del tratamiento
Proteccin de Datos de Carcter Personal: Disposiciones generales. Datos especialmente protegidos.
23/40
24/40
e) El Derecho de Oposicin
De conformidad con el artculo 6, apartado 4 de la LOPD los titulares de los
datos, podr instar la oposicin a su tratamiento en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legtimo y fundado, referido a
su concreta situacin personal, que lo justifique, siempre que una Ley no
disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realizacin de
actividades de publicidad y prospeccin comercial, en los trminos previstos
en el artculo 51 del reglamento, cualquiera que sea la empresa
responsable de su creacin.
c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin
referida al afectado y basada nicamente en un tratamiento automatizado
de sus datos de carcter personal, en los trminos previstos en el artculo
36 del reglamento.
En cuanto al procedimiento para el ejercicio de este derecho de oposicin,
podemos sealar lo siguiente:
9 Este derecho se ejercitar mediante solicitud dirigida al responsable del
tratamiento, con indicacin de los motivos fundados y legtimos, relativos a
25/40
f) Derecho a Indemnizacin
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en
la LOPD por el responsable o el encargado del tratamiento, sufran dao o lesin en
sus bienes o derechos tendrn derecho a ser indemnizados.
Para la determinacin del tipo de indemnizacin y cuanta, la Ley distingue
entre ficheros de titularidad pblica y privada, estableciendo que en el primer caso, se
estar a lo dispuesto en la legislacin reguladora del rgimen de responsabilidad de
las Administraciones Pblicas, esto es, la Ley 30/1992, de 26 de noviembre, de
Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo
Comn.
En el caso de ficheros de titularidad privada, la accin se ejercitar ante los
rganos de la jurisdiccin ordinaria.
26/40
administrativas
penales,
Administraciones
tributarias,
27/40
28/40
a)
b)
c)
A. Actuaciones Previas:
No es una fase propiamente dicha, y tiene por objeto determinar si concurren
circunstancias que justifiquen tal iniciacin y en concreto, los hechos que pudieran
justificar la incoacin del procedimiento, identificar la persona u rgano que pudiera
resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el
caso. Tendrn una duracin de 12 meses y le corresponde al Director de la Agencia
Espaola de Proteccin de Datos.
B. Inicio:
El procedimiento sancionador se iniciar de oficio, mediante acuerdo, de la
Agencia Espaola de Proteccin de Datos, bien por iniciativa propia, o como
consecuencia de la existencia de una denuncia o una peticin razonada de otro
rgano.
C. Resolucin:
El plazo para dictar resolucin ser el que determine las normas aplicables a
cada procedimiento sancionador y se computar desde la fecha en que se dicte el
29/40
30/40
31/40
-El Director
32/40
2. Principio de
protegidos:
Consentimiento
en
los
datos
especialmente
33/40
6. Medidas de Seguridad.
Por ltimo, y para completar el rgimen especial de proteccin aplicable a este
tipo de datos, tal y como establece el artculo 81 del Reglamento que desarrolla la
LOPD, y que fue aprobado por el Real Decreto 1720/2007, de 21 de diciembre, el
responsable del fichero deber garantizar la seguridad de los datos especialmente
protegidos adoptando en su organizacin las medidas de seguridad correspondientes
a los niveles alto o medio en los siguientes trminos:
1. Nivel Alto: el responsable del fichero debe garantizar la seguridad de los
datos que revelan la ideologa, afiliacin sindical, religin y creencias de las
personas fsicas as como la de los datos que hagan referencia al origen
racial, la salud o la vida sexual aplicando en sus ficheros las medidas de
34/40
7. Infracciones
El responsable del fichero debe tener en cuenta que recoger, tratar y ceder
datos de carcter personal vulnerando los principios y garantas establecidas en la
LOPD puede ser constitutivo de infraccin leve, grave o muy grave segn sea el caso
de que se trate, pudiendo ser sancionado por la Agencia Espaola de Proteccin de
Datos (AEPD) con multas de hasta 600.000 euros por la infraccin ms grave.
35/40
36/40
37/40
prevencin,
investigacin
sancin
de
los
ilcitos
penales,
administrativos o disciplinarios.
f) La igualdad de las partes en los procesos judiciales y la tutela judicial
efectiva.
g) Las funciones administrativas de vigilancia, inspeccin y control.
h) Los intereses econmicos y comerciales.
i)
j)
38/40
39/40
IV.3.
40/40