Está en la página 1de 30

Gestión de la seguridad de la información por el empleado

Módulo 1 · Roles de responsabilidad en el uso de datos


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Objetivo del curso

En la sociedad de la información los datos constituyen uno de los mayores y


más importantes recursos con que cuenta una empresa en su actividad
laboral. De ahí la importancia de implantar las medidas necesarias para dar
cumplimiento a las exigencias de la normativa vigente en seguridad de la
información.

En este proceso, las empresas se encuentran con la necesidad de concienciar a


los usuarios de los sistemas y, en general, a todo el personal de la empresa,
dado que, en la práctica, es sobre este colectivo sobre quién recae la
responsabilidad de realizar un correcto uso y manejo de la información en el
desempeño diario de sus funciones.

Atendiendo a que en la actualidad los datos representan uno de los mayores


activos que puede poseer una empresa, el presente curso pretende
proporcionar los conocimientos necesarios al personal en materia de
seguridad de la información, así como concienciarle acerca de sus funciones y
obligaciones.

CONVERSIA © 2015 | Derechos reservados. Página 2 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Para ello, se revisarán todas las fases del tratamiento en el uso de datos y los
principales sujetos que intervienen, así como las medidas de seguridad a tener
en cuenta y los requisitos legales estipulados por la normativa vigente.

Al finalizar el presente curso, el alumno habrá adquirido los conocimientos


suficientes para gestionar con eficacia todas las situaciones posibles que
afecten al desarrollo de sus tareas personales en la empresa, en relación al
uso de datos.

Asimismo, conocerá los procedimientos a seguir ante reclamaciones de


clientes, de empleados o ante cualquier eventualidad que pueda surgir en
cualquier fase del tratamiento de la información.

Sólo de este modo, podrán evitarse conductas ilícitas que puedan derivar en
responsabilidades posteriores.

1. Roles de responsabilidad en el uso de los datos

La Constitución Española, su artículo 18, ya reconocía el derecho fundamental


al honor, la intimidad personal y familiar y a la propia imagen, estableciendo en
su punto cuarto que la Ley limitará el uso de la informática para garantizar el
honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de
sus derechos.

A su vez, en la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24


de octubre de 1995 se decía Los Estados miembros garantizarán, con arreglo a
las disposiciones de la presente Directiva, la protección de las libertades y de
los derechos fundamentales de las personas físicas, y, en particular, del
derecho a la intimidad, en lo que respecta al tratamiento de los datos
personales, haciendo extensivo su ámbito de aplicación a los tratamientos total
o parcialmente automatizados de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos en
un fichero.

La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos


(LOPD) de carácter personal adaptó nuestro ordenamiento a lo dispuesto por la
Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de

CONVERSIA © 2015 | Derechos reservados. Página 3 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

1995, relativa a la protección de las personas físicas en lo que respecta al


tratamiento de datos personales, y a la libre circulación de estos datos,
derogando a su vez la hasta entonces vigente Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del tratamiento automatizado de datos de carácter
personal. La actual Ley tenía por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor
e intimidad personal, ampliando el ámbito de aplicación tanto a los
tratamientos de datos automatizados como no automatizados.

Tanto la LOPD como su posterior Reglamento, el Real Decreto 1720/2007, de 21


de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (RLOPD), obliga a todas las personas, empresas y organismos, tanto
privados como públicos, que dispongan de datos de carácter personal, a
cumplir una serie de requisitos y aplicar determinadas medidas de seguridad
en función del tipo de datos que posean.

En el ámbito laboral existen una serie de sujetos cuyo papel, en relación a la


protección de datos personales, resulta de especial relevancia ya que en mayor
o menor medida, todas las fases del tratamiento de datos de carácter personal
se articularán a través de ellos.

1.1. El responsable del fichero


El responsable del fichero o responsable del tratam iento es toda
persona física o jurídica, de naturaleza pública o privada u órgano
administrativo que decide sobre la finalidad, contenido y uso del tratamiento de
los datos. El responsable del fichero puede ser cualquiera de los siguientes
sujetos:
— Personas físicas titulares de empresas o que llevan a cabo actividad
económica.
— Empresas constituidas bajo cualquier forma jurídica.
— Una administración pública.

Cualquiera de los sujetos mencionados puede crear un fichero de datos que


responda a una finalidad necesaria para llevar a cabo las actividades que le son
propias. Los ficheros contienen datos personales de sus clientes, proveedores,

CONVERSIA © 2015 | Derechos reservados. Página 4 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

empleados o de cualquier otro colectivo, siempre que éstos sean personas


físicas. Las personas físicas cuyos datos son objeto del tratamiento por parte
del responsable del fichero se denominan afectados o interesados.

El responsable de fichero debe cumplir, entre otras, con las siguientes


obligaciones:

— Inscripción de ficheros

— Calidad de los datos

— Deber de información

— Consentimiento

— Seguridad de los datos

— Deber de secreto

— Atender los derechos de los ciudadanos

Las denominaciones responsable del fichero y responsable del


tratam iento pueden utilizarse indistintamente. En la Ley 15/1999 de
Protección de Datos de carácter personal se utilizan ambas
denominaciones, mientras que en su Reglamento de desarrollo se
utiliza exclusivamente la denominación responsable del
tratam iento.

1.1.1. Inscripción de ficheros

Con carácter obligatorio, toda persona o entidad que proceda a la creación de


ficheros de datos personales, deberá notificarlo previamente a la Agencia
Española de Protección de Datos. Los titulares de los ficheros deberán
identificarlos y cumplir con las medidas de seguridad que necesariamente se
deben de implementar según la naturaleza de los datos contenidos en cada
fichero.

CONVERSIA © 2015 | Derechos reservados. Página 5 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Una vez que se ha notificado la creación del fichero en el Registro de Protección


de Datos, se podrá proceder a la recogida de los datos y su posterior
incorporación.

En la notificación deberá constar necesariamente:

— El Responsable del Fichero

— Finalidad

— Su ubicación

— Tipología de los datos

— Las medidas de seguridad

— Cesiones de datos previstas

En el supuesto de que se produzcan transferencias internacionales de datos,


también deberá hacerse constar en la notificación del fichero, que será inscrito
siempre que la solicitud se ajuste a los requisitos exigidos.

1.1.2. Calidad de los datos

El objetivo del principio de calidad es garantizar la adecuación, exactitud,


pertinencia y proporcionalidad de los datos. Estos requisitos deberán
cumplirse tanto en el momento de la recogida de datos como en todas las fases
de su tratamiento.

Existen unos principios de calidad cuyo objeto es garantizar el uso adecuado y


pertinente de los datos:

— Deben adecuarse a la finalidad para la que han sido recabados.

— Deben ser exactos y actualizados.

— No deben mantenerse indefinidamente si no son necesarios.

— Deben haber sido recabados de forma lícita.

Los datos sólo se podrán recoger y someter a su tratamiento cuando sean


adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para los que se hayan
obtenido.

CONVERSIA © 2015 | Derechos reservados. Página 6 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Estos criterios de adecuación se relacionan expresamente con las finalidades


para las que se han recabado los datos; en caso de que las finalidades del
tratamiento cambien, los datos deberán ser cancelados.

Por ello, es importante determinar en las cláusulas de información todas las


finalidades a las que se van a destinar los datos y cumplir con el deber de
información en su recogida.

La utilización no abusiva de los datos impide que los datos se usen para
finalidades incompatibles o distintas de aquéllas para las que hubiesen sido
recogidos, si bien no se considera incompatible el tratamiento posterior de
estos datos con fines históricos, estadísticos o científicos.

Así mismo, los datos tienen que ser exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado. Ello no significa que
la responsabilidad de mantener exactos los datos de los afectados recaiga
sobre las empresas cuando éstas no tengan medios suficientes para conocer
su exactitud, no obstante si se tiene conocimiento de la inexactitud de un dato,
las empresas tienen el deber de proceder a su actualización. Este proceso
puede realizarse:

— De oficio por el Responsable del Fichero, cuando conozca dicha inexactitud.

— Mediante del ejercicio del derecho de rectificación por el propio interesado.

La cancelación de los datos se producirá directamente por el Responsable del


Fichero en el momento en que el dato no sea necesario, sin perjuicio de la
posibilidad que tiene el afectado de solicitar dicha cancelación.

En el caso de que alguna obligación legal establezca la necesidad de conservar


los datos una vez concluida la finalidad que motivó su recogida, el Responsable
del Fichero conservará los datos a través del boqueo del dato o previo proceso
de disociación.

1.1.3. Deber de información

Los interesados a los que se soliciten datos personales deberán ser


previamente ser informados de modo expreso, preciso e inequívoco:

— De la existencia de un fichero de tratamiento de datos, de la finalidad de la


recogida de éstos y de los destinatarios de la información.

CONVERSIA © 2015 | Derechos reservados. Página 7 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

— Del carácter obligatorio o facultativo de su respuesta a las preguntas que


les sean planteadas.

— De las consecuencias de la obtención de los datos o de la negativa a


suministrarlos.

— De la posibilidad de ejercitar los derechos de acceso, rectificación,


cancelación y oposición.

— De la identidad y dirección del responsable del tratamiento o, en su caso, de


su representante.

Cuando se utilicen cuestionarios u otros impresos para la recogida, deberán


figurar en ellos dichas advertencias de forma inteligible.

Cuando los datos no sean recabados del propio interesado, éste deberá ser
informado de forma expresa, precisa e inequívoca, por el responsable del
fichero o su representante, dentro de los tres meses siguientes al momento del
registro de los datos, salvo que ya hubiera sido informado con anterioridad:

— Del contenido del tratamiento.

— De la procedencia de los datos.

— De la existencia de un fichero o tratamiento de datos de carácter personal,


de la finalidad de la recogida de éstos y de los destinatarios de la
información.

— De la posibilidad de ejercitar los derechos de acceso, rectificación,


cancelación y oposición.

— De la identidad y dirección del responsable del tratamiento o, en su caso, de


su representante.

1.1.4. Consentimiento

El tratamiento de los datos de carácter personal requerirá el consentimiento


inequívoco del afectado, salvo que la ley disponga otra cosa. Dicho
consentimiento puede obtenerse de forma tácita o expresa, en función del tipo
de datos y la finalidad de su tratamiento.

Existen una serie de excepciones que permiten el tratamiento de datos


personales sin obtener el consentimiento de los afectados:

CONVERSIA © 2015 | Derechos reservados. Página 8 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

— Se recogen para el ejercicio de las propias administraciones públicas en el


ámbito de sus competencias.

— En cumplimiento de una Ley.

— Cuando el tratamiento tiene como finalidad proteger un interés vital del


interesado.

— Cuando los datos figuren en fuentes accesibles al público.

El interesado podrá revocar el consentimiento para el tratamiento de sus datos


cuando exista causa justificada para ello y no se le atribuyan efectos
retroactivos.

1.1.5. Seguridad de los datos

Se deberán adoptar las medidas de seguridad que se establecen


reglamentariamente en función del tipo de datos que se traten. Existen 3
niveles de seguridad:

— Nivel Básico: todo aquel fichero que contenga datos de carácter personal.

— Nivel Medio: aquellos ficheros que contengan datos relativos a la comisión


de infracciones administrativas o penales, hacienda pública, entidades
financieras que presten servicios financieros; datos de los cuales sea
responsable Entidades Gestoras y Servicios Comunes de la Seguridad
Social, mutuas de accidentes de trabajo y enfermedades profesionales de
la Seguridad Social; y aquellos ficheros que contengan datos que permitan
la evaluación de la personalidad de un individuo.

— Nivel Alto: aquellos ficheros que contengan datos que proporcionen


información del afectado en relación a su ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual; contengan o se
refieran a datos recabados para fines policiales sin consentimiento de las
personas afectadas; contengan datos derivados de actos de violencia de
género.

El responsable del fichero, así como cualquier persona, física o jurídica,


que intervenga en el tratamiento de datos personales, deberá contemplar
las medidas de seguridad específicas establecidas según el tipo de datos
que sean objeto del tratamiento.

CONVERSIA © 2015 | Derechos reservados. Página 9 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

1.1.6. Deber de secreto

De acuerdo con el artículo 10 de la LOPD, el responsable del fichero y quienes


intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.

De la misma manera, el artículo 197 del Código Penal, resguarda la revelación


de secretos por parte de cualquier persona que maneje datos de carácter
personal. La conducta que se tipifica en este artículo es el apoderamiento por
parte de un individuo de un secreto o revelación de intimidad, de una carta, de
papeles, mensajes electrónicos sin contar con el consentimiento del afectado.

Las responsabilidades ante el incumplimiento del deber de secreto recaerán


sobre el responsable del fichero y, en su caso, sobre el encargado del
tratamiento.

1.1.7. Atender los derechos de los ciudadanos

La normativa de protección de datos pone a disposición de los afectados una


serie de mecanismos para que tengan la posibilidad de defenderse ante
situaciones de ilegalidad o de vulneración de sus derechos.

Entre ellos, figura el derecho de consulta en el Registro General de Protección


de Datos. Este derecho de los ciudadanos no se ejercita ante el responsable del
fichero, sino ante la Agencia de Protección de Datos.

Además, los afectados podrán ejercer sus derechos personalísimos de acceso,


rectificación y cancelación de sus datos de carácter personal. Estos derechos,
cuyo ejercicio está reglamentariamente establecido, tienen en común los
siguientes extremos:

— Son gratuitos.

— Se ejercen de un modo personal. No se necesita representación jurídica


para denunciar en protección de datos.

CONVERSIA © 2015 | Derechos reservados. Página 10 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

— Se trata de derechos independientes. Es decir, el ejercicio de uno no obsta


para el ejercicio de cualquiera de los otros tres.

— Se ejercitan ante el responsable del fichero. En caso de que éste no atienda


la petición o la responda negativamente, los afectados podrán poner el
hecho en conocimiento de la Agencia de Protección de Datos.

1. El ejercicio de los derechos deberá llevarse a cabo mediante comunicación


dirigida al responsable del fichero, que contendrá:

a. Nombre y apellidos del interesado; fotocopia de su documento nacional


de identidad, o de su pasaporte u otro documento válido que lo
identifique o, en su defecto, de la persona que lo represente. También
puede acreditarse la identidad del afectado mediante la utilización de su
firma electrónica identificativa.

b. Petición en que se concreta la solicitud.

c. Dirección a efectos de notificaciones.

d. Documentos acreditativos de la petición que se formula.

2. El responsable del fichero deberá contestar la solicitud que se le dirija en


todo caso, con independencia de que los datos personales del afectado
figuren o no en sus ficheros.

3. En el caso de que la solicitud no reúna los requisitos especificados, el


responsable del fichero deberá solicitar la subsanación de los mismos.

4. La respuesta deberá ser conforme a la solicitud de ejercicio de derechos del


afectado.

5. Corresponderá al responsable del fichero la prueba del cumplimiento del


deber de respuesta, teniendo la obligación de conservar la acreditación del
cumplimiento del mencionado deber.

6. El responsable del fichero deberá adoptar las medidas oportunas para


garantizar que las personas de su organización que tienen acceso a datos de
carácter personal puedan informar del procedimiento a seguir por el
afectado para el ejercicio de sus derechos.

CONVERSIA © 2015 | Derechos reservados. Página 11 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

7. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición


podrá modularse por razones de seguridad pública en los casos y con el
alcance previsto en las leyes.

8. Cuando las leyes aplicables a determinados ficheros concretos establezcan


un procedimiento especial para la rectificación o cancelación de los datos
contenidos en ellos, se estará a lo dispuesto en aquéllas.

Si el afectado dirige un ejercicio de derechos al encargado de


tratamiento, éste deberá ponerlo en conocimiento del responsable del
fichero, a menos que en la relación entre ambos se haya previsto que
sea el propio encargado de tratamiento quien se ocupe de responder la
solicitud del afectado.

A.  Derecho  de  acceso  


El derecho de acceso es el derecho del afectado a obtener información sobre
si sus datos de carácter personal están siendo objeto de tratamiento, la
finalidad del tratamiento que, en su caso, se esté realizando, así como la
información disponible sobre el origen de dichos datos y las comunicaciones
realizadas o previstas de los mismos. En virtud del derecho de acceso el
afectado podrá obtener del responsable del tratamiento información relativa
a datos concretos, a datos incluidos en un determinado fichero, o a la
totalidad de sus datos sometidos a tratamiento.

El responsable del fichero resolverá sobre la solicitud de acceso en el plazo


máximo de un mes a contar desde la recepción de la solicitud. Transcurrido
el plazo sin que de forma expresa se responda a la petición de acceso, el
interesado podrá interponer la reclamación prevista en el artículo 18 de la
LOPD.

En el caso de que el responsable del fichero no disponga de datos de


carácter personal de los afectados deberá igualmente comunicárselo en el
mismo plazo.

Si la solicitud fuera estimada, la información que se proporcione, cualquiera


que sea el soporte en que fuere facilitada, deberá facilitarse de forma legible
e inteligible.

CONVERSIA © 2015 | Derechos reservados. Página 12 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Dicha información comprenderá todos los datos del afectado, los resultantes
de cualquier elaboración o proceso informático, así como la información
disponible sobre el origen de los datos, los cesionarios de los mismos y la
especificación de los concretos usos y finalidades para los que se
almacenaron los datos.

El responsable del fichero o tratamiento podrá denegar el acceso a los datos


de carácter personal cuando el derecho ya se haya ejercitado en los doce
meses anteriores a la solicitud, salvo que se acredite un interés legítimo al
efecto.

B.  Derecho  de  rectificación  


El derecho de rectificación es el derecho del afectado a que se modifiquen
los datos referentes a su persona que resulten ser inexactos o incompletos.

La solicitud de rectificación deberá indicar a qué datos se refiere y la


corrección que haya de realizarse.

El responsable del fichero resolverá sobre la solicitud de rectificación en el


plazo máximo de diez días hábiles a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo
18 de la LOPD.

En el caso de que no disponga de datos de carácter personal del afectado


deberá igualmente comunicárselo en el mismo plazo.

Podrá también denegarse los derechos de rectificación en los supuestos en


que así lo prevea una ley o una norma de derecho comunitario de aplicación
directa, o cuando éstas impidan al responsable del tratamiento revelar a los
afectados el tratamiento de los datos a los que se refiera el acceso.

En todo caso, el responsable del fichero informará al afectado de su derecho


a recabar la tutela de la Agencia Española de Protección de Datos o, en su
caso, de las autoridades de control de las Comunidades Autónomas,
conforme a lo dispuesto en el artículo 18 de la LOPD.

CONVERSIA © 2015 | Derechos reservados. Página 13 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

C.  Derecho  de  cancelación  


El ejercicio del derecho de cancelación dará lugar a que se supriman los
datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de
bloqueo.

El responsable del fichero resolverá sobre la solicitud de cancelación en el


plazo máximo de diez días hábiles a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo
18 de la LOPD.

La cancelación no procederá cuando los datos de carácter personal deban


ser conservados durante los plazos previstos en las disposiciones aplicables
o, en su caso, en las relaciones contractuales entre el responsable del
fichero y el interesado que justificaron el tratamiento de los datos.

Podrá también denegarse los derechos de cancelación en los supuestos en


que así lo prevea una ley o una norma de derecho comunitario de aplicación
directa o cuando éstas impidan al responsable del tratamiento revelar a los
afectados el tratamiento de los datos a los que se refiera el acceso.

En todo caso, el responsable del fichero informará al afectado de su derecho


a recabar la tutela de la Agencia Española de Protección de Datos o, en su
caso, de las autoridades de control de las Comunidades Autónomas,
conforme a lo dispuesto en el artículo 18 de la LOPD.

D.  Derecho  de  oposición  


El derecho de oposición es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carácter personal.

El responsable del fichero resolverá sobre la solicitud de oposición en el


plazo máximo de diez días hábiles a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo
18 de la LOPD.

En el caso de que no disponga de datos de carácter personal de los


afectados deberá igualmente comunicárselo en el mismo plazo.

CONVERSIA © 2015 | Derechos reservados. Página 14 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Los derechos de acceso, rectificación, cancelación y oposición también


son conocidos con el acrónimo ARCO.

1.2. El encargado de tratamiento


El encargado del tratam iento es cualquier persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, solo o
conjuntamente con otros, trata datos de carácter personal por cuenta del
responsable del fichero. Dicho acceso a datos deberá regularse mediante la
firma de un contrato de prestación de servicios. Este contrato deberá
formalizarse por escrito, o por cualquier otro medio que permita acreditar su
celebración.

CONVERSIA © 2015 | Derechos reservados. Página 15 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Las relaciones del encargado de tratamiento con el responsable del fichero


surgen, principalmente, como consecuencia de la prestación de servicios entre
empresas, cuando dicha prestación exige necesariamente que la empresa
prestadora del servicio acceda y trate datos personales, respecto de los cuales
la empresa que encarga la prestación del mismo tiene la consideración de
responsable del fichero. Pueden encontrarse este tipo de relaciones en
muchos ámbitos de la actividad habitual de las empresas, como son, entre
otros:

— Grupos de empresas en los que las empresas matrices se convierten en


encargados de tratamiento cuando actúan prestando servicios comunes a
sus filiales.

— Gestorías o asesorías externas (asesorías fiscales, laborales, etc.), que


llevan a cabo servicios para el responsable del fichero como, entre otras
muchas, la gestión de nóminas.

— Empresas que presten servicios a clientes de un tercero (por ejemplo,


empresas que prestan servicios informáticos o empresas dedicadas a
prestar servicios de publicidad, para lo cual acceden a los datos de sus
clientes).

Como regla general se establece la imposibilidad de subcontratar con un


tercero los tratamientos encomendados, salvo que dicha circunstancia se haya
autorizado previamente. En tal caso, la contratación se efectuará siempre en
nombre y por cuenta del responsable del tratamiento.

Siempre y cuando se cumpla lo establecido en la LOPD, no se considerará


comunicación de datos el acceso a los datos de carácter personal por parte de
un encargado del tratamiento que resulte necesario para la prestación de un
servicio al responsable.

Así mismo, el servicio prestado por el encargado del tratamiento podrá tener o
no carácter remunerado y ser temporal o indefinido.

Una vez cumplida la prestación contractual, los datos de carácter personal


deberán ser destruidos o devueltos al responsable del tratamiento, al igual que
cualquier soporte o documentos en que conste algún dato de carácter personal
objeto del tratamiento.

CONVERSIA © 2015 | Derechos reservados. Página 16 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

1.2.1. El contrato de prestación de servicios

El contrato que deben de firmar obligatoriamente el responsable y el


encargado debe de contener los mínimos que se recogen en el Art. 12 de la
LOPD.

Los requisitos fundamentales que deben estipularse necesariamente en dicho


contrato son los siguientes:

— La finalidad de la prestación de servicios.

— El compromiso por parte del encargado del tratamiento a tratar los datos
personales conforme a las instrucciones del responsable del fichero. El
encargado del tratamiento no utilizará los datos con fin distinto al que
contractualmente quede establecido.

— El encargado del tratamiento no comunicará los datos a otras personas, ni


siquiera para su conservación.

— Las medidas de seguridad que ambos están obligados a implantar, según


la naturaleza de los datos objeto del tratamiento.

— Destino de los datos una vez cumplido el contrato: devolución o destrucción


El encargado del tratamiento será considerado responsable del fichero si
incumple alguno de los apartados anteriores.

Cuando la prestación de un determinado servicio no comporte acceso a datos


de carácter personal, el prestador no será considerado encargado del
tratamiento. En este caso, no será necesario formalizar un contrato de
prestación de servicios, ya que el acceso a datos no es inherente para la
prestación del servicio. No obstante, cuando sea plausible el acceso puntual o
inevitable a información personal por parte del prestador, deberá formalizarse
por escrito un pacto de confidencialidad, atendiendo a las exigencias del deber
de secreto profesional, en sustitución del mencionado contrato de prestación
de servicios.

Ejem plo:

FRIGORÍFICOS MUCHOFRIO SL ha contratado a la empresa ASESORIA


LATORRE SA, que le presta el servicio de asesoría fiscalcontable y
laboral, y a la empresa INFORMÁTICA BYTE SL, que le presta
mantenimiento de la aplicación informática. Deberán regularse el

CONVERSIA © 2015 | Derechos reservados. Página 17 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

acceso a datos por cuenta de terceros mediante la firma de sendos


contratos de prestación de servicios entre las entidades, en los cuales
deberá figurar FRIGORÍFICOS MUCHOFRIO SL como responsable del
fichero mientras que ASESORIA LATORRE SA e INFORMÁTICA BYTE SL
serán encargados de tratamiento. En dichos contratos deberá
establecerse expresamente que el encargado del tratamiento
únicamente tratará los datos conforme a las instrucciones del
responsable del fichero, que no los aplicará o utilizará con fin distinto al
que figure en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas, además de las medidas de seguridad
que el encargado del tratamiento está obligado a implementar, en
función de la naturaleza de los datos que se hayan de tratar.

1.3. El responsable de seguridad


El responsable de seguridad es la persona encargada de velar por el
cumplimiento de las medidas, reglas, procedimientos y estándares de
seguridad que se hayan delimitado y configurado en el documento de
seguridad que haya establecido la empresa.

El perfil idóneo para este cargo es una persona con dotes organizativas que
sea capaz de gestionar con éxito la gran cantidad de información que será
objeto de tratamiento.

El responsable de seguridad es elegido por el responsable del fichero. Esta


elección no exime, en ningún caso, las responsabilidades que recaen sobre el
responsable del fichero, ya que es éste quién en última instancia decide sobre
el tratamiento y uso de los datos.

El responsable de seguridad podrá solicitar consejo y asesoramiento a


profesionales especializados en el uso de datos personales. En la medida de lo
posible, es conveniente que posea conocimientos en materia de protección de
datos y le sean facilitados todos los recursos para que pueda llevar a cabo su
cometido. De este modo, podrá analizar, comprender y solucionar eficazmente
todas las situaciones o eventualidades que se le presenten, derivadas de la
actividad habitual de la empresa.

CONVERSIA © 2015 | Derechos reservados. Página 18 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

1.3.1. Funciones del responsable de seguridad

El responsable de seguridad también debe ser consciente de su labor en


materia de seguridad y protección de datos dentro de la organización, así como
de la responsabilidad de su cargo. Su labor consiste en gran medida en
mantener el control sobre todos los ficheros de datos y los flujos de entrada y
de salida de información personal de la entidad.

Conviene que el responsable de seguridad se asesore se preste al


asesoramiento de personal de la misma organización especializado en
diversas áreas, como un técnico informático que conozca bien la seguridad de
los equipos informáticos de la entidad o un abogado especialista en protección
de datos. De la misma manera, también podrá dejarse asesorar por personal
externo, siempre que ello sea necesario.

Entre las funciones del responsable de seguridad destacan:

— Actualizar el documento de seguridad y adecuación del documento de


seguridad a la normativa vigente.

— Mantener una relación actualizada de los usuarios del sistema informático


indicando la política de privilegios de cada uno de ellos.

— Adoptar las medidas necesarias para que el personal conozca las normas
en materia de seguridad que afectan al desarrollo de sus funciones y de las
consecuencias en que pudieran incurrir en caso de incumplimiento.

— Establecer mecanismos para evitar el acceso no autorizado a datos.

— Verificar la definición y correcta aplicación de los procedimientos de


realización de copias de seguridad y recuperación de los datos.

— Adoptar las medidas correctoras como consecuencia de las deficiencias


detectadas en un proceso de auditoría.

— Establecer un mecanismo que permita la identificación de forma inequívoca


y personalizada de todo aquel usuario que intente acceder al sistema de
información y la verificación que está autorizado.

— Autorizar por escrito la ejecución de los procesos de recuperación de los


datos.

— Mantener una relación del personal autorizado para conceder, anular o


alterar los derechos de acceso, conforme a los criterios establecidos.

CONVERSIA © 2015 | Derechos reservados. Página 19 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

— Mantener una relación del personal con acceso autorizado al lugar donde
se almacenan las copias de seguridad.

— Mantener una relación del personal autorizado para acceder a los locales
donde se encuentren ubicados los sistemas de información.

Ejem plo:

APRENDE Y CRECE SLU ha designado como responsable de seguridad


a Manuel Pérez Rodríguez, jefe de administración de la academia.
Debido a sus dotes organizativas, es la persona de la organización más
indicada para desempeñar las funciones de coordinación e
implantación de todas las medidas de seguridad necesarias en el
tratamiento de datos de carácter personal.

1.3.2 Las medidas de seguridad específicas

Muchas de las medidas de seguridad en el uso de los datos se refieren al


personal de la empresa o usuarios de los sistemas, a la concienciación del
personal y el deber de secreto que se debe garantizar. El responsable de
seguridad, debido al relevante cargo que ostenta en el seno de la organización,
en lo relativo al uso de los datos personales, debe mostrar especial celo en
preservar la seguridad de la información en los posibles tratamientos de datos
que el resto del personal realizará. Son especialmente importantes los
siguientes aspectos:

— Confidencialidad. Deben establecerse medidas de índole técnica y


organizativa necesarias para que sólo puedan acceder a los datos
personales quienes estén debidamente autorizados.

— Integridad. Los datos objeto del tratamiento deben ser exactos y concretos.
Además, es fundamental que los datos no sufran alteraciones ni pérdidas,
ya que ello podría dañar notablemente el contenido de la información y, por
ende, su valor.

— Disponibilidad. La disponibilidad de los datos debe restringirse


exclusivamente al personal que esté autorizado para acceder a la
información.

CONVERSIA © 2015 | Derechos reservados. Página 20 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

En la medida en que una organización empresarial sea capaz de dotarse de


recursos y medios para cumplir los niveles de seguridad en el uso de los datos
personales conseguirá disminuir el riesgo considerablemente en cuanto a
incidencias relacionadas con el tratamiento de dichos datos.

De acuerdo con el artículo 95 del RLOPD, designar un responsable de


seguridad en ficheros que han sido calificados como de nivel medio o alto es
una medida de seguridad de obligado cumplimiento.

Como hemos visto, el responsable de seguridad es la persona encargada en la


empresa de coordinar y controlar las medidas de seguridad en el uso y
tratamiento de los datos. Dichas medidas estarán definidas en el documento de
seguridad.

1.3.3. El documento de seguridad

El docum ento de seguridad es el documento que el responsable del fichero


deberá elaborar para el correcto uso de datos personales. Para ello, deberán
relacionarse todas las medidas de índole técnica y organizativa acordes a la
normativa de seguridad vigente, que serán de obligado cumplimiento para el
personal con acceso a los sistemas de información.

El documento de seguridad podrá ser único y comprensivo de todos los


ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.
También podrán elaborarse distintos documentos de seguridad agrupando
ficheros o tratamientos según el sistema de tratamiento utilizado para su
organización, o bien atendiendo a criterios organizativos del responsable. En
todo caso, tendrá el carácter de documento interno de la organización. Deberá
contener los siguientes aspectos:

— Ámbito de aplicación del documento con especificación detallada de los


recursos protegidos.

— Medidas, normas, procedimientos de actuación, reglas y estándares


encaminados a garantizar el nivel de seguridad exigido en este reglamento.

— Funciones y obligaciones del personal en relación con el tratamiento de los


datos de carácter personal incluidos en los ficheros.

CONVERSIA © 2015 | Derechos reservados. Página 21 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

— Estructura de los ficheros con datos de carácter personal y descripción de


los sistemas de información que los tratan.

— Procedimiento de notificación, gestión y respuesta ante las incidencias.

— Los procedimientos de realización de copias de respaldo y de recuperación


de los datos en los ficheros o tratamientos automatizados.

— Las medidas que sea necesario adoptar para el transporte de soportes y


documentos, así como para la destrucción de los documentos y soportes, o
en su caso, la reutilización de estos últimos.

— Los controles periódicos que se deban realizar para verificar el


cumplimiento de lo dispuesto en el propio documento.

Cuando exista un tratamiento de datos por cuenta de terceros, el documento de


seguridad deberá contener la identificación de los ficheros o tratamientos que
se traten en concepto de encargado con referencia expresa al contrato o
documento que regule las condiciones del encargo, así como de la
identificación del responsable y del período de vigencia del encargo.

En aquellos casos en los que datos personales de un fichero o tratamiento se


incorporen y traten de modo exclusivo en los sistemas del encargado, el
responsable deberá anotarlo en su documento de seguridad. Cuando tal
circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del
responsable, podrá delegarse en el encargado la llevanza del documento de
seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.
Este hecho se indicará de modo expreso en el contrato celebrado al amparo del
artículo 12 de la LOPD, con especificación de los ficheros o tratamientos
afectados.

En tal caso, se atenderá al documento de seguridad del encargado al efecto del


cumplimiento de lo dispuesto en el reglamento.

El documento de seguridad deberá mantenerse en todo momento actualizado y


será revisado siempre que se produzcan cambios relevantes en el sistema de
información, en el sistema de tratamiento empleado, en su organización, en el
contenido de la información incluida en los ficheros o tratamientos o, en su
caso, como consecuencia de los controles periódicos realizados. En todo caso,
se entenderá que un cambio es relevante cuando pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.

CONVERSIA © 2015 | Derechos reservados. Página 22 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

En el documento de seguridad debe figurar la identificación del responsable o


responsables de seguridad de la organización, pudiendo existir un
nombramiento o documento análogo que permita formalizar la designación
mediante su firma y la del responsable del fichero.

RLOPD, Artículo 88.2. El docum ento de seguridad:

El documento de seguridad deberá mantenerse en todo momento


actualizado y será revisado siempre que se produzcan cambios
relevantes en el sistema de información, en el sistema de tratamiento
empleado, en su organización, en el contenido de la información
incluida en los ficheros o tratamientos o, en su caso, como
consecuencia de los controles periódicos realizados. En todo caso, se
entenderá que un cambio es relevante cuando pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.

1.4. El afectado o interesado


Como hemos visto en este módulo, los afectados o interesados son las
personas físicas titulares de los datos personales que vayan a ser objeto de
tratamiento. Como titular de sus propios datos, los afectados o interesados
tienen la potestad de decisión sobre ellos.

Además de los derechos personalísimos de acceso, rectificación cancelación y


oposición que asisten a los ciudadanos, existen una serie de derechos
relacionados con la protección de datos de carácter personal.

A.  Derecho  de  indemnización    


Como consecuencia de cualquier procedimiento sancionador, la Agencia
Española de Protección de Datos no tiene competencia para fijar la
indemnización de los posibles daños y perjuicios, debiéndose plantear su
reclamación tal y como se establece en el artículo 19 de la LOPD:

- Los interesados que, como consecuencia del incumplimiento de lo


dispuesto en la presente ley por el responsable o el encargado del

CONVERSIA © 2015 | Derechos reservados. Página 23 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

tratamiento, sufran daño o lesión en sus bienes o derechos tendrán


derecho a ser indemnizados.
- Cuando se trate de ficheros de titularidad pública, la responsabilidad se
exigirá de acuerdo con la legislación reguladora del régimen de
responsabilidad de las Administraciones públicas.
- En el caso de los ficheros de titularidad privada, la acción se ejercitará
ante los órganos de la jurisdicción ordinaria.

B.  Derecho  de  impugnación  de  valoraciones    


Conforme al artículo 13 de la LOPD:

- Los ciudadanos tienen derecho a no verse sometidos a una decisión con


efectos jurídicos, sobre ellos o que les afecte de manera significativa, que
se base únicamente en un tratamiento de datos destinados a evaluar
determinados aspectos de su personalidad.
- El afectado podrá impugnar los actos administrativos o decisiones
privadas que impliquen una valoración de su comportamiento, cuyo
único fundamento sea un tratamiento de datos de carácter personal que
ofrezca una definición de sus características o personalidad.
- En este caso, el afectado tendrá derecho a obtener información del
responsable del fichero sobre los criterios de valoración y el programa
utilizados en el tratamiento que sirvió para adoptar la decisión en que
consistió el acto.
- La valoración sobre el comportamiento de los ciudadanos basada en un
tratamiento de datos, únicamente podrá tener valor probatorio a petición
del afectado.

C.  Derecho  de  exclusión  de  las  guías  telefónicas    


De conformidad con el artículo 3.j de la LOPD los datos telefónicos básicos
que figuran en los repertorios telefónicos (tanto en papel como en soporte
electrónico), constituyen una fuente que se considera como accesible al
público, pudiéndose recabar tales datos sin el consentimiento expreso del
interesado.

CONVERSIA © 2015 | Derechos reservados. Página 24 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Concretamente, en los repertorios de abonados de servicios telefónicos, ya


sean impresos en papel o disponibles por otros medios, aparecen el nombre
y apellidos así como la dirección. Estos datos pueden ser consultados y
utilizados por el público en general. La exclusión debe hacerse efectiva, en
las guías formato papel, con la siguiente edición y, en las guías electrónicas,
en el plazo de 10 días.

Frente a esta situación, si no se desea que los datos sean de dominio


público, es conveniente proceder a solicitar al operador telefónico de que se
trate, que se proceda a la exclusión total o parcial de los datos relativos
personales que se encuentren en los repertorios telefónicos de abonados, de
conformidad con lo establecido en el artículo 28 de la LOPD y en el artículo
67 del Reglamento por el que se aprueban las condiciones para la prestación
de servicios de comunicaciones electrónicas, el servicio universal y la
protección de los usuarios (Real Decreto 424/2005), porque de otro modo sus
datos podrán seguir utilizándose legalmente sin obligación de solicitar
expresamente el consentimiento de los afectados.

D.  Derecho  a  no  recibir  publicidad  no  deseada    


Según dispone el artículo 30 de la LOPD, relativo a tratamientos con fines de
publicidad y de prospección comercial:

- Quienes se dediquen a la recopilación de direcciones, reparto de


documentos, publicidad, venta a distancia, prospección comercial y otras
actividades análogas, utilizarán nombres y direcciones u otros datos de
carácter personal cuando los mismos figuren en fuentes accesibles al
público o cuando hayan sido facilitados por los propios interesados u
obtenidos con su consentimiento.
- Cuando los datos procedan de fuentes accesibles al público, de
conformidad con lo establecido en el párrafo segundo del artículo 5.5 de
esta ley, en cada comunicación que se dirija al interesado se informará
del origen de los datos y de la identidad del responsable del tratamiento,
así como de los derechos que le asisten.
- En el ejercicio del derecho de acceso los interesados tendrán derecho a
conocer el origen de sus datos de carácter personal, así como del resto
de información a que se refiere el artículo 15.
- Los interesados tendrán derecho a oponerse, previa petición y
gratuitamente, al tratamiento de los datos que les conciernan, en cuyo

CONVERSIA © 2015 | Derechos reservados. Página 25 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

caso serán dados de baja del tratamiento, cancelándose las


informaciones que sobre ellos figuren en aquél, a su simple solicitud.

E.  Derecho  de  abonados  y  usuarios  de  servicios  de  telecomunicaciones    


Según dispone el art. 38.3 de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones, los abonados y los usuarios a los servicios de
telecomunicaciones, tienen los siguientes derechos:

- A que se hagan anónimos o se cancelen sus datos de tráfico cuando ya


no sean necesarios a los efectos de la transmisión de una comunicación.
Los datos de tráfico necesarios a efectos de la facturación de los
abonados y los pagos de las interconexiones podrán ser tratados
únicamente hasta que haya expirado el plazo para la impugnación de la
factura del servicio o para que el operador pueda exigir su pago.
- A que sus datos de tráfico sean utilizados con fines comerciales o para la
prestación de servicios de valor añadido únicamente cuando hubieran
prestado su consentimiento informado para ello.
- A recibir facturas no desglosadas cuando así lo solicitasen.
- A que sólo se proceda al tratamiento de sus datos de localización
distintos a los datos de tráfico cuando se hayan hecho anónimos o previo
su consentimiento informado y únicamente en la medida y por el tiempo
necesarios para la prestación, en su caso, de servicios de valor añadido,
con conocimiento inequívoco de los datos que vayan a ser sometidos a
tratamiento, la finalidad y duración del mismo y el servicio de valor
añadido que vaya a ser prestado.
- A detener el desvío automático de llamadas efectuado a su terminal por
parte de un tercero.
- A impedir, mediante un procedimiento sencillo y gratuito, la presentación
de la identificación de su línea en las llamadas que genere.
- A impedir, mediante un procedimiento sencillo y gratuito, la presentación
de la identificación de su línea al usuario que le realice una llamada.
- A impedir, mediante un procedimiento sencillo y gratuito, la presentación
de la identificación de la línea de origen en las llamadas entrantes y a
rechazar las llamadas entrantes en que dicha línea no aparezca
identificada.

CONVERSIA © 2015 | Derechos reservados. Página 26 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

F.   Derecho   de   los   destinatarios   de   servicios   de   comunicaciones  


electrónicas    
Los arts. 21 y 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad
de la Información y de Comercio Electrónico, conforme a la nueva redacción,
dada por la disposición final primera de la Ley 32/2003, de 3 de noviembre,
General de Telecomunicaciones, establecen los siguientes derechos para los
destinatarios de servicios de comunicaciones electrónicas:

- Queda prohibido el envío de comunicaciones publicitarias o


promocionales por correo electrónico u otro medio de comunicación
electrónica equivalente que previamente no hubieran sido solicitadas o
expresamente autorizadas por los destinatarios de las mismas. Este
precepto no será de aplicación cuando exista una relación contractual
previa, siempre que el prestador hubiera obtenido de forma lícita los
datos de contacto del destinatario y los empleara para el envío de
comunicaciones comerciales referentes a productos o servicios de su
propia empresa que sean similares a los que inicialmente fueron objeto
de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de
oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los
datos como en cada una de las comunicaciones comerciales que le dirija.

- El destinatario podrá revocar en cualquier momento el consentimiento


prestado a la recepción de comunicaciones comerciales con la simple
notificación de su voluntad al remitente. A tal efecto, los prestadores de
servicios deberán habilitar procedimientos sencillos y gratuitos para que
los destinatarios de servicios puedan revocar el consentimiento que
hubieran prestado, y deberán facilitar información accesible por medios
electrónicos sobre dichos procedimientos.
- Cuando los prestadores de servicios empleen dispositivos de
almacenamiento y recuperación de datos en equipos terminales
(cookies), informarán a los destinatarios de manera clara y completa
sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar
el tratamiento de los datos mediante un procedimiento sencillo y
gratuito. Ello no impedirá el posible almacenamiento o acceso a datos

CONVERSIA © 2015 | Derechos reservados. Página 27 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

con el fin de efectuar o facilitar técnicamente la transmisión de una


comunicación por una red de comunicaciones electrónicas o, en la
medida que resulte estrictamente necesario, para la prestación de un
servicio de la sociedad de la información que inequívoca y expresamente
haya solicitado el destinatario.

G.  Derecho  de  Acceso  al  Sistema  Schengen    


Cualquier solicitud de acceso debe presentarse por escrito al responsable de
los datos (Secretaría de estado de Seguridad del Ministerio del Interior). A tal
fin, los interesados deben enviar una solicitud al responsable de los datos
por cualquier medio que dé pruebas del envío y recibo de la solicitud.

No existe ningún formulario normalizado o cualquier otro requisito formal.


Sin embargo, y según el procedimiento administrativo general, la solicitud
debe incluir una descripción completa de la misma y debe ir acompañada de
una fotocopia del documento que pruebe la identidad del interesado, es
decir, documento nacional de identidad o pasaporte. Además, los
interesados pueden adjuntar a las solicitudes copias de cualquier documento
pertinente que consideren importante para sustentar la petición descrita en
la solicitud. El procedimiento es gratuito.

Como ya se ha indicado, los interesados tienen derecho de acceso directo.


Sin embargo, también tienen un acceso indirecto a través de la Agencia
Española de Protección de Datos cuando un responsable de los datos no
pueda responder a una solicitud del acceso efectuada por un interesado o
cuando la respuesta dada sea insatisfactoria. En ambos casos, los
interesados pueden presentar una reclamación a la Agencia española de
Protección de Datos. Conforme al artículo 117 del RLOPD, el procedimiento
se iniciará a petición del interesado, que expondrá claramente el contenido
de su reclamación y las disposiciones de la mencionada Ley española de
Protección de Datos que considera conculcadas.

Una vez que la Agencia Española de Protección de Datos haya recibido la


reclamación, se iniciará un procedimiento para proteger los derechos de los
individuos. Según este procedimiento, la Agencia enviará la reclamación a la
autoridad responsable de los datos para dar a este organismo administrativo

CONVERSIA © 2015 | Derechos reservados. Página 28 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

la oportunidad de exponer cualquier argumento que considere adecuado


para sustentar la denegación de acceso o la respuesta dada al solicitante.

Estos argumentos, en su caso, se envían al solicitante, que puede hacer


nuevas declaraciones y comentarios. Estos nuevos comentarios se envían al
responsable del fichero, que tiene la oportunidad de dar explicaciones sobre
su decisión y sobre los comentarios y declaraciones hechos por el afectado.

Tras recibir las alegaciones y otras declaraciones y argumentos, el director


de la Agencia Española de Protección de Datos dictará una decisión
resolutoria de la reclamación recibida, en el plazo máximo de seis meses a
partir de la fecha de recepción de la reclamación por la Agencia Española de
Protección de Datos.

Si la decisión es favorable para el solicitante, la Agencia Española de


Protección de Datos la comunicará al responsable de los datos, que facilitará
los mismos en ejercicio del derecho de acceso en un plazo de diez días
hábiles tras la notificación. Por otra parte, el responsable de los datos estará
obligado a facilitar pruebas escritas del cumplimiento de la decisión de la
Agencia Española de Protección de Datos a dicha autoridad de control en un
plazo del mismo periodo de tiempo.

Si la descripción ha sido realizada por las autoridades españolas,


corresponderá al responsable de los datos decidir sobre el contenido de la
información suministrada a los solicitantes. De manera general, el
interesado recibirá copias de documentos administrativos que contienen
datos personales almacenados en el sistema de clasificación.

En cambio, si la descripción ha sido realizada por las autoridades de otro


país Schengen, el responsable de los datos debe informar a su contraparte
en ese país sobre la demanda recibida, de conformidad con le principio de
cooperación entre autoridades nacionales por lo que se refiere a la
protección de datos personales. Corresponderá a las autoridades del otro
país Schengen decidir qué información puede suministrarse al interesado.

Agencia Española de Protección de Datos


c/ Jorge Juan, 6 28001 – Madrid
Tel.: + 34 901 100 099

CONVERSIA © 2015 | Derechos reservados. Página 29 de 30


Gestión de la seguridad de la información por el empleado
Módulo 1 · Roles de responsabilidad en el uso de datos

Fax:+ 34 91 445 56 99
Correo electrónico: ciudadano@agpd.es
Internet: www.agpd.es.

CONVERSIA © 2015 | Derechos reservados. Página 30 de 30