Está en la página 1de 175

IMPLANTACIÓN DE LA LOPD EN EMPRESAS

Indice

0 Introducción

1 Ley Orgánica de Protección de Datos


1.1 Objeto de la ley
1.2 A quién va dirigida
1.3 Definiciones
1.4 Cuestionario: Ley Orgánica de Protección de Datos

2 Principios de la Protección de Datos


2.1 Introducción
2.2 Niveles de seguridad
2.3 Cuestionario: Principios de la Protección de Datos

3 Tratamiento de datos personales


3.1 Qué hacer si recojo datos personales
3.2 Cuestionario: Tratamiento de Datos Personales

4 Derechos de las personas


4.1 Derechos de las personas
4.2 Ficheros de las titularidad privada
4.3 Los profesionales deben garantizar la seguridad
4.4 Cuestionario: Derechos de las personas

5 LOPD y Reglamento de seguridad


5.1 LOPD - Reglamento y medidas de seguridad

6 Preguntas frecuentes
6.1 Consulta 1
6.2 Consulta 2
6.3 Consulta 3
6.4 Consulta 4
6.5 Consulta 5
6.6 Consulta 6
6.7 Consulta 7
6.8 Consulta 8
6.9 Consulta 9
6.10 Consulta 10
6.11 Consulta 11
6.12 Consulta 12

7 Medidas de seguridad por nivel


7.1 Nivel básico
7.2 Medidas de seguridad para el nivel básico

1
7.3 Medidas de seguridad para el nivel medio
7.4 Medidas de seguridad para el nivel alto
7.5 Cuestionario: Medidas de seguridad por nivel

8 Ficheros no automatizados
8.1 Medidas de seguridad en ficheros no automatizados
8.2 Medidas de seguridad para el nivel básico
8.3 Medidas de seguridad para el nivel medio
8.4 Medidas de seguridad para el nivel alto

9 Disposiciónes generales de la AEPD


9.1 Introducción
9.2 El procedimiento sancionador
9.3 Resumen del regimen sancionador de la AEPD
9.4 Clasificación de datos
9.5 Obligaciones legales
9.6 Sanciones
9.7 Cuestionario: Disposiciones generales de la AEPD

10 La inscripción de ficheros
10.1 Procedimientos relacionados con la inscripción o cancelación
10.2 Transferencias internacionales de datos
10.3 El código tipo
10.4 Procedimiento de exición del deber de información al interesado
10.5 Conservación de datos
10.6 Cuestionario: La inscripción de ficheros

11 La videovigilancia
11.1 Introducción
11.2 Cuándo deben aplicarse las normas sobre protección de datos
11.3 Cómo deben tratarse las imágenes
11.4 Captación y tratamiento de imágenes con fines de seguridad
11.5 Obligaciones
11.6 Supuestos específicos
11.7 Otros usos relacionados con la seguridad
11.8 Uso de videocámaras con fines de control empresarial
11.9 Otros tratamientos
11.10 Derechos de las personas
11.11 Recomendaciones
11.12 Preguntas frecuentes
11.13 Enlaces de interés
11.14 Cuestionario: La videovigilancia

12 Los menores
12.1 Los menores
12.2 Cuestionario: Los menores

2
13 La implantación
13.1 Introducción
13.2 Funciones del responsable del fichero
13.3 Notificaciones
13.4 Copias de seguridad
13.5 Medidas de seguridad
13.6 Contraseñas
13.7 Personal autorizado
13.8 Soportes informáticos
13.9 Contenidos del Documento
13.10 Auditorias
13.11 Normativas del Documento
13.12 Procedimiento de adecuación

14 Paso a paso de la adaptación


14.1 Inscripción de ficheros
14.2 La forma de proceder a la cumplimentación
14.3 Obtención del Formaulario NOTA
14.4 Cumplimentación
14.5 Cuando ya lo tengan todo cumplimentado
14.6 Modificación o supresión de ficheros

15 Documentos más usuales


15.1 Procedimientos de control y seguridad más estandarizados
15.2 Uso de internet
15.3 Uso del sistema informático
15.4 Uso del correo electrónico
15.5 Propiedad intelectual e industrial
15.6 Otros documentos

16 LSSI
16.1 LSSICE
16.2 El correo electrónico
16.3 Qué tiene que incluir la web
16.4 Incluir en su web en caso de tener comercio electrónico
16.5 Las empresas de intermediación de la Sociedad de la Información
16.6 Las páginas web personales
16.7 Cuestionario: Ley de servicios de la Sociedad de la informática y el Comercio
electrónico

17 La política de privacidad y avisos legales


17.1 La política de privacidad y avisos legales
17.2 Las cookies
17.3 Acceso a páginas web externas desde su sitio web
17.4 Cuestionario: La política de privacidad y avisos legales
17.5 Cuestionario: Cuestionario final

3
Introducción

IMPLANTACIÓN DE LA PROTECCIÓN DE DATOS EN EMPRESAS

Queremos aprovechar para recordarles que debido al gran aumento del tráfico de
información y datos de carácter personal entre personas, tanto físicas como jurídicas, fue
necesario en su momento la promulgación de la Ley Orgánica de Protección de Datos (LO
15/1999 de 13 Diciembre), con el fin de proteger, en la medida de lo posible, los datos más
íntimos y personales del individuo.

Con este marco normativo, y dado su carácter obligatorio, le presentamos este curso con
la intención de hacer más fácil, sencillo y asequible la adaptación a la citada ley.

Por este motivo, es nuestra intención ayudarle a adaptar a su empresa a la legislación


vigente en materia de Protección de Datos, evitándoles así posibles sanciones económicas
y dándoles además un valor añadido que ofrecer a sus clientes y proveedores. Además de
blindar su empresa frente a las malas artes por parte de terceros “DEL ROBO DE
CLIENTES”

EL OBJETIVO

Que se obtengan grandes conocimientos de la Ley Orgánica de Protección de Datos (LO


15/1999 de 13 Diciembre).

Y que puedan aplicar la correcta adaptación de su empresa y posterior mantenimiento.

EL MOTIVO

La citada Ley pretende regular la comunicación e intercambio de ficheros que contengan


datos de carácter personal.

Es importante saber que la LOPD, es una Ley Orgánica aprobada y en vigor desde hace
más de una década, por lo que es una LEY CONSOLIDADA que todas las empresas deben
cumplir.

TEMA 1

Ley Orgánica de Protección de Datos

4
Lo que pretende la Ley Orgánica de Protección de Datos (Ley Orgánica 15/1999 de 13
diciembre, de Protección de Datos de Carácter Personal) (en adelante LOPD). Es proteger
los datos de carácter personal, algo tremendamente necesario desde hace unos años, pues
los abusos cometidos con los datos personales han ido creciendo cada año.

1.1 .-Objeto de la ley

1.2.-A quién va dirigida

1.3.-Definiciones

1.1 Objeto de la ley

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne
al tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y
familiar.

Nota:
¿Cree usted que a su empresa no le afecta la LOPD?, sepa que por el hecho de tener
en cualquier tipo de soporte (papel, ordenador, etc.) un dato personal identificable, ya está
obligado a su inscripción y a tratarlo según la normativa vigente en materia de protección
de datos

Ley Orgánica de Protección de Datos

1.2 A quién va dirigida

La ley tiene por objeto garantizar y proteger el tratamiento de los datos de carácter
personal de las personas físicas.

La presente ley se tendrá que aplicar a las empresas o particulares que se encuentren en
territorio español y tengan ficheros físicos con datos de carácter personal. Así como los
casos que establece la ley en su Artículo 2.

Artículo 2. LOPD

1.- Ámbito de aplicación.

La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en
soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso

5
posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades


de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de


aplicación la legislación española en aplicación de normas de Derecho Internacional
público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión


Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo
que tales medios se utilicen únicamente con fines de tránsito.

2.- El régimen de protección de los datos de carácter personal que se establece en la


presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades


exclusivamente personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de


delincuencia organizada.

No obstante, en estos supuestos el responsable del fichero comunicará previamente la


existencia del mismo, sus características generales y su finalidad a la Agencia de
Protección de Datos.

3.- Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso,
por esta Ley Orgánica los siguientes tratamientos de datos personales:

a) Los ficheros regulados por la legislación de régimen electoral.

b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación
estatal o autonómica sobre la función estadística pública.

c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes
personales de calificación a que se refiere la legislación del régimen del personal de las
Fuerzas Armadas.

d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de


videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación

6
sobre la materia.

Nota:
En el texto que se desprende de la LOPD existen unas definiciones usuales, tienen
mucho sentido común, pero nos tenemos que familiarizar con ellas ya que las usaremos a
menudo.

1.3 Definiciones

Datos de carácter personal: Cualquier información concerniente a personas físicas


identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso. (ES UN
FICHERO = Un Archivador donde se guardan las fichas “físicas de clientes” TAMBIEN ES
UN FICHERO= La carpeta creada en su ordenador o Servidor, donde archiva lo
concerniente a un cliente o empleado etc. (SIEMPRE QUE CONTENGA DATOS DE
CARÁCTER PERSONAL).

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o


no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo
y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o


privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a
que se refiere el apartado c) del presente artículo. Es la persona a la cual le estamos
tratando sus datos personales.

Procedimiento de disociación: Todo tratamiento de datos personales de modo que la


información que se obtenga no puede asociarse a persona identificada o identificable.
Ejemplo: Borrar una cara en una fotografía.

Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o


cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del fichero o tratamiento. Ejemplo: Una gestoría que prepara las
nominas de los empleados.

Consentimiento del interesado: Toda manifestación de voluntad, libre inequívoca,


específica e informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen. (Que un afectado/interesado, autorice el tratamiento de sus
datos personales “antes de entregarlos”).

7
Cesión o comunicación de datos: Toda revelación de datos realizada a una persona
distinta del interesado.

Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por
cualquier persona no impedida por una limitativa, o sin más exigencia que, en su caso el
abono de una contraprestación. Tiene la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos
por su normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión, actividad,
grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público los diarios y boletín es oficiales y los medios de
comunicación.

Nota:
Ya conocemos un poco la esencia de la LOPD. Ahora en el siguiente tema veremos qué
hacer con los datos y los niveles de seguridad.

1.4 Cuestionario: Ley Orgánica de Protección de Datos

1.- ¿Están todas las empresas obligadas al cumplimiento de la LOPD?


Sí, todas las empresas que registren datos de carácter personal.
No, solo las empresas grandes multinacionales.
Solsi se hace publicidad.

2.- No cumplir la LOPD, ¿puede conllevar sansiones a una empresa?


No, si se rectifica el problema.
No.
Sí.

3.- Los boletines oficiales y los medios de comunicación no tienen carácter de fuentes de
acceso público.
Falso.
Verdadero.

4.- La Ley Orgánica de Protección de Datos tiene como objetivo garantizar y proteger los
datos personales en lo conveniente a:
El derecha la libertad de expresión.
Las libertades públicas y derechos fundamentales de las personas físicas.
Las mafias organizadas.

5.- Una grabación de vídeo de una empresa, según la LOPD, ¿sería un tratamiento de
datos?
Sí.
De ninguna manera.
Dependerá de las circuntancias.

8
6.- Aunque un interesado, según la LOPD, dé su consentimiento para que se registren sus
datos personales, estos no pueden ser utilizados.
Falso.
Verdadero.

7.- Según la LOPD, se llama cesión de datos a toda revelación de datos realizada a una
persona distina del interesado.
Falso.
Verdadero.

8.- Cualquier información concerniente a personas físicas identificadas identificables, se le


denomina en la LOPD:
Datos de carácter personal.
Fichero.
Tratamientde datos.

9.- Se denomina fichero:


La clasificación de las personas.
La forma de ordenar los datos.
Todo conjunto organizado de datos de carácter personal.

TEMA 2

Principios de la Protección de Datos

2.1.-Introducción

2.2.-Niveles de seguridad

2.1.-Introducción

Los datos de carácter personal que se recojan de los afectados/interesados, sea el


modo de captación que sea y soporte utilizado, sólo se podrán utilizar para el fin por el
que se recogieron, no pudiéndose usar para ninguna otra finalidad, salvo consentimiento
del afectado. Si pasado un tiempo los datos que tienen no coinciden con los verdaderos
deberán cancelarlos o corregirlos de nuestra base de datos no pudiendo permanecer en
ella inexactos. También cancelaran los datos de carácter personal que ya no sean
necesarios por que la finalidad que tenía ya se ha realizado.

Ejemplo1: Una joyería pide los datos de nombre y apellidos, Dirección postal y teléfono
móvil de un Sr, para poderle enviar un reloj que dejó a reparar, pues bien, estos datos en el

9
momento que la joyería le envíe el reloj, dejarán de ser necesarios, y NO los puede utilizar
para comunicarse o enviarle información, pues cuando la Joyería recabó los datos, era
únicamente para el envío de un producto “puntual”. Diferente hubiera sido que en el
soporte utilizado para recabar los datos del interesado, existiera un aviso legal indicando
las distintas finalidades.

Ejemplo2: En el mostrador de una ferretería, tienen un folleto publicitario, donde al final


del mismo tiene un formulario susceptible de cumplimentación, donde se solicitan una
serie de datos personales para una suscripción semanal a una revista reconocida de
bricolaje y que las tres primeras revistas semanales son gratuitas, también indica el folleto
publicitario que al rellenar y enviar dicho formulario, está aceptando recibir por cualquier
medio de comunicación, información de dicha ferretería. EN ESTOS CASOS si es correcto!!
Y si le pueden enviar información aparte de la revista.

Más adelante veremos que tiene que contener dichos avisos legales.

Nota:
Según los datos personales que tengamos, tendremos un nivel de seguridad diferente. Más
adelante veremos las medidas a adoptar en cada uno de ellos.

2.2.-Niveles de seguridad

La ley establece tres niveles de seguridad en los ficheros:

Nivel básico
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas
de seguridad clasificadas como de nivel básico.

Nivel medio
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o
penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento
se rija por el Artículo 28* de la Ley Orgánica 5/1.992, deberán reunir, además de las
medidas de nivel básico, las clasificadas como de nivel medio.

Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que
permitan obtener una evaluación de la personalidad del individuo deberán garantizar las
medidas de nivel medio.

* Artículo 28. Prestación de servicios de información sobre solvencia patrimonial y


crédito.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia


patrimonial y el crédito sólo podrán tratarse automatizadamente datos de carácter
personal obtenidos de fuentes accesibles al público o procedentes de informaciones
facilitadas por el afectado o con su consentimiento. Podrán tratarse, igualmente, datos de

10
carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias
facilitados por el acreedor o por quien actúe por su cuenta o interés.

En estos casos se notificará a los afectados respecto de los que hayan registrado datos de
carácter personal en ficheros automatizados, en el plazo de treinta días desde dicho
registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho
a recabar información de la totalidad de ellos, en los términos establecidos por la presente
Ley.

2. Cuando el afectado lo solicite, el responsable del fichero le comunicará los datos, así
como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas
durante los últimos seis meses y el nombre y dirección del cesionario.

3. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes
para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean
adversos, a más de seis años.

Nivel alto
Los ficheros que contengan datos de ideología, creencias. Origen racial, salud o vida
sexual así como los que contengan recabados para fines policiales sin consentimiento de
las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las
calificaciones como de nivel alto. Independientemente del soporte utilizado para
almacenar/tratar estos datos y del modo o forma de recabar dichos datos.

Nota:
Posiblemente su empresa estará en el nivel básico, ¿verdad? Si no es así no se preocupe en
exceso, la aplicación es algo diferente pero le vamos a acompañar en todo el proceso.

En la siguiente lección, trataremos en solo 5 puntos “el que hacer cuando recaba datos de
carácter personal.

La aplicación ya la conoceremos más adelante al igual que las coletillas legales obligatorias
que deberemos incluir en nuestros cuestionarios, e-mails, etc.

2.3 Cuestionario: Principios de la Protección de Datos

1.- Se considera el nivel medio de seguridad en los ficheros, cuando:


Los ficheros contienen datos de carácter personal.
Los ficheros contienen datos de ideología, creencias.
Los ficheros contienen datos relativos a la comisión de infracciones administrativas
penales, Hacienda Pública y servicios financieros.

11
2.- Cuandlos ficheros contengan un conjunto de datos de carácter personal suficientes que
permitan obtener una evaluación de la personalidad del individuo deberán garantizar las
medidas de nivel medio.
Verdadero.
Falso.

3.- Pasado un tiemplos datos que tenemos no coinciden con los verdaderos deberemos
cancelarlos corregirlos de nuestra base de datos no pudiendo permanecer en ella
inexactos.
Falso.
Verdadero.

4.- Se considera el nivel básico de seguridad en los ficheros, cuando:


Los ficheros contienen datos relativos a la comisión de infracciones administrativas
penales.
Los ficheros contienen datos de ideología, creencias.
Los ficheros contienen datos de carácter personal.

5.- Se considera el nivel altde seguridad en los ficheros, cuando:


Los ficheros contienen datos de ideología, creencias, origen racial, salud y vida sexual.
Los ficheros contienen datos relativos a la comisión de infracciones administrativas
penales.
Los ficheros contienen datos de carácter personal.

6.- Pasado un tiempo los datos que tenemos no coinciden con los verdaderos podremos
utilizarlos para beneficio propio de la empresa.
Falso.
Verdadero.

7.- La ley establece tres niveles de seguridad en los ficheros:


Bajo, pre intermedio y medio.
Básico, medio y alto.
Medio, alto y máximo.

8.- Los datos de carácter personal que se recojan sólo podrán utilizarse para el fin por el
que se recogieron, no pudiéndose usar para otro fin.
Falso.
Verdadero.

TEMA 3

Tratamiento de datos personales

3.1.-Qué hacer si recojo datos personales

12
3.1Qué hacer si recojo datos personales

1. A todas las personas a las que les tomemos datos personales les La informemos de las
siguientes cuestiones tal y como nos indica la LOPD:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad


de la recogida de éstos y de los destinatarios de la información (en el caso que se tenga
intención de cederlos a otras compañías, “aunque sean del grupo”.)
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
De las consecuencias de la obtención de los datos o la negativa a suministrarlos.
De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión
Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá
designar, salvo que tales medios se utilicen con fines de trámite, un representante en
España, sin perjuicio de las acciones que pudieran emprenderse contra el propio
responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los


mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

No será aceptada esta información si no es legible. EJEMPLO: utilizar un color de fuente


muy similar al del fondo del cuestionario, por lo que es de difícil lectura y puede pasar
inadvertido. Tampoco será válido, un tipo de letra excesivamente pequeña.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si
el contenido de ella se deduce claramente de la naturaleza de los datos personales que se
solicitan o las de las circunstancias en que se recaban.

Está claro que si lo datos personales que se recaban son los usuales para un carnet de un
gimnasio, no hace falta indicar al interesado o afectado que son datos para incluirlos en un
carnet acreditativo. Tampoco hace falta indicarle en el aviso legal que si no facilita estos
datos no podrá inscribirse en el gimnasio.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del
fichero o su representante, dentro de los tres meses siguientes al momento del registro de
los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e)
del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una

13
ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o
cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de protección de Datos o el organismo
autonómico equivalente, en consideración al número de interesados, a la antigüedad de
los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan
de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección
comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará
del origen de los datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten.

La recogida de datos personales precisará el consentimiento de la persona afectada salvo


que sean recogidos de fuentes públicas como, por ejemplo, las Páginas Amarillas,
Anuncios de publicidad, Boletines oficiales, etc.

La ley nos indica, al igual que nuestra Constitución, que no podremos ser obligados a
declarar sobre nuestra ideología, religión o creencia, y sólo podremos tener datos de este
tipo cuando nos lo autoricen por escrito.

Se tiene que nombrar un representante de los ficheros que vayamos a tratar, quien deberá
tomar todas las medidas que garanticen la seguridad de los datos. No se podrán
almacenar datos en ficheros que no reúnan las medidas reglamentarias. El responsable del
fichero debe hacer uso del secreto profesional y no puede revelar los datos o información
que contenga el fichero.

Nota:
El objetivo de la LOPD es proteger los datos de carácter personal que tenemos. Se aplicara
a todos los datos personales, sea cual sea su soporte. Todas las empresas están obligadas.
Los datos solo se usaran para el motivo que se recabaron y finalizado este, se destruirán o
devolverán. Existen 3 niveles de seguridad “básico, medio y alto. Cuando recojamos datos
informaremos al afectado, que existe un fichero, de la finalidad del mismo, a que personas
o empresas “si es el caso” piensa cederlos, indicar la dirección del responsable del
tratamiento y su identidad, avisar de las consecuencias de dar o no estos datos, donde
ejecutar sus derechos de acceso, oposición cancelación etc.

3.2 Cuestionario: Tratamiento de Datos Personales

1.- La ley nos indica, al igual que nuestra Constitución, que no podremos ser obligados a
declarar sobre nuestra ideología, religión creencia, y sólo podremos tener datos de este
tipo cuando lo autoricemos por escrito.
Falso.
Verdadero.

2.- Se tiene que nombrar un representante de los ficheros que vayamos a tratar, quien
deberá tomar todas las medidas que garanticen la seguridad de los datos.

14
Verdadero.
Falso.

3.- Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del
fichero su representante, dentro de los tres meses siguientes al momento del registro d
Falso.
Verdadero.

4.- El responsable del fichero debe hacer uso del secreto profesional y puede, a voluntad,
revelar los datos información que contenga el fichero.
Falso.
Verdadero.

5.- El objetivo de la LOPD es proteger los datos de carácter personal que tenemos. Se
aplicara a todos los datos personales, sea cual sea su soporte.
Falso.
Verdadero.

6.- A las personas de las que tomemos datos personales les informaremos de:
De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
De la existencia de un fichertratamientde datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
Todas las respuestas son correctas.

7.- A todas las personas a las que les tomemos datos personales les informemos de:
Del carácter obligatorio facultativo de su respuesta a las preguntas que les sean
planteadas.
Todas las respuestas son correctas.
De las consecuencias de la obtención de los datos la negativa a suministrarlos.
De la identidad y dirección del responsable del tratamiento, en su caso, de su
representante.

TEMA 4

Derechos de las personas

4.1.- Derechos de las personas

4.2.- Ficheros de las titularidad privada

4.3.- Los profesionales deben garantizar la seguridad

15
4.1.- Derechos de las personas

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos
jurídicos sobre ellos que les afecte de manera significativa y que se base únicamente en un
tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen
una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de
datos de carácter personal que ofrezca una definición de sus características o personalidad.

En este caso, el afectado tendrá derecho a obtener información del responsable del fichero
sobre los criterios de valoración y el programa utilizado en el tratamiento que sirvió para
adoptar la decisión en que consistió el acto.

La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de


datos, únicamente podrá tener valor probatorio a petición del afectado.

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro
General de Protección de Datos, la existencia de tratamientos de datos de carácter
personal, sus finalidades y la identidad del responsable del tratamiento. El Registro
General será de consulta pública y gratuita.

Las personas que lo soliciten tendrán derecho a obtener gratis información de sus datos el
origen de donde vienen y lo que se pretende hacer con ellos, y tendrán el derecho de
cancelación o rectificación en el plazo máximo de diez días cuando los datos no sean
exactos o no se ajuste a lo que dispone la ley.

La ley reconoce derechos de indemnización a las personas que, habiendo solicitado la


supresión de determinados datos personales de algún fichero, se vean afectados de algún
modo.

Existen unos ficheros creados por las fuerzas y cuerpos de seguridad que se recogen sólo
para fines administrativos que se regirán por lo general de la presente ley. En el supuesto
de que se recojan para fines de un peligro real (para la seguridad pública, etc.) se podrán
mantener pero almacenados en un fichero especial clasificado por grados. Estos datos se
cancelarán cuando no sean necesarios, a excepción de aquellos que se necesiten para la
seguridad pública.

Nota:
Los afectados tienen unos derechos que no pueden vulnerar y darles la facilidad de acceso
a sus datos para el ejercicio de sus famosos derechos A.R.C.O. Más adelante trataremos
como ofrecer estos derechos A.R.C.O

4.2.- Ficheros de las titularidad privada

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal

16
cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona,
empresa o entidad titular, y siempre que se respeten las garantías que esta ley establece
para la protección de las personas.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal
lo notificará previamente a la Agencia de Protección de Datos.

Nota:
No está prohibido crear un listado o base de datos personales, (FICHERO) pero hay que
hacerlo dentro del marco legal de la LOPD, por lo que se tiene que inscribir en la APD. Y
tratarlo bajos las normativa vigente en materia de seguridad.

Dicho registro se realizara por vía reglamentaria y se procederá a la regulación detallada


de los distintos extremos que se debe contener la notificación, entre los cuales figurarán
necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de
datos de carácter personal que contiene, las medidas de seguridad, con indicación del
nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se
prevean realizar, así como las transferencias de datos que se prevean a países terceros.

Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan


en la finalidad del fichero automatizado, en su responsable y en la dirección de su
ubicación.

Nota:
De ahí el motivo de las auditorias, obligatorias cada 2 años si antes no ha habido cambios
significativos y la obligación de mantener el Documento de Seguridad total y
constantemente actualizado, labor que en algunos casos es un poco tediosa si no tiene
algún software o apoyo externo.

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a


los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que
falten o se proceda a su subsanación.

Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la


Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el
fichero automatizado a todos los efectos. Si se ceden los ficheros el responsable deberá
notificarlo indicando la finalidad del mismo y los destinatarios de los datos personales.

Quienes se dediquen a la prestación de servicios de información sobre la solvencia


patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los
registros y las fuentes accesibles al público, establecidos al efecto o procedentes de
informaciones facilitadas por el interesado y con su consentimiento.

17
Podrán tratarse también datos de carácter personal relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe
por su cuenta o interés. En estos casos se notificará a los interesados respecto de las
personas o entidades que hayan registrado sus datos de carácter personal en ficheros, en
el plazo de treinta días desde dicho registro, una referencia de los datos que han sido
incluidos y se les informará de su derecho a recabar información de la totalidad de ellos,
en los términos establecidos por la presente ley.

En estos supuestos, cuando el interesado lo solicite, el responsable del tratamiento le


comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan
sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o
entidad a quien se hayan revelado sus datos.

Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes
para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean
adversos, a más de seis años, siempre que respondan con veracidad a la situación actual
de los mismos.

Nota:
Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad,
venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres
y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes
accesibles al público o cuando hayan sido facilitados por los propios interesados u
obtenidos con su consentimiento.

Cuando los datos procedan de fuentes accesibles al público y se destinen a prospección


comercial o publicidad, de conformidad con lo establecido en el párrafo segundo del
Artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del
origen de los datos y de la identidad del responsable del tratamiento, así como de los
derechos que le asisten.

En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de
sus datos de carácter personal, así como del resto de información a que se refiere el
Artículo 15.

Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de
los datos que le conciernan, en cuyo caso serán dados de baja del tratamiento,
cancelándose las informaciones que sobre ellos figuren aquél, a su simple solicitud.

Nota:
Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de
direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial
u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los
órganos equivalentes de las Comunidades Autónomas una copia del censo promocional,
formado por los datos de nombre, apellidos y domicilio que constan en el censo electoral.

18
El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año.
Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.

Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el
censo promocional, se regularán reglamentariamente. Entre estos procedimientos, que
serán gratuitos para los interesados, se incluirá el documento de empadronamiento.
Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los
nombres y domicilios de los que así lo hayan solicitado.

Se podrá exigir una contraprestación por la facilitación de la citada lista de soporte


informático.

Nota:
Seguramente muchos de ustedes se dedican o realizan prospección comercial, y de sobra
sabemos que es una incomodidad cumplir con todos los requisitos, pero puedo
asegurarles que después de la adecuación de su empresa será algo mecánico y de muy
rápida ejecución, sepa que le va a dar un valor añadido a su empresa ya que los clientes,
proveedores etc. Van a ver con muy buenos ojos que se preocupe de salvaguardar sus
datos, y como no, evitando así fuertes sanciones

4.3.- Los profesionales deben garantizar la seguridad

El siguiente artículo de prensa hace referencia a las comunidades de vecinos, si tiene esta
importancia para las comunidades imaginar la que tiene con nuestra empresa es fácil, ¿no
cree?

19
20
21
22
23
ACCESOS DE INTERES

Multa a comunidad

¿Dato de domicilio es un dato de carácter personal?

La comunidad, los datos y las cesiones

24
Los carteles de morosos

4.4 Cuestionario: Derechos de las personas

1.- Deberán comunicarse a la Agencia de Protección de Datos los cambios que se


produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de
su ubicación.
Verdadero.
Falso.

2.- Toda persona entidad que proceda a la creación de ficheros de datos de carácter
personal no lo notificará previamente a la APD.
Es indiferente el hecho de inscribirlo antes después, siempre que no transcurra más de tres
meses y no existan modificaciones.
No se puede notificar previamente, pues no existe nada que registrar, y se incrementaría el
riesgo de error por las posibles modificaciones.
Si lo notificará previamente a la APD con la finalidad y después se creara el fichero.

3.- El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año.
Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.
Verdadero.
Falso.

4.- La ley reconoce derechos de indemnización a las personas que, habiendo solicitado la
supresión de determinados datos personales de algún fichero, se vean afectados de algún
modo.
Falso.
Verdadero.

5.- Existen unos ficheros creados por las fuerzas y cuerpos de seguridad que se recogen
sólo para fines administrativos que se regirán por lo general de la presente ley.
Verdadero.
Falso.

6.- Podrán crearse ficheros de titularidad privada que contengan datos de carácter
personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la
persona, empresa entidad titular, y siempre que se respeten sus derechos.
Verdadero.
Falso.

7.- Las personas que lo soliciten tendrán derecha obtener gratis información de sus datos el
origen de donde vienen y lo que se pretende hacer con ellos, y tendrán el derecho de
cancelación rectificación.
Falso.
Verdadero.

25
8.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes
para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean
adversos, a más de seis años, siempre que respondan con veracidad a la situa
Falso.
Verdadero.

9.- El Registro General de Protección de Datos...


Será de consulta pública y gratuita.
Será de consulta privada, previo abono de cuota anual de 35,50€ 1,95 por consulta fichero
accedido.
Solpodrán consultar personal acreditadpor la Agencia.

10.- Por norma general, los interesados tendrán derecha oponerse, previa petición y sin
gastos, al tratamientde los datos que le conciernan, en cuyo caso serán dados de baja del
tratamiento, cancelándose las informaciones que sobre ellos figuren, a su simple
Falso.
Verdadero.

11.- La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento


de datos, únicamente podrá tener valor probatoria petición del afectado.
Falso.
Verdadero.

TEMA 5

LOPD, Reglamento y medidas de seguridad

5.1.- LOPD, Reglamento y medidas de seguridad

En estos momentos empezamos a tener conciencia de la importancia de la LOPD, incluso


para comunidades de vecinos, para empresas… etc. A continuación, nos encontramos con
la Ley Orgánica de Protección de datos y el reglamento de medidas de seguridad

Descarga - Ley Orgánica de Protección de datos

Si han leído la LOPD, habrán visto que es muy de sentido común. Ya sé que
muchos artículos no les afectan, pero siempre va bien adquirir unos conocimientos. Como
ya les comentaba antes, no es necesario que la estudien, ya tendrán su documento de
seguridad y toda la documentación necesaria exclusiva para su empresa, “esta si habrá

26
que trabajarla un poquitín”

Descarga - Reglamento y medidas de seguridad

TEMA 6

Preguntas frecuentes

A continuación vemos unas preguntas abiertas para que respondamos con el más de
nuestros sentidos comunes, intente expresarse con palabras o léxico utilizado en los textos
que ya ha estudiado, le ira muy bien familiarizarse con algunos tecnicismos.

ÍNDICE

1.
¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas
jurídicas? ¿Y a los datos de personas ya fallecidas?
2.
¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis
trabajadores una encuesta sobre aficiones/hobbies?
3.
¿Qué información debe proporcionarse a los ciudadanos cuando se recogen sus datos
personales? ¿Cómo debe darse esa información?
4.
¿Puedo utilizar los datos personales de alguien para remitirle publicidad? ¿Se pueden
crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad?
¿Y si los datos provienen de las guías telefónicas o de los listados de colegios
profesionales?
5.
¿Es legal el tratamiento de los datos que figuran en el Padrón Municipal de Habitantes o
en el Censo Electoral?
6.
¿Cómo puedo conseguir que eliminen mis datos de los ficheros de las empresas que me
remiten publicidad continuamente a mi casa? ¿Cómo puedo eliminar mis datos de un
fichero de morosidad en el que estoy incluido? La empresa de luz me remite a mi
domicilio un recibo que contiene un error en uno de los números del DNI. ¿Puedo exigir
que me lo modifiquen?
7.
Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida
para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis
familiares. ¿Qué tengo que hacer?

27
8.
Mantengo una relación contractual con una empresa que me proporciona ciertos servicios
que me interesan. Sin embargo, dicha empresa me remite información de otros productos
que no quiero que me envíen ¿Me ampara la LOPD?
9.
¿Es legal tratar datos de salud de personas físicas?
10.
¿Se considera dato especialmente protegido el relativo a la aportación, en el IRPF, de un
contribuyente a la Iglesia Católica? ¿Y los relativos a la minusvalía y a la afiliación
sindical?
11.
¿Qué se entiende por datos de salud? El dato de que una persona es fumadora ¿entra
dentro del concepto de dato de salud?
12.
¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?

Preguntas frecuentes

Consulta 1

Object 1

28
A continuación, le mostramos la respuesta extendida
Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que
expresamente establecen que la Ley Orgánica tiene por objeto garantizar y proteger, en lo
que concierne al tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y
familiar y que será de aplicación a los datos de carácter personal registrados en soporte
físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de
estos datos por los sectores público y privado."

Nota del tutor: Por ello, NO le es de aplicación la Ley Orgánica 15/1999:


1. A los datos de personas jurídicas.
2. A los datos de las personas fallecidas.
Por el contrario, SÍ le es de aplicación:
1. A los datos de los empresarios individuales - personas físicas (ejemplo:
autónomos).
2. A la grabación de datos de voz e imágenes, siempre que las mismas permitan la
identificación de las personas que aparecen en dichas voces o imágenes y se hallen
incorporadas a ficheros informáticos.
3. A los ficheros de empresas que tengan una relación de personas físicas de
contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc.

Consulta 2

Object 2

29
1.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como
someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se
hayan obtenido.
2.
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos. No se
considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos
o científicos.
3.
Los datos de carácter personal serán exactos y puestos al día de forma que respondan con
veracidad a la situación actual del afectado.
4.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o
incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos
rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el
artículo 16.
5.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán
conservados en forma que permita la identificación del interesado durante un período
superior al necesario para los fines en base a los cuales hubieran sido recabados o
registrados. Reglamentariamente se determinará el procedimiento por el que, por
excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la
legislación específica, se decida el mantenimiento íntegro de determinados datos.
6.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del
derecho de acceso, salvo que sean legalmente cancelados.
7.
Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

30
Consulta 3

Object 3

A continuación, le mostramos la respuesta extendida

Nota del tutor: El deber de información previo al tratamiento de los datos de carácter
personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la
Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a
registrar y tratar datos de carácter personal, será necesario informar a través del medio
que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de
información de los afectados previo a la recogida de los datos

Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso e inequívoco de:

1.
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad
de la recogida de éstos y de los destinatarios de la información.
2.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.

31
3.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
5.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante...' Cuando el responsable del tratamiento no esté establecido en el territorio
de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio
español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un
representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el
propio responsable del tratamiento.
6.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los
mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
7.
No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el
contenido de ella se deduce claramente de la naturaleza de los datos personales que se
solicitan o de las circunstancias en que se recaban.
8.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá
ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su
representante, dentro de los tres meses siguientes al momento del registro de los datos,
salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del
presente artículo.
Cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la
información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio
de la Agencia Española de Protección de Datos o del organismo autonómico equivalente,
en consideración al número de interesados, a la antigüedad de los datos y a las posibles
medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan
de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección
comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará
del origen de los datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten.

Nota del tutor: En consecuencia, cuando se recaban datos personales debe informarse de
modo expreso, preciso e inequívoco de los expuestos anteriormente.

32
Consulta 4

Object 4

A continuación, le mostramos la respuesta extendida


El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, señala que:

1.
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la Ley disponga otra cosa.
2.
No será preciso el consentimiento cuando los datos de carácter personal se recojan para el
ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés
vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando
los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero o por el del
tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y
libertades fundamentales del interesado.
3.
El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa
justificada para ello y no se le atribuyan efectos retroactivos.

33
4.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a
una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.

Nota del tutor: Por su parte, por fuente accesible al público hay que entender de
acuerdo con la definición contenida en el artículo 3 de la Ley Orgánica 15/1999 “aquellos
ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una
norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación”.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su normativa
específica y las listas de personas pertenecientes a grupos de profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso
público, los Diarios y Boletines oficiales y los medios de comunicación.'
Por lo tanto, para tratar datos personales debe tenerse previamente el
consentimiento (expreso o tácito, (pero siempre inequívoco) de sus titulares, salvo que se
dé alguna de las excepciones previstas en el artículo 5. Si los datos figuran en fuentes
accesibles al público (como las guías telefónicas o los listados de colegios profesionales) es
posible su tratamiento sin el consentimiento de los titulares de los datos.

Consulta 5

Object 5

34
A continuación, le mostramos la respuesta extendida
Con carácter general la regulación está contenida en la Ley 4/1996, de 10 de enero, que
modifica la Ley 7/1985, de 2 de abril, de Bases del Régimen Local en relación con el
Padrón Municipal. En concreto el artículo 16 prevé lo siguiente:

1.
El Padrón municipal es el registro administrativo donde constan los vecinos de un
municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio
habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter
de documento público y fehaciente para todos los efectos administrativos.
2.
La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes
datos:
2.1. Nombre y apellidos.
2.2. Sexo.
2.3. Domicilio habitual.
2.4. Nacionalidad.
2.5. Lugar y fecha de nacimiento.
2.6. Número de documento nacional de identidad o, tratándose de extranjeros, del
documento que lo sustituya.
2.7. Certificado o título escolar o académico que se posea.
2.8. Cuantos otros datos puedan ser necesarios para la elaboración del Censo
Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en
la Constitución.
3.
Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo
soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para
el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la
residencia o el domicilio sean datos relevantes. También pueden servir para elaborar
estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley
12/1989, de 9 de mayo, de la Función Estadística Pública.
4.
Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos
se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26
de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común.

35
Consulta 6

Object 6

A continuación, le mostramos la respuesta extendida


El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante
escrito dirigido al responsable del fichero de la entidad de que se trate. La Agencia
Española de Protección de Datos no tiene los datos personales de los ciudadanos.
El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que
el titular de los datos deberá dirigirse directamente a dicha entidad, utilizando cualquier
medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus
derechos, acompañando copia de su DNI...
Vd. debe dirigirse a la dirección del responsable del fichero y solicitar allí la cancelación
pretendida. Si desconoce esa dirección, puede solicitarla a la Agencia Española de
Protección de Datos.
Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar
ante la Agencia Española de Protección de Datos, acompañando la documentación
acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

36
Consulta 7

Object 7

A continuación, le mostramos la respuesta extendida


La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999), reconoce
una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y
cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe,
por tanto, ser ejercido directamente por los interesados ante cada uno de los
responsables/titulares de los ficheros automatizados, lo que significa que Vd. puede
dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume
que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han
obtenido (derecho de acceso), la rectificación de los mismos, o en su caso, la cancelación de
los datos en sus ficheros (derecho de cancelación). En este caso, deberá dirigirse
directamente al responsable del fichero en donde se encuentren sus datos personales,
utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud
para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o
ficheros a consultar.
Si en el plazo de un mes para el derecho de acceso desde la recepción de la solicitud en la
oficina referida, ésta no ha sido atendida adecuadamente, podrá dirigirse a la Agencia con
copia de la solicitud cursada y de la contestación recibida (si existiera), para que ésta a su
vez se dirija a la oficina designada con el objetivo de hacer efectivo el ejercicio de sus
derechos.
En el caso expuesto, podrá acceder a la información pretendida si se trata de información

37
sobre sus datos personales, pero no si se trata de información de terceros.
Efectivamente, el derecho de acceso no puede ser ejercitado en intervalos inferiores a 12
meses, salvo que se acredite un interés legítimo.

Consulta 8

Object 8

A continuación, le mostramos la respuesta extendida


Los titulares de los datos pueden instar la oposición al tratamiento automatizado de ese
tipo de datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica
15/1999, de 13 de diciembre, que establece: '...En los casos en los que no sea necesario el
consentimiento del afectado para el tratamiento de los datos de carácter personal, y
siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos relativos a una concreta situación personal.
En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al
afectado.

38
Consulta 9

Object 9

A continuación, le mostramos la respuesta extendida


El artículo 8 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,
establece y regula los datos relativos a la salud señalando que sin perjuicio de lo que se
dispone en el artículo 11 respecto de la cesión.
Las instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los
mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.
Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la
existencia de una Ley que permita el tratamiento de dichos datos

39
Consulta 10

Object 10

A continuación, le mostramos la respuesta extendida

Se plantea en esta consulta si la inclusión en los ficheros de datos relacionados con


la opción del contribuyente de contribuir al sostenimiento de la Iglesia Católica es un dato
relacionado con la ideología, religión o creencias del afectado.

A nuestro juicio, la respuesta debe ser afirmativa, dado que, si bien de la simple
voluntad de contribuir a la Iglesia Católica no se desprende directamente la condición de
creyente, la opción por esta alternativa se encontrará íntimamente vinculada a las
convicciones, en el peor de los supuestos, filosóficas del contribuyente, debiendo, en este
punto recordarse la dicción del artículo 8.1 de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos
datos que, al enumerar los datos sensibles, se refiere a las 'convicciones religiosas o
filosóficas', que a nuestro juicio se pondrán de manifiesto cuando el contribuyente opte o
no por colaborar con el sostenimiento de la Iglesia Católica.

40
Igualmente, se considera que la minusvalía es un dato de salud y que la afiliación sindical
en un dato de ideología, por lo tanto, también son datos especialmente protegidos.

Consulta 11

Object 11

A continuación, le mostramos la respuesta extendida


Por lo que se refiere a los datos de salud, deberá partirse del concepto que quepa dar a los
mismos, a partir de las normas, nacionales e internacionales, vigentes en España.
La norma esencial en la protección de datos automatizados de carácter personal en nuestro
país es la Ley Orgánica 15/1999. Sin embargo esta norma, si bien se refiere expresamente a
los datos de salud, considerándolos expresamente protegidos y limitando la posibilidad de
su recopilación y cesión, no establece un concepto concreto de este tipo de datos.
El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa viene a
definir la noción de 'datos de carácter personal relativos a la salud', considerando que su
concepto abarca 'las informaciones concernientes a la salud pasada, presente y futura,
física o mental, de un individuo', pudiendo tratarse de informaciones sobre un individuo
de buena salud, enfermo o fallecido. Añade el citado apartado 45 que 'debe entenderse que
estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al
consumo de drogas'.
En este mismo sentido, la Recomendación nº R (97) 5, del Comité de Ministros del Consejo
de Europa, referente a la protección de datos médicos, afirma que 'la expresión datos
médicos hace referencia a todos los datos de carácter personal relativos a la salud de una
persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con la

41
salud, así como con las informaciones genéticas'.
De lo anteriormente señalado se puede desprender, en principio, que los datos indicados
por Vd. en la medida en que pueden ser datos relacionados con la salud serán datos
médicos y les será de aplicación las medidas de protección de nivel alto, tal y como
establece el artículo 4* del Reglamento de Medidas de Seguridad de los Ficheros
Automatizados que contengan Datos de Carácter Personal aprobado por Real Decreto
994/1999, de 11 de junio.
Ahora bien, dado que su consulta se plantea solamente en los términos de que si el dato de
que una persona fume o no fume se puede considerar dato de salud, habrá que estarse al
contexto en el que se encuentra dicha anotación y la finalidad para la que se usa. Es
evidente que no es lo mismo anotar en un fichero de control de pasajeros y billetes la
condición o no de fumador de una persona (porque no se van a realizar posteriores
evaluaciones médicas del mismo) que anotar dicha condición en un fichero de seguros de
vida, en el que dicha anotación no va aislada, sino junto con otros datos de salud. En uno y
otro caso, las finalidades para las que se va a usar esa anotación son diferentes.
Si el dato de fumador o no fumador no sirve para realizar evaluaciones de salud o
médicas, en principio, no parece que sea dato de salud, ya que, aunque sea un dato de
riesgo potencial para la salud, no informa por sí solo del estado de salud / pasado,
presente o futuro de la persona. En caso contrario, sí será un dato de salud.

Nota del tutor: Si el dato de fumador o no fumador no sirve para realizar evaluaciones de
salud o médicas, en principio, no parece que sea dato de salud, ya que, aunque sea un dato
de riesgo potencial para la salud, no informa por sí solo del estado de salud / pasado,
presente o futuro de la persona. En caso contrario, sí será un dato de salud.

*Artículo 4.- Aplicación de los niveles de seguridad. (Real Decreto 994/1999, de 11 de


junio.)

1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las
medidas de seguridad calificadas como de nivel básico.

2.- Los ficheros que contengan datos relativos a la comisión de infracciones


administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo
funcionamiento se rija por el Artículo 28 de la Ley Orgánica 5/1992, deberán reunir,
además de las medidas de nivel básico, las calificadas como de nivel medio.

3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o
vida sexual así como los que contengan datos recabados para fines policiales sin
consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel
básico y medio, las calificadas como de nivel alto.

4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes

42
que permitan obtener una evaluación de la personalidad del individuo deberán garantizar
las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos
exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.

Consulta 12

Object 12

A continuación, le mostramos la respuesta extendida


El soporte papel (como son los listados o las fichas) entra dentro de la definición de
soportes físicos en general.
Igualmente, los ficheros en soporte papel entran dentro del ámbito de aplicación de la Ley
Orgánica 15/1999, aunque su aplicación quedo demorada hasta el 24 de diciembre de 2007
para ficheros preexistentes.
No obstante, ya hace bastante tiempo que es totalmente obligatorio. Para registrarlos tiene
que quedar perfectamente reflejado en el formulario que se trata de esa clase de ficheros
(por ej.: en el apartado 6. “que ya veremos en la adecuación”.
SISTEMA DE TRATAMIENTO O INFORMACION, en descripción general del sistema de

43
información tendrán que poner la descripción y hacer constar que el fichero está en papel;
marcar el apartado OTROS y que NO existen conexiones remotas).

TEMA 7

Medidas de seguridad por nivel

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres


niveles: básico, medio y alto. Véase Artículo 80. Niveles de seguridad del Reglamento de
Desarrollo de la LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.

7.1.- Nivel básico


7.2.- Medidas de seguridad para el nivel básico
7.3.- Medidas de seguridad para el nivel medio
7.4.- Medidas de seguridad para el nivel alto

7.1.- Nivel básico

En el Artículo 81. (Aplicación de los niveles de seguridad) Podemos observar que:

1. Nivel básico: Todos los ficheros o tratamientos de datos de carácter personal deberán
adoptar las medidas de seguridad calificadas de nivel básico.

2. Nivel medio: Deberán implantarse, además de las medidas de seguridad de nivel


básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de
carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de


13 de diciembre (Quienes se dediquen a la prestación de servicios de información sobre la
solvencia patrimonial y el crédito).

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con


el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la
Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo,

44
aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades
profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una
definición de las características o de la personalidad de los ciudadanos y que permitan
evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. nivel alto: Además de las medidas de nivel básico y medio, las medidas de nivel alto se
aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

Esto son los niveles de seguridad existentes y cuando se aplica cada uno de ellos, a
continuación se dan detalles de casos y excepciones de la regla.

1. A los ficheros de los que sean responsables los operadores que presten servicios de
comunicaciones electrónicas disponibles al público o exploten redes públicas de
comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se
aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de
seguridad de nivel alto contenida en el artículo 103 de este reglamento.

2. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,


creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de
seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las
entidades de las que los afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o


accesoria se contengan aquellos datos sin guardar relación con su finalidad.

3. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado
de discapacidad o la simple declaración de la condición de discapacidad o invalidez del
afectado, con motivo del cumplimiento de deberes públicos.

4. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la
condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias
específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia
iniciativa adoptase el responsable del fichero.

45
5. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un
sistema de información existan ficheros o tratamientos que en función de su finalidad o
uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un
nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de
este último, siendo de aplicación en cada caso el nivel de medidas de seguridad
correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con
acceso a los mismos, y que esto se haga constar en el documento de seguridad.

7.2.- Medidas de seguridad para el nivel básico

En este caso veremos las Funciones y Obligaciones que tienen en el nivel básico de
seguridad (Artículo 89)

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con
acceso a los datos de carácter personal y a los sistemas de información estarán claramente
definidas y documentadas en el documento de seguridad. También se definirán las
funciones de control o autorizaciones delegadas por el responsable del fichero o
tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el
personal conozca de una forma comprensible las normas de seguridad que afecten al
desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de
incumplimiento.

Como ya imaginaran, hay que crear un Registro de incidencias, según el Artículo 90. Pero
no se preocupen, vamos a no tener ninguna, ya que vamos a hacer bien las cosas, pero en
el supuesto que ocurriera, también es lógico crear este registro ya que no sería viable llevar
un control correctamente.

Artículo 90:Registro de incidencias.

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a


los datos de carácter personal y establecer un registro en el que se haga constar el tipo de
incidencia, en el momento que se ha producido, o en su caso, detectado, la persona que
realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la
misma y las medidas correctoras aplicada.

La forma más sencilla es creando una tabla, con los campos requeridos y cada vez que
tengan una incidencia, sea cual sea y de departamento que cometa, cumplimentar dicha
tabla, y que debe quedar registrada y adjuntada al Documento de Seguridad.

Llego el momento de proteger los accesos a los datos para que otras personas que no estén
autorizadas al tratamiento no puedan alterar ni tan siquiera acceder a ellos. En el Artículo
91. Nos encontramos con el Control de acceso.

46
Artículo 91: Control de acceso.

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el
desarrollo de sus funciones.

Un técnico industrial de una empresa, no tiene por qué tener acceso a la contabilidad ni a
datos personales del resto de empleados

2. El responsable del fichero se encargará de que exista una relación actualizada de


usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

Un listado donde se refleje el nombre y apellido del usuario, cargo que desempeña y si es
un contable, seguro que tiene acceso a prácticamente todo, pero un comercial no tendrá
estos mismos privilegios de acceso. En el Documento de seguridad que redactaremos más
adelante, veremos que este listado con la relación de usuarios, suele ser uno de los más
dinámicos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda
acceder a recursos con derechos distintos de los autorizados.

Un poco más de lo mismo, Esto suele solucionarse, no compartiendo según que carpetas
en la red de su empresa, también se pueden poner los accesos denegados o protegerlos con
una contraseña, que solo la persona autorizada conozca

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá


conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios
establecidos por el responsable del fichero.

En el Documento de Seguridad, tendrán que incluir quien es el responsable de seguridad,


dicho responsable del tratamiento será quien se encargue de las autorizaciones de acceso a
los usuarios, ninguna otra persona puede alterar estas condiciones sin autorización.

5. En caso de que exista personal ajeno al responsable del fichero y tengan acceso a los
recursos protegidos, deberá estar sometido a las mismas condiciones y obligaciones de
seguridad que el personal propio.

Este apartado será de interés para el informático de la empresa por que La correcta gestión
interna para tratar los soportes y documentos lo especifica el Artículo 92 en 5 interesantes
e importantes apartados

Artículo 92: Gestión de soportes y documentos.

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir
identificar el tipo de información que contienen, ser inventariados y solo deberán ser
accesibles por el personal autorizado para ello en el documento de seguridad. Se

47
exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su
cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

Cuando se trata de servicios informáticos es sumamente sencillo, ya que podemos


titularlos, filtrarlos y protegerlos con claves o encriptaciones, el problema surge cuando
están en formato papel, es posible que estén archivados por expedientes y estos por orden
alfabético, por lo que para la gestión el día a día de la empresa, seguramente es más que
correcto. Pero por el volumen o por los pocos datos que tenemos en las cabeceras de los
expedientes, es imposible saber todos los datos de carácter personal que contiene y por el
volumen almacenado se tardarían semanas o meses en inventariarlo. Por lo que estos
archivadores estarán cerrados bajo llave o en su defecto estarán ubicados en un espacio
restringido para el personal no autorizado a su tratamiento. Esta imposibilidad en la
seguridad de estos archivadores, se hará constar en el Documento de seguridad, pero
incluyendo al final de la exposición referida, las medias de seguridad que protegen estos
datos, tales como “si los archivadores o armarios tienen llave, o están en un despacho
cerrado en ausencia del responsable. etc.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos


los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control
del responsable del fichero o tratamiento deberá ser autorizada por el responsable del
fichero o encontrarse debidamente autorizada en el documento de seguridad.

En un principio, casi nunca cedemos datos de carácter personal a personal ajeno a su


tratamiento, en la práctica “en muchas ocasiones” SI cedemos datos a otras compañías,
tales como los datos de los empleados, para la confección de nominas, seguros sociales,
etc. Este acto no se considerará cesión, puesto que ya tendremos un contrato de prestación
de servicios con dicha gestoría en el que estará incluido la clausula de confidencialidad
por parte de la gestoría. Además es totalmente necesario para poder cumplir con los pagos
de los empleados etc. Etc.

En el caso que estos datos sean comunicados a un perito o a un comercial o a un cobrador,


etc., para que visite o realice alguna gestión con los datos personales que ustedes le han
entregado. Ya sea personal propio, subcontratado o ajeno, SI que tendremos que tener una
clausula o contrato de confidencialidad con los mismos (incluso trabajadores propios en
sus labores cotidianas) y se incluirá en el documento de seguridad y se hará constar en el
alta del registro del fichero en la AEPD. Para su tranquilidad, esto solo lo tendrán que
hacer una vez, a partir de tenerlo contemplado en su Doc. de Seguridad y firmado la
confidencialidad, sus actividades cotidianas no sufrirán cambio alguno.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la


sustracción, pérdida o acceso indebido a la información durante su transporte.

Es de sentido común, si le entregamos a un individuo, un disco duro donde tenemos


incluidos datos personalísimos, por lo menos lo tendremos que proteger con claves de
acceso y un a encriptación de los datos que contiene.

48
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de
carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de
medidas dirigidas a evitar el acceso a la información contenida en el mismo o su
recuperación posterior.

En los caso más usuales, se eliminan definitivamente del soporte informático, o en


trituradora de papel, en caso de poco volumen se destruirá minuciosamente a mano si es
en formato papel, los discos duros serán destruidos o formateados, garantizando de tal
modo la imposibilidad de acceso o recuperación.

5. La identificación de los soportes que contengan datos de carácter personal que la


organización considerase especialmente sensibles se podrá realizar utilizando sistemas de
etiquetado comprensibles y con significado que permitan a los usuarios con acceso
autorizado a los citados soportes y documentos identificar su contenido, y que dificulten
la identificación para el resto de personas. Ejemplo “usar un cifrado interno” El colocar
una etiqueta adhesiva a un ordenador en la que incluyamos un código, por ejemplo
FA.2101 y así sucesivamente en todos los soportes, informatizados o no, podemos tener
una relación de conocimiento únicamente para el personal autorizado donde se indique
que FA.2101 Es el ordenador del departamento de contabilidad. O etiquetar el portátil de
un comercial con “CO1001”, este listado con los códigos estará custodiado por el
responsable de los ficheros.

Ahora se complica un poco, pero como viene siendo habitual, cuando apliquen estas
medidas de seguridad, su tratamiento habitual mejorará. Otras de las medidas a adoptar
es la correcta Identificación y Autentificación de lo que estamos tratando, esta medida la
agradeceremos mucho ya que nos hará ahorrar tiempo. En el Artículo 93 observaremos lo
siguiente.

Artículo 93: Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la
correcta identificación y autenticación de los usuarios. El listado de usuarios y autorizados
que comentábamos antes.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la


identificación de forma inequívoca y personalizada de todo aquel usuario que intente
acceder al sistema de información y la verificación de que está autorizado.

Si cada usuario tiene su propio ordenador y tiene los accesos permitidos o no en la red
comercial, no hay problema, pero si tiene acceso a un servidor el cual contiene
documentación, carpetas, informes etc., que contienen datos de carácter personal y dicho
usuario no tiene autorización de acceso, se complica un poco pues tendrán que instalar,
por ejemplo un software que registre quien ha accedido, a que ha accedido, fecha y hora
del acceso o de la negación de acceso. Además que para el acceso deberá introducir una
contraseña.

49
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá
un procedimiento de asignación, distribución y almacenamiento que garantice su
confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será


superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén
vigentes, se almacenarán de forma ininteligible.

Copias de seguridad, apartado muy sensible dentro de las pymes donde radican los
errores más frecuentes dentro de la aplicación correcta de la LOPD, el Artículo 94 hace
referencia a las copias de respaldo y recuperación.

Artículo 94: Copias de respaldo y recuperación.

1. Deberán establecerse procedimientos de actuación para la realización como mínimo


semanal de copias de respaldo, salvo que en dicho período no se hubiera producido
ninguna actualización de los datos. Existen procedimientos automáticos de copias de
seguridad, o pueden realizarlas manualmente, de todas formas estas copias garantizaran
la recuperación total, por lo que el consejo es que realicen copias de seguridad/respaldo,
cada vez que modifiquen los ficheros.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que


garanticen en todo momento su reconstrucción en el estado en que se encontraban al
tiempo de producirse la pérdida o destrucción. Únicamente, en el caso de que la pérdida o
destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que
la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo
anterior, se deberá proceder a grabar manualmente los datos quedando constancia
motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta


definición, funcionamiento y aplicación de los procedimientos de realización de copias de
respaldo y de recuperación de los datos. Esto es necesario para la verificación de no solo
que se realizan las copias, también que esté funcionando el sistema, pues en muchas
ocasiones, ya sea por descuido humano o por un fallo en el Software no se realizan
correctamente y cuando se den cuenta ya es demasiado tarde.

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información


que traten ficheros con datos de carácter personal no se realizaran con datos reales, salvo
que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote
su realización en el documento de seguridad. Si está previsto realizar pruebas con datos
reales, previamente deberá haberse realizado una copia de seguridad.

Las medidas de seguridad de nivel medio están reflejadas en 6 artículos del 95 al 100,
donde inciden otras responsabilidades y recaen en personas especificas.

En este nivel la figura del Responsable de Seguridad adopta una función fundamental,

50
como indica el Artículo 95.

7.3.- Medidas de seguridad para el nivel medio

Artículo 95: el responsable de seguridad

En el documento de seguridad deberán designarse uno o varios responsables de seguridad


encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación
puede ser única para todos los ficheros o tratamientos de datos de carácter personal o
diferenciado, según los sistemas de tratamiento utilizados, circunstancia que deberá
hacerse constar claramente en el documento de seguridad. En ningún caso esta
designación supone una exoneración de la responsabilidad que corresponde al
responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Después de adecuar la empresa a la LOPD y “mantenerla al día” según la LOPD,


tendremos que realizar una auditoría obligatoria bianual. Véase el Artículo 96.

Artículo 96. Auditoría:

1. A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y


almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o
externa que verifique el cumplimiento del presente título. Con carácter extraordinario
deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el
sistema de información que puedan repercutir en el cumplimiento de las medidas de
seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las
mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y


controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las
medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos,
hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones
propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente,


que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de
Protección de Datos o, en su caso, de las autoridades de control de las comunidades
autónomas.

Su empresa de informática y Software o su departamento interno de informática entran en


acción de nuevo. El incumplimiento de esta medida de seguridad conlleva desastrosas

51
consecuencias.

Artículo 97. Gestión de soportes y documentos.

1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o


indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el
número de documentos o soportes incluidos en el envío, el tipo de información que
contienen, la forma de envío y la persona responsable de la recepción que deberá estar
debidamente autorizada.

En el caso que la documentación se reciba por correo electrónico es mucho más fácil de
cumplir estos requisitos.

Para llevar un registro exhaustivo, nada mejor que tener actualizado un libro de registros
de entrada de soportes que contengan datos de carácter personal. Este libro puede ser una
tabla en su ordenador donde incluya en las casillas a tal efecto, los datos solicitados en el
párrafo anterior.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita,


directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el
destinatario, el número de documentos o soportes incluidos en el envío, el tipo de
información que contienen, la forma de envío y la persona responsable de la entrega que
deberá estar debidamente autorizada. El control es exactamente igual que el punto
número 1.

No se preocupen en exceso de tales controles, pues por norma la mayoría de empresas no


tienen esta obligación ya que no ceden ni salen documentos con datos de nivel medio de
las instalaciones de su empresa. Pero ojo en el caso que si cedan datos o se dediquen a la
cesión o tratamiento de datos de nivel medio, tendrán que llevar estos controles. Aunque
como veremos más adelante, en el proceso de adecuación podemos tenerlo todo correcto a
golpe de clic. Siempre es mas cómodo en todos los aspectos tenerlo informatizado.

Al igual que en Artículo 93 nos indicaba el tratamiento a seguir para la correcta


autentificación e identificación, el Artículo 98 añade el siguiente punto.

Artículo 98: Identificación y Autentificación.

El responsable del fichero o tratamiento establecerá un mecanismo que limite la


posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

La forma más usual para conseguir este propósito es una contraseña que al tercer intento
fallido bloquee el ordenador, también puede dar un aviso automático al responsable de
fichero.

Al Artículo 91. Tal y como indica el Artículo 99 de Control de acceso físico. Se le aplicara
el siguiente apartado:

52
Artículo 99: Control de acceso físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a


los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de
información.

Pongamos como ejemplo, un despacho donde están los archivadores que contienen
expedientes de clientes, en los que existen datos relacionados a la solvencia, penales, etc.
Este despacho tiene que permanecer cerrado en ausencia del responsable para evitar
intrusiones no autorizadas, o un archivador que solo tengan la llave las personas
autorizadas, estas personas serán relacionadas en el Documento de Seguridad.

Atención al Registro de incidencias ya que el Artículo 100, añade 2 apartados:

Artículo 100: Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los


procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó
el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar
manualmente en el proceso de recuperación.

Estos nuevos requerimientos en el caso de nivel medio de seguridad, los incluiremos en la


“tabla” comentada en el Art.90

2. Será necesaria la autorización del responsable del fichero para la ejecución de los
procedimientos de recuperación de los datos.

No podemos recuperar datos de carácter personal que ya están eliminados, ya que es muy
posible que estén eliminados cumpliendo con la normativa que nos indica que cuando los
datos han cumplido su finalidad, ya no son necesarios o son inexacto Etc. Deberán ser
eliminados. Es normal pedir esta autorización para recuperar lo eliminado por error.

7.4.- Medidas de seguridad para el nivel alto

En este nivel se añadirán 4 Artículos referidos a la Gestión y distribución de soportes.


Copias de respaldo y recuperación. Registro de accesos y Telecomunicaciones.

Artículo 101.Gestión y distribución de soportes.

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado


comprensibles y con significado, que permitan a los usuarios con acceso autorizado a los
citados soportes y documentos, identificar su contenido y que dificulten la identificación
para el resto de personas.

Una etiqueta con un sencillo cifrado, puede ser de mucha ayuda en casos donde coexistan

53
muchos puestos de trabajo

2. La distribución de los soportes que contengan datos de carácter personal se realizará


cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha
información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán
los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las
instalaciones que están bajo el control del responsable del fichero.

Tengan en cuenta que los datos que están tratando se consideran datos “sensibles” o
“privadísimos”, el nivel de seguridad medio tiene inherentes una serie de medidas quizás
más complicadas de cumplir, pero es que protege datos más importantes por lo que el
cifrar, bloquear o de algún otro modo garantizar la seguridad de los soportes que contiene
estos datos sobretodo cuando están fuera de las instalaciones es de suma importancia, ya
que puede perder o le pueden robar el ordenador, o el disco duro externo, pueden haber
accesos no autorizados, etc.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles


que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar
motivadamente en el documento de seguridad y se adoptarán medidas que tengan en
cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artículo 102. Copias de respaldo y recuperación.

Conservarse una copia de respaldo de los datos y de los procedimientos de recuperación


de los mismos en un lugar diferente de aquel en que se encuentren los equipos
informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad
exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación
de la información, de forma que sea posible su recuperación.

En este nivel de seguridad, otra medida más es que la copia de seguriad, etc. tiene que
guardarse en un lugar direfente, por su puesto no es correcto la copia en el mismo
ordenador o disco partido, tampoco en el cajon de la mesa del puesto de trabajo. O bien se
guarda en otro habitaculo cerrado, o en caja fuerte o en domicilio paticualr en empresasa
especializadas externas, etc.

Artículo 103. Registro de accesos.

En este siguiente apartado si que tendra que intervenir de nuevo un experto informatico
ya que deberan incluir un sotfware para poder controlar quien intenta o cacede, aque
accede y guardar dicho registro durante dos años.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la


fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado
o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información

54
que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del
responsable de seguridad competente sin que deban permitir la desactivación ni la
manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la


información de control registrada y elaborará un informe de las revisiones realizadas y los
problemas detectados.

Simplemente verificar que es sistema funciona y que los registros que tiene de este mes
son los correctos y autorizados, este control lo puede reflejar en una sencilla tabla Excel
para simplificar el proceso.

6. No será necesario el registro de accesos definido en este artículo en caso de que


concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene
acceso y trata los datos personales. La concurrencia de las dos circunstancias a las que se
refiere el apartado anterior deberá hacerse constar expresamente en el documento de
seguridad.

Por esto es tan importante indicar en el Documento de Seguridad, en el caso que sea el
responsable el unico que tiene acceso a los datos de carater personal de nivel medio, ya
que como puede comprobar se ahorrará mucha faena de control. Esto no quiere decir que
otros usuarios no puedan “tocar” los ordenadores, lo unico es garantizar y contorlar quien
accede y a que accede, ya que si es el departamento de contabilidad, o comercial,
seguramente no tendran acceso a este tipo de datos de nivel medio “o no deberián”.

Artículo 104. Telecomunicaciones. “En este nivel hay que cifrar los datos”

Cuando, conforme al artículo 81.3 del reglamento de seguridad deban implantarse las
medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través
de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la
información no sea inteligible ni manipulada por terceros.

7.5 Cuestionario: Medidas de seguridad por nivel

1.- Pasado un tiempo, los datos que tenemos no coinciden con los verdaderos deberemos
cancelarlos corregirlos de nuestra base de datos no pudiendo permanecer en ella
inexactos.

55
Verdadero.
Falso.

2.- Deberán comunicarse a la Agencia de Protección de Datos los cambios que se


produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de
su ubicación.
Falso.
Verdadero.

3.- La ley establece tres niveles de seguridad en los ficheros:


Básico, medio y alto.
Medio, alto y máximo.
Bajo, pre intermedio y medio.

4.- Aunque un interesado, según la LOPD, dé su consentimiento para que se registren sus
datos personales, estos no pueden ser utilizados.
Verdadero.
Falso.

5.- El Registro General de Protección de Datos…


Solo podrán consultar personal acreditado por la Agencia.
Sera de consulta pública y gratuita.
Será de consulta privada, previo abono de cuota anual de 35,50€ 1,95 por consulta fichero
accedido.

6.- Se tiene que nombrar un responsable de los ficheros que vayamos a tratar, quien deberá
tomar todas las medidas que garanticen la seguridad de los datos.
Verdadero.
Falso.

7.- El responsable del fichero debe respetar el secreto profesional y puede, a voluntad,
revelar los datos información que contenga el fichero, ya que es él, el único responsable.
Verdadero.
Falso.

8.- Cualquier información concerniente a personas físicas identificadas identificables, se le


denomina en la LOPD:
Datos de carácter personal.
Tratamiento de datos.
Fichero.
TEMA 8

Ficheros no automatizados

8.1.- Medidas de seguridad en ficheros no automatizados

56
8.2.- Medidas de seguridad para el nivel básico

8.3.- Medidas de seguridad para el nivel medio

8.4.- Medidas de seguridad para el nivel alto

8.1.- Medidas de seguridad en ficheros no automatizados

Igual que las medidas de seguridad de nivel básico, medio y alto en los sistemas de
tratamientos automatizados, tenemos que contemplar las obligaciones en materia de
seguridad de los ficheros en formato papel o no automatizados.

Aunque es cierto que prácticamente lo tenemos todo informatizado al igual que los
tratamientos que realizamos. Prácticamente automatizados gracias a los ordenadores e
internet.

No obstante en un porcentaje muy alto de empresas, siguen tratando documentación en


formato papel, aunque ha descendido el tratamiento no automatizado de datos de carácter
personal. Uno de los motivos principales es la eficacia de las nuevas tecnologías, ya no
solo para cumplir con la normativa vigente en materia de protección de datos, si no por la
agilidad que ganamos en el día a día en el trabajo.

No obstante vamos a tratar los tres niveles de seguridad en los tratamientos de datos no
automatizados.

Nota:
Cuando tenemos intención de crear un fichero, tenemos que “informar /inscribir” dicho
fichero en el Registro de la Agencia de Protección de Datos, e indicar si este tendrá un
sistema de tratamiento Informatizado, manual o mixto.
Los tratamientos y finalidades, pueden ser los mismos, pero no las medidas de seguridad
a adoptar.

También lo indicaremos en el Documento de Seguridad, incluso podríamos tener un


Documento de Seguridad por cada fichero declarado, “si estos son diferentes en lo que al
nivel de seguridad se refiere” o lo diferenciaremos expresa y correctamente en el
Documento de Seguridad.

8.2.- Medidas de seguridad para el nivel básico

Obligaciones comunes.

1. Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será


de aplicación lo dispuesto en los capítulos I y II del presente título en lo relativo a:

a) Alcance.
b) Niveles de seguridad.

57
c) Encargado del tratamiento.
d) Prestaciones de servicios sin acceso a datos personales.
e) Delegación de autorizaciones.
f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del
tratamiento.
g) Copias de trabajo de documentos.
h) Documento de seguridad.

2. Asimismo se les aplicará lo establecido por la sección primera del capítulo III del
presente título en lo relativo a:

a) Funciones y obligaciones del personal.


b) Registro de incidencias.
c) Control de acceso.
d) Gestión de soportes.

Criterios de archivo.

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos
en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de
los documentos, la localización y consulta de la información y posibilitar el ejercicio de los
derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá
establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Nota:
En los Artículos, 105 y 106 nos indican el alcance y el almacenamiento de datos. Lo que si
es seguro que cualquier empresa que tenga fichas, formularios, expedientes, etc. en
formato/soporte papel, las tendra que tener archivadas según indica el presente Artículo.
Pero es de sentido comun que lo tengan organizado de tal forma, ya que seria caotico en
caso contrario. Lo que tendran que hacer es anotar la forma de creación y posterior
tratamiento en el propio Documento de seguridad, incluso, indicar el sistema
administrativo y de proceso que iniciarian en caso de solicitud del ejercio de los derechos
A.R.C.O.

Dispositivos de almacenamiento

En el Artículo 107, le indican que tienen que garantizar que los armarios, archivadores etc.
tenga un acceso restringido, como puede ser Armarios con cerradura de seguridad, pero
que ocurre cuando la cantidad de información es muy grande y tienen la información en
cajas ordenadas por orden alfabético y nombrada cada una que contiene para su fácil
reconocimiento y posterior tratamiento… bien, en ese caso tendrá que nombrar al
personal autorizado a entrar en esa sala, o tener una cerradura de seguridad que evite el
acceso a dicho habitáculo, cuya llave tendrán solo las personas autorizadas. Este hecho

58
también se incluirá en el documento de seguridad.

En el caso que se estuvieran trabajando sobre un expediente y dicho expediente esté fuera
de los archivadores que le corresponde, ya sea por servicios de mantenimiento o sea una
aplicación o tratamiento común de su empresa anterior o posterior a su archivo definitivo.
La persona que está trabajando con este expediente o base de datos, y según el Artículo
108, siempre impedirá su alteración o pérdida accidental incluso el acceso al mismo por
persona no autorizada.

En el caso que una empresa tenga definido que el responsable del fichero es el único que
tiene acceso a los datos de carácter personal, lógicamente no será necesario nombrar a
ninguna persona autorizada y podrá prescindir de las medidas de seguridad físicas,
siempre que el acceso a (por ejemplo) su despacho que es donde tiene los archivadores
tenga el acceso restringido, pero por norma eso ya ocurre en la mayoría de empresas. Pero
que ocurre cuando sois una pequeña empresa, en la cual todos tienen acceso a todo, y
como se dice (esto es una empresa familiar y aquí no hay restricciones de ningún tipo). U
otro caso muy común son los restaurantes o establecimientos cara al púbico que la
mayoría del espacio físico disponible esta para el servicio a los clientes, quedando un
pequeño espacio reservado para “EL PAPELEO” En los que tiene incluidos las nominas de
los empleados, su agenda de contactos y varios documentos que contienen datos de
carácter personal y alguno un poco más delicados como el caso de las nominas. En estos
casos tendremos que nombrar a todas las personas que tienen acceso a los datos en el
Documento de Seguridad y todas conocerán sus obligaciones frente a la LOPD, y en los
casos de que los datos estén expuestos a personal e la empresa, como cocineros, camareros,
peones, etc. que realmente no están autorizados al acceso a tales datos pero por las
características del establecimiento es relativamente fácil el acceso. Tendrán que tomar una
medida de seguridad FÍSICA Y OBLIGATORIA (poner una puerta con cerradura y que
esta llave solo la tenga el responsable, o tener un archivador con llave única) pero de un
modo u otro tiene que tener los datos protegidos.

Una medida de seguridad muy extendida, es que toda la documentación que contiene
datos de carácter personal, la tienen guardada en el propio domicilio del responsable de
los ficheros por lo que ya han conseguido un habitáculo cerrado en ausencia del
responsable, evitando así el acceso indebido o no autorizado.

8.3.- Medidas de seguridad para el nivel medio

Aunque es cada vez menos improbable, que las empresas que tienen datos de carácter
personal los cuales se le tienen que aplicar las medidas de seguridad de nivel medio, estos
estén archivados en formato papel, vamos a explicar las medidas que tendrían que
adoptar, también es cierto que en muchas ocasiones, por la funcionalidad del puesto de
trabajo se recaban o tratan datos en formato papel, tales como fichas de clientes, donde se
incluyen datos de obligaciones dinerarias, seguros, impagos etc.

Estos serán tratados bajo la norma de seguridad de nivel medio.

59
Sera cuando tendremos que nombrar a uno o varios responsables de seguridad.

Además, estas medidas de seguridad e someterán mínimo cada dos años a una auditoria.
De todos modos el documento de seguridad es un documento “VIVO” entendiéndose que
lo tendremos siempre totalmente actualizado.

8.4.- Medidas de seguridad para el nivel alto

Teniendo en cuenta todas las medidas anteriormente descritas, cuando los datos que
tratamos están encuadrados en el nivel de seguridad ALTO, deberán además incluir las
siguientes medidas de seguridad relacionadas a continuación:

En el caso del almacenamiento de los datos bien sea en archivadores, armarios o cualquier
otra forma de almacenamiento, se tendrá que restringir el acceso, la forma más usual tal
como explicábamos anteriormente, los componentes físicos de almacenamiento serán
ubicados es espacios (despacho, habitación, etc.) donde serán protegidos por puertas de
seguridad o con cerradura. Permaneciendo siempre cerrados mientras no se precise su
acceso para los tratamientos pertinentes.

En los casos que por causas justificadas, no sea posible dicha medida de seguridad, el
responsable tomara las medidas alternativas, siempre que las características del local no
permita las restricciones de acceso antes comentadas. Obviamente, estas medidas
alternativas serán relacionadas y explicadas en el Documento de Seguridad.

En el Artículo 112 RD-1720/2007 nos indican me forma explícita sobre el tratamiento de


las copias de respaldo “seguridad” Estas serán realizadas por el personal autorizado o
bajo su supervisión y la destrucción de las copias desechadas se realizaran de forma que
sea totalmente imposible el posterior acceso o recuperación.

Recuerden que las copias de seguridad tiene un tratamiento de seguimiento específico


para su control, en las que tenemos que tener relacionados, el día y hora que se realiza la
copia, quien realiza, que datos son los tratados en dichas copias “o fichero copiado” forma
de realizar la copia de seguridad, soporte utilizado y donde se guarda posteriormente, etc.

Además tendrán que tener una relación escrita de tales procedimientos, donde indiquen la
forma de actuación. Esta medida aunque compleja en la ejecución según esta lectura, no es
tan tediosa. Pues la mayoría de sistemas de backup ya contemplan dichos registros. Pero
no nos olvidemos que estamos en el apartado de “NO AUTOMATIZADO” Por lo que
tenemos que tener en cuenta que quizás no tenemos la opción de realizar copias de
seguridad informatizadas. Por lo que se recomienda encarecidamente tener un soporte
informático (ordenador) con un escáner, para utilizarlo por lo menos para esta función de
copias de seguridad, pues el duplicar la información en formato papel puede ser
totalmente imposible (fotocopia).

Tenemos que tener muy presente la seguridad en los traslados de documentos, pues
SIEMPRE deberán tomar las medidas de seguridad que estimen oportunas, para impedir

60
el acceso de terceros o perdida del mismo. En el caso de salida de sus instalaciones de
ficheros, tendrán que reflejarlo en su documento de seguridad.

Para tal efecto podemos utilizar el sistema de disociación de los datos o que la persona
encargada del transporte sea un responsable o autorizado por lo que también
garantizamos la seguridad ya que conoce el tratamiento, o bien contratar una empresa
especializada.

TEMA 9

Disposiciónes generales de la AEPD

En este tema vamos a tratar de conocer las disposiciones generales de la AGENCIA DE


PROTECCION DE DATOS.

9.1.- Introducción

9.2.- El procedimiento sancionador

9.3.- Resumen del regimen sancionador de la AEPD

9.4.- Clasificación de datos

9.5.- Obligaciones legales

9.6.- Sanciones

9.1.- Introducción

La Agencia Española de Protección de Datos publicará en su sitio Web, todas las


resoluciones llevadas a trámite en el plazo de un mes desde que lo notifiquen al
interesado, esta publicación se realizará aplicando el método de disociación.

En el caso que un afectado decida utilizar sus derechos A.R.C.O y estos no sean de
conformidad por el afectado podrá solicitar la tutela de la Agencia Española de Protección
de Datos, expresando con claridad los derechos que entienda vulnerados.

La AEPD Trasladara esta reclamación al responsable del fichero, para que este (en el plazo
máximo de 15 días). Formule las alegaciones pertinentes. Será cuando la AEPD resolverá
sobre la reclamación formulada.

El plazo para que la AEPD dicte y notifique la resolución será de seis meses desde la

61
recepción de la reclamación.

Es muy importante que sepan que en el caso que la AEPD les insten a hacer efectivo el
ejercicio de los derechos ARCO, REFERENTES A DICHA RECLAMACIÓN (solo
dispondrán de 10 días) para hacerlo efectivo al afectado en cuestión. Además tendrán que
informar igualmente y por escrito a la AEPD, en ese mismo plazo. Son muy importantes
los cumplimientos de dichas fechas.

En el caso de infracción Grave. El director de la AEPD. PODRA requerir a los responsables


de los ficheros a la cesación del tratamiento de los ficheros y de la cesión de los mismos.
Este requerimiento se hará efectivo máximo a los tres días, este mismo plazo es el que
tiene el responsable para realizar las alegaciones que estime oportunas, si este
requerimiento fuera desatendido el Director de la AEPD podrá inmovilizarle totalmente
dichos ficheros.

Antes del procedimiento sancionador, la AEPD, realizara acciones previas para


determinar si concurren circunstancias que lo justifiquen. Estas acciones determinadas por
la AEPD pueden ser de oficio o previa denuncia por parte de un afectado.

Es importante que conozcan los plazos de prescripción, en el caso de denuncia la AEPD


podrá reclamarles toda la documentación para comprobar los hechos expuestos en dicha
denuncia (a ustedes le envían una copia de la misma para poder actuar en consecuencia)
Si en el plazo de un año no se a dictado sentencia, esta prescribe.

La AEPD designara a los inspectores, “OJO” estos inspectores tienen la consideración de


AUTORIDAD PUBLICA. Por lo que tiene la capacidad legal para inspeccionar sus equipos
informáticos, realizar copias, requerirlas, ejecutar programas de gestión de tratamiento de
los ficheros, incluso donde se encuentren los mismos. Esto quiere decir que pueden
inspeccionar en su propio domicilio. Lógicamente también en las instalaciones del un
encargado del tratamiento, incluso externo.

En el caso de Inspección. Esta finalizara con el levantamiento de un ACTA. Esta ACTA


contemplara las actuaciones del inspector, Y EN LA MISMA EL INSPECCIONADO
PODRA INCLUIR LAS ALEGACIONES QUE ESTIME OPORTUNAS.

El ACTA tendrá que estar firmada por los inspectores y tendrá que firmarla el
inspeccionado. En caso que no se quiera firmar dicha acta, esta negativa será contemplada
en el ACTA.

Pero la firma no es para aceptar lo expuesto es simplemente como certificado de la


recepción pues se le entregara una copia.

9.2.-El procedimiento sancionador

Después de dicha inspección el Director de la Agencia valorará dicho ACTA, en el caso


que no encuentre indicios de infracción, la reclamación será archivada y se informará al

62
responsable del fichero y al afectado “denunciante”.

Pero en el peor de los casos, si el Director de la AEPD si detectara indicios de infracción,


iniciara el procedimiento sancionador.

El inicio del procedimiento sancionador contemplara varios aspectos.

La identificación del responsable


La descripción de los hechos y las sanciones aplicables (que no tiene por que ser las
definitivas)
Indicación de que es el Director de la AEPD el órgano competente
La posibilidad que el responsable del fichero reconozca su responsabilidad (se dictará
resolución directamente)
Designación de instructor
Indicar el derecho de alegaciones y pruebas que estime procedentes
Medidas provisionales por parte de la AEPD
El plazo para dictar resolución se determinara según el procedimiento, pasado dicho plazo
sin que se haya dictado y notificada la resolución esta se considerara prescrita y archivada.

9.3.- Resumen del regimen sancionador de la AEPD

Como ya se esperaba desde hace años, la Agencia Española de Protección de Datos,


después de años de trabajo, informes, resoluciones, inspecciones y sanciones, a estimado
oportuno ser más equilibrados a la hora de imponer sanciones, teniendo en cuenta
aspectos antes no recogidos (era la misma sanción para una Pyme que para una gran
empresa, ya que la infracción era la misma).

Es una modulación o adecuación de las sanciones, según la transcendencia de la


infracción cometida.

En este caso la más importante modificación del régimen sancionador del 5 de Marzo del
2011, es la ampliación de los criterios que permiten adecuar la sanción a la transcendencia
de la infracción cometida. Valorando la diligencia profesional sobre el tratamiento de
datos. También tendrán en cuenta el volumen de negocio del infractor y su actividad.
Siendo siempre de suma importancia el compromiso por el infractor del cumplimiento de
la LOPD, demostrando en tal modo que la infracción ha estado cometida por un error en
su funcionamiento interno en relación al tratamiento de datos.

Esto conllevara a un equilibrio sancionador frente a pequeñas empresas, autónomos,


entidades sin ánimo de lucro, personas físicas etc.

También se incluyen más criterios para atenuar las sanciones, tales como: la suma de
varios criterios de atenuación. La rápida subsanación de la irregularidad que ha
provocado la infracción, la inducción a la infracción por el propio afectado y el rápido
reconocimiento de culpabilidad.

63
Y como caso excepcional podrá conseguirse la NO SANCIÓN incluyendo la figura de
apercibimiento. Esta figura será efectiva únicamente con la concurrencia de varios criterios
de atenuación, con lo que se advertirá de la irregularidad y se requerirá las medidas
correctoras pertinentes para corregir dicha incidencia y evitar su continuidad. Este
apercibimiento únicamente se podrá aplicar cuando no sean infracciones muy graves, o
cuando el responsable no haya sido sancionado ni apercibido con anterioridad.
Lógicamente un apercibimiento no se considerará una exención total, pues tendrá que
atenderlo dirigentemente ya que en caso contrario se considerara una infracción de la
LOPD con la sanción pertinente.

9.4.- Clasificación de datos

El Reglamento de medidas de seguridad establece que los datos de carácter personal


recogidos y tratados en ficheros, informatizados o manuales, pueden clasificarse en tres
niveles: básico, medio y alto, atendiendo a la mayor o menor necesidad de garantizar la
confidencialidad y la integridad de la información.

Estos son los datos que corresponden a cada uno de esos tres niveles, de acuerdo con las
definiciones especificadas en el propio Reglamento:

Nivel Básico

Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas
de seguridad calificadas como de nivel básico.

Nivel Medio

Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o


penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento
se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas
de nivel básico, las calificadas como de nivel medio.
Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que
permitan obtener una evaluación de la personalidad del individuo deberán garantizar las
medidas de nivel medio.

Nivel Alto

Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o
vida sexual así como los que contengan datos recabados para fines policiales sin
consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel
básico y medio, las calificadas como de nivel alto.

9.5.-Obligaciones legales

Las obligaciones derivadas de la Ley Orgánica de Protección de Datos de Carácter


Personal son, en síntesis, las siguientes:

64
En relación con la Agencia Española de Protección de Datos

• Inscribir en el Registro General de Protección de Datos los ficheros que contengan datos
de carácter personal, estén automatizados o no.

• Notificar a la Agencia Española de Protección de Datos las modificaciones sustanciales


que se realicen sobre los ficheros inscritos, así como la cancelación de los mismos.

En relación con las personas cuyos datos se recogen.

• Informar sobre la existencia y la finalidad del fichero, y quién se responsabiliza del


mismo.

• Obtener el consentimiento de los afectados.

• Respetar el régimen de cesión de los datos impuesto por la Ley, notificándolo a los
afectados.

• Ofrecer a los afectados los derechos de acceso, rectificación, oposición y cancelación.

• Garantizar la seguridad de los ficheros y la aplicación de las medidas de seguridad que


se hayan implantado de acuerdo con lo establecido en los correspondientes reglamentos.

• Guardar el secreto sobre la información contenida.

• Respetar la calidad y exactitud de los datos y utilizarlos exclusivamente para el fin para
el que se recogieron.

9.6.- Sanciones

Este es el cuadro de sanciones establecido en la Ley Orgánica de Protección de Datos de


Carácter Personal.

Tipos de Sanciones

•Leves: (900€ a 40.000 €)


•Graves: (40.000 € a 300.000 €)
•Muy graves: (300.000 € a 600.000 €)

La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

65
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos
de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras


personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la


entidad imputada tenía implantados procedimientos adecuados de actuación en la
recogida y tratamiento de datos de carácter personal, siendo la infracción consecuencia de
una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de
diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de


antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Prescripción de las sanciones

• Leves: 1 año
• Graves: 2 años
• Muy graves: 3 años.

Causas de las sanciones (INFRACCIONES)

Leves:

1. No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en


esta Ley o en sus disposiciones de desarrollo.

2. No solicitar la inscripción del fichero de datos de carácter personal en el Registro


General de Protección de Datos.

3. El incumplimiento del deber de información al afectado acerca del tratamiento de sus


datos de carácter personal cuando los datos sean recabados del propio interesado.

4. La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los
deberes formales establecidos en el artículo 12 de esta Ley.

Graves:

66
1. Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de
carácter personal para los mismos, sin autorización de disposición general, publicada en el
“Boletín Oficial del Estado” o diario oficial correspondiente.

2. Tratar datos de carácter personal sin recabar el consentimiento de las personas


afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus
disposiciones de desarrollo.

3. Tratar datos de carácter personal o usarlos posteriormente con conculcación de los


principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones
que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

4. La vulneración del deber de guardar secreto acerca del tratamiento de los datos de
carácter personal al que se refiere el artículo 10 de la presente Ley.

5. El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación,


cancelación y oposición.

6. El incumplimiento del deber de información al afectado acerca del tratamiento de sus


datos de carácter personal cuando los datos no hayan sido recabados del propio
interesado.

7. El incumplimiento de los restantes deberes de notificación o requerimiento al afectado


impuestos por esta Ley y sus disposiciones de desarrollo.

8. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se
determinen.

9. No atender los requerimientos o apercibimientos de la Agencia Española de Protección


de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean
solicitados por la misma.

10. La obstrucción al ejercicio de la función inspectora.

11. La comunicación o cesión de los datos de carácter personal sin contar con legitimación
para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de
desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Muy graves:

1. La recogida de datos en forma engañosa o fraudulenta.

2. Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5
del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la

67
prohibición contenida en el apartado 4 del artículo 7.

3. No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un


previo requerimiento del Director de la Agencia Española de Protección de Datos para
ello.

4. La transferencia internacional de datos de carácter personal con destino a países que no


proporcionen un nivel de protección equiparable sin autorización del Director de la
Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a
esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.»

9.7 Cuestionario: Disposiciones generales de la AEPD

1.- El incumplimiento del deber de información al afecta a cerca del tratamiento de sus
datos de carácter personal cuando los datos sean recabados del propio interesado, puede
acarrear sanciones de:
Desde 600€ a 900€.
Desde 900€ a 40.000€.
Desde 30.000€ a 60.000€.

2.- El tratar datos de carácter personal sin el consentimiento explicito del afectado puede
acarrear sanciones de:
Desde 600€ a 900€.
Desde 40.000€ a 300.000€.
Desde 900€a 40.000€.

3.- ¿Cuál es la sanción mínima establecida en la LOPD?


900€.
600€.
Según el nuevo régimen sancionador será desde los 600€ a los 900€.

4.- Una infracción leve puede acarrear sanciones de:


De 600€ a 900€.
De 900€ a 40.000€.
De 600€ a 60.000€.

TEMA 10

La inscripción de ficheros

10.1.- Procedimientos relacionados con la inscripción o cancelación

68
10.2.- Transferencias internacionales de datos

10.3.- El código tipo

10.4.- Procedimiento de exición del deber de información al interesado

10.5.- Conservación de datos

10.1.- Procedimientos relacionados con la inscripción o cancelación

La notificación de ficheros se realizará cumplimentando los ficheros o formularios,


publicados a tal efecto por la Agencia Española de Protección de Datos.

Para la supresión o modificación de un fichero tendremos que indicar el código de


inscripción de ese mismo fichero.

Estas comunicaciones se podrán hacer en formato electrónico o en papel, siempre que se


utilicen los formularios publicados por la AEPD.

En la notificación, será obligatoria indicar un domicilio a efectos de notificaciones.

Si en la notificación recibida, se advirtiera defectos de forma, se requerirá al responsable


del fichero que complete o subsane la notificación, antes de tres meses.

En el caso que los formularios que se envían a la AEPD estuvieran cumplimentados


correctamente, recibirán de la AEPD un código de inscripción.

En el caso que la cumplimentación no sea correcta, se procederá a la no inscripción del


fichero en cuestión. Recibirán la resolución de forma expresa de los motivos que no
permiten dicha inscripción.

El plazo para que la AEPD dicte y notifique resolución, será de 30 días. Pasado dicho
plazo sin notificación, se entenderá que el fichero está inscrito a todos los efectos.

10.2.- Transferencias internacionales de datos

En los casos que exista una transferencia de datos a países extranjeros, tendremos que
tener en cuenta el Artículo 33 de la Ley Orgánica de Protección de Datos y el Artículo 70
de su Reglamento de Desarrollo.

En el caso que no se cumplan las condiciones reflejadas en estos Artículos, se procederá a


la solicitud del Director de la AEPD.

69
En dicha solicitud indicaran e identificaran dicho fichero, incluyendo el código de
inscripción del mismo, la finalidad que justifica dicha transferencia, cuando la solicitud de
la autorización se fundamente en la existencia de un contrato entre el exportador y el
importador, deberá adjuntarse copia del mismo. En el caso que sean empresas del mismo
grupo, tendrán que aportar a la solicitud, las reglas adoptadas en materia de protección de
datos dentro de su organización, siendo aplicables al grupo. Igualmente se deberá
identificar para que el afectado pueda ejercer sus derechos o exigir responsabilidades, por
parte del afectado o por la propia AEPD.

Cuando el director de la AEPD autorice dicha transferencia, esta será inscrita en el registro
general de protección de datos.

El plazo para recibir la notificación es de tres meses desde su recepción en la AEPD,


transcurrido este plazo sin recibir notificación, se entenderá como autorizada a todos los
efectos.

El Director de la Agencia, podrá suspender temporalmente toda cesión de datos, este


hecho será fundado y motivado según el Reglamento de la LOPD, el Director de la
Agencia trasladara al exportador dicha cesión, para que en el plazo de quince días alegue
lo que en su derecho convenga, en este caso el Registro de la Agencia de Protección de
Datos, inscribirá de oficio dicha suspensión temporal.

El levantamiento de la cesación de cesión de datos se hará efectivo en el momento que


cesen los motivos que la originaron, siendo su inscripción de oficio por parte del propio
registro de la Agencia, el acuerdo será notificado al exportador.

10.3.- El código tipo

El código tipo, aunque no es algo obligatorio, en algunos casos si es aconsejable. Pues


indica el compromiso por su parte de “llevar más allá” lo obligatorio por ley.

El código tipo, para entendernos es la política de privacidad de su empresa.

Para solicitar la inscripción de Código Tipo, se necesita cumplir con las siguientes
condiciones.

Acreditación de la persona que solicita la inscripción. Contenido del acuerdo donde se


aprueba el código tipo. Certificación del acuerdo o de adopción del órgano y copia de los
estatutos de la empresa donde esté aprobado el Código. En los casos de Códigos Tipo,
presentados por asociaciones de carácter sectorial, tendrán que presentar también la
documentación relativa a su representatividad en el sector.

Durante los treinta días posteriores a la notificación a la AEPD, el Registro de Protección


de Datos podrá instar a los solicitantes a fin de aclaraciones desprendidas del propio
Código. Transcurrido dicho plazo, el Registro General de Protección de Datos procederá a
la elaboración de un informe sobre las características del proyecto del Código Tipo.

70
En el caso que la propia Agencia de Protección de Datos, observe deficiencias o mejoras en
el Código Tipo, podrá requerir al solicitante que introduzca las modificaciones oportunas,
siendo suspendido el procedimiento mientras no se realice dichas mejoras.

El Director de la Agencia Española de Protección de Datos, resolverá sobre la procedencia


o improcedencia.

El plazo máximo desde la recepción por parte de la Agencia, para notificar resolución
expresa es de seis meses, pasado dicho plazo se entenderá como estimada su solicitud.

10.4.- Procedimiento de exición del deber de información al interesado

Cuando queramos obtener de la agencia “el PERMISO” la exención del deber de informar
al interesado acerca del tratamiento de sus datos. Se solicitará por escrito y de los
requisitos recogidos en el art. 70 de la Ley 30/1992, de 26 de noviembre, el responsable
deberá:

El tratamiento de los datos a aplicar dicha exención, indicar la desproporcionalidad del


esfuerzo para cumplir dicha información, detallar las medidas compensatorias en caso de
exoneración del deber de informar, Aportar una cláusula informativa que, mediante su
difusión, en los términos que se indiquen en la solicitud, permita compensar la exención
del deber de informar.

El Director de la Agencia, dictará resolución, siendo para esta el plazo máximo de seis
meses, pasado este y no recibir notificación expresa se entenderá como aceptada por
silencio administrativo positivo.

10.5.- Conservación de datos

En los casos que por motivos empresariales, decidan o crean necesario el mantener los
datos de Carácter Personal, aun después de cumplir con su finalidad o después del plazo
legal, tendrán que solicitar una autorización expresa de la Agencia Española de Protección
de Datos. Esta petición será cursada por el Responsable del fichero y en el escrito de dicha
solicitud expondrá lo siguiente:

Identificará expresamente el tratamiento de datos al que pretende aplicar dicha excepción.

Las causas que la justifican.

Qué medidas de seguridad implantará para garantizar el derecho de los ciudadanos.

Adjuntar todas las pruebas que estime oportunas donde se desprenda la necesidad de
mantener dichos datos y probando en tal modo los valores históricos, estadísticos o
científicos que fundamentan dicha solicitud.

71
El plazo de respuesta por parte de la Agencia es de tres meses desde su recepción, en caso
de superar dicho plazo sin tener la notificación, podrá entenderse por aceptada dicha
solicitud.

10.6 Cuestionario: La inscripción de ficheros

1.- Los inspectores de la AEPD:


Pueden prohibir la continuidad de su actividad en lo concerniente al tratamiento de datos.
Pueden solicitarnos documentación o informes de tratamientos de datos, los cuales
estamos obligados a presentar antes de 15 días.
Pueden inspeccionar sus equipos, ejecutar programas etc.

2.- ¿Es posible que reciban de parte del Director de la Agencia una cesación del
tratamiento de datos? ¿y qué plazos tienen para el cumplimiento y las alegaciones?
Si, el plazo para cumplir con el cesamiento se hará efectivo de forma inmediata,
presentando las alegaciones oportunas como máximo en tres días.
Si, además en el plazo de 3 días tenemos que cumplir con dicho cesamiento y en el mismo
plazo presentar las alegaciones oportunas.
Si, El plazo máximo para cumplir el cesamiento es inmediato a la recepción del mismo, no
teniendo que realizar acción alguna mientras no lo indique de forma fehaciente la AEPD.

3.- En una oficina donde existe un archivador común para almacenar expedientes de
clientes y al cual por su ubicación física, tiene acceso todos los empleados, ¿Cómo se
iniciará el protocolo de seguridad en lo que concierne a las personas con acceso?
No es necesario tomar ninguna iniciativa con las personas que tienen acceso ya que estas
solo son empleados/as y realizan su función especifica
Nombraremos a las personas con dicho acceso en un registro de personal autorizado y
accesos permitidos,todas ellas firmaran como recibido y entendido el propio documento
de seguridad o en su caso la parte correspondiente a las medidas de seguridad y oblig
Se registrará en el RGPD el nombre de cada persona con acceso al archivador que contiene
los ficheros y recaerá sobre los mismos la figura de responsable del fichero, ya que todos
tienen acceso.

4.- El código tipo:


es un sistema de control del proceso de archivo de los datos de carácter personal que
tenemos, siendo obligatorio tenerlo expuesto o entregarlo garantizando la excepción a
todos las personas autorizadas.
Es el código que estamos obligados a utilizar para nombrar a nuestros ficheros y tenerlos
identificados para el personal autorizado y no entendible para personas externas.
Es el compromiso por su organización de llevar de forma correcta la aplicación de la
LOPD incluyendo procedimientos y estándares propios, para en todo caso proteger los
datos de carácter personal.

5.- En el caso que sea la propia AEPD quien les inste a hacer efectivo el ejerció de los
derechos ARCO:
tendremos que hacerlo efectivo antes de 10 días al afectado e informar a la AEPD en ese

72
mismo periodo y por escrito.
cesaremos nuestra actividad con ese afectado en el plazo máximo de tres días y lo
notificaremos a laAEPD.
Antes de los 30 días podremos ejercer nuestro derecho de recurso administrativo legal.

6.- En un despacho de por ejemplo una inmobiliaria donde en un archivador de fichas


contenga datos de obligaciones dinerarias, impagos etc., entre otras será obligatorio:
Que todo el personal con acceso al archivador esté declarado en el Registro General de
Protección de Datos.
Únicamente el responsable del fichero tiene acceso al archivador, ya que es el único
responsable del mismo, no pudiendo recaer ninguna obligación legal en los empleados.
Nombrar a un responsable de seguridad, este será responsable de garantizar las medidas
de seguridad correspondientes.

7.- Los plazos máximos para hacer efectivo al afectado, el ejercicio de los derechos A.R.C.O
será:
en el mismo momento de la solicitud por parte del afectado.
de 10 días máximo.
de 15 días máximo.

8.- ¿Pueden mantener datos de carácter personal aun después de la finalidad por la que
fueron recabados?
No, pues como indica la Ley, cuando finaliza el tratamiento de dichos datos o a
requerimiento del afectado debemos cancelarlos definitivamente.
Si, siempre que sigamos protegiendo dichos datos de forma que se cumplan todos los
requisitos legales.
Si, pero tendremos que solicitar autorización a la AEPD, exponiendo causa justificada, y
esperaremos respuesta, esta se entenderá como aceptada si en el plazo de tres meses no
obtenemos respuesta.

TEMA 11

La videovigilancia

11.1.- Introducción

11.2.- Cuándo deben aplicarse las normas sobre protección de datos a los
tratamientos de imágenes

11.3.- Cómo deben tratarse las imágenes


11.4.- Captación y tratamiento de imágenes con fines de seguridad

11.5.- Obligaciones

11.6.-Supuestos específicos

73
11.7.- Otros usos relacionados con la seguridad

11.8.- Uso de videocámaras con fines de control empresarial

11.9.- Otros tratamientos

11.10.- Derechos de las personas

11.11.- Recomendaciones

11.12.- Preguntas frecuentes

11.13.- Enlaces de interés

11.1.-Introducción

La videovigilancia es un sistema de seguridad cada vez más extendido en nuestra


sociedad, la finalidad del mismo radica principalmente en el ámbito laboral y la seguridad
de bienes y personas.

En el ámbito laboral, persigue la verificación por parte del empresario del cumplimiento
del empleado de sus deberes y obligaciones laborales y en el ámbito de seguridad lo que
se obtiene es la salvaguarda de los bienes y personal de la empresa.

Obviamente las dos finalidades son de vital importancia para empresa o entidad que
decide la instalación de este sistema de seguridad. Pero no debemos olvidar que cuando
su uso afecta a personas identificadas o identificables constituye un dato de carácter
personal por lo que obliga a implementar unas garantías de seguridad de las imágenes
captadas.

La videovigilancia es uno de los medios más invasivos en lo que concierne a datos de


carácter personal, por lo que tendremos que garantizar la legitimación de la misma y las
garantías que deben aplicarse.

Con la finalidad de adecuar estos tratamientos a la ley Orgánica 15/ 1999 se dictó la
Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos,
sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de
cámaras o videocámaras.

11.2.- Cuándo deben aplicarse las normas sobre protección de datos

La normativa vigente en materia de protección de datos incluye las imágenes cuando se


refiera a personas identificadas o identificables, por ello cualquier sistema de captación de
imágenes estará bajo esta normativa, no solo la grabación de imágenes, también la

74
reproducción en tiempo real se considera un tratamiento de imágenes, aunque esta última
no constituye un fichero a declarar a la Agencia de Protección de Datos

Para que se pueda utilizar un sistema de esta naturaleza no basta con que éste reúna los
requisitos técnicos que lo permitan funcionar. Debe existir legitimación para ello. Esto
ocurrirá cuando:

Se cuente con el consentimiento del titular de los datos personales.

Ej. Se trata de supuestos todavía infrecuentes. No obstante se ha planteado en el caso del


acceso a las imágenes de guarderías por los padres, o en el desarrollo de investigaciones
científicas.

Una norma con rango de Ley exima del consentimiento, como en los casos previstos por la
Ley de Seguridad Privada o en el del artículo 20 del Estatuto de los Trabajadores.

Ej. No requerirá el consentimiento el uso de videocámaras para garantizar la seguridad de


bienes y personas siempre que la instalación o el mantenimiento de las mismas la haya
realizado una empresa de seguridad autorizada.

Se dé alguna de las circunstancias previstas por el artículo 6.2 LOPD u 11.2 LOPD que
resulten de aplicación a este tipo de medios.

Por otra parte, existen casos en los que no procede aplicar la LOPD:

No se aplica al tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose


por tal el realizado por una persona física en el marco de una actividad exclusivamente
privada o familiar.

Ej. No se aplican los principios de protección de datos a las grabaciones realizadas en el


contexto de un viaje turístico o en una celebración familiar.

Al tratamiento de imágenes por los medios de comunicación en el ejercicio legítimo de los


derechos que les confiere el artículo 20 de la Constitución Española. Ej. La emisión de un
informativo de televisión o la edición de un periódico.

11.3.- Cómo deben tratarse las imágenes

El uso de las instalaciones de cámaras y videocámaras debe seguir ciertas reglas que rigen
todo el proceso desde su captación, almacenamiento, reproducción hasta su cancelación.
El responsable deberá tener en cuenta los siguientes principios:

Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en


el que se traten los datos. Ej. Resultaría claramente desproporcionado instalar una
videocámara para vigilar el acceso a un garaje y utilizar sus características técnicas
-movilidad, orientación, zoom etc.-con la finalidad de obtener imágenes del interior de los

75
vehículos que circulan por la vía pública o de las comunidades de vecinos próximas.

Debe informarse sobre la captación y/o grabación de las imágenes. Ej. Incluso en los casos
en los que las videocámaras se utilicen para fines lícitos y legítimos el deber de
información subsiste siempre.

El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un


medio menos invasivo. Ej. No es necesario grabar a los estudiantes de una clase para
realizar controles de presencia cuando bastaría el método tradicional de pasar lista.

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes


de espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada
situada en un edificio no debería tomar imágenes de toda la calle en la que éste se
encuentre.

Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte


imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo
por razón de la ubicación de aquéllas.

Ej. Si una cámara debe ubicarse necesariamente en la puerta de entrada de una entidad
bancaria, o en la esquina de un edificio debería orientarse de modo que la parte de vía
pública que recoja se limite al acceso vigilado sin recoger más porción de la vía pública
que la imprescindible. No podrán captarse imágenes del resto de la acera o de la calle.

En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los
derechos de las personas y el resto del Ordenamiento jurídico.

Ej. No sería admisible la captación de imágenes en espacios protegidos por el derecho a la


intimidad como los interiores de viviendas cercanas, en baños o vestuarios o en espacios
físicos ajenos al específicamente protegido por la instalación.

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la


finalidad para la que se recabaron.

Ej. Como más adelante se señala en esta Guía la Instrucción 1/2006 sobre conservación de
las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que
las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.

11.4.- Captación y tratamiento de imágenes con fines de seguridad

En este ámbito deben respetarse y aplicarse los principios contenidos en la legislación


vigente y en particular la LOPD, el Reglamento de Desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre de Protección de Datos de Carácter Personal (RDLOPD), aprobado por
el Real Decreto 1720/2007, de 21 de diciembre, y la 10 Instrucción 1/2006, de 8 de
noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos
personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

76
Este cumplimiento se proyectará sobre distintos aspectos.

11.5.- Obligaciones

INSCRIPCIÓN DE FICHEROS

La utilización de sistemas de vigilancia mediante videocámaras puede dar lugar a la


creación de ficheros. El RDLOPD precisa en qué casos existirá un fichero:

Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a
los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad
de su creación, almacenamiento, organización y acceso.

Ej. Si se utiliza un sistema conectado a un ordenador que almacena las imágenes en un


disco duro, o en cualquier otro soporte informático, y permite localizarlas atendiendo a
criterios como el día y/u hora de grabación, el cruce de imágenes, el lugar físico registrado
etc.

Si el sistema de videovigilancia genera un fichero el responsable deberá notificarlo


previamente a la Agencia Española de Protección de Datos, para su inscripción en el
Registro General de la misma. Esto ocurrirá siempre que exista algún tipo de grabación.

En caso de tratarse de ficheros de titularidad pública deberá procederse primero a su


creación mediante disposición de carácter general publicada en el correspondiente diario
oficial conforme a lo establecido en el artículo 20 LOPD para posteriormente proceder a su
inscripción.

Hay sistemas que no registran imágenes y por ello la Instrucción 1/2006 señala que no se
considerará fichero el tratamiento consistente exclusivamente en la reproducción o
emisión de imágenes en tiempo real. Ej. Circuitos cerrados de televisión controlados
mediante visualización en pantalla.

Por tanto, no resulta necesario inscribirlos. Sin embargo, esto no exime del cumplimiento
del resto de deberes establecido por la LOPD por lo que si tendremos obligatoriamente
que informar al afectado de la existencia de dicho sistema de seguridad.

DEBER DE INFORMAR

La información en la recogida de los datos es un elemento esencial del derecho a la


protección de datos y por tanto su cumplimiento resulta ineludible. Sin embargo las
especiales características que se dan en la videovigilancia comportan el diseño de
procedimientos específicos para informar a las personas cuyas imágenes se capten.

La Instrucción 1/2006 incorpora un distintivo informativo cuyo uso y exhibición es


obligatoria. El distintivo se ubicará como mínimo en los accesos a las zonas vigiladas, sean

77
estos exteriores o interiores. Debe tenerse en cuenta que si el lugar vigilado dispone de
varios accesos se debe colocar en todos ellos al objeto de que la información sea visible con
independencia de por donde se acceda.

Además el responsable del fichero dispondrá de un impreso con toda la información a la


que se refiere el artículo 5 LOPD. Por tanto el impreso deberá informar al menos sobre:

La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de

78
la recogida de éstos y de los destinatarios de la información.
La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
La identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
El impreso deberá estar disponible existiendo cuando menos la posibilidad de imprimirlo
a petición del afectado. La información del impreso podrá incorporarse al cartel
anunciador y sustituirlo únicamente en aquellos casos en los que por su contenido y por la
ubicación del mismo la información resulte legible e inteligible. Ej. Si el cartel se encuentra
situado en puertas o lugares de acceso y ubicado dentro del campo de visión natural del
afectado, esto es a la altura de sus ojos. Por lo que podemos aconsejarle el siguiente:

ZONA VIDEOVIGILADA

LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS

PUEDE EJERCITAR SUS DERECHOS ANTE:


SU RAZON SOCIAL S.L
C/SU DIRECCIÓN POSTAL (Código Postal) Población

Le informamos que los datos que obtenemos a través de la videovigilancia no serán


cedidos bajo ningún concepto. Y serán tratados dentro de la normativa vigente en materia
de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático
denominado videovigilancia, La función de recabar estos datos es proteger los nuestros

79
bienes. El responsable de dicho fichero es RAZON SOCIAL S.L Con CIF: B00000000, con
domicilio a efectos de notificaciones en C/ SU DIRECCIÓN POSTAL (Código Postal)
Población. Usted tiene derecho a recibir respuesta de cualquier pregunta, consulta o
aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso, oposición,
rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la
dirección antes indicada o por correo electrónico a xxxx@xxxxx.com Todos sus datos serán
dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º-
cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines que
motivaron su recogida.

El uso de la señal y el impreso, no excluye la existencia de métodos adicionales de


información que se añadan a los dos anteriores como publicación en web de políticas de
privacidad, información a la representación sindical, notificaciones a los vecinos etc.

EJEMPLO DEL IMPRESO COMENTADO ANTERIORMENTE:

CLAUSULA INFORMATIVA VIDEOVIGILANCIA

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de


Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a
través de sistemas de cámaras o videocámaras.

FICHERO PRIVADO

De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de


Protección de Datos, se informa:

Le informamos que los datos que obtenemos a través de la videovigilancia no serán


cedidos bajo ningún concepto. Y serán tratados dentro de la normativa vigente en materia
de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático
denominado videovigilancia, La función de recabar estos datos es proteger los nuestros
bienes. El responsable de dicho fichero es RAZON SOCIAL S.L Con CIF: B00000000, con
domicilio a efectos de notificaciones en C/ SU DIRECCIÓN POSTAL (Código Postal)
Población. Usted tiene derecho a recibir respuesta de cualquier pregunta, consulta o
aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso, oposición,
rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la
dirección antes indicada o por correo electrónico a xxxx@xxxxx.com Todos sus datos serán
dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º-
cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines que
motivaron su recogida.

80
CONTRATO DE ACCESO A LOS DATOS POR CUENTA DE TERCEROS

La implementación de sistemas de videovigilancia puede dar lugar a distintos tipos de


prestación: Una empresa externa puede prestar servicios consistentes en:

Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin


acceso a las imágenes. En este caso la empresa de seguridad no posee la condición de
encargado de tratamiento correspondiendo al responsable, que la contrató, la adaptación
de la instalación a los requisitos normativos. Ello, sin perjuicio de la eventual
responsabilidad de la empresa por incumplir el deber de asesoramiento previsto en el
artículo 5 LSP. Ej. La simple instalación técnica de las cámaras y los equipos de grabación
por una empresa de seguridad que actúa como instalador autorizado contratado por una
comunidad de propietarios limitándose a tareas puramente técnicas que no comporten
acceso a las imágenes.

Instalación y/o mantenimiento de los equipos y sistemas de videovigilancia con


utilización de los equipos o acceso a las imágenes. Únicamente en este segundo caso, la
empresa de seguridad será considerada encargada del tratamiento y la obligatoriedad de
cumplir con las obligaciones de lo dispuesto por el artículo 12 LOPD. Ej. Las empresas de
seguridad que prestan servicios combinados de central de alarmas y videovigilancia de
modo que cuando se activa la alarma se comprueban directamente las imágenes por el
personal de la empresa de seguridad.

Con carácter general, La instalación de sistemas de videovigilancia con fines de seguridad


privada con acceso remoto a las imágenes captadas, comporta necesariamente la
contratación de los servicios de empresas de seguridad debidamente autorizadas por el
Ministerio del Interior que, conforme al artículo de la 5 de la Ley 23/1992 de 30 de julio, de
Seguridad Privada, pueden prestar, entre otros los siguientes servicios:

Vigilancia y protección de bienes, establecimientos, espectáculos, certámenes o


convenciones.

Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad.


Explotación de centrales para la recepción, verificación y transmisión de las señales de
alarmas y su comunicación a las Fuerzas y Cuerpos de Seguridad, así como prestación de
servicios de respuesta cuya realización no sea de la competencia de dichas Fuerzas y
Cuerpos.
Planificación y asesoramiento de las actividades de seguridad contempladas por la Ley.
Por ello, cuando se capten y/o registren imágenes con fines de seguridad privada y la
empresa de seguridad contratada utilice las videocámaras y/o acceda a las imágenes por
medio de su personal resulta ineludible la celebración de un contrato de acceso a los datos
por cuenta de terceros.

81
Este contrato ha sido regulado por el RDLOPD siendo sus características principales:

Es un contrato cuyo contenido se determina atendiendo a las circunstancias concretas de la


prestación de servicios. No basta con reiterar las cláusulas del artículo 12 LOPD, debe
reflejarse la realidad de la prestación y adoptarse las decisiones que garanticen el
cumplimiento de la norma.

Existe un deber de diligencia en la comprobación de las condiciones que reúne el


encargado. En materia de videovigilancia con fines de seguridad privada ello obliga, a
verificar las condiciones de cumplimiento de la LOPD por parte de la empresa de
seguridad y si reúne los requisitos legales que habilitan para la prestación de estos
servicios.

No cabe la subcontratación con terceros salvo que:

Se atribuya al encargado poder de representación suficiente para celebrar estos contratos


en nombre del responsable.
Se autorice en el contrato a subcontratar con una determinada empresa específica o bien se
trate de una autorización genérica con la obligación de contar con la posterior autorización
del responsable.
Además de contar con capacidad de subcontratar en cualquiera de los dos casos
anteriores, se formalice un contrato de acceso a los datos por cuenta de terceros entre el
encargado y el subcontratista.

Se garantice siempre el cumplimiento de las instrucciones del responsable.


Debe recordarse que el artículo 6 de la Ley de Seguridad Privada fija una obligación
adicional y los contratos de prestación de los distintos servicios de seguridad deberán en
todo caso consignarse por escrito y comunicarse al Ministerio del Interior, con una
antelación mínima de tres días a la iniciación de tales servicios.

Por último, no debe olvidarse que en los casos en los que la empresa de seguridad con
motivo de su prestación no acceda a las imágenes deberá aplicarse lo dispuesto por el
artículo 83 del RDLOPD. En efecto, cuando exista una prestación de servicios sin acceso a
datos personales el contrato de prestación de servicios recogerá expresamente la
prohibición de acceder a los datos personales y la obligación de secreto respecto a los
datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

MEDIDAS DE SEGURIDAD

El responsable de la instalación deberá adoptar las medidas de índole técnica y


organizativa necesarias que garanticen la seguridad de las imágenes y eviten su alteración,
pérdida, tratamiento o acceso no autorizado.

Por tanto, quien haya contratado los servicios de una empresa de seguridad, -ya sea una
empresa, una comunidad de propietarios, etc.-, debe cumplir con el deber de garantizar la
seguridad de las imágenes en los términos establecidos por la LOPD y su Reglamento de

82
desarrollo.

Con carácter general los ficheros de videovigilancia suelen tener un nivel básico. No
obstante el responsable del fichero debe tener en cuenta que deberá evaluar el nivel de
seguridad teniendo en cuenta lo dispuesto por el artículo 81 del Reglamento en función
del contenido y finalidad del fichero.

Por Ej. Puede darse el caso de que la captación de imágenes desborde el marco de la
vigilancia y se utilice con fines de selección de personal o para verificar la respuesta a
determinados estímulos, en psicología o medicina-, con lo que el nivel de seguridad sería
medio o alto.

Sin embargo, las imágenes facilitadas a la autoridad judicial o a las Fuerzas y Cuerpos de
Seguridad con motivo de un delito se convierten en datos relativos a investigaciones
policiales y los ficheros de estas autoridades aplicarán un nivel alto de seguridad.

El responsable deberá informar a las personas con acceso a los datos sobre sus
obligaciones de seguridad y su deber de secreto en los términos del artículo 8 de la
Instrucción 1/2006.

Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a
los datos deberá observar la debida reserva, confidencialidad y sigilo en relación con las
mismas. El responsable deberá informar a las personas con acceso a los datos del deber de
secreto a que se refiere el apartado anterior.

CANCELACIÓN DE OFICIO DE LAS IMÁGENES

La Instrucción 1/2006 establece en su artículo 6 un plazo de cancelación máximo de un


mes desde su captación. En ella se ha seguido el mismo criterio que el fijado en el artículo
8 de la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos.

Por tanto una vez transcurrido dicho plazo las imágenes deberán ser canceladas, lo que
implica el bloqueo de las mismas pues así lo establece la Ley Orgánica 15/1999 y el
RDLOPD, conservándose únicamente a disposición de las Administraciones Públicas,
Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá
procederse a la supresión.

En aquellos casos en los que el responsable constatase la grabación de un delito o


infracción administrativa que deba ser puesta en conocimiento de una autoridad, y la
denunciase, deberá conservar las imágenes a disposición de la citada autoridad.

EMPRESAS DE SEGURIDAD

Como se ha señalado anteriormente la utilización de sistemas para la captación y/o

83
tratamiento de imágenes con fines de videovigilancia y seguridad está sujeta a condiciones
derivadas de la Ley 23/1992 de 30 de julio, de Seguridad Privada y su Reglamento de
Desarrollo, de la LOPD y a la Instrucción 1/2006.

Cuando se tiene acceso remoto desde una central de alarmas; Se trata de servicios que sólo
pueden ser prestados por empresas específicamente autorizadas en virtud de sus
condiciones y cualificación. Ello determina la exigencia de una especial diligencia en el
asesoramiento al responsable que contrate sus servicios respecto del cumplimiento de la
LOPD y de la Instrucción 1/2006. Este deber cualificado de diligencia se traduce en
algunas exigencias específicas. En primer lugar, y con carácter general:

El art. 20 del RSP establece la obligación de formalizar, y notificar a la autoridad


competente, un contrato cuando se preste un servicio de seguridad. En el ámbito de la
videovigilancia la falta de cumplimiento de dicha obligación supone una falta de
legitimación para el tratamiento por parte de la empresa de seguridad.

La empresa de seguridad privada que realice operaciones de instalación o mantenimiento


de los servicios de vigilancia mediante cámaras y a cuyas imágenes tengan acceso remoto,
debe garantizar que tales sistemas cumplan con los requisitos de la LOPD y de la
Instrucción 1/2006.
En particular su pericia técnica será muy relevante en aspectos como:

Inscripción del fichero ante el Registro General de Protección de Datos.


La ubicación de distintivos informativos
La definición del espacio vigilado y la orientación de las videocámaras.
La adopción de las medidas de seguridad.
La ausencia de contrato tendrá como consecuencia la falta de legitimación de la
instalación.
Por otra parte, como se señaló más arriba, hay recordar que cuando la empresa de
seguridad acceda a las imágenes, con independencia de que lo pueda hacer el responsable,
tendrá la consideración de encargado del tratamiento y le corresponderán las
responsabilidades que procedan conforme con lo dispuesto por el contrato celebrado
conforme al artículo 12 LOPD.

Sin embargo, a las empresas de seguridad, tengan o no la condición de encargados, les


compete el deber de asesorar a los particulares sobre la adecuación a la normativa de
protección de datos de las instalaciones de videovigilancia. La Agencia Española de
Protección de Datos en el desarrollo de su actividad notificará de oficio las incidencias
detectadas a la autoridad gubernativa para su conocimiento y eventual actuación en
aplicación de la Ley de Seguridad Privada.

11.6.- Supuestos específicos

En algunos casos el empleo de técnicas que implican captación de imágenes, poseen


características específicas a pesar de que estén vinculadas a la seguridad privada.

84
ACCESO A EDIFICIOS Y SALAS DE JUEGO

La realización de controles de acceso a los edificios puede comportar la captación de


imágenes. Generalmente se articulan mediante controles en los cuales el afectado se
identifica, se obtiene su imagen y se emite un carné, pase o tarjeta de identificación.

En estos casos, los datos de carácter personal son recabados por servicios de seguridad
tanto en edificios públicos como privados, así como en establecimientos, espectáculos,
certámenes y convenciones.

En tales casos será de aplicación lo dispuesto en la Instrucción 1/1996, de 1 de marzo, de la


Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la
finalidad de controlar el acceso a los edificios. Por lo tanto:

El responsable del fichero asumirá el cumplimiento de todas las obligaciones establecidas


en la LOPD:

Tendrá la consideración de responsable del fichero la persona física o jurídica, de


naturaleza pública o privada, u órgano administrativo por cuya cuenta se efectúe la
realización del servicio de seguridad.
La Instrucción 1/1996 permite también que la empresa de seguridad tenga la
consideración de responsable del fichero.
La recogida de datos efectuada se limitará a la finalidad de realizar controles de acceso.
Deberá informarse de conformidad con lo establecido en el artículo 5 LOPD.
Los datos personales no podrán ser utilizados para otros fines ni cedidos fuera de los casos
expresamente establecidos en la ley, salvo consentimiento del afectado.
Los datos serán cancelados cuando haya transcurrido el plazo de un mes, contado a partir
del momento en que fueron recabados.
El responsable del fichero garantizará la adopción de las medidas de seguridad que
correspondan.
Por otro lado, la Instrucción 2/1996, regula los ficheros establecidos con la finalidad de
controlar el acceso a los casinos y salas de bingo. En este caso:

Tendrá la consideración de responsable del fichero la sociedad explotadora del casino de


juego o la empresa titular de la sala de bingo.
Deberá cumplirse con el deber de información en la recogida de datos.
Los datos personales no podrán ser utilizados para otros fines ni cedidos fuera de los casos
expresamente establecidos en la ley, salvo consentimiento del afectado.
Los datos de carácter personal deberán ser destruidos cuando haya transcurrido el plazo
de seis meses, contado a partir de la fecha del último acceso.
El responsable del fichero garantizará la adopción de las medidas de seguridad que
correspondan.
ENTIDADES FINANCIERAS

Las instalaciones de videovigilancia utilizadas en Bancos, Cajas de Ahorro y demás


entidades de crédito están sujetas a reglas específicas. La Ley Orgánica 1/1992, de 21

85
febrero de Seguridad Ciudadana prevé que por razones de seguridad pública se adopten
determinadas medidas, y en virtud de la autorización reglamentaria que esta Ley contiene
el Reglamento de Seguridad Privada ha exigido la instalación de cámaras y videocámaras
en dichos establecimientos. Así, las previsiones del Real Decreto 2364/1994, por el que se
aprueba el Reglamento de Seguridad Privada, deben interpretarse en conexión con la
LOPD.

Estas instalaciones son de titularidad privada siendo estas entidades responsables de las
mismas. El artículo 120 del Reglamento de Seguridad Privada define peculiaridades en su
régimen jurídico:

Las imágenes estarán exclusivamente a disposición de las autoridades judiciales y de las


dependencias de las Fuerzas y Cuerpos de Seguridad, a las que facilitarán inmediatamente
aquellas que se refieran a la comisión de hechos delictivos.
El contenido de los soportes será estrictamente reservado, y las imágenes grabadas
únicamente podrán ser utilizadas como medio de identificación de los autores de delitos
contra las personas y contra la propiedad.
En principio las imágenes sólo podrán ser visualizadas por las Fuerzas y Cuerpos de
Seguridad, los Jueces y Tribunales, por la Inspección de la Agencia Española de Protección
de Datos en ejercicio de sus competencias y por el personal legitimado por la Ley de
Seguridad Privada.
En estos ficheros, debido a las anteriores restricciones, el derecho de acceso de los
afectados no es posible, sin perjuicio de que quepa invocar en su caso la tutela de la
Agencia Española de Protección de Datos.
La cancelación se produce transcurridos quince días desde la grabación, salvo que
hubiesen dispuesto lo contrario las autoridades judiciales o las Fuerzas y Cuerpos de
Seguridad competentes.
En lo no específicamente previsto por el Reglamento de Seguridad Privada se aplicará el
régimen de la LOPD y de la Instrucción 1/2006.

Éste régimen especial requiere el cumplimiento de dos requisitos adicionales:

La presencia de información específica disponible para el público que, eventualmente


puede sustituir a la prevista en la Instrucción 1/2006.

Que los empleados o responsables de la entidad bancaria no accedan a las imágenes en


cuyo caso les es de plena aplicación la Instrucción 1/2006. Se exceptúan los casos en los
que la entidad disponga de personal propio con la categoría de director de seguridad
conforme a Ley de Seguridad Privada y a su Reglamento de desarrollo.

CÁMARAS CON ACCESO A LA VÍA PÚBLICA

La legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de


entornos privados. La prevención del delito y la garantía de la seguridad en las vías
públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.

86
Por tanto la regla general es la prohibición de captar imágenes de la calle desde
instalaciones privadas.

No obstante, en algunas ocasiones la protección de los espacios privados sólo es posible si


las cámaras se ubican en espacios como las fachadas. A veces también resulta necesario
captar los accesos, puertas o entradas, de modo que aunque la cámara se encuentre en el
interior del edificio, resulta imposible no registrar parte de lo que sucede en la porción de
vía pública que inevitablemente se capta. Por todo ello el artículo 4.3 de la Instrucción
1/2006 dispone:

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes


de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se
pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso
deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

Para que esta excepción resulte aplicable, no deberá existir una posibilidad de instalación
alternativa. Debe tenerse en cuenta que:

La utilización de instalaciones de videovigilancia en la vía pública se reserva a las Fuerzas


y Cuerpos de Seguridad por la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la
utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares
públicos.

El artículo 4.3 de la Instrucción 1/2006 no constituye una habilitación para captar


imágenes en espacios públicos.

El responsable del fichero adecuará el uso de la instalación de modo que el impacto en los
derechos de los viandantes sea el mínimo posible.

En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de
la instalación y en particular en lo que se refiere a los espacios públicos circundantes,
edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.

La señalización garantizará en todo caso los derechos de los afectados.

Las indicaciones de uso y seguridad facilitados al personal contendrán de modo expreso


instrucciones específicas que garanticen un uso adecuado y proporcional de los recursos.

CÁMARAS CONECTADAS A INTERNET

Cada vez resulta más frecuente el uso de videocámaras IP y Webcams capaces de


transmitir datos en formato digital a través de Internet. La tecnología permite el ahorro de
costes al facilitar la grabación directa en soporte digital y facilita el nacimiento de nuevos
servicios de videovigilancia. Se trata de productos muy publicitados, fácilmente
adquiribles y que no suelen requerir de conocimientos técnicos especiales para su
instalación, pero respecto de cuyo uso deben analizarse los riesgos.

87
El uso de tales cámaras comporta riesgos adicionales cuando no se configura
adecuadamente el uso del programa y/o el entorno de comunicaciones.

La configuración por defecto del software puede no reunir las garantías de seguridad
facilitando el acceso abierto a las imágenes por cualquiera. Deberá revisarse si las
funciones de identificación y autenticación se encuentran activadas con el fin de evitar
accesos de terceros a las imágenes y de garantizar que sólo acceden los usuarios
autorizados.

Asimismo, la grabación digital permite un uso fácil de las imágenes. Por ello no debe
olvidarse que: Es irrelevante el medio técnico empleado. La instalación de cualquier
sistema de videovigilancia con fines de seguridad cuando se tiene acceso remoto con una
central de alarmas, requiere la participación de una empresa de seguridad debidamente
autorizada por el Ministerio del Interior.

Cuando no se tiene acceso remoto a las imágenes captadas por un tercero como “una
central de alarmas” no será necesaria que la instalación sea realizada por una empresa
homologada. Pudiendo en este caso ser instalada por el propio personal, pero teniendo en
cuenta todos los preceptos de la LOPD, y su Reglamento.

El sistema deberá cumplir con el nivel de seguridad que corresponda conforme al


RDLOPD y en particular:

Se contará con procedimientos de identificación y autenticación de los usuarios del


sistema y no se permitirá el acceso de terceros no autorizados.
Se garantizará la seguridad en el acceso a través de redes públicas de comunicaciones.
Se tendrá en cuenta la naturaleza de la instalación al definir las obligaciones del personal.
ENTORNOS ESCOLARES Y MENORES

La captación de imágenes en entornos escolares no se encuentra vetada pero requiere


adoptar ciertas cautelas. La instalación de cámaras de videovigilancia en un centro escolar
con el fin de controlar conductas que puedan afectar a la seguridad ha de ser una medida
proporcional en relación con la infracción que se pretenda evitar y, en ningún caso, debe
suponer el medio inicial para llevar a cabo funciones de vigilancia.

La utilización de estos sistemas debe ser proporcional al fin perseguido, que en todo caso
deberá ser legítimo. La instalación de cámaras de videovigilancia sería una medida
proporcional y justificada si se cumplen los siguientes requisitos:

Que se trate de una medida susceptible de conseguir el objetivo propuesto.


Que no exista otra medida más moderada para la consecución de tal propósito con igual
eficacia.
Que la misma sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas
para el interés general que perjuicios sobre otros bienes o valores en conflicto.
Los menores son sujetos merecedores de una especial protección por lo que el principio de

88
proporcionalidad debe aplicarse con un rigor extremo. Por ello, en entornos como
colegios, guarderías, centros lúdicos cuyo público objetivo sean los menores y espacios
similares la instalación de videocámaras sólo será legítima cuando derive de una
necesidad ineludible, cuando la medida sea la más adecuada y siempre que no exista una
medida alternativa menos lesiva para los derechos del menor.
En particular:

La zona objeto de videovigilancia será la mínima imprescindible abarcando espacios


públicos como accesos o pasillos. En ningún caso podrán instalarse estos medios en
espacios protegidos por el derecho a la intimidad como baños, vestuarios o aquellos en los
que se desarrollen actividades cuya captación pueda afectar a la imagen o a la vida
privada como los gimnasios.

Salvo en circunstancias excepcionales, no resulta admisible la captación de imágenes con


fines de control de asistencia escolar.

El uso de videocámaras con fines de seguridad en espacios de juego, aulas y otros ámbitos
en los que se desarrolla la personalidad de los menores sólo podrán ser objeto de
grabación en presencia de circunstancias excepcionales, justificadas por la presencia de un
riesgo objetivo y previsible para la seguridad de los menores.

Por último, en entornos escolares cabe el uso de videocámaras para la prestación de otros
servicios que se examinan en un apartado posterior.

ESPACIOS PÚBLICOS DE USO PRIVADO

Una gran parte de la vida privada de las personas se desarrolla en espacios públicos de
uso privado como establecimientos comerciales, restaurantes, lugares de ocio etc.

La garantía del derecho a la protección de datos se extiende también a estos ámbitos. Por
ello, cuando se pretenda instalar sistemas de videovigilancia en los mismos, deberán
ponderarse los derechos y garantizarse el cumplimiento estricto del principio de
proporcionalidad.

Así, a título de ejemplo: En ningún caso resulta admisible la instalación de cámaras en


baños o vestuarios. Si bien puede resultar justificable el uso de técnicas de videovigilancia
en lugares de ocio ésta deberá respetar los derechos de las personas:

No grabando conversaciones.
No utilizando las imágenes con fines comerciales o promocionales salvo autorización del
afectado, y en particular para su emisión a través de Internet.
En espacios como gimnasios, balnearios o “Spa” etc., pueden captarse imágenes
susceptibles de afectar a los derechos a la intimidad, a la propia imagen y a la protección
de datos. Deberán tenerse en cuenta estas circunstancias respetando tales derechos no
captándose imágenes de personas identificadas o identificables en los lugares en los que se
realiza materialmente la práctica deportiva o se reciban este tipo de servicios.

89
Nota:
Existen otros usos relacionados con la seguridad en materia de videovigilancia, estas que a
continuación se exponen no tienen nada que ver con la industria o negocios que estamos
tratando, de todas maneras introducimos esta información con carácter meramente
informativo.

11.7.- Otros usos relacionados con la seguridad

La legislación vigente habilita para el uso de videocámaras en el contexto de la seguridad


pública, la seguridad ciudadana y la prevención del delito, el control y la ordenación del
tráfico y la seguridad vial, y la garantía de la seguridad en espectáculos deportivos.

VIDEOCÁMARAS DE LAS FUERZAS Y CUERPOS DE SEGURIDAD

La Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de


videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos regula su
utilización policial con la finalidad de contribuir a asegurar la convivencia ciudadana, la
erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así
como de prevenir la comisión de delitos, faltas e infracciones relacionados con la
seguridad pública.

De lo dispuesto por el artículo 2.2 de la citada Ley y del artículo 2.3.e) LOPD se deduce
que el tratamiento de los datos personales procedentes de las imágenes obtenidas
mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de
Seguridad se regirá por sus disposiciones específicas y por lo especialmente previsto, en su
caso, por la LOPD. Por ello, se aplicarán las disposiciones específicas a:

Competencias de las Comisiones de Garantías de la Videovigilancia respecto del informe


previo a la autorización, y demás competencias atribuidas por la Ley y el reglamento que
la desarrolla.

Autorización de las instalaciones fijas y de la utilización de videocámaras móviles.

Registro de instalaciones autorizadas.

Principio de proporcionalidad en la utilización de las videocámaras en su doble versión de


idoneidad y de intervención mínima.

La idoneidad determina que sólo podrá emplearse la videocámara cuando resulte


adecuado, en una situación concreta, para el mantenimiento de la seguridad ciudadana, de
conformidad con lo dispuesto en la Ley.

La intervención mínima exige la ponderación, en cada caso, entre la finalidad pretendida y


la posible afectación por la utilización de la videocámara al derecho al honor, a la propia
imagen y a la intimidad de las personas.

90
La utilización de videocámaras exigirá la existencia de un razonable riesgo para la
seguridad ciudadana, en el caso de las fijas, o de un peligro concreto, en el caso de las
móviles.

No se podrán utilizar videocámaras para tomar imágenes ni sonidos del interior de las
viviendas, ni de sus vestíbulos, salvo consentimiento del titular o autorización judicial, ni
en lugares en lugares públicos, abiertos o cerrados, cuando se afecte de forma directa y
grave a la intimidad de las personas, así como tampoco para grabar conversaciones de
naturaleza estrictamente privada.

Puesta de las imágenes captadas a disposición de la autoridad administrativa o judicial


competente.

Periodo para la conservación de las imágenes y destrucción de las mismas.

Señalización de las zonas vigiladas.

Ejercicio de los derechos de acceso y cancelación.

Infracciones y sanciones relacionadas con el desarrollo de la actividad policial.

Debe tenerse en cuenta que la Ley Orgánica 4/1997 habilita a las Comunidades
Autónomas con competencia para la protección de las personas y los bienes y para el
mantenimiento del orden público, para regular y autorizar la utilización de videocámaras
por sus fuerzas policiales y por las dependientes de las Corporaciones locales radicadas en
su territorio, la custodia de las grabaciones obtenidas, la responsabilidad sobre su ulterior
destino y las peticiones de acceso y cancelación de las mismas.

En cualquier caso, se aplica plenamente la LOPD y en particular en lo relativo a:

Creación de los ficheros mediante una disposición de carácter general publicada en el


diario oficial que corresponda.
Inscripción ante el Registro General de Protección de Datos de la Agencia Española de
Protección de Datos.
Adopción de medidas de seguridad y documentación de las mismas.
Comunicaciones de datos a cesionarios distintos de las autoridades administrativas o
judiciales competentes, en relación con las infracciones o delitos eventualmente
registrados.
Contratos de acceso a los datos por cuenta de terceros.
Infracciones y sanciones relacionadas con lo dispuesto por la Ley Orgánica 15/1999.
Por último, debe señalarse que el Reglamento de desarrollo de la Ley Orgánica 4/1997
excluye su aplicación a:

Instalaciones fijas de videocámaras que realicen las Fuerzas Armadas y las Fuerzas y
Cuerpos de Seguridad en sus inmuebles, siempre que éstas se dediquen exclusivamente a

91
garantizar la seguridad y protección interior o exterior de los mismos.

Las unidades de Policía Judicial reguladas en la legislación de Fuerzas y Cuerpos de


Seguridad, cuando, en el desempeño de funciones de policía judicial en sentido estricto,
realicen captaciones de imágenes y sonidos mediante videocámaras, se regirán por la Ley
de Enjuiciamiento Criminal y por su normativa específica.
Por tanto, en estos casos resulta de plena aplicación lo dispuesto por la LOPD y la
Instrucción 1/2006.

VIDEOCÁMARAS CON FINES DE CONTROL DE TRÁFICO

La Ley Orgánica 4/1997 y su Reglamento de Desarrollo contienen disposiciones


específicas relativas a estas instalaciones. En concreto su Disposición adicional octava
establece:

La instalación y uso de videocámaras y de cualquier otro medio de captación y


reproducción de imágenes para el control, regulación, vigilancia y disciplina del tráfico se
efectuará por la autoridad encargada de la regulación del tráfico a los fines previstos en el
texto articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad
Vial, aprobado por Real Decreto Legislativo 339/1990, de 2 de marzo, y demás normativa
específica en la materia, y con sujeción a lo dispuesto en las Leyes Orgánicas 5/1992, de 29
de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter
Personal, y 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad
Personal y Familiar y a la Propia Imagen.

Ello supone la aplicación de algunas previsiones específicas de la citada Ley y de la


Disposición adicional única del Real Decreto 596/1999, de 16 de abril, por el que se
aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de
agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de
Seguridad en lugares públicos:

Las cámaras deberán utilizarse con respeto al principio de proporcionalidad en su doble


versión de idoneidad y de intervención mínima.
Corresponderá a las Administraciones públicas con competencia para la regulación del
tráfico, autorizar la instalación y el uso de estos dispositivos.
La resolución que ordene la instalación y uso de los dispositivos fijos de captación y
reproducción:

Identificará genéricamente las vías públicas o los tramos de aquellas cuya imagen sea
susceptible de ser captada.

Las medidas tendentes a garantizar la preservación de la disponibilidad, confidencialidad


e integridad de las grabaciones o registros obtenidos.

El órgano encargado de su custodia y de la resolución de las solicitudes de acceso y


cancelación.

92
Debe tenerse en cuenta que estas cámaras pueden ser también utilizadas en el marco de la
Ley Orgánica 4/1997 tramitándose todas las autorizaciones previstas en la misma.

En cualquier caso, en el caso de estas videocámaras resulta de plena aplicación el conjunto


de lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal y en particular:

Creación de los ficheros mediante una disposición de carácter general publicada en el


diario oficial que corresponda.
Inscripción ante el Registro General de Protección de Datos de la Agencia Española de
Protección de Datos.
Adopción de medidas de seguridad y documentación de las mismas.
Satisfacción de los derechos de las personas.
Señalización del espacio vigilado.
ESPECTÁCULOS DEPORTIVOS

El artículo 61 del Real Decreto 769/1993, de 21 de mayo, por el que se aprueba el


Reglamento para la Prevención de la violencia en los espectáculos deportivos contempla la
existencia de circuitos cerrados de televisión. Estos circuitos contarán con cámaras fijas y
móviles.

Las cámaras fijas controlarán el exterior e interior del recinto, cubriendo las zonas de
acceso y las gradas y proporcionando una visión total de aquél.

Las cámaras móviles se situarán en los espacios que el Coordinador de Seguridad estime
necesario controlar especialmente en cada acontecimiento deportivo.

El circuito cerrado de televisión dispondrá, asimismo, de medios de grabación para


registrar las actitudes de los asistentes y el comportamiento de los grupos violentos.

Corresponde al Consejo de Administración o la Junta Directiva de los clubes de la


categoría profesional de fútbol y, en los casos en los que se establezca reglamentariamente,
designar un Jefe de Servicio de Seguridad. Éste desarrolla sus funciones de acuerdo con las
instrucciones del Coordinador de Seguridad en cada club, sociedad anónima o
acontecimiento deportivo.

Por tanto en este ámbito debe tenerse en cuenta:

El titular de la instalación será responsable del fichero.


Deberán cumplirse todas las previsiones de la Instrucción 1/2006.

11.8.- Uso de videocámaras con fines de control empresarial

El artículo 20.3 del Estatuto de los Trabajadores faculta al empresario para adoptar las
medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento
por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y

93
aplicación la consideración debida a su dignidad humana y teniendo en cuenta la
capacidad real de los trabajadores disminuidos, en su caso.

Entre estas medidas puede estar la captación y/o tratamiento de imágenes sin
consentimiento.

No obstante tales prácticas se encuentran plenamente sometidos a la LOPD y la


Instrucción 1/2006 y deben cumplir con requisitos específicos:

El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores,


y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo
cumplir en este último caso adicionalmente las previsiones específicas que sean de
aplicación.
Respetarán de modo riguroso el principio de proporcionalidad:

Se adoptará esta medida cuando no exista otra más idónea.


Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios
captando imágenes en los espacios indispensables para satisfacer las finalidades de control
laboral.

No podrán utilizarse estos medios para fines distintos de los propios del control laboral
salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el
cumplimiento de la normativa que les sea de aplicación.
Tendrán en cuenta los derechos específicos de los trabajadores respetando:

Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación


con espacios vetados a la utilización de este tipo de medios como vestuarios, baños,
taquillas o zonas de descanso.
El derecho a la propia imagen de los trabajadores.
La vida privada en el entorno laboral no registrando en particular las conversaciones
privadas.
Se garantizará el derecho a la información en la recogida de las imágenes:

Con información específica a la representación sindical.


Mediante el cartel anunciador y el impreso establecidos por la Instrucción 1/2006.
Mediante información personalizada.
Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.
Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente
podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes
laborales.
Se garantizarán los derechos de acceso y cancelación.
Se formalizarán en su caso contratos de acceso a los datos por cuenta de terceros.
Se adoptarán las correspondientes medidas de seguridad.

11.9.- Otros tratamientos

94
La utilización de videocámaras y la captación de imágenes se plantean también en otros
ámbitos a los que se aplican las normas reguladoras de la protección de datos personales.

TRATAMIENTOS EN ENTORNOS ESCOLARES CON FINES DISTINTOS DE LA


SEGURIDAD

Existen servicios de valor añadido basados en la captación de imágenes. Un ejemplo cada


vez más frecuente consiste en facilitar el acceso a los padres a imágenes de clases y
espacios de juego en guarderías o centros de educación infantil. En este caso debe tenerse
en cuenta que:

Se aplican los principios generales de la LOPD.


El consentimiento para el tratamiento de datos de los menores se encuentra regulado en el
artículo 13 RDLOPD y exige la autorización paterna, materna o del representante legal
cuando se trate de menores de edad.
Debe definirse con precisión la finalidad para la captación de tales imágenes, que en todo
caso respetará el principio de proporcionalidad y adecuación, y en particular los usos
adicionales con fines promocionales o de marketing, memorias escolares de actividad, o
websites públicos del centro.
Deben informarse adecuadamente y respetarse los derechos de los trabajadores afectados
por el uso de videocámaras como monitores, profesores, personal de limpieza etc.
Deberá garantizarse la seguridad y el secreto, en particular cuando el acceso a las
imágenes se produzca online.
En aquellos casos en los que se facilite acceso a un colectivo, como el de todos los padres
de un aula:

Deberán definirse los perfiles de acceso que, por ejemplo, debería limitarse a los entornos
en los que se encuentren sus hijos, nunca a otras aulas.
Deberá informarse a los padres de las responsabilidades que les incumben por el acceso a
los datos.
VIDEOPORTEROS

La Instrucción 1/2006 excluye expresamente su aplicación a imágenes obtenidas en el


ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en
el marco de una actividad exclusivamente privada o familiar.

Por tanto, en aquellos casos en los que la utilización de video-porteros se limite a su


función de verificar de la identidad de la persona que llamó al timbre y a facilitar el acceso
a la vivienda, no será de aplicación la normativa sobre protección de datos.

Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o


graban imágenes de modo constante, y resultan accesibles, “ya sea a través de Internet o
mediante emisiones por la televisión de los vecinos”, y en particular cuando el objeto de
las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena
aplicación la Instrucción 1/2006.

95
INVESTIGACIÓN CIENTÍFICA Y USOS AFINES

Uno de los fines posibles para la captación y grabación de imágenes relativos a personas
identificadas o identificables es la investigación, ya se trate de investigación científica, del
estudio de hábitos de uso o consumo, o incluso en el ámbito de los procesos de selección
de personal.

Por tanto, en este caso se aplicarán plenamente las previsiones de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal. En este sentido,
debe recordarse la especial importancia que reviste en esta materia el cumplimiento de los
principios de finalidad y proporcionalidad en el tratamiento de los datos.

PROMOCIÓN TURÍSTICA Y FINALIDADES RELACIONADAS

La difusión de imágenes con finalidad promocional a través de Internet es una práctica


cada vez más común ya se trate de difundir un determinado ámbito corporativo, -como
fachadas de edificios o espacios singulares en empresas o instituciones-, ya se refiera a
lugares de interés turístico.

Únicamente cuando la captación y emisión de las imágenes no afecte a personas


identificadas o identificables resultara excluida la aplicación de la LOPD.

REGLAS GENERALES

En cualquiera de los casos anteriores, cuando las imágenes se refieran a personas


identificadas o identificables deberán aplicarse los principios generales vigentes en
materia de protección de datos personales:

Deberá contarse con una habilitación legal o requerir el consentimiento de los afectados. Si
se trata de entornos en los que puedan captarse imágenes de trabajadores, deberán tenerse
en cuenta que las normas laborales contienen criterios y garantías respecto de sus derechos
y deberes.

Se informará de la existencia de instalaciones destinadas a captar las imágenes y su


finalidad turística o promocional y no podrán utilizarse para finalidades distintas.

Se adoptarán las oportunas medidas de seguridad.

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la


finalidad para la que se recabaron.

En los casos en los que las imágenes sean libremente accesibles en Internet es
recomendable establecer políticas de privacidad estableciendo, de modo particular, las
condiciones de uso para los terceros.

Cuando las imágenes así captadas y/o reproducidas no permitan identificar personas, ni

96
otros aspectos relacionados con informaciones personales como números de matrícula de
los vehículos, no serán de aplicación las normas sobre protección de datos. Esto se
consigue disociado las imágenes o fotografías captadas, bien sea difuminando a las
personas o matriculas de coches, o con un tratamiento especifico de dichas imágenes
borrando los datos de carácter personal que pueden aparecer en las mismas.

11.10.- Derechos de las personas

El ejercicio de los derechos posee perfiles específicos en el ámbito de la videovigilancia.

Como bien sabemos, existe la opción del ejercicio de los derechos A.R.C.O. Pero en el
ámbito de la videovigilancia no resulta posible el ejercicio del derecho de rectificación ya
que por la naturaleza de los datos -imágenes tomadas de la realidad que reflejan un hecho
objetivo-, se trataría del ejercicio de un derecho de contenido imposible.

Por otro lado, el ejercicio del derecho de oposición también plantea enormes dificultades.

Si este se interpreta como la imposibilidad de tomar imágenes de un sujeto concreto en el


marco de instalaciones de videovigilancia vinculadas a fines de seguridad privada no
resultaría tampoco posible su satisfacción en la medida en la que prevalecería la
protección de la seguridad.

Por otra parte el ejercicio del derecho de acceso reviste características singulares:

Requiere aportar como documentación complementaria el aportar una imagen actualizada


que permita al responsable verificar y contrastar la presencia del afectado en sus registros.

Resulta prácticamente imposible acceder a imágenes sin que pueda verse comprometida la
imagen de un tercero. Por ello puede facilitarse el acceso mediante escrito certificado en el
que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los
datos que han sido objeto de tratamiento.

Ej. “Su imagen fue registrada en nuestros sistemas el día ___ del mes del año entre las _
horas y las _ horas. En concreto el sistema registra su acceso y salida del edificio.

Si se ejerciese el derecho de acceso ante el responsable de un sistema que únicamente


reproduzca imágenes sin registrarlas deberá responderse en todo caso indicando la
ausencia de imágenes grabadas.

La cancelación solicitada por el afectado se rige por lo previsto en la LOPD sin


especialidad alguna.

No debe olvidarse que conforme a las previsiones del RDLOPD en caso de denegación de
un derecho deberá indicarse expresamente la posibilidad de reclamar su tutela ante el
Director de la Agencia Española de Protección de Datos.

97
11.11.-Recomendaciones

La utilización de instalaciones de videovigilancia para captar, grabar o reproducir


imágenes relativas a personas identificadas o identificables constituye una práctica que
puede afectar a los derechos fundamentales y en particular al derecho fundamental a la
protección de datos.

Por ello es conveniente tener en cuenta algunas recomendaciones que se deducen del
contenido de esta guía:

La elección de este tipo de medios debe responder siempre al principio de


proporcionalidad descartándose la videovigilancia cuando existan medidas menos lesivas
para los derechos fundamentales.

El análisis de la proporcionalidad de la medida será especialmente riguroso en entornos


sensibles ya sea por la naturaleza de los sujetos objeto de la vigilancia, como los menores
en ámbitos como el escolar, ya sea porque en ellos se den manifestaciones de vida privada,
como en locales de ocio o gimnasios.

La empresa de seguridad debería asesorar diligente y lealmente a quien requiera sus


servicios incluyendo dicho asesoramiento en las cuestiones relativas a la normativa de
protección de datos.

En el ámbito laboral deberá garantizarse el respeto de los derechos de los trabajadores.

En cualquier caso, el responsable y el encargado deberán velar por el cumplimiento de la


normativa de protección de datos personales y cualquier otra norma aplicable.

EMPRESAS DE SEGURIDAD

Información, multa comunidad videocámara

VER DOCUMENTO

Como se ha señalado anteriormente la utilización de sistemas para la captación y/o


tratamiento de imágenes con fines de videovigilancia y seguridad está sujeta a condiciones
derivadas de la Ley 23/1992 de 30 de julio, de Seguridad Privada y su Reglamento de
Desarrollo, de la LOPD y a la Instrucción 1/2006. Se trata de servicios que sólo pueden ser
prestados por empresas específicamente autorizadas en virtud de sus condiciones y
cualificación. Ello determina la exigencia de una especial diligencia en el asesoramiento al
responsable que contrate sus servicios respecto del cumplimiento de la LOPD y de la
Instrucción 1/2006. Este deber cualificado de diligencia se traduce en algunas exigencias

98
específicas. En primer lugar, y con carácter general: competente, un contrato cuando se
preste un servicio de seguridad. En el ámbito de la videovigilancia la falta de
cumplimiento de dicha obligación supone una falta de legitimación para el tratamiento
por parte de la empresa de seguridad.

La empresa de seguridad privada que realice operaciones de instalación o mantenimiento


de los servicios de vigilancia mediante cámaras debe garantizar que tales sistemas
cumplan con los requisitos de la LOPD y de la Instrucción 1/2006.

En particular su pericia técnica será muy relevante en aspectos como:

Inscripción del fichero ante el Registro General de Protección de Datos.

La ubicación de distintivos informativos

La definición del espacio vigilado y la orientación de las videocámaras.

La adopción de las medidas de seguridad.

La ausencia de contrato tendrá como consecuencia la falta de legitimación de la


instalación.

Por otra parte, como se señaló más arriba, hay recordar que cuando la empresa de
seguridad acceda a las imágenes, con independencia de que lo pueda hacer el responsable,
tendrá la consideración de encargado del tratamiento y le corresponderán las
responsabilidades que procedan conforme con lo dispuesto por el contrato celebrado
conforme al artículo 12 LOPD.

Sin embargo, a las empresas de seguridad, tengan o no la condición de encargados, les


compete el deber de asesorar a los particulares sobre la adecuación a la normativa de
protección de datos de las instalaciones de videovigilancia. La Agencia Española de
Protección de Datos en el desarrollo de su actividad notificará de oficio las incidencias
detectadas a la autoridad gubernativa para su conocimiento y eventual actuación en
aplicación de la Ley de Seguridad Privada.

11.12.- Preguntas frecuentes

¿Por qué se aplica la LOPD y la Instrucción 1/2006 a la videovigilancia?

La imagen de una persona es un dato de carácter personal. Se considera dato cualquier


información relativa a una persona identificada o identificable. Los sistemas de
videovigilancia normalmente captarán imágenes de trabajadores, clientes o personas con
las que se mantiene un grado de relación que las hace identificables.

¿Qué regula la Instrucción 1/2006 sobre videovigilancia?

99
Su regulación se proyecta sobre la captación de imágenes con fines de videovigilancia en
materia de seguridad. Se trata de casos en los que el responsable puede captar, y
eventualmente grabar, imágenes con la finalidad de garantizar la seguridad de edificios,
instalaciones etc. al amparo de la Ley de Seguridad Privada, o bien con motivo del
ejercicio de la potestad de vigilancia del cumplimiento de la relación laboral que el
Estatuto de los trabajadores atribuye a los empleadores.

Sin embargo, los principios de la Instrucción son válidos y útiles para cualquier otro
tratamiento de imágenes mediante videocámaras.

¿El uso de una videocámara para grabar imágenes de la vida familiar está sometido a la
Instrucción 1/2006?

No, la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter


personal, y por tanto también lo dispuesto en la Instrucción no se aplica al tratamiento de
imágenes por personas físicas en el ejercicio de actividades exclusivamente personales o
domésticas, incluidos actos sociales como celebraciones escolares o colectivas.

Ahora bien, si las videocámaras se instalan con la finalidad de garantizar la seguridad de


la vivienda sí deberá cumplirse lo dispuesto en la Instrucción 1/2006, particularmente
cuando se trate de espacios comunes en comunidades de vecinos, urbanizaciones privadas
o cuando afecte al personal que presta sus servicios en el interior del domicilio.

¿Qué debe hacerse cuando las cámaras se instalan por una comunidad de vecinos o por los
propietarios de viviendas sitas en una urbanización?

Al efecto la comunidad será responsable de un fichero o tratamiento y deberá cumplir con


todas las obligaciones previstas por la Ley.

En primer lugar, existirá un fichero si las imágenes captadas por las cámaras se graban en
cualquier soporte, -cinta vhs, DVD, CD-ROM, disco duro de un ordenador-, que permite
por tanto recuperar la información relativa, por ejemplo, a la grabación realizada en un día
u hora concreta. La LOPD obliga a inscribir el fichero en el Registro General de Protección
de Datos de la Agencia Española de Protección de Datos.

Además debe informarse a las personas que pueden ser grabadas mediante la ubicación
de una señal, establecida en la Instrucción 1/2006, que identifican la existencia de una
zona vigilada, y al responsable del fichero ante el que se ejercerán los derechos de acceso y
cancelación. En estos accesos, o en el lugar adecuado debe disponerse de un impreso
informativo en el que con todo detalle se informe sobre las circunstancias del tratamiento
de las imágenes en los términos en los que regula en el art. 5 LOPD.

Resulta imprescindible formalizar un contrato con la empresa de seguridad teniendo en


cuenta que si accede a las imágenes o utiliza los equipos e instalaciones tendrá la
condición de encargado del tratamiento. Por otra parte, existen obligaciones como
garantizar los derechos de los titulares de las imágenes y la seguridad de los sistemas.

100
¿Y si no se graban las imágenes sino que se emiten en circuito cerrado bajo control de un
empleado de seguridad?

En este caso no existiría un fichero ni la obligación de inscripción pero sí un tratamiento y


el deber de cumplir con todas las restantes obligaciones. En particular debe informarse
siempre mediante el cartel informativo.

¿Dónde debe ubicarse la señal? ¿Bajo cada cámara?

No, la señal debe identificar la zona vigilada de modo que no se produzca el acceso de las
personas sujetas a la videovigilancia sin la oportunidad de conocer la existencia de las
videocámaras. Esto no supone en ningún caso identificar la ubicación concreta de cada
cámara.

En lugares con distintos accesos debe colocarse un cartel informador en todos ellos, esto
es, en todas las entradas garantizando así que quien acceda vea siempre la información.

El cartel informativo de la Instrucción 1/2006, ¿sólo debe utilizarse en el marco de la


seguridad privada?

El objetivo de la Instrucción es que se utilice siempre que exista una instalación de


videovigilancia con fines de seguridad. Sin embargo nada excluye el que el procedimiento
de información que establece la Instrucción 1/2006 pueda resultar efectivo en otros
contextos.

¿Deben tenerse físicamente impresos informativos a disposición de los afectados?

Puede disponerse de formularios pre-impresos y preparados por el responsable del


tratamiento, o tener la posibilidad de imprimirlos en el momento de su demanda por el
afectado.

El cartel informativo, ¿debe identificar al responsable de modo preciso?

Como regla general es imprescindible que se identifique al responsable. En determinados


entornos, como la entrada de una tienda o pequeño negocio, en los que el responsable es el
propietario del establecimiento la simple ubicación del cartel permite establecer la
identidad del responsable. Pero si no se dan estas circunstancias, o el espacio se presta a
confusión, como en un centro comercial cuando sea muy difícil identificar quien es el
responsable del tratamiento, no serviría la mera mención de existencia de un sistema de
videovigilancia y se exigiría que contuviese la identificación del mismo, tal y como
dispone el art. 3 de la Instrucción 1/2006.

¿Pueden tomarse imágenes de la vía pública?

La captación de imágenes en la vía pública con fines de seguridad se regula por la Ley

101
Orgánica 4/1997, de 4 de agosto por la que se regula la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos, y se encuentra reservada
a las Fuerzas y Cuerpos de Seguridad. Sin embargo, en determinadas ocasiones la
instalación de un sistema de videovigilancia privada puede captar parcialmente imágenes
de la vía pública. Estos casos deben ser una excepción y respetar la proporcionalidad en el
tratamiento. En primer lugar, no deberá existir una posibilidad de instalación alternativa.
Por otra parte, las videocámaras deberán orientarse de modo tal que su objeto de
vigilancia principal sea el entorno privado y la captación de imágenes de la vía pública sea
la mínima imprescindible.

Por ejemplo, puede darse que la grabación de la entrada de un garaje capte imágenes de
personas que pasen exactamente por delante del mismo pero nunca el conjunto de la calle
o de la acera ni, por supuesto los edificios contiguos.

¿Cuánto tiempo deben conservarse las imágenes? ¿Es obligatorio que sean por un plazo de
un mes?

La Instrucción 1/2006 prevé un periodo máximo de conservación de un mes. Por tanto no


se excluyen periodos de conservación inferiores al máximo.

¿Qué ocurre si se capta la comisión de un delito o infracción?

Lógicamente se pondrán en conocimiento de la autoridad competente los hechos y las


imágenes, ya que ésta es una de las finalidades perseguidas por la Ley de Seguridad
Privada. Por otra parte, el artículo 11.2.d) de la LOPD faculta al Ministerio Fiscal y a los
jueces y tribunales para requerir datos personales incluidos en cualquier sistema de
información, y por tanto las imágenes tomadas por un sistema de videovigilancia.

¿Qué derechos tienen los ciudadanos?

Los ciudadanos pueden ejercer su derecho a acceder a las imágenes y a cancelarlas. Puesto
que en muchas ocasiones este acceso podría afectar a los derechos de terceras personas,
que también aparezcan en las imágenes, podrá darse el acceso con la indicación escrita de
la existencia de imágenes de la persona que ejerce su derecho.

¿La captación de imágenes en un entorno escolar se encuentra sujeta a la Instrucción


1/2006?

Debe distinguirse entre las finalidades propias de la seguridad de otras finalidades. En el


primer caso, la instalación de videocámaras en accesos, patios, o zonas públicas de un
colegio no destinadas a finalidades docentes, el criterio aplicable es el de la Instrucción
1/2006. No ocurrirá así en instalaciones dedicadas a fines docentes, como las aulas en los
que en principio no parece que la seguridad pueda ser un criterio legitimador. Por tanto
en éste último caso, se requerirá el consentimiento de los titulares de los datos personales
que, cuando sean menores de 14 años deberá prestarse por sus padres o representantes
legales sin perjuicio del deber adicional de respeto a los derechos del personal que preste

102
sus servicios en el aula.

¿Puede grabarse en cualquier espacio?

No, hay ámbitos protegidos por el derecho a la intimidad como baños o vestuarios en los
que no resulta posible la utilización de este tipo de instalaciones.

¿Quién tiene habilitación para visionar las imágenes? ¿Sólo la empresa de seguridad o el
responsable del fichero o tratamiento, esto es, el titular del recinto vigilado?

Cualquiera de ellos puede visionar las imágenes. El responsable del tratamiento deberá
designar las personas concretas que van a tener acceso a las imágenes que constarán como
usuarios autorizados en el documento de seguridad y deberán ser informados de sus
respectivas obligaciones.

Así, por ejemplo, cuando el responsable del tratamiento sea una Comunidad de
Propietarios o similar, deberá designarse la persona o personas concretas (por ejemplo
conserje y presidente) que puedan visionar las imágenes. Los circuitos cerrados de
televisión visionados por todos los propietarios resultan desproporcionados y pueden
constituir una infracción.

¿En el ámbito laboral qué derechos tienen los trabajadores? ¿Puede grabarse
subrepticiamente?

En éste ámbito rigen plenamente los principios de protección de datos personales. Así,
aunque la grabación pueda realizarse sin su consentimiento al amparo de lo dispuesto en
el Estatuto de los Trabajadores siempre deberá cumplirse con el deber de información y
con las restantes obligaciones contenidas en la LOPD.

¿Un video portero se encuentra sujeto a la Instrucción 1/2006?

No, un video portero comporta un uso doméstico o familiar excluido de la aplicación de la


legislación sobre protección de datos personales. No obstante esta exclusión sólo se
producirá cuando el uso de tales aparatos se limite a la finalidad que les es propia.

¿Se entiende por uso particular y/o doméstico la instalación de una cámara por una
persona en su domicilio para vigilar las tareas de quien realiza tareas de limpieza o
cuidado de niños?

El artículo 20.3 del Estatuto de los Trabajadores (E.T.) habilita al empleador al tratamiento
de las imágenes de sus trabajadores. Es imprescindible que, al menos, los trabajadores
sean informados al respecto. Por tanto, en principio, siempre que estos trabajadores sean
informados se pueden instalar cámaras para controlar su actividad dentro del domicilio.
No hay que olvidar que siempre habrá que tener en cuenta la proporcionalidad entre la
finalidad y el tratamiento.

103
11.13.- Enlaces de interés

Instruccion_1_2006_videovigilancia

Copia de seguridad videovigilancia

Procedimiento sancionador (ejemplo)

Multa comunidad de vecinos videocámara

11.14 Cuestionario: La videovigilancia

1.- ¿Podemos instalar un sistema de videovigilancia sin consentimiento de los trabajadores


en el área de trabajo? Por ejemplo en un taller.
En éste ámbito rigen plenamente los principios de protección de datos personales. Así,
aunque la grabación pueda realizarse sin su consentimiento al amparo de lo dispuesto en
el Estatuto de los Trabajadores siempre deberá cumplirse con el deber de informa
Si no están de acuerdo la mayoría o las 2/3 partes de los empleados no se podrá instalar
este sistema de videovigilancia
Siempre que las cámaras capten únicamente a los trabajadores en el desempeño de sus
funciones, no será necesario ningún aviso legal, pudiendo incluso a tener las cámaras
camufladas

2.- ¿Cuándo es posible que las cámaras de su empresa puedan captar imágenes de las
zonas públicas?
Siempre es posible, lo único que tenemos que tener presente son los carteles informativos
antes de entrar en la zona videovigilada.
Cuando estén instaladas por empresas debidamentehomologadas.
Cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte
imposible evitarlo por razón de la ubicación de aquéllas, siempre que sean parciales y
limitadas.

3.- ¿Cuántos carteles informativosde videovigilancia tienen que tener expuestos?


Tantos como accesos diferentes tengan la zona videovigilada.
Sería suficiente tener uno que estuviera bien visible bajo la 1ª cámara
Uno mínimo bajo cada cámara.

4.- ¿Un video portero se encuentra sujeto a la Instrucción 1/2006?


No, el uso domestico está exento, siempre que el uso del video porterose limite a la
funcionalidad que le es propia.
Sí, siempre, pues se genera un fichero al ser visualizada la imagen captada por el Portero
Automático.
Todas las respuestas son correctas.

104
5.- ¿Hay que inscribir el fichero de videovigilancia cuando sus cámaras son únicamente de
visualización y no graban ninguna imagen?
Únicamente será necesario en los casos que las cámaras estén ubicadas en una zona
pública
No será necesario inscribir dicho fichero, de todos modos tendremos que tener los avisos
legales y los documentos para cumplir con los derechos A.R.C.O.
En el momento que se recaban datos y aunque sea solo de visualización estas imágenes se
considera que están siendo tratadas por lo que SIEMPRE será necesario inscribir dicho
fichero en la AEPD.

6.- ¿Es necesario algún tipo de aviso cuando disponemos de un servicio de videovigilacia?
Todas las respuestas son correctas
Es obligatorio únicamente cuando las cámaras están conectadas a un servicio externo de
central de alarmas
No es necesario siempre que las cámaras no estén ocultas y el afectado pueda verlas sin
problemas.
Tenemos que exponer un cartel informativo de Zona Videovigilada antes de acceder a la
zona donde se encuentren las cámaras de seguridad.

7.- ¿En Bares, restaurantes o gimnasios, se puede instalar sistemas de Seguridad de


videovigilancia?
Si es posible instalar este sistema de seguridad, siempre que no se graben conversaciones,
imágenes recibiendo el servicio o practicando el deporte. Únicamente en zonas comunes
como accesos, evitando lógicamente vestuarios, baños, etc.
En ningún caso podrán utilizarse sistemas de grabación si estas no son realizadas por
empresa homologada por el ministerio del interior.
Sí, pero las cámaras tienen que estar debidamente identificadas

8.- ¿Cuándo es necesario celebrar un contrato de prestación de servicio y confidencialidad


con la empresa instaladora de cámaras de seguridad?
Siempre que la central de alarmas tenga acceso remotoa la grabación de susimágenes.
Todas las respuestas son correctas
Siempre, ya que son los que la han instalado, por lo que son los responsables.
Es obligatorio únicamente cuando las cámaras están conectadas a un sistema de grabación
de imágenes

9.- Por norma general, ¿Cuánto tiempo podemos tener almacenadas las imágenes
captadas?
Se conservaran el tiempo imprescindible para satisfacer la finalidad por la que fueron
captadas, con un plazo máximo de un mes.
No hay plazo máximo, siempre que tengamos restringido el acceso a las imágenes, y a
estas grabaciones únicamente tenga acceso el responsable del fichero.
Todas las respuestas son correctas.
Como máximo será de tres meses, pudiendo ampliar dicho plazo si tenemos restringido
las intrusiones no deseadas

105
10.- ¿Tenemos que tener algún documento a disposición del afectado, además del cartel
informativo?
Siempre que el cartel informativo sea correcto no es necesario nada más.
Si, tenemos que tener un documento o susceptible de impresión, donde indique la
existencia de un fichero y su finalidad, que tienen derechos frente a este acto y la dirección
donde ejercer dichos derechos A.R.C.O.
Sí, siempre que las cámaras estén instaladas por una empresa de seguridad homologada.

TEMA 12

Los menores

Vamos a tratar un tema delicado el cual es de suma importancia para aquellas empresas u
organizaciones que por su actividad o función, tratan datos de menores.

Para ello nos centraremos directamente en la guía ofrecida por la Agencia Española de
Protección de Datos “DERECHOS DE LOS NIÑOS/AS Y DEBERES DE LOS
PADRES/MADRES

12.1.-Los menores

EL CONSENTIMIENTO
Si el niño es menor de 14 años es preciso solicitar el consentimiento de madres, padres o
tutores legales para que se puedan tratar sus datos. En el caso que el niño sea mayor de 14
años podrá consentir por sí mismo.

Cuando para cualquier actividad se recaben datos de un mayor de 14 años y se solicite el


consentimiento de padres, madres o tutores legales, también deberá solicitarse para tratar
los datos del niño.

NO SE PUEDE RECABAR NI TRATAR DATOS DE LOS FAMILIARES DE LOS NIÑOS


En el caso que se precise recabar datos de un menor, no se podrá solicitar datos de su
entorno familiar salvo para dirigirse a los padres y madres y solicitar su autorización
cuando sea necesaria.

Podrán pedirse datos básicos para contactar con la familia, en la escuela, la asociación
deportiva o escolar etc.

Está prohibido utilizar al menor para obtener datos innecesarios sobre el resto de la
familia como los ingresos, preferencias de ocio, etc.

DEBER DE INFORMACIÓN AL MENOR


Quienes tratan datos de los menores deben informarles de modo que ellos sean capaces de
entenderlo.

106
Debemos asegurarnos de que se les informe sobre la identidad de quien trata los datos, de
la finalidad y usos para la que los solicita, de si va a comunicarlos o cederlos a terceros y
de si resulta obligatorio o no facilitarlos.

Además deben facilitar una dirección para ejercer los derechos de acceso, rectificación,
cancelación y oposición.

OBLIGACIÓN DE SOLICITUD DE CONSENTIMIENTO SI ES MENOR DE 14 AÑOS


No pueden tratarse los datos de menores de 14 años sin solicitar autorización expresa de
padre, madres o tutores.

Para ello, quienes quieran tratar sus datos deberán contar con impresos o con cualquier
otro medio a través del que se requiera la autorización de dicho tratamiento.

Además deben solicitar documentos que acrediten la condición de padre, madre o tutor
legal.

También debemos saber que en caso de que hayan autorizado libremente el tratamiento de
los datos de los menores, tienen el derecho de revocar libremente esa autorización.

LA PROPORCIONALIDAD
Los datos de los menores sólo pueden tratarse para la finalidad para la que los hayan
solicitado. Además no podrán pedirse más datos que los estrictamente necesarios para
ello.

Quienes tratan los datos de menores deben conservarlos asegurando que estén
actualizados, no pueden usarlos para fines distintos y deben garantizar su seguridad y
secreto. Además los cancelarán cuando ya no sean necesarios para la actividad para la que
fueron recabados.

EN EL COLEGIO
El colegio o las actividades extraescolares son espacios donde se tratan múltiples datos de
menores. El centro escolar, el AMPA o el servicio de autobús, deben cumplir con la Ley
Orgánica de Protección de Datos.

Debe prestarse mucha atención a actividades extraescolares prestadas por terceros ajenos
al centro. En ellas deben respetar el derecho fundamental a la protección de datos. Por
ejemplo, la captación de fotos de los niños y su uso posterior en alojamientos, actividades
deportivas etc.

Debería realizarse con el conocimiento y consentimiento de los padres o con el del niño, si
fuera mayor de catorce años. Esto es especialmente relevante en Internet donde se deben
extremar las precauciones y no es aconsejable publicar fotos que identifiquen a un niño,
por ejemplo situándole en el contexto de un colegio y/o actividad determinados.

107
12.2 Cuestionario: Los menores

1.- ¿A partir de qué edad el niño puede consentir por el mismo?


Siempre que sea menor de edad será necesario del consentimiento de padres o tutores.
A partir de los 16 años.
A partir de los 18 años.
A partir de los 14 años.

2.- ¿Cuándo se pueden recabar datos de los familiares de los menores?


Los datos familiares de los menores se pueden recabar siempre que el menor sea mayor de
16 años.
Cuando estos datos sean necesarios únicamente para prospección comercial.
Únicamente para dirigirse o contactar a los padres y madres parasolicitar su autorización
cuando sea necesaria.

3.- ¿Cómo Actuar para poder tratardatos de menores de 14 años?


Que la finalidad de los datos recabados no sea para prospección comercial.
Que los avisos legales y A.R.C.O. estén claramente orientados para que el menor los
entienda y pueda decidir.
Recabando la autorización expresa de los padres o tutores y la acreditación de esta
condición.

TEMA 13

La implantación

Vamos a tratar la implantación de las medidas recogidas en la LOPD.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.

13.1.-Introducción

13.2.- Funciones del responsable del fichero

13.3.- Notificaciones

13.4.- Copias de seguridad


13.5.- Medidas de seguridad

13.6.- Contraseñas

13.7.- Personal autorizado

13.8.- Soportes informáticos

108
13.9.- Contenidos del Documento

13.10.- Auditorias

13.11.- Normativas del Documento

13.12.- Procedimiento de adecuación

13.1.- Introducción

Primero observaremos el siguiente cuadro y a continuación procederemos a la lectura de


los procedimientos, los cuales son como norma general para diferentes niveles de
seguridad, los cuales trataremos durante las explicaciones sobre la implantación en este
título.

cuadro de seguridad

VER DOCUMENTO

Funciones del responsable del fichero

Elaborará e implantará la normativa de seguridad mediante un documento de obligado


cumplimiento para el personal con acceso a los datos automatizados de carácter personal y
a los sistemas de información.

Se deberá nombrar una persona para que haga el seguimiento, la gestión y la respuesta de
cualquier incidencia que pueda haber en la empresa sobre la eliminación en la base de
datos por si decidieran no estar en la misma.

El responsable del fichero establecerá un mecanismo que permita la identificación de


forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de
información y la verificación de que está autorizado.

En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos


realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los
datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el
proceso de recuperación.

Será necesaria la autorización por escrito del responsable del fichero para la ejecución de
los procedimientos de recuperación de los datos.

109
El responsable de seguridad competente se encargará de revisar periódicamente la
información de control registrada y elaborará un informe de las revisiones realizadas y los
problemas detectados al menos una vez al mes, deberá conservarse una copia de respaldo
y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en
que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las
medidas de seguridad exigidas en este Reglamento.

La implantación

Notificaciones

El procedimiento de notificación y gestión de incidencias contendrá necesariamente


un registro en el que se haga constar el tipo de incidencia, el momento en que se ha
producido, la persona que realiza la notificación, a quién se le comunica y los efectos que
se hubieran derivado de la misma.

La implantación

Copias de seguridad

El responsable del fichero será el encargado de realizar copias de seguridad, guardándolas


bajo llave, para que nadie tenga acceso a ellas.

Los procedimientos establecidos para la realización de copias de respaldo y para


recuperación de los datos deberán garantizar su reconstrucción en el estado en que se
encontraban al tiempo de producirse la pérdida destrucción.

Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho


periodo no se hubiera producido ninguna actualización de los datos.

El responsable del fichero se encargará de verificar la definición y correcta aplicación de


los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Medidas de seguridad

El responsable del fichero adoptará las medidas necesarias para que el personal conozca
las normas de seguridad que afecten al desarrollo de sus funciones así como las
consecuencias en que pudiera incurrir en caso de incumplimiento.

El responsable del fichero se encargará de que exista una relación actualizada de usuarios

110
que tengan acceso autorizado al sistema de información y de identificación y autenticación
para dicho acceso.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un


procedimiento de asignación, distribución y almacenamiento que garantice su
confidencialidad e integridad
La implantación

Contraseñas

Las contraseñas se cambiarán con la periodicidad que se determine en el documento de


seguridad y mientras estén vigentes se almacenarán de forma ininteligible.

Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones.

Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de


información.

El responsable del fichero establecerá mecanismos para evitar que un usuario pueda
acceder a datos o recursos con derechos distintos de los autorizados.

La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el


acceso autorizado para cada uno de ellos.

La implantación

Personal autorizado

Exclusivamente el personal autorizado para ello en el documento de seguridad podrá


conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los
criterios establecidos por el responsable del fichero.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a


los locales donde se encuentren ubicados los sistemas de información con datos de
carácter personal.

La implantación

111
Soportes informáticos

Los soportes informáticos que contengan datos de carácter personal deberán permitir
identificar el tipo de información que contienen, ser inventariados y almacenados en un
lugar con acceso restringido al personal para ello en el documento de seguridad.

La salida de soportes informáticos que contengan datos de carácter personal, fuera de los
locales en los que esté ubicado el fichero. Deberá establecer un sistema de registro de
entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de
soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que
contiene, la forma de envío y la persona responsable de la recepción que deberá estar
debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que


permitan directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el
destinatario, el número de soportes, el tipo de información que contienen, la forma de
envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas


necesarias para impedir cualquier recuperación posterior de la información almacenada en
él, previamente a que se proceda a su baja en el inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los
ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas
necesarias para impedir cualquier recuperación indebida de la información almacenada en
ellos. Únicamente podrá ser autorizada, por el responsable del fichero.

La distribución de los soportes que contengan datos de carácter personal se realizará


cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha
información no sea inteligible ni manipulada durante su transporte

La implantación

Contenidos del Documento

El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del


presente Reglamento, la identificación del responsable o responsables de seguridad, los
controles periódicos que se deban realizara para verificar el cumplimiento de los dispuesto
en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya
a ser desechado o reutilizado.

112
El responsable del fichero designará uno o varios responsables de seguridad encargados
de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún
caso esta designación supone una delegación de la responsabilidad que corresponde al
responsable del fichero de acuerdo con este Reglamento.

La implantación

Auditorias

Los sistemas de información e instalaciones de tratamiento de datos se someterán a una


auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los
procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada
dos años, en el nivel de seguridad medio o alto.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles


al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o
complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones
en que se basen los dictámenes alcanzados y recomendaciones propuestas.

Los informes de auditoría serán analizados por el responsable de seguridad competente,


que elevará las conclusiones al responsable del fichero para que adopte las medidas
correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.

La implantación

Normativas del Documento

El documento deberá mantenerse en todo momento actualizado deberá ser revisado


siempre que se produzcan cambios relevantes en el sistema de información o en la
organización del mismo.

Las pruebas anteriores a la implantación o modificación de los sistemas de información


que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo
que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora
en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

113
En el caso de que el acceso haya sido autorizado, será preciso guardar la información que
permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores
estarán bajo el control directo del responsable de seguridad competente sin que se deba
permitir, en ningún caso, la desactivación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años.

La tramitación de datos de carácter personal a través de redes de telecomunicaciones se


realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice
que la información no sea inteligible ni manipulada por terceros.

La implantación

Procedimiento de adecuación

En primer lugar, tenemos que saber los ficheros que tienen en su empresa.

1. Análisis de los ficheros

• Revisión de los ficheros existentes en su empresa, al objeto de determinar cuáles están


afectados por la legislación en materia de protección de datos de carácter personal.

• Determinación del nivel al que pertenecen los ficheros de sus empresas según Ley.

NOTA: denominamos fichero a todo conjunto organizado de datos de carácter personal,


cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización,
tratamiento y acceso.

Modificación en el tratamiento gestionado de sus ficheros, para el total cumplimiento de


la Ley Orgánica de Protección de Datos
NOTA: Garantizaremos la privacidad de los mismos, la forma básica es

acceder a los ficheros a través de claves y contraseñas que cada usuario tendrá asignada
para su puesto de trabajo especifico.

redacción del inventario de todos los soportes que contengan datos de carácter personal
incluyendo en los mismos el nombramiento de las personas autorizadas a su tratamiento.

Acceso restringido al responsable de tratamiento o personal autorizado a la zona donde se


encuentren dichos soportes.

114
Cada uno de los autorizados tendrá constancia de las medidas de seguridad y las
consecuencias de no cumplir con la norma.

Se ordenaran los ficheros de forma que se fácil inventariar el contenido de los mismos,
facilitando en tal modo el acceso, de forma que el usuario sepa el contenido de los mismos.

Según el tipo de nivel de seguridad los usuarios tendrán limitado el acceso a datos de
carácter personal que por sus funciones no tengan la necesidad de acceder a según qué
datos. Por ejemplo, un comercial no tiene por qué tener acceso al servidor de la empresa y
en caso de necesidad sus claves estarán limitadas para que no pueda acceder al fichero de
empleados donde tendría acceso a las nominas de los empleados.

Se realizaran copias de seguridad mínimo semanalmente y se creara un protocolo para ello


así como del procedimiento en caso de pérdida donde se explicara el procedimiento de
recuperación de datos.

Se creara un sencillo registro de salida o entrada de soportes que contengan datos de


carácter personal

Siempre que el nivel de seguridad sea Alto, tendremos que crear un sistema de seguridad
basado en el registro informático de los accesos de los usuarios, siendo fácil averiguar
quién a que se a accedido, y la fecha.

Se creará un documento tipo ficha para cumplimentar en caso de incidencias, donde se


recogerán tanto quien la detecta a quien informa, fecha, la medida correctora y explicación
técnica.
2. Cumplimentación Formularios NOTA - Notificaciones Telemáticas a la Aepd”

Cumplimentación de los modelos de la AEPD, para la inscripción de los ficheros en el


REGISTRO GENERAL DE PROTECCIÓN DE DATOS de todos los ficheros de su
empresa.

Envío de los formularios de inscripción al RGPD, estos se pueden realizar de forma


telemática, con o sin firma digital o en formato papel.
3. Redacción del Documento de Seguridad

El responsable de los ficheros redactará o encargará y ratificará un Documento de


Seguridad para el tratamiento de los datos en su organización, siendo este el que decidirá
la finalidad de los mismos, siendo por ello el responsable de los ficheros declarados, esta
figura puede ser delegada bajo contrato.

El Documento de Seguridad contendrá:

¿Cuál es el contenido del documento de seguridad de nivel básico?

Artículo 8 R.D 994/1999.

115
El documento deberá contener, como mínimo, los siguientes aspectos:

Ámbito de aplicación del documento con especificación detallada de los recursos


protegidos.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel
de seguridad exigido en este Reglamento.
Funciones y obligaciones del personal.
Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de
información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
a). El documento deberá mantenerse en todo momento actualizado y deberá ser revisado
siempre que se produzcan cambios relevantes en el sistema de información o en la
organización del mismo.

b). El contenido del documento deberá adecuarse, en todo momento, a las disposiciones
vigentes en materia de seguridad de los datos de carácter personal.

¿Cuál es el contenido del documento de seguridad de nivel medio?

Artículo 15 R.D 994/1999.

El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del


presente Reglamento:

a). La identificación del responsable o responsables de seguridad: El responsable del


fichero designará uno o varios responsables de seguridad encargados de coordinar y
controlar las medidas definidas en el documento de seguridad. En ningún caso esta
designación supone una delegación de la responsabilidad que corresponde al responsable
del fichero de acuerdo con este Reglamento. Artículo 16 R.D 994/1999.

b). Los controles periódicos que se deban realizar para verificar el cumplimiento de lo
dispuesto en el propio documento. Los sistemas de información e instalaciones de
tratamiento de datos se someterán a una auditoría interna o externa, que verifique el
cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en
materia de seguridad de datos, al menos, cada dos años. Artículo 17.1 R.D 994/1999.

c). Las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o
reutilizado. Deberá establecerse un sistema de registro de entrada y salida de soportes
informáticos. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las
medidas necesarias para impedir cualquier recuperación posterior de la información
almacenada en él, previamente a que se proceda a su baja en el inventario. Artículo 20 R.D
994/1999.

¿Cuál es el contenido del documento de seguridad de nivel alto?

116
Además de las medidas de nivel básico y medio, se adoptarán las siguientes:

a). La distribución de los soportes que contengan datos de carácter personal se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha
información no sea inteligible ni manipulada durante su transporte. Artículo 23 R.D
994/1999.

b). Registro de accesos. Artículo 24 R.D 994/1999.

De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora
en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que
permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores
estarán bajo el control directo del responsable de seguridad competente sin que se deba
permitir, en ningún caso, la desactivación de los mismos.

El período mínimo de conservación de los datos registrados será de dos años.

El responsable de seguridad competente se encargará de revisar periódicamente la


información de control registrada y elaborará un informe de las revisiones realizadas y los
problemas detectados al menos una vez al mes.
c). Copias de respaldo y recuperación. Artículo 25 R.D 994/1999.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los


datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los
tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento

CUANDO SE HA PROCEDIDO A LOS 3 PRINCIPALES PUNTOS ANTERIORES

1.- Analizar los ficheros existentes, ordenarlos y protegerlos frente a intrusiones no


autorizadas y la creación de los controles de seguridad mencionados

2.- Registro de los ficheros en el RGPD

3.- Redacción del Documento de Seguridad

SOLO NOS FALTARA CUMPLIR CON LO RECOGIDO EN LA LOPD EN EL DÍA A DÍA


SU EMPRESA

TEMA14

117
Paso a paso de la adaptación

Después de tener la intención de crear ficheros que contengan datos de carácter personal
para la gestión interna de su empresa, tales como el fichero de clientes, empleados,
proveedores y videovigilancia en su caso. Y tenerlos ordenados y protegidos tal y como se
ha indicado hasta el momento se procede a LA ADAPTACIÓN DE SU EMPRESA SEGÚN
LA LOPD.

En primer lugar se procederá al registro de los ficheros en el (RGPD) Registro General de


Protección de Datos.

Este registro se realizará a través de los formularios a tal efecto de la AEPD, conocidos
como Formulario NOTA.

Inscripción de ficheros

La forma de proceder a la cumplimentación

Obtención del Formulario NOTA

Cumplimentación

Cuando ya lo tengan todo cumplimentado

Modificación o supresión de ficheros

118
Paso a paso de la adaptación

Inscripción de ficheros

Descargaremos o accederemos a los Formularios NOTA, para su correcta


cumplimentación. Para simplificar y entender dicho proceso de inscripción vamos a ir
paso a paso, a continuación se captan pantallas de la página de la AEPD para conocerlas y
entenderlas antes de la inscripción.

En la página de la AEPD www.agpd.es accederemos al canal del responsable del fichero y


su submenú “inscripción de ficheros” donde nos encontraremos con la siguiente
aclaración:

Inscripción de Ficheros

El Registro General de Protección de Datos es el órgano de la Agencia Española de


Protección de Datos al que corresponde velar por la publicidad de la existencia de los
ficheros y tratamientos de datos de carácter personal, con miras a hacer posible el ejercicio
de los derechos de información, acceso, rectificación y cancelación de datos regulados en
los artículos 14 a 17 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos
de Carácter Personal.

Serán objeto de inscripción en el Registro General de Protección de Datos:

Los ficheros de las Administraciones Públicas


Los ficheros de titularidad privada
Las autorizaciones de transferencias internacionales de datos de carácter personal con
destino a países que no presten un nivel de protección equiparable al que presta la LOPD a
que se refiere el art. 33.1 de la citada Ley.
Los códigos tipo , a que se refiere el artículo 32 de la LOPD.
Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación, cancelación y oposición.
Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o
supresión de la inscripción, se encuentra disponible el formulario electrónico NOTA
(titularidad pública y titularidad privada) a través del que deberán efectuarse las
solicitudes de inscripción de ficheros en el Registro General de Protección de Datos
(aprobado mediante Resolución de la AEPD de 12 de julio de 2006- B.O.E. 181 de 31 de
julio).

Este formulario permite la presentación de forma gratuita de notificaciones a través de


Internet con certificado de firma electrónica. En caso de no disponer de un certificado de
firma electrónica, también puede presentar la notificación a través de Internet, para lo cual

119
deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado
debidamente firmada. Por último, puede optar por el modo de presentación en soporte
papel.

Así mismo, permite notificar de forma simplificada, los ficheros de titularidad privada de
comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia,
pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia y los de
titularidad pública de recursos humanos, gestión del padrón, gestión económica o control
de acceso. A través de esta opción, el formulario electrónico muestra una notificación
precumplimentada que podrá completar, o en su caso, adaptar a la situación concreta del
fichero a notificar. En el caso de que ninguna de las notificaciones tipo previstas por la
AEPD se adapte al fichero que pretende notificar, podrá seleccionar la opción de
notificación normal.

Además, para los responsables que utilicen sus propios programas informáticos o los
desarrolladores de aplicativos de protección de datos, se encuentran disponibles los
formatos y especificaciones XML que deben cumplir sus aplicaciones para enviar
notificaciones a la AEPD.

En este mismo apartado de inscripción de ficheros, tenemos el acceso al Formulario


NOTA.

El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren


la instalación de Adobe Reader versión 7.0.8 ó superior.

Las notificaciones realizadas a través de Internet con certificado de firma electrónica se


remiten al Registro Telemático de la AEPD creado mediante Resolución de la Agencia
Española de Protección de Datos de 12 de julio de 2006 (BOE núm. 181 de 31 de julio de
2006). Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será
necesario indicar al formulario que no se van a realizar más cambios mediante el botón
«Finalizar formulario» antes de proceder a la firma de la notificación. De esta manera el
formulario establecerá el control de la integridad de la notificación que se va a enviar. En
este momento aparecerá un icono en el lugar previsto para la firma de la persona que
efectúa la notificación.

Pulsando el icono que aparece, se firmará la notificación con el certificado de firma


reconocido correspondiente a la persona que, con representación suficiente del
responsable del fichero, formula la notificación. Su sistema le informará de los certificados
de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta
criptográfica. Una vez firmada, se enviará la notificación mediante el formulario
electrónico al Registro Telemático de la AEPD mediante el botón «Generar/Enviar».

Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el


mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos
proporcionados por el interesado, junto con la acreditación de la fecha y hora en que
produjo la recepción y una clave de identificación de la transmisión. El mensaje de

120
confirmación se configurará de forma que pueda ser impreso o archivado
informáticamente por el interesado y que garantizará la identidad del registro y tendrá el
valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto
772/1999.

Las notificaciones realizadas a través de Internet sin firma electrónica, una vez
cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberá ser
enviadas mediante el formulario electrónico pulsando el botón «Generar/Enviar» que se
encuentra en la Hoja de solicitud. El formulario le indicará que se está conectando con el
servidor de la AEPD y, acto seguido, el sistema le enviará la Hoja de solicitud (en formato
PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de
solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la
AEPD.

Paso a paso de la adaptación

La forma de proceder a la cumplimentación

Cuando tenemos el Formulario Nota cuyo acceso explicamos un poco más adelante,
deberemos seguir las siguientes indicaciones.

Responder a las preguntas iniciales del asistente dependiendo del tipo de solicitud y
forma de presentación elegido.

Cumplimentar los apartados de la notificación. Se recomienda guardar la notificación


antes de pasar a la siguiente fase de cumplimentación, ya que una vez que se haya optado
por cumplimentar la Hoja de solicitud no se podrán realizar nuevos cambios en la
notificación.

Cumplimentar la Hoja de solicitud.

Generar/Enviar la notificación: En el caso de presentación a través de Internet con


certificado de firma electrónica, deberá antes Finalizar y Firmar la notificación con su
certificado de firma electrónica reconocido. En el caso de presentación en formulario en
papel, deberá pulsar el botón «Finalizar formulario» que se encuentra al final de la Hoja de
solicitud generándose el código de barras bidimensional PDF 417 (nube de puntos), así
como el correspondiente código de envío que establece la correspondencia entre el
contenido que figura en cada una de las páginas que componen el modelo de notificación
y la nube de puntos generada.

121
En las presentaciones a través de Internet, deberá recibir el acuse de recibo de la AEPD del
envío realizado. La no recepción del mensaje de confirmación, o en su caso, la recepción de
un mensaje de indicación de error implica que no se ha producido la recepción del mismo,
debiendo realizarse la presentación en otro momento o utilizando otros medios.

Enviar la Hoja de solicitud firmada a la AEPD. En el caso de presentación a través de


Internet con certificado de firma electrónica no será necesario remitir la Hoja de solicitud.
En el caso de presentación en formulario en papel, se presentará la Hoja de solicitud con el
código bidimensional correctamente impreso, así como las dos páginas con el contenido
de la notificación en las que deberá figurar el código de envío generado por el formulario
electrónico.

Paso a paso de la adaptación

Obtención del Formulario NOTA

El formulario electrónico no requiere una instalación previa en su equipo por lo que puede
ser cumplimentado desde la página web de la AEPD. También puede optar por guardarlo
en su equipo y cumplimentarlo desde el propio PDF. En ambos casos, la notificación se
enviará cifrada a través de un canal seguro mediante protocolo SSL (Secure Socket Layer).

En el caso de que su ordenador se conecte a Internet mediante un servidor proxy, deberá


enviar la notificación a través del formulario electrónico NOTA abierto en su navegador.
Para abrir el formulario NOTA desde su navegador existen varias opciones que difieren
en función del navegador y sistema operativo utilizado. Una de las más comunes es abrir
el formulario PDF mediante la opción «Archivo/abrir» de su navegador. No obstante, si
no se conecta a Internet mediante un servidor proxy, pero no puede enviar su notificación
desde el propio PDF, puede enviarla a través del formulario electrónico NOTA abierto en
su navegador, tal y como se ha indicado anteriormente.

El formulario electrónico presenta el mismo aspecto visual de un formulario en soporte


papel y puede ser cumplimentado desplazándose a través de las distintas páginas por
medio de la barra de desplazamiento lateral. También puede acceder a una página
concreta del formulario a través del acceso directo que le proporciona la pestaña
denominada «Páginas» donde aparecerán las hojas que configuran el formulario en cada
fase de cumplimentación.

Se recomienda mantener actualizada la versión del formulario NOTA con el fin de


asegurarse de que utiliza la versión que incorpora los últimos cambios. No obstante, al
presentar la notificación a través de Internet el sistema le informará en el caso de que deba

122
proceder a descargar una nueva versión del formulario.

También dispone de sendos manuales para la cumplimentación del formulario electrónico


NOTA de titularidad pública y titularidad privada con información detallada sobre la
forma de cumplimentar el formulario electrónico.

PARA CONOCER MÁS RECOMIENDO ACCEDER E IMPRIMIR EL MANUAL DEL


FORMULARIO ELECTRÓNICO DE NOTIFICACIÓN DE FICHEROS DE TITULARIDAD
PRIVADA

Paso a paso de la adaptación

Cumplimentación

Accederemos a: Titularidad privada

Para obtener el formulario o bien clicaremos en “obtención del formulario NOTA” dentro
del apartado “INSCRIPCIÓN DE FICHEROS”. De las tres casilla disponibles.

ALTA, MODIFICACIÓN O SUPRESIÓN marcaremos la casilla “ALTA” en ese momento


le aparecerán más indicaciones en el que le preguntan si quiere cumplimentarlo en modo
(NORMAL) O (TIPO) El modo TIPO consiste en que ya vienen muchas casillas
predeterminadas (marcadas por defecto)y está diseñado por la agencia para facilitarle
dicha labor, se puede utilizar en la mayoría de casos pero en este curso le explicaremos el
modo “NORMAL” que aunque un poco más complicado y con un proceso más largo es el
que aprenderemos de esta forma sabrán cuando y como utilizar el modo “TIPO” .

Cuando pulsen en la casilla NORMAL, le aparecerán las indicaciones para que elija el
sistema que empleará para presentar la declaración.
Existen tres formas principales.

EL FORMATO PAPEL
INTERNET
INTERNET FIRMADO CON CERTIFICADO DIGITAL
Mediante formulario en papel con código de barras bidimensional PDF 417.

Una vez que haya cumplimentado la Hoja de solicitud, para obtener el modelo que puede
ser presentado en la AEPD, deberá pulsar el botón «Finalizar formulario» que se
encuentra al final de la Hoja de solicitud.

123
En el caso de la presentación en papel, se generará el código de barras bidimensional PDF
417 (nube de puntos), así como el correspondiente código de envío que establece la
correspondencia entre el contenido que figura en cada una de las páginas que componen
el modelo de notificación y la nube de puntos generada. Este sistema garantizará que la
notificación ha sido cumplimentada de forma correcta y que se inscribirá en el RGPD de
forma ágil, rápida y segura. Tal y como le informará la siguiente pantalla, asegúrese de
que la nube de puntos aparece bien impresa y de que no se relazan marcas sobre ella. En el
caso de que tenga que realizar cambios en la notificación, deberá cumplimentar una nueva
notificación y generar la correspondiente nube de puntos y código de envío.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, se


imprimirá la correspondiente notificación en la que figurará el código de barras
bidimensional PDF 417 (nube de puntos) Una vez firmada la Hoja de solicitud por la
persona que, con representación suficiente del responsable del fichero, formula la
notificación, se presentará en la AEPD o en alguno de los Registros y oficinas a los que se
refiere el artículo 38.4 de la Ley 30/1992. La dirección de la AEPD es:

Agencia Española de Protección de Datos


c. Jorge Juan, 6
28001- Madrid

A través de Internet sin certificado de firma electrónica reconocido.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberá


enviar la notificación mediante el formulario electrónico pulsando el botón
«Generar/Enviar» que se encuentra en la Hoja de solicitud. El formulario le indicará que
se está conectando con el servidor de la AEPD y, acto seguido, el sistema le enviará la
Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada
correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación,
es la que deberá remitir a la AEPD.

Cuando la notificación se envíe a través de Internet sin certificado de firma reconocido, no


se considerará recibida la notificación efectuada por Internet, sino desde la fecha en la que
tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada
de forma manual, careciendo de efecto alguno las notificaciones enviadas por Internet sin
certificado de firma reconocido si la hoja de solicitud de inscripción, debidamente
cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de
Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo
38.4 de la Ley 30/1992.

La dirección de la AEPD es:

Agencia Española de Protección de Datos


c. Jorge Juan, 6
28001- Madrid

124
Internet con certificado de firma reconocido.

En el caso que dispongan de firma con certificado reconocido, aconsejamos lo utilicen, en


el caso que su intención sea realizar estos trámites de forma masiva a sus clientes deberán
tener el mandato de las empresas autorizando dicha labor, en este caso es recomendable
utilizar este método, ya que reducen mucho el tiempo empleado en la tramitación.

Presentación a través de Internet con certificado de firma reconocido.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será


necesario indicar al formulario que no se van a realizar más cambios mediante el botón
«Finalizar formulario» para proceder a la firma de la notificación. De esta manera el
formulario establecerá el control de la integridad de la notificación que se va a enviar.

En este momento aparecerá un icono en el lugar previsto para la firma de la persona que
efectúa la notificación.

Pulsando el icono que aparece, se firmará la notificación con el certificado de firma


reconocido correspondiente a la persona que, con representación suficiente del
responsable del fichero, formula la notificación. Su sistema le informará de los certificados
de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta
criptográfica. Una vez firmada, se enviará la notificación mediante el formulario
electrónico al Registro Telemático de la AEPD.

Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el


mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos
proporcionados por el interesado, junto con la acreditación de la fecha y hora en que
produjo la recepción y una clave de identificación de la transmisión. El mensaje de
confirmación se configurará de forma que pueda ser impreso o archivado
informáticamente por el interesado y que garantizará la identidad del registro y tendrá el
valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto
772/1999.

La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje de

125
indicación de error implica que no se ha producido la recepción del mismo, debiendo
realizarse la presentación en otro momento o utilizando otros medios.

La presentación de solicitudes, escritos y comunicaciones al Registro Telemático podrá


realizarse durante las 24 horas de todos los días del año. A los efectos del cómputo de
plazo, la recepción en un día inhábil se entenderá efectuada el primer día hábil siguiente.
En este caso, en el asiento de entrada se inscribirán como fecha y hora de presentación
aquéllas en que se produjo efectivamente la recepción, constando como fecha y hora de
entrada las cero horas y un segundo del primer día hábil siguiente.

El calendario de días inhábiles a efectos de este Registro Telemático será el que se


determine en la resolución anual publicada en el Boletín Oficial del Estado para todo el
territorio nacional por el Ministerio de Administraciones Públicas, según lo dispuesto en el
artículo 48.7 de la Ley 30/1992.

Puede consultar la relación de certificados de firma válidos para presentar notificaciones a


la AEPD en la página web de la Agencia (www.agpd.es)

Para ampliar el cuadro, pulse aquí

El caso más utilizado de presentación a título personal y entendiendo que van a gestionar
únicamente los ficheros de su empresa, clicaremos en la opción “INTERNET” Aunque
para la cumplimentación del formulario NOTA a priori, y a efectos de ejemplo, es
indiferente, ya que los formularios y su modo de cumplimentación son idénticos.

Al marcar la casilla INTERNET, le aparecerá en pantalla el FORMULARIO NOTA, que


consta de 4 páginas y 9 apartados.

En todos y cada uno de ellos aparecen unos botones de ayuda en el margen superior

126
derecho. ES MUY IMPORTANTE QUE PULSEN EN EL ICONO “?” Donde obtendrá
mediante pantalla emergente las aclaraciones respecto al apartado que se encuentre, LEA
DETENIDAMENTE CADA ACLARACIÓN esto le ayudara a despejar cualquier duda.

1ª Hoja del formulario NOTA

127
Paso 1

Este primer apartado consta de varias casillas de obligada cumplimentación.

En el apartado Denominación social del responsable del fichero tendremos que indicar la
persona física o jurídica responsable del fichero.

Denominamos responsable del fichero a la persona física o jurídica que decide sobre la
finalidad, contenido y uso de cada fichero.

Cuidado: Una persona que trabaja bajo la dependencia del responsable del fichero debido
a una relación contractual dentro del ámbito del derecho laboral NO TIENE
CONSIDERACIÓN DE RESPONSABLE DEL FICHERO. Tienen que indicar la persona
que ha decidido la creación de dicho fichero y la finalidad del mismo.

Nota: En el caso que el responsable no esté establecido en el territorio de la Unión


Europea, se tendrá que nombrar un representante en España, sin prejuicio de las acciones
que pudieran emprenderse contra el responsable del tratamiento. En este caso SI SERA
OBLIGATORIO CUMPLIMENTAR EL APARTADO SIGUIENTE “DOS”.

Paso 2

128
Este apartado, donde indicaremos los datos donde se podrán ejercer los derechos de
Acceso. Rectificación. Cancelación y Oposición. Únicamente se cumplimentará en el caso
que no se correspondan con los datos expuestos en el apartado “UNO”.

Paso 4 (el apartado 3 aparecerá más adelante)

Este apartado únicamente deberá cumplimentarse en el caso que un tercero realice el


tratamiento por cuenta de responsable indicado en el PUNTO Nº 1.

En este caso le recuerdo que tiene que tener un contrato de prestación de servicios donde
se recoja expresamente que el encargado del tratamiento, tratará los datos conforme a las
indicaciones del responsable del fichero, que no tendrán otra finalidad distinta a la
recogida en el contrato de prestación de servicios con el responsable, ni los comunicará.

Nota: En el caso que este encargado del tratamiento esté ubicado fuera de la Unión
Europea, tendremos que cumplimentar el último apartado de este formulario
“TRANSFERENCIAS INTERNACIONALES”.

Paso 5

129
En este apartado 5, cumplimentaremos los campos demandados, con el nombre del fichero
para poderlo identificar, POR EJEMPLO: Fichero Empleados, indicando en el siguiente
campo una descripción de la finalidad y usos previstos de este fichero, POR EJEMPLO:
Fichero creado para la administración de nuestros empleados y la finalidad del mismo es
la gestión contable, fiscal y administrativa, recursos humanos, gestión de nominas, y
tratamientos afines.

En el tercer apartado de este PUNTO 5 se proporciona un listado con el fin de poder


seleccionar aquellos valores definidos que mejor determinen la finalidad y usos del
fichero. Por ejemplo en el fichero de Empleados marcaríamos las siguientes opciones:
RECURSOS HUMANOS, GESTIÓN DE NOMINAS, PREVENCIÓN DE RIESGOS
LABORALES, ETC... Según corresponda al fichero que estemos declarando. Uno a uno e
iremos clicando sobre la casilla intermedia para exportar lo marcado a la casilla de la
derecha.

Paso 6

130
En este apartado, marcaremos como mínimo una casilla correspondiente al origen de los
datos.

Fuentes accesibles al público se consideraran: los censos promocionales, las guías de


servicios de telecomunicaciones, listado de grupos profesionales, diarios y boletines
oficiales y los medios de comunicación social.

Recuerde que a las personas que se les solicite datos de carácter personal, deberán ser
informados previamente de modo expreso, preciso e inequívoco, de la existencia de un
fichero o tratamiento de datos de carácter personal, de la finalidad de los mismos, de los
destinatarios de la información, del derecho que tiene de respuesta, las consecuencias de la
entrega de sus datos o de la negativa a suministrarlos, de sus derechos A.R.C.O., y de la
identidad y dirección del responsable del fichero.

Por norma suele ser el propio interesado el que le entrega los datos, por lo que
marcaremos esa casilla.

Seguidamente aparece el listado, perteneciente a los colectivos, en ella marcaremos la que


corresponda, siguiendo el ejemplo: estamos dando de alta el fichero de Empleados,
pulsaremos para dejar marcada esa opción y pulsaremos sobre el símbolo “mayor que”
para traspasarlo al cuadro derecho.

Paso 7

131
Pasamos al apartado donde declararemos si son datos especialmente protegidos y los
datos de carácter identificativo.

Recuerde que para tratar datos de ideología, afiliación sindical, religión o creencias, origen
racial o étnico, datos de salud y vida sexual, tiene que tener la autorización expresa del
afectado. Por norma general el único dato que se suele tener como dato especialmente
protegido, suele ser las clínicas o residencias de ancianos etc. y este suele ser los datos de
salud, como enfermedades, alergias, etc., marcaremos lo que proceda en su caso, si no
tiene ningún tratamiento de las 7 primeras casillas “que suele ser lo normal” NO
MARQUE NINGUNA DE ELLAS.

En los datos de carácter identificativo marcaremos los datos que tenemos y son susceptible
de tratamiento, siguiendo el ejemplo de “EMPLEADOS” marcaremos por norma la casilla
DNI, Nº SS/Mutualidad, Nombre y apellidos, dirección y teléfono, que por norma son los
más usuales en la mayoría de los casos.

Siguiendo el mismo cuadro:

132
Pulsaremos sobre los datos tipificados para transportarlo al cuadro derecho, es muy
aconsejable que lean con detenimiento la ventana emergente que le aparecerá cuando lo
haga, pues tendrá la oportunidad de estar seguro de si es necesario o no declararlo.

Según la finalidad de su tratamiento marcara las que le sean de su ámbito de aplicación, en


el caso del ejemplo del fichero de empleados marcaremos la 1ª.- CARACTERISTICAS
PERSONALES, ACADEMICOS Y PROFESIONALES, DETALLES DEL EMPLEO.

Marque las que le corresponda, recomiendo pulsar sobre todas ellas para examinar cual
deberán dejar marcadas.

* Finalmente indicaremos el sistema de tratamiento, el cual puede ser que ustedes tengan
los ficheros y su sistema de tratamiento, AUTOMATIZADO (((lo más normal))) MANUAL
O MIXTO, en el caso que no tengan ordenadores para el almacenamiento ni tratamiento
de los datos, marcaran únicamente la opción “MANUAL” en el caso que sea
informatizado pero por ejemplo trabajen con fichas físicas “FORMATO PAPEL” marcaran
la opción “MIXTO”.

Paso 8

133
En el paso Nº8, indicaremos las medidas de seguridad aplicables al tratamiento de los
datos de carácter personal que tenemos y tratamos “Recuerde “LAS MEDIDAS DE
SEGURIDAD” por norma general marcaremos la casilla de Nivel Básico.

Paso 9

En este apartado seleccionaremos las opciones que nos dan a elegir para indicar a quien se
les van a ceder los datos de carácter personal que tenemos de los afectados, en el caso de
ser el fichero de empleados marcaremos las siguientes opciones:

ORGANIZACIONES O PERSONAS DIRECTAMENTE RELACIONADAS


ORGANISMOS DE LA SEGURIDAD SOCIAL
ADMINISTRACIÓN TRIBUTARIA
BANCOS, CAJAS DE AHORRO Y CAJAS RURALES
ENTIDADES SANITARIAS
SINDICATOS Y JUNTAS DE PERSONAL.

En el resto de ficheros recomiendo encarecidamente que pulsen el botón de ayuda o


cliquen sobre un elemento de la lista para estar seguro si deben o no marcarla. En el caso
de ser el fichero de video-vigilancia el que estamos declarando, marcaremos únicamente la
opción de FUERZAS Y CUERPOS DE SEGURIDAD.

Paso 10

134
Por norma general no marcaremos ni cumplimentaremos nada en este apartado.

Este apartado únicamente ha de cumplimentarse en el caso de que se realice o esté


previsto realizar un tratamiento de datos fuera del territorio del Espacio Económico
Europeo. En el caso de que la transferencia internacional tenga como destino un país que
no preste un nivel de protección adecuado al que presta la LOPD, deberá tener en cuenta
que la LOPD establece que las previsiones para realizar transferencias internacionales son
diferentes, dependiendo de que los países destinatarios tengan un nivel de protección
adecuado o no.

Además de los estados miembros de los Estados miembros de la Unión Europea, hay
otros países que cumplen con los requisitos estos vienen relacionados en el botón de
ayuda del formulario nota de este apartado 9.

Tenga en cuenta que en el caso que la transferencia tenga como destino un país que no
proporcione un nivel de protección adecuado que presta la LOPD, dicha transferencia
deberá ampararse en alguna de las excepciones previstas en el artículo 34 de la LOPD. En
caso contrario no se podrá realizar dicha transferencia sin el consentimiento del director
de la Agencia Española de Protección de Datos

135
A continuación pulsaremos el botón de Validar, de este modo comprobaremos que los
datos hasta el momento introducidos son validos, en caso contrario tendrán que corregir o
introducir lo que le indique la pantalla emergente, en el caso que este todo correcto le
aparecerá el aviso de “Validación correcta”.

Ahora ya podemos guardar el documento donde deseemos, por ejemplo en una carpeta
creada a tal efecto en su escritorio “recomendado” o pueden pulsar directamente en el
botón de Cumplimentar Hoja de Solicitud.

Al hacer clic en Cumplimentar Hoja de Solicitud, se le abrirá un PDF, para que


cumplimente los datos solicitados, estos los tiene disponibles al principio del PDF, cuente
que se le abre a la mitad del mismo por lo que tiene que ir al principio.

136
Este nuevo formulario ya esta cumplimentado en parte para que solo tenga que rellenar
los campos solicitados. (((Es recomendable que resalte los campos para evitar confusiones
– “arriba a la derecha”)))
Es el momento de introducir los datos personales y de contacto de la persona física que
está realizando la inscripción.

Como observará, hay un apartado que le pregunta el Cargo o condición del firmante en
relación con el responsable del fichero, por lo que puede indicarlo en el caso que no sea
usted la persona responsable de los ficheros.

Es recomendable tener una autorización por parte del responsable del fichero en la que
expresamente quede usted autorizado a dicha inscripción, pues es posible que la AEPD le
reclame dicha autorización, no tiene mayor importancia pero para evitar molestias es
mejor tenerla a disposición de la AEPD. Recuerde marcar la casilla Conocimiento de los
deberes del declarante De conformidad con lo establecido en la Ley Orgánica 15/1999.

Paso a paso de la adaptación

Cuando ya lo tengan todo cumplimentado

Ahora ya puede guardarlo en la carpeta que ha abierto anteriormente. Pulse el botón


enviar a través de internet, en este momento le aparecerá la siguiente pantalla:

137
Como se desprende del texto de la pantalla emergente, tendra que clicar ((SI)) Y a
continuación le aparecerá otra pantalla donde le aclara un poco más la forma de proceder.

138
En unos minutos recibirá el formulario que tiene que imprimir, firmar y enviar a la
AEPD por correo postal.
(((recomendamos no tocar el ordenador mientras recibe el documento en su ordenador)))

En un plazo maximo de unas semanas recibirá las cartas de la Agencia de Protección de


Datos, donde se refleja el codigo de inscripción de los ficheros declarados. Estas cartas las
tendra que adjuntar a su documento de seguridad.

En el caso que tengan firma digital en su ordenador en el que estan tramitando la


solicitud, se ahorraran el paso de enviarlo por correo postal, ya que directamente recibiran
por el mismo medio “ON LINE” el certificado de inscripción y en unos dias, por correo
postal, las cartas definitivas de inscripción de sus ficheros.

Paso a paso de la adaptación

Modificación o supresión de ficheros

En el caso que ya tenga sus ficheros devidamente inscritos y en su organización tengan


una modificación, por ejemplo combio de responsable o simplemte que trabajan con otra
gestoría, tendran que realizar los cambios oportunos marcando la casilla de modificación
entrando en: Titularidad privada

139
Desde aquí podrá seleccionar la casilla correspondiente y dejarse guiar por las
indicaciones de la AEPD. Debe saber que el tratamiento es exactamente igual que dar de
alta un fichero, únicamente tendrá que modificar los datos que precise y realizar el mismo
proceso anteriormente expuesto.

TEMA15

Documentos más usuales

En este tema vamos a tratar algunos de los documentos más frecuentes en el tratamiento
de la LOPD, en su día a día. Con el propósito de minimizar esta labor, hemos redactado
una serie de documentos muy sencillos pero suficientes para su cometido.

Antes de tratar estos documentos lea las medidas de seguridad mas estandarizadas.

Procedimientos de control y seguridad más estandarizados

Uso de internet

Uso del sistema informático

Uso del correo electrónico

Propiedad intelectual e industrial

Otros documentos

140
Documentos más usuaes

Procedimientos de control y seguridad más estandarizados

Procedimiento para dar altas, baja o modificación de acceso a usuarios esta función recaerá
en el responsable del fichero quien será el encargado de estas funciones, asignando una
contraseña de acceso y guardando dicho “registro” para su posterior seguimiento.
Mensualmente dicho encargado procederá a la identificación y autenticación de los
accesos, limitando la posibilidad de intentar reiteradamente el acceso no autorizado al
sistema informático gracias a las contraseñas anteriormente asignadas las cuales se
cambiaran por seguridad cada 6 meses.
Se establece un sistema de registro de entrada de soportes informáticos que permite
conocer el tipo de soporte, la fecha, Hora y emisor, el número de soportes, el tipo de
información que contiene, y la persona responsable de la recepción.
Se velará cuando un soporte vaya a ser desechado, para que se adopten las medidas
necesarias para impedir cualquier recuperación posterior de la información almacenada
en el. Se procederá previamente a su baja en el inventario. También se adoptarán las
medidas para que cuando los soportes vayan a salir fuera de los locales de la empresa, y
tengan ficheros como consecuencia de operaciones de mantenimiento, no se puedan
recuperar indebidamente datos almacenados. Por el poco volumen de material desechado
en nuestra organización, se destruye en trituradora de papel, y se formatean los soportes
informáticos, desechándose en los contenedores pertinentes.
El despacho de administración tiene armarios, archivadores o cajones, los cuales contienen
los ficheros a proteger y permanecen cerrados en ausencia de los responsables del
despacho.
El servidor, se halla conectado a la línea telefónica con lo que ha sido necesario protegerlo
de posibles accesos no autorizados por dicho medio. Creando clave de seguridad de 8
dígitos.
Las copias de seguridad que se realizan diariamente son guardadas bajo llave.
Se ha creado una lista de personas autorizadas a acceder a este fichero, y se les ha
asignado unas claves de acceso e identificación. estas contraseñas se cambiarán cada seis
meses. O anualmente si no hay sospechas de intentos de intrusión no autorizadas
El responsable del fichero será el encargado de asignar estas contraseñas.
Sólo el responsable podrá a anular o conceder el derecho de acceso al fichero.
No se permitirá la salida fuera del local de negocio de soportes que contengan el fichero a
proteger.
Se efectuará un control mensual para verificar el cumplimiento de estas normas de
seguridad.
Anualmente, los sistemas de información e instalaciones de tratamiento de datos, se
someterán a una Auditoría externa que verifique el cumplimiento del Reglamento.

141
Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
información.
Se establece un sistema de registro de entrada de soportes informáticos que permite
conocer el tipo de soporte, la fecha, Hora y emisor, el número de soportes, el tipo de
información que contiene, y la persona responsable de la recepción.
Se crea el registro de salida de soportes informáticos. Que indica el tipo de soporte, la
fecha y hora, el destinatario, el número de soportes, información que contiene, forma de
envío, y responsable de la entrega que deberá estar debidamente autorizado.
Se velará cuando un soporte vaya a ser desechado, para que se adopten las medidas
necesarias para impedir cualquier recuperación posterior de la información almacenada
en el. Se procederá previamente a su baja en el inventario. También se adoptarán las
medidas para que cuando los soportes vaya a salir fuera de los locales de la empresa, y
tengan ficheros como consecuencia de operaciones de mantenimiento, no se puedan
recuperar indebidamente datos almacenados.
En primer lugar y después de haber inscrito correctamente nuestros ficheros en la AEPD, y
se haya creado el Documento de Seguridad, se procederá a dar aviso legal a quien
corresponda y a firmar los contratos de prestación de servicios y confidencialidad.

Uno de los principales lo denominaremos “AVISO LEGAL AL EMPLEADO” de esta


forma catalogaremos todos los documentos, le será mucho más fácil y se podrá
familiarizar antes.

El aviso legal al empleado es un sencillo documento para que se lo haga llegar a todos sus
empleados/usuarios y que lo firmen como entendido, este documento ratifica su deber de
avisar al empleado de las funciones referidas en el ámbito legal de la Protección de Datos.
Este documento lo archivara en su propio Documento de Seguridad.

Este documento es un ejemplo y pueden tratarlo a su interés, por ejemplo incluyendo las
finalidades de cada puesto de trabajo, etc.

AVISO LEGAL AL EMPLEADO

ANEXO INFORMATIVO, EN MATERIA DE PROTECCION DE DATOS PARA LOS


TRABAJADORES DE LA EMPRESA XXXXXXXXXXXXXX S.A

“Se informa al trabajador de la existencia de un fichero de datos personales, cuya finalidad


es la elaboración de nóminas y seguros sociales, así como los usos típicos de un
departamento de Personal. La respuesta a cualquier cuestionario facilitado por el
departamento de Recursos Humanos, es opcional. Se garantiza el tratamiento para dicho
fin. El trabajador tiene derecho de acceso, rectificación, cancelación y oposición que deberá
ejercer mediante escrito a la empresa. La empresa es el responsable de dicho fichero.

El trabajador se compromete a cumplir de forma continuada y efectiva, la política de


seguridad de la empresa, y especialmente los aspectos más significativos referentes a la

142
privacidad.

Documentos más usuaes

Uso de internet

Los usuarios son responsables de las sesiones iniciadas de Internet desde sus terminales de
trabajo. En el ámbito de la organización el uso de Internet deberá hacerse de acuerdo a las
instrucciones impartidas por la organización. Internet tiene carácter laboral, y no puede ni
debe usarse con otros fines.
En ningún caso se pueden modificar las configuraciones de los navegadores del equipo, ni
la activación de servidores o puertos sin autorización del coordinador de seguridad, o en
su caso del responsable de seguridad.
Debe evitarse la utilización de imágenes y sonidos distintos e incompatibles a la actividad
laboral de la empresa.
Se prohíbe expresamente el acceso y/o la descarga y/o el almacenamiento en cualquier
soporte de páginas y contenidos ilegales, inadecuados o que atenten contra la moral y las
buenas costumbres; de los formatos de imágenes, sonido o vídeo; de virus y códigos
maliciosos y en general, todo tipo de programas sin la expresa autorización del
coordinador de seguridad.
Queda vetada toda utilización ajena a las actividades de la empresa de los servicios de
chat, foros u otros sitios similares. Tampoco se permite el acceso a páginas de juego en
línea, o la descarga de cualquier dispositivo similar.

Documentos más usuales

Uso del sistema informático

Se prohíbe la instalación de cualquier programa o producto informático en el sistema de


información, sin la correspondiente autorización del responsable de seguridad.
Las aplicaciones necesarias para el desempleo de su trabajo, serán instaladas
exclusivamente por los Administradores del Sistema.
No se permite la utilización de recursos del sistema informático puesto a disposición por
la empresa con fines privados con cualquier otro fin diferente a los estrictamente
laborales.

143
Se prohíbe revelar a persona alguna ajena a la empresa, información a la que haya tenido
acceso en el desempeño de sus funciones, sin la debida autorización.
Se prohíbe facilitar a persona cualquiera ningún soporte conteniendo datos a los que
hayan tenido acceso en el desempeño de sus funciones sin la debida autorización.
La información referida en el párrafo anterior únicamente en la forma exigida para el
desempeño de sus funciones. No deberá disponerse de ella de ninguna otra forma o para
ninguna finalidad diferente.
Se prohíbe utilizar cualquier información que hubiese podido ser obtenida por su
condición de empleado de la compañía, con cualquier otro fin que no sea el
estrictamente necesario para el desempeño de sus funciones en la propia empresa.
Es obligación de los usuarios cumplir la normativa vigente y lo dispuesto en el
documento de seguridad en relación a la protección de datos de carácter personal.
Los usuarios deberán cumplir con los compromisos anteriores, incluso después de
extinguida la relación laboral con la empresa.
El trabajador será responsable frente a la empresa y frente a terceros de cualquier daño
que pudiera derivarse parea uno u otros del incumplimiento de los compromisos
anteriores y resarcirá a la empresa por las indemnizaciones, sanciones o reclamaciones que
ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento.

Documentos más usuales

Uso del correo electrónico

Los usuarios son responsables de todas las actividades realizadas con las cuentas de
acceso y su respectivo buzón de correos provistos por la empresa.
Los usuarios no deberán permitir la utilización de la cuenta y/o el correspondiente buzón
a personas no autorizadas.
Los usuarios deben ser conscientes de los riesgos que acarrea el uso indebido de las
direcciones de correo electrónico facilitadas por la empresa.
Los servicios de correo electrónico suministrados deben destinarse a uso estrictamente
laboral.
Está prohibida la utilización, en los equipos provistos por la empresa, de buzones de
correo electrónico de otros proveedores de Internet.
No es legal enviar correo a personas que no desean recibirlo. Si le solicitan detener esta
práctica deberá hacerlo. Si la empresa recibe reclamaciones sobre esta práctica, se tomarán
las medidas sancionadoras adecuadas.
Se prohíbe realizar cualquiera de las siguientes actividades:

Utilizar el correo electrónico para cualquier propósito ajeno a las actividades laborales
autorizadas por la empresa.

144
Participar en la propagación de cartas encadenadas, esquemas piramidales o similares.
Distribuir de forma masiva grandes cantidades de mensajes con contenidos inapropiados
para la empresa.
Falsificar las cabeceras de correo electrónico.
Recoger correo de buzones de otro proveedor de Internet.
Difundir contenido ilegal o contrario a la moral y las buenas costumbres.
Enviar correo propio a través de cuentas ajenas sin consentimiento de su titular.
Efectuar ataques con objeto de imposibilitar u obstruir sistemas informáticos, dirigidos a
un usuario o al propio sistema de correo, así como le envío de un número alto de mensajes
por segundo, o cualquier variante que tenga por objeto la paralización del servicio por
saturación de las líneas, de la capacidad de la CPU a del servidor, del espacio en disco de
servidores, o terminales o cualquier otra práctica similar.
Enviar a foros de discusión, listas de distribución o grupos de noticias, mensajes que
comprometan la reputación de la compañía.

Documentos más usuales

Propiedad intelectual e industrial

Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente


licencia así como el uso reproducción, cesión o transformación, o comunicación pública de
cualquier tipo de programa informático protegido por los derechos de propiedad
intelectual o industrial.
Se sancionará severamente a los usuarios que lleven a cabo la instalación de tales
programas, debido a que su acción podría ocasionar serias responsabilidades civiles y /o
penales a la empresa.
FIRMA Y D.N.I DE LOS EMPLEADOS, CONFORME RECIBIDO, LEÍDO Y ENTENDIDO

NOMBRE, DNI, FIRMA NOMBRE, DNI, FIRMA NOMBRE,


DNI, FIRMA

NOMBRE, DNI, FIRMA NOMBRE, DNI, FIRMA NOMBRE,


DNI, FIRMA

NOMBRE, DNI, FIRMA NOMBRE, DNI, FIRMA NOMBRE,


DNI, FIRMA

_______________________________________________________________________

145
El siguiente documento Es un modelo tipo informativo para en el caso que algún afectado
le exija por escrito “”El que van a hacer con sus datos”””

CLAUSULA INFORMATIVA DE PROTECCION DE DATOS GENERAL

CLAUSULA INFORMATIVA DE PROTECCION DE DATOS


Le informamos que los datos que nos facilita no serán cedidos bajo ningún concepto sin si
expresa autorización. Y serán tratados dentro de la normativa vigente en materia de
protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático
denominado clientes, La función de recabar estos datos es poder elaborar un presupuesto,
informarles de nuestros servicios y actividades de nuestra empresa. Y al firmar nuestros
formularios están aceptando expresamente la recepción de los mismos, por cualquier
medio de comunicación. La consecuencia de no cumplimentar debidamente los
formularios seria que no tendría acceso a nuestros servicios ni promociones. El
responsable de dicho fichero es XXXXXXXXXXXXXXXXXXXXX S.A., con
C.I.F.:AXXXXXXXXXXXX con domicilio a efectos de notificaciones en
XXXXXXXXXXXXXXXXXXXXX (08813) XXXXXXX de la provincia de
XXXXXXXXXXXXXXXXXX. Usted tiene derecho a recibir respuesta de cualquier pregunta,
consulta o aclaración que le surja derivada de los formularios. Usted tiene derecho al
acceso, oposición, rectificación, cancelación, de sus datos de carácter personal, mediante
escrito, a la dirección antes indicada o por correo electrónico a
XXXXXXXXXX@XXXXXXXXX.es. Todos sus datos serán dados de baja definitivamente de
nuestra base de datos por los siguientes motivos: 1º- a petición suya. 2º- cuando hayan
dejado de ser necesarios para los fines que motivaron su recogida.

Cortar por la línea, parte superior para el afectado, parte inferior para archivar

NOMBRE:
DNI:
FECHA:
FIRMA:
Le informamos que los datos que nos facilita no serán cedidos bajo ningún concepto sin si
expresa autorización. Y serán tratados dentro de la normativa vigente en materia de
protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático
denominado clientes, La función de recabar estos datos es poder elaborar un presupuesto,
informarles de nuestros servicios y actividades de nuestra empresa. Y al firmar nuestros
formularios están aceptando expresamente la recepción de los mismos, por cualquier
medio de comunicación. La consecuencia de no cumplimentar debidamente los
formularios seria que no tendría acceso a nuestros servicios ni promociones. El
responsable de dicho fichero es XXXXXXXXXXXXXXXXXXXXX S.A., con
C.I.F.:AXXXXXXXXXXXX con domicilio a efectos de notificaciones en

146
XXXXXXXXXXXXXXXXXXXXX (08813) XXXXXXX de la provincia de
XXXXXXXXXXXXXXXXXX. Usted tiene derecho a recibir respuesta de cualquier pregunta,
consulta o aclaración que le surja derivada de los formularios. Usted tiene derecho al
acceso, oposición, rectificación, cancelación, de sus datos de carácter personal, mediante
escrito, a la dirección antes indicada o por correo electrónico a
XXXXXXXXXX@XXXXXXXXX.es. Todos sus datos serán dados de baja definitivamente de
nuestra base de datos por los siguientes motivos: 1º- a petición suya. 2º- cuando hayan
dejado de ser necesarios para los fines que motivaron su recogida.

Documentos más usuaes

Otros documentos

Claúsula informativa de Protección de datos general

El siguiente documento Es un modelo tipo informativo para en el caso que algún afectado
le exija por escrito “”El que van a hacer con sus datos”””

Descargar Ejemplo

Contrato tipo con la gestoria

Es un sencillísimo contrato para firmar con la gestoría donde incluye la clausula de


confidencialidad LOPD, como todos es un modelo tipo, el cual puede modificar según sus
intereses

Descargar Ejemplo

Control Soportes

Es un sencillo formulario tipo ficha, para cumplimentar y adjuntar a su Doc. De

147
Seguridad, en el tiene que nombrar tantos soportes tenga. (Ordenadores, discos duros
externos etc.) El primer cuadro es a modo ejemplo, tiene que poner una etiqueta
“pegatina” en sus ordenadores con la clave que le asigne.

EJEMPLO

EJEMPLO

ORDENADOR SOBREMESA O // Disco duro externo para copias de seguridad!!!


SOPORTE
MARCA MODELO HP DC 7900
Núm. serie 216

NUMERO SERIE Y CLAVE Núm. serie 216 EJEMPLO DE CLAVE VENTASMAPESA

SIS. OPERATIVO WINDOWS 7

UBICACION DEPARTAMENTO VENTAS

RESPONSABLE MARIA PEREZ SAINZ

FECHA ENTRADA XX/XX/2009

FECHA DE BAJA DEFINITIVA EN CURSO

FICHERO CLIENTES

CONTENIDO DATOS PERSONALES Y Nº CUENTAS BANCARIAS

MODO CAPTACION EL PROPIO AFECTADO

SOPORTE

MARCA MODELO

NUMERO SERIE Y CLAVE

SIS. OPERATIVO

UBICACIÓN

148
RESPONSABLE

FECHA ENTRADA

FECHA DE BAJA DEFINITIVA

FICHERO

CONTENIDO

MODO CAPTACION

SOPORTE

MARCA MODELO

NUMERO SERIE Y CLAVE

SIS. OPERATIVO

UBICACIÓN

RESPONSABLE

FECHA ENTRADA

FECHA DE BAJA DEFINITIVA

FICHERO

CONTENIDO

MODO CAPTACION

SOPORTE

MARCA MODELO

149
NUMERO SERIE Y CLAVE

SIS. OPERATIVO

UBICACIÓN

RESPONSABLE

FECHA ENTRADA

FECHA DE BAJA DEFINITIVA

FICHERO

CONTENIDO

MODO CAPTACION

Ejemplo de coletilla legal

Es un modelo de texto para incluir de forma fija (firma) en sus comunicaciones


comerciales electrónicas.

AVISO SOBRE CONFIDENCIALIDAD: Este documento se dirige exclusivamente a su


destinatario. Puede contener información confidencial sometida a secreto profesional y su
divulgación está prohibida en virtud de la legislación vigente, se informa que si no es
usted el destinatario o la persona autorizada por el mismo, que la información contenida
en este mensaje es reservada y su utilización o divulgación con cualquier fin está
prohibida. Si ha recibido este documento por error, le rogamos que nos lo comunique por
teléfono, o e-mail y proceda a su destrucción. En el envío de e-mail no se puede garantizar
la seguridad ya que esta información puede ser modificada, interceptada, o incompleta. El
remitente no acepta responsabilidad por los errores u omisiones en el contenido o anexos

150
de este e-mail.

XXXXXXXXXXXX S.A., con C.I.F: AXXXXXXXXXXXXXy domicilio


XXXXXXXXXXXXXXXXX, (20100) XXXXXXXXXXXX de la provincia de
XXXXXXXXXXXXXXXXXXXX le informa que es responsable de un fichero de datos de
carácter personal, denominado CLIENTES, cuya finalidad es la relación comercial, y el
envío de documentación. Le informamos que podrá ejercer los derechos de acceso,
rectificación, cancelación u oposición en la dirección indicada mediante escrito,
concretando su solicitud y al que acompañe fotocopia de su Documento Nacional de
Identidad. El envío de este email responde con la totalidad de la legislación vigente. Ley
Orgánica de Protección de Datos y Ley de Servicios de la Sociedad de la Información,
igualmente si no desea recibir más información de nuestra empresa, responda este e-mail
con la palabra “baja” en el apartado asunto.

Ejemplo de coletilla legal en e-mail

AVISO SOBRE CONFIDENCIALIDAD: Este documento se dirige exclusivamente a su


destinatario. Puede contener información confidencial sometida a secreto profesional y su
divulgación está prohibida en virtud de la legislación vigente, se informa que si no es
usted el destinatario o la persona autorizada por el mismo, que la información contenida
en este mensaje es reservada y su utilización o divulgación con cualquier fin está
prohibida. Si ha recibido este documento por error, le rogamos que nos lo comunique por
teléfono, o e-mail y proceda a su destrucción. En el envío de e-mail no se puede garantizar
la seguridad ya que esta información puede ser modificada, interceptada, o incompleta. El
remitente no acepta responsabilidad por los errores u omisiones en el contenido o anexos
de este e-mail.

DISTRIBUCIONES DONODIS S.A., con C.I.F: A20689840 y domicilio en POL. 110 NAVES
2-10, PARCELA 5, (20100) LEZO de la provincia de GUIPUZKOA le informa que es
responsable de un fichero de datos de carácter personal, denominado CLIENTES, cuya
finalidad es la relación comercial, y el envío de documentación. Le informamos que podrá
ejercer los derechos de acceso, rectificación, cancelación u oposición en la dirección
indicada mediante escrito, concretando su solicitud y al que acompañe fotocopia de su
Documento Nacional de Identidad. El envío de este email responde con la totalidad de la
legislación vigente. Ley Orgánica de Protección de Datos y Ley de Servicios de la Sociedad
de la Información, igualmente si no desea recibir más información de nuestra empresa,
mándenos un e-mail con la palabra “baja” en el apartado asunto.

Ejercicio derechos ARCO

Es el modelo oficial “tipo”, para en caso que un afectado le pida ejercer los derechos de

151
Acceso, Rectificación, Cancelación, Oposición, pueda entregarle este documento y cumplir
con las pautas establecidas.

EJERCICIO DE LOS DERECHOS DE: ACCESO-1, RECTIFICACIÓN-2, CANCELACIÓN-3


Y OPOSICIÓN-4 SEGÚN LA LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL (LOPD)

Descargar Ejemplo

Nombramientos de personal, autorizados y responsables

NOMBRAMIENTOS DE PERSONAL: Al igual que el control soportes es un control, tipo


ficha, donde nombrar a todos sus empleados que tienen acceso a la base de datos que
contienen datos de carácter personal. Esto también lo adjuntará a su Doc. De Seguridad
(fíjese en el ejemplo) lógicamente puede modificarlo a su gusto e incluir lo que usted crea
necesario. Recuerde que esto no suele cambiar hasta que por algún motivo tengan más
empleados o dé de baja a algún empleado/usuario

Descargar Ejemplo

Claúsula informativa de videovigilancia

Es un modelo tipo informativo para en el caso que algún afectado le exija por
escrito “”Que van a hacer con sus imágenes”””

Descargar Ejemplo

Contrato de confidencialidad (extendido)

Descargar Ejemplo

Contrato de compañías de software o reparación de hardware

152
Sencillo contrato de prestación de servicios con su “tienda de informática”

Acceso a información sobre la Informática y la LOPD

Descargar Ejemplo

Enlaces de interés:

www.protecciondedatosonline.com

www.agpd.es

TEMA16

Ley de servicios de la Sociedad de la Información y el comercio electrónico (LSSI)

LSSICE

El correo electrónico

Qué tiene que incluir la web

153
Incluir en su web en caso de tener comercio electrónico

Las empresas de intermediación de la Sociedad de la Información

Las páginas web personales

LSSI

LSSICE

La LSSICE es la Ley de Servicios de la Sociedad de la Información y el Comercio


Electrónico.

Esta Ley, pretende regular en lo que concierne a la aplicación de las empresas en relación
al Comercio Electrónico, o a otros servicios de internet, cuando sean parte de cualquier
actividad económica.

En este tema vamos a tratar varios aspectos básicos de esta ley LSSI, pues aunque es otra
ley diferente a la LOPD, conjugan muchos aspectos y es determinante para la correcta
aplicación de la Ley Orgánica de Protección de Datos.

OBJETO DE LA LEY

A quien va dirigida
Está enfocada hacia dos sectores, el primero a los prestadores de servicios de
comunicaciones o sus intermediarios y sobre todo y a lo que más nos incumbe a las
empresas que tienen pagina Web y utilizan las comunicaciones electrónicas para difundir
su actividad, productos o servicios

Esto quiere decir que toda empresa o profesional que tenga una Web y/o envíe correos
electrónicos publicitarios tendrá que acatar y cumplir todos los aspectos legales y
obligaciones en esta LSSI.

Descarga de información legal - Ley de servicios de la sociedad de la información

154
Descarga de procedimiento sancionador (ejemplo)

LSSI

El correo electrónico

El correo electrónico cada día más utilizado y ya prácticamente el único medio de


comunicación. Ha sido y será el más usado para enviar publicidad a nuestros clientes o
posibles clientes. Lógicamente, está extendida practica está regulada por la LSSICE, sin
olvidarnos que también este acto está regulado por la LOPD, por lo que además de
cumplir con los requisitos expuestos en la LOPD en lo que a medidas de seguridad
concierne el tratamiento de datos, cesión de los mismos y sobre todo los avisos legales,
tendrán que incluir lo siguiente:

Todas y cada una de las veces que envíen información comercial a un destinatario, tendrán
que incluir un texto indicando que tienen la opción de no recibir más comunicaciones y el
modo de darse de baja de forma sencilla, (Por ejemplo “para darse de baja pulse aquí) otra
forma más sencilla es indicarles que respondan este correo con la palabra baja en el asunto.
De esta forma será mucho más sencillo para ambos. Obviamente cuando reciban un correo
de estas características, deberán cursar dicha baja. Existen muchos procedimientos para
evitar confusiones y caer en la falta de volver a enviar una comunicación a alguien que
solicito al baja, la más sencilla es borrarlo de la base de datos de donde nos nutrimos para
esa actividad, también pueden crear (((y lo recomiendo))) una sencilla base de datos,
llamada por ejemplo bajas cursadas, donde únicamente mantengan el nombre de la
empresa y su correo electrónico, con la única finalidad de “ANTES” de enviar las
comunicaciones periódicas, puedan revisar que ninguno de sus destinatarios está incluido
en la base de datos de bajas cursadas. Ya que se puede dar el caso que aunque lo hayan
dado de baja en su lista de contactos, dentro de unos meses por alguna razón vuelva a
estar, y es cuando pueden tener problemas.
Incluiremos al principio del apartado asunto la palabra “publicidad” o en su defecto
“PUBLI” Ya que tenemos que avisar que el contenido de nuestra comunicación es
información de nuestros servicios o productos. Además tienen que incluir en el cuerpo del
mensaje la razón social de su empresa, ya que es obligatorio indicar al cliente quien es
quien le envía está información publicitaria. Como ejemplo podrían enviarlos tal como se
adjunta en el siguiente cuadro.

155
Para: adaptalia@adaptaliacorporacion.com
Asunto: “Publicidad” Adapte su empresa a la LOPD

Buenos días. Desde el departamento de ventas de ADAPTALIA CORPORACIÓN SL, nos


complace dirigirnos a ustedes para ofrecerles nuestros servicios de asesoramiento legal
para que de una forma sencilla y económica pueda adaptar a su empresa a la LOPD,
garantizando la máxim…. Etc etc.

AVISO SOBRE CONFIDENCIALIDAD: Este documento se dirige exclusivamente a su


destinatario. Puede contener información confidencial sometida a secreto profesional y su
divulgación está prohibida en virtud de la legislación vigente, se informa que si no es
usted el destinatario o la persona autorizada por el mismo, que la información contenida
en este mensaje es reservada y su utilización o divulgación con cualquier fin está
prohibida. Si ha recibido este documento por error, le rogamos que nos lo comunique por
teléfono, o e-mail y proceda a su destrucción. En el envío de e-mail no se puede garantizar
la seguridad ya que esta información puede ser modificada, interceptada, o incompleta. El
remitente no acepta responsabilidad por los errores u omisiones en el contenido o anexos
de este e-mail.

Adaptalia Corporación S.L., con C.I.F. B65040669 y domicilio en Sant Boi de Llobregat, C/
Rvd. Solanas 99 (08830 – Barcelona) le informa que es responsable de un fichero de datos
de carácter personal, denominado CLIENTES, donde están incluidos sus datos, cuya
finalidad es la relación comercial, y el envío de documentación. Le informamos que podrá
ejercer los derechos de acceso, rectificación, cancelación u oposición en la dirección
indicada mediante escrito, concretando su solicitud y al que acompañe fotocopia de su
Documento Nacional de Identidad. El envío de este email responde con la totalidad de la
legislación vigente. Ley Orgánica de Protección de Datos y Ley de Servicios de la Sociedad
de la Información, igualmente si no desea recibir más información de nuestra empresa,
mándenos un e-mail a adaptalia@adaptaliacorporacion.com, con la palabra “baja” en el
apartado asunto.

No debemos olvidar que para realizar este tipo de comunicaciones, tendremos que
cumplir con dos requisitos:
a) Que todos nuestros destinatarios sean clientes suyos, y entendemos por clientes toda
persona o entidad que en algún momento les a comprado o contratado algún producto o
servicio. En este caso el contenido de su comunicación estará relacionado con el comprado
por el cliente o contratado por el mismo. No pudiendo enviar publicidad de un servicio de
seguros de coches a un cliente que le compró material de construcción (aunque tu empresa
colabore con una compañía de seguros) a no ser que cuando el cliente entregó sus datos
personales, ustedes le avisaran (y tengan constancia fehaciente) que sus datos se utilizarán
también con esa finalidad.

b) Que tengan la autorización expresa del cliente para poderle enviar publicidad
Esto se consigue de muchísimas formas, pero la más practica y la que conlleva una mejor y
más amplia autorización del cliente para que no tengan problemas y puedan enviarle

156
publicidad es: Cuando se le piden los datos para facturarle el servicio o producto, que
firme una autorización donde se le indica que esta autorizando expresamente el envío de
información por parte de tu empresa y acepta la recepción del mismo por cualquier medio
de comunicación. Si tu empresa colabora con más organizaciones y el abanico de
productos y servicios es muy amplio lo que recomiendo es que le avisen de ello, de esta
forma también le podrán enviar “publi” de sus empresas colaboradoras, el modo práctico
es el siguiente EJEMPLO:

“PRESUPUESTO XXXXXXXX”

DATOS DEL CLIENTE


NOMBRE: _______________________
APELLIDOS: ______________________
TELEFONO: _________________________
EMAIL: ____________________________
CALLE: _____________________________
POBLACION: ____________________________
ETC
ETC
……….
FIRMA: _________________

AVISO LEGAL: Sus datos personales serán utilizados para realizarle un presupuesto (o
cualquier otro motivo que estéis desarrollando) por su parte solicitado y para el envío del
mismo, también serán utilizados para enviarles información de nuestra empresa y
servicios por cualquier medio de comunicación, al firmar este formulario usted está
aceptado explícitamente la recepción de los mismos, en el caso que no deseara recibir
nuestra información, únicamente tendría que enviar un correo electrónico solicitando la
baja de nuestro servicio informativo a adaptalia@adaptaliacorporacion.com, sus datos
personales formarán parte del fichero clientes, cuyo destinatario y responsable del fichero
y del tratamiento es: Adaptalia Corporación SL, en C/ Solanas, 99, bajos – (08830) -
Barcelona donde podrá ejercer los derechos de acceso, rectificación, cancelación y
oposición, mediante escrito la dirección antes indicada incluyendo copia del DNI o
documento identificativo equivalente.

La negativa a proporcionar los datos supondrá la no prestación o la imposibilidad de


acceder al servicio para los que eran solicitados. Usted tiene derecho a recibir respuesta de
cualquier pregunta, consulta o aclaración que le surja derivada de este formulario. Todos
sus datos serán dados de baja definitivamente de nuestra base de datos por los siguientes
motivos: 1º- a petición suya. 2º- cuando hayan dejado de ser necesarios para los fines que
motivaron su recogida.

157
LSSI

Qué tiene que incluir la web

El aspecto más básico y el que muchas empresas no cumplen es el incluir un botón o


pestaña totalmente visible y con funcionalidad, a este botón le pueden denominar por
ejemplo “DATOS DE EMPRESA” O “DATOS GENERALES” ETC. Donde al hacer clic se
acceda a los datos legales de su empresa. Esto es de vital importancia.

Dicho botón será siempre de acceso público, siempre disponible y estará fácilmente
localizable y en la ventana de inicio. No intenten esconder este botón en carpetas internas
o accesos rebuscados o ser un minúsculo botón en color similar al fondo de su página (no
sería legal)

En esta nueva ventana como les comentaba tiene que aparecer sus datos profesionales:

Razón social de su empresa o nombre del profesional


Código de identificación fiscal (CIF)
Dirección postal completa
Datos de contacto, tales como teléfonos y correos electrónicos
Los datos de inscripción en el registro mercantil de su empresa
En el caso que su actividad este regulada por un colectivo profesional como pueden ser los
abogados. O en otro caso su actividad tenga un requerimiento de autorización
administrativa o titulación expresa, tendrá que indicar de forma expresa y sin alusiones a
la referencia de la titulación o autorización (colegio al que pertenece, colegiado, código de
registro, etc.)

LSSICE: ¿Que quiere decir dichas siglas?

Ley de Servicios de la Sociedad de le Información y el Comercio Electrónico

¿Qué quiere decir el Comercio Electrónico?

Son las páginas Web que venden sus servicios o productos desde su Web y el usuario los
puede contratar desde ese sitio Web, sin importar la forma de pago, pues se entiende que
podemos realizar una contratación de un servicio o producto y no pagarlo en ese
momento por tarjeta de crédito ni por transferencia, también se pueden para a reembolso,
a posteriori, etc.

LSSI

158
Incluir en su web en caso de tener comercio electrónico

En lo muchísimos casos en lo que ofrecen en su Web, servicios y productos y se pueden


contratar los mismos o solicitarlos. Deberán incluir de forma expresa clara y visible
permanentemente otros aspectos aparte de los citados anteriormente, tales como:

El precio final y total del producto o servicio.


El IVA o impuesto equivalente
Cualquier otro tipo de gasto adicional como por ejemplo gastos de envío.
Condiciones de la contratación. (este apartado además será obligatorio que el usuario lo
pueda consultar siempre, incluso en el proceso de compra.
Información clara de cómo modificar los datos que el usuario está introduciendo, incluso
si son ventanas diferentes, antes de finalizar la compra que tenga un acceso fácil para que
compruebe los datos antes de finalizarla y los pueda modificar en caso de necesidad.
La garantía del servicio o producto contratado.
Indicar los idiomas que tiene disponibles para dicha contratación.
MUY IMPORTANTE

Antes de iniciar la compra, tiene que explicar el proceso paso a paso, es decir que justo
antes de iniciar el proceso de contratación el usuario lea de forma como siempre clara el
proceso que va a realizar y las páginas o ventanas emergentes que va tener que
cumplimentar. Explicando brevemente pero de forma concisa que es lo que tendrá que
rellenar en cada una de ellas

EJEMPLO

CONTRATAR SERVICIO DE IMPLANTACIÓN DE SU EMPRESA A LA LOPD

Le damos las gracias por confiar en nuestro servicio, a continuación encontrara 5 paginas
las cuales deberá cumplimentar y pulsar enviar en cada una de ellas. En todas las páginas
que encontrara a continuación encontrara un botón para acceder a la visualización de las
condiciones de la contratación.

1ª página
Es la autorización (mandato) expresa por su parte para que podamos realizar el servicio y
podamos enviarle información de nuestros servicios o modificaciones que sean de su
interés. Además estará autorizando el tratamiento de sus datos personales.

2ª página
Elegirá el servicio o producto deseado, o nivel de servicio requerido. Y el modo de forma
de pago.

3ª página
Rellenará los formularios cumplimentándolos en su totalidad, en los cuales se recogerán

159
datos de carácter personal

4ª página
En esta página podrá comprobar los datos de contratación y facturación y podrá
modificarlos en caso de necesidad. En caso de conformidad pulsará el botón de ENVIAR.

5ª página
Recibirá un mensaje de aviso, indicándole el éxito de su pedido o en caso contrario de que
falta algún campo requerido.

Nota: El aviso de éxito de pedido se puede hacer de dos formas con un “autoresponder” o
al recibir el pedido mandarle un email, en este último caso antes del botón de ENVIAR
tendrá que incluir una NOTA avisándole que antes de 24h recibirán un correo electrónico
dándoles tal confirmación. Y que en caso de no recibirlo quiere decir que no se ha cursado
con éxito dicha solicitud de producto o servicio.

En el caso que su Web sea de ofertas promocionales, juegos o concursos, además de lo


anteriormente expuesto deberá incluir:

1.- La identificación clara e inequívoca que se trata de “juegos, concursos, etc.)

2.- Del mismo modo indicarán las condiciones de participación, lógicamente antes de
iniciar el mismo.

LSSI

Las empresas de intermediación de la Sociedad de la Información

Tienen adquiridas una serie de obligaciones, tales como la de informar sobre los medios
técnicos existentes para lograr una mayor protección en referencia a los filtros de correo,
antivirus, programas espía, gusanos, etc.

Explicación para la restricción a contenidos. Las responsabilidades de los usuarios frente a


prácticas ilícitas.

160
Colaborar con los órganos públicos que precisen resoluciones y sobre todo garantizar en
todo momento la transferencia de datos segura.

Esto será obligatorio para todos los prestadores de servicios de la sociedad de la


información. Los operadores de telecomunicaciones y de acceso a internet. Buscadores y
enlaces. Buscadores y/o almacenamiento de datos. Etc.

Su responsabilidad radica en sus contenidos o permisión de accesos a los mismos. No


incurriendo en falta por los contenidos que alojan o por los accesos permitidos, siempre
que claro está no hayan colaborado en su elaboración. Pero también es cierto que toda
responsabilidad recaerá también sobre estos prestadores de servicios si se puede
demostrar que son conocedores de la ilegalidad y no actúan de inmediato para eliminar
estos contenidos o bloquear el acceso en su caso.

LSSI

Las páginas web personales

Estas no estarán sujetas a esta ley. Pero en el momento que anuncian productos o servicios
si serán afectadas, lo mismo que si incluyen publicidad y obtienen beneficios, por lo que
en este caso deberán incluir en su Web datos informativos tales como el nombre, NIF,
dirección, Email, teléfono, etc. y respetar en este caso todas las normativas vigentes.

El carácter de información promocional o publicitario, tiene que estar claramente


expuesto, lo mismo que la identificación del anunciante.

Ejemplo: Como podrán observar en esta captura de una empresa que solicita datos
personales en su Web para registrarse, tiene al final del formulario un botón ineludible
que tiene que estar marcado para poder continuar, en el se encuentra la leyenda “Acepto
la política de privacidad y condiciones de uso” y al clicar en este texto se abre otra pagina
donde se explica detalladamente.

Al dejar marcada por el usuario esta casilla se entiende que ha leído la política de
privacidad y condiciones de uso y las aprueba, por lo que puede proceder a pulsar el
botón de CREAR REGISTRO teniendo en tal caso el acceso al concurso, promociones,
envío de información o cualquiera que sea su actividad. Recuerde que siempre tiene que
tener activado esta opción y no dejar continuar al cliente en caso que no marque la casilla.
De esta forma siempre podrán demostrar que el cliente aceptó las condiciones expuestas.

Véase ejemplo:

161
16.7 Cuestionario: Ley de servicios de la Sociedad de la informática y el Comercio
electrónico

1.- ¿Las páginas Web personales están afectadas por la LSSI?


Según, en el caso que anuncien servicios o productos o incluyan publicidad con la que
obtiene beneficios, tendrán que seguir todas las indicaciones pertinentes para cumplir con
la LSSI.
Si, igualmente tendrán que mantener los mismos criterios de seguridad e información al
visitante.
NO, las personales o las llamadas de presentación, no están afectadas.

2.- En los envíos publicitarios a través del correo electrónico a clientes deberemos incluir:
Todas las respuestas son correctas.
Los datos de contacto de la empresa que emite la publicidad, la dirección postal y el modo

162
de ejercer los derechos que amparan al afectado.
La palabra Publicidad al principio del apartado ASUNTO, en el cuerpo del mensaje
indicaremos claramente la razón social de la empresa que envía la Publicidad y se incluirá
el aviso legal, donde de forma clara, sencilla y gratuita le indicaremos al afectad
De donde provienen sus datos, incluyendo la palabra publicidad en el apartado asunto, la
posibilidad de darse de baja de estas comunicaciones, los datos fiscales de la misma.

3.- En su Web deberemos incluir:


La única obligación principal es queincluiremos los datos de la empresa propietaria del
sitio Web.
Todas las respuestas son correctas.
La página Web tiene que ser fácil de usar y dinámica, la cual contemplara
obligatoriamente un formulario de registro para conseguir una contraseña para poder
realizar las contrataciones oportunas.
El precio final del producto o servicio, impuestos, gastos de envío, condiciones de
contratación, posibilidad de modificación de sus datos, garantía, e idiomas posibles.
Además de los datos de contacto y fiscales de la empresa y avisos legales pertinentes

4.- ¿Qué significan las siglas LSSICE?


Ley de Servicios Sociales de Imposiciones del Comercio y Emails.
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
Ley de Seguridadde videovigilancia para Comercios y Empresas.

5.- ¿Cuándo le tiene que dar la opción a un usuario/afectado a darse de baja de las
comunicaciones electrónicas que le envía?
Siempre que cuando se le hayan recabado los datos de carácter personal le hayamos
avisado fehacientemente de la finalidad de los datos y en esta finalidad se le indique que
se le enviarán correos electrónicos publicitarios y que puede negarse a ello pero
más.
Únicamente la primera vez que le enviemos publicidad por correo electrónico, será
necesario incluir esta información, ya que la LSSI en su Artículo 21.2 letra E, nos indica
que el consentimiento tácito es válido siempre que por lo menos una vez se le haya
En todas las comunicaciones informativas, promocionales y demás publicidades enviadas,
tendremos que incluir la información pertinente para que de forma sencilla y gratuita
pueda solicitar el no recibir más publicidad.

6.- ¿A quién va dirigida principalmente esta LEY (LSSI)?


A toda empresa o particulares, en definitiva, cualquier pagina Web o correo electrónico
que circule por la Red.
A las empresas que contienen formularios donde nos recaban datos de carácter personal.
A toda empresa o profesional que tenga o envíe publicidad y prestadores e intermediarios
de comunicaciones.

7.- Una empresa que únicamente actúa por internet, ¿esta exonerada de la LOPD siempre
que cumpla con la LSSI?
Por supuesto que SI, pues ya cumple con la Ley que le corresponde, la LASSI regula su

163
actividad por lo que si acata exhaustivamente la LSSICE, estará cumpliendo con total
legalidad.
No, ya que por ejemplo el tratamiento de datos personales, exige unas actuaciones frente a
la LOPD, no recogidas por la LSSI.
Ninguna respuesta es correcta
Estará exonerada, siempre que no contenga un formulario de contacto donde se le soliciten
datos personales al usuario.

TEMA17

La política de privacidad y avisos legales

La política de privacidad y avisos legales

Las cookies

Acceso a páginas web externas desde su sitio web

La política de privacidad y avisos legales

La política de privacidad y avisos legales

164
Es obligatorio que, en el momento que un usuario facilite sus datos personales lo haga
consintiendo el tratamiento de los mismos.

Consentimiento del interesado:

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la


que el interesado consienta el tratamiento de datos personales que le conciernen.

Por ello, para conseguir fehacientemente tal consentimiento se deberá informar sobre el
tratamiento de los datos recabados y la finalidad de los mismos, esta información tendrá
que estar explicada de forma entendible, clara y accesible directa y permanentemente.

Esto se consigue o bien con un texto explicativo o pulsando un botón donde al hacer clic se
le informe al afectado de modo expreso, preciso e inequívoco de lo siguiente:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la


finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y


oposición.

e) De la identidad y dirección del responsable.

Nota: Se recomienda que se propicie de forma obligatoria e ineludible la lectura y su


consentimiento de forma que tenga que pulsar o marcar una casilla de “ACEPTO LAS
CONDICIONES” antes de continuar la cumplimentación de sus datos personales.

La política de privacidad y avisos legales

Las cookies

Las cookies son simplemente un fichero de texto que algunos servidores de las páginas
Web que estamos visitando, piden a nuestro navegador que escriba en nuestro propio

165
disco duro una información sobre lo que hemos estado haciendo mientras navegábamos
por ese sitio Web.

Sirve para que los servidores Web en los que estamos navegando almacenen y puedan
recuperar información acerca de nosotros. Las cookies proporcionan una manera de
conservar información entre peticiones del cliente. Mediante el uso de cookies se permite
al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias
para la visualización de las páginas de ese servidor, nombre y contraseña, productos que
más le interesan, etc.

La utilización de las cookies tiene como mayor ventaja que la información recabada se
almacena en el propio disco duro del usuario, de este modo el servidor de la pagina web
visitada se libera de una sobrecarga importante ya que es el propio disco duro del usuario
el que enviara esta información almacenada al servidor cuando este se la solicite.

Las cookies poseen una fecha de caducidad, que puede oscilar desde el tiempo que dure la
sesión hasta una fecha futura especificada, a partir de la cual dejan de ser operativas.

Las cookies, al ser una intervención no requerida a priori, deberán avisar al usuario de
dicha utilización y la forma de desactivarlas en caso de necesidad del propio usuario, esto
se puede realizar con una explicación sencilla incluida en su política de privacidad donde
se avisara al usuario en el caso de imposibilidad de navegación por esta web en el caso
que no acepte cookies o las tenga deshabilitadas.

En el caso que SI utilicen cookies en su Web, pueden utilizar este texto que exponemos a
continuación a título de ejemplo:

EJEMPLO:

Esta página web utiliza tecnología “cookies”

Descripción: Las cookies constituyen una herramienta empleada por los servidores Web
para almacenar y recuperar información acerca de sus visitantes. No es más que un fichero
de texto que algunos servidores piden a nuestro navegador que escriba en nuestro disco
duro, con información acerca de lo que hemos estado haciendo por sus páginas. Poseen
una fecha de caducidad, que puede oscilar desde el tiempo que dure la sesión hasta una
fecha futura especificada, a partir de la cual dejan de ser operativas.
www.NOMBRE_DE_SU_WEB.com utiliza cookies para facilitar la navegación por su
Portal y para obtener una mayor eficacia y personalización de los servicios ofrecidos a los
Usuarios. Las cookies empleadas en www.NOMBRE_DE_SU_WEB.com se asocian
únicamente con un Usuario anónimo y su ordenador, no proporcionan referencias que
permitan deducir el nombre y apellidos del Usuario y no pueden leer datos de su disco
duro ni incluir virus en sus textos. Asimismo, www.NOMBRE_DE_SU_WEB.com no
puede leer las cookies implantadas en el disco duro del Usuario desde otros servidores.

El usuario puede libremente decidir acerca de la implantación o no en su disco duro de las

166
cookies empleadas en www.NOMBRE_DE_SU_WEB.com En este sentido, el usuario
puede configurar su navegador para aceptar o rechazar por defecto todas las cookies o
para recibir un aviso en pantalla de la recepción de cada cookie y decidir en ese momento
su implantación o no en su disco duro. Para ello le sugerimos consultar la sección de
ayuda de su navegador para saber cómo cambiar la configuración que actualmente
emplea. Aun cuando el Usuario configurase su navegador para rechazar todas las cookies
o rechazase expresamente las cookies de www.NOMBRE_DE_SU_WEB.com podrá
navegar por el Portal con el único inconveniente de no poder disfrutar de las
funcionalidades del Portal que requieran la instalación de alguna de ellas. En cualquier
caso, el Usuario podrá eliminar las cookies de www.NOMBRE_DE_SU_WEB.com
implantadas en su disco duro en cualquier momento, siguiendo el procedimiento
establecido en la sección de ayuda de su navegador.

La política de privacidad y avisos legales

Acceso a páginas web externas desde su sitio web

Es muy importante hacer mención al tema que muchas páginas Web, tienen la posibilidad
de conexión con otros sitios o páginas Web externas, este hecho muy extendido hoy en día,
pues nos encontramos con empresas que tienen colaboraciones con otras organizaciones e
introducen links de las mismas o simplemente un responsable legal de una empresa es a
su vez el responsable de otras organizaciones que aprovecha cualquiera de sus Webs para
incluir links de acceso a otras páginas Webs de su propiedad.

Este acto lejos de estar prohibido, tienen adheridas una serie de obligaciones de avisos al
usuario, ya que tenemos que avisarle antes de iniciar dicha navegación externa que va a
dejar la Web inicial y va a entrar en otra diferente.

Tenga en cuenta que es necesario diferenciar claramente la titularidad de las páginas a las
que se está accediendo, de otra forma estaremos obrando ilícitamente, pues en una sección
de la Ley 34/1988, de 11 de noviembre, general de publicidad podemos leer:

3. Es ilícita:

a) La publicidad que atente contra la dignidad de la persona o vulnere los valores y


derechos reconocidos en la Constitución, especialmente en lo que se refiere a la infancia, la
juventud y la mujer.
b) La publicidad engañosa.
c) La publicidad desleal.
d) La publicidad subliminal.

167
e) La que infrinja lo dispuesto en la normativa que regule la publicidad de determinados
productos, bienes, actividades o servicios.

4. Es engañosa la publicidad que de cualquier manera, incluida su presentación, induce o


puede inducir a errores a sus destinatarios, pudiendo afectar a su comportamiento
económico, o perjudicar o ser capaz de perjudicar a un competidor.

Es asimismo engañosa la publicidad que silencie datos fundamentales de los bienes,


actividades o servicios cuando dicha omisión induzca a un error de los destinatarios.

Descarga - Ley general de la Publicidad

Descarga - Información telecomunicaciones

Por consiguiente tendremos que avisar al usuario de esta salida y nuevo acceso a Web
externa, existen muchos modos de avisar al usuario, las más fáciles de implementar en su
Web son:

Incluir un mensaje cuando pinchan en el link indicando que están saliendo de


www.NOMBRE_DE_SU_WEB.com y esta accediendo a www.EJEMPLO.com
Que se abra una pantalla emergente al pinchar sobre el enlace con un texto explicativo.
Un mensaje similar al pasar el ratón por encima de dicho Link.
A continuación se incluyen varios textos orientativos para incluirlos en su Web. A través
de botones con acceso permanente y fácilmente localizados. En este texto se incluye tanto
la política de privacidad, condiciones de uso, avisos legales, etc.

(Botón)
AVISO LEGAL

“SU RAZÓN SOCIAL”, S.L. Garantiza la privacidad de los datos de carácter personal
aportados, según la LOPD.

La visita a este website no supone que el usuario esté obligado a facilitar ninguna
información sobre sí mismo; no obstante durante la visita es posible sé que soliciten datos
de carácter personal a través de formularios.

Dichos datos serán utilizados para contestar la solicitud por su parte realizada y para el
envío de la misma, también serán utilizados para enviarles información de nuestra
empresa y servicios por cualquier medio de comunicación aportado, al enviarnos dicho
formulario usted está aceptado explícitamente la recepción de los mismos, en lo sucesivo,
en el caso que no deseara recibir nuestra información, únicamente tendría que enviar un
correo electrónico solicitando la baja de nuestro servicio informativo a
info@XXXXXXXXXX.com. Sus datos personales formarán parte de un fichero
informatizado, cuyo destinatario y responsable del fichero y del tratamiento del mismo es:

168
“SU RAZÓN SOCIAL”, S.L., en C/____________, __, C: Postal_________, de ____________
donde podrá ejercer los derechos de acceso, rectificación, cancelación y oposición,
mediante escrito la dirección antes indicada incluyendo copia del DNI o documento
identificativo equivalente.

La negativa a proporcionar los datos supondrá la no prestación o la imposibilidad de


acceder al servicio para los que eran solicitados. Usted tiene derecho a recibir respuesta de
cualquier pregunta, consulta o aclaración que le surja derivada de este formulario. En el
supuesto de que aporte sus datos a través de un mensaje de correo electrónico, el mismo
formará parte del mismo fichero cuya finalidad será la gestión de la solicitud o comentario
que nos realiza, siendo aplicables el resto de extremos indicados en el párrafo anterior.
Todos sus datos serán dados de baja definitivamente de nuestra base de datos por los
siguientes motivos: 1º- a petición suya. 2º- cuando hayan dejado de ser necesarios para los
fines que motivaron su recogida.

(Botón)

POLITICA DE PRIVACIDAD Y CONDICIONES DE USO

TITULAR WEB
En cumplimiento del artículo 10 de la Ley 34/2002 de 11 de julio de Servicios de la
Sociedad de la Información y de Comercio Electrónico “SU RAZÓN SOCIAL”, S.L., en
calidad de titular del Website www.NOMBRE_DE_SU_WEB.com le comunica los datos
identificativos exigidos por dicha Ley:

Denominación social: “SU RAZÓN SOCIAL”, S.L.,


CIF: B-00000000
Datos de inscripción: Registro Mercantil de _____________ al tomo _________ general,
folio ________ hoja número __________ inscripción ___. Propietaria de la marca “SU
RAZÓN SOCIAL”, S.L., registrada con el número ________
Dirección de correo electrónico: info@XXXXXXXXXXX.com
Domicilio social: C/____________, __, C:Postal_________, de ____________

La presente información regula las condiciones de uso, las limitaciones de responsabilidad


y las obligaciones que los usuarios de la página Web que se publica bajo el nombre de
dominio www. NOMBRE_DE_SU_WEB.com asumen y se comprometen a respetar.

COOKIES

Esta página web utiliza tecnología “cookies”

Descripción: Las cookies constituyen una herramienta empleada por los servidores Web
para almacenar y recuperar información acerca de sus visitantes. No es más que un fichero
de texto que algunos servidores piden a nuestro navegador que escriba en nuestro disco
duro, con información acerca de lo que hemos estado haciendo por sus páginas. Poseen

169
una fecha de caducidad, que puede oscilar desde el tiempo que dure la sesión hasta una
fecha futura especificada, a partir de la cual dejan de ser operativas.
www.NOMBRE_DE_SU_WEB.com utiliza cookies para facilitar la navegación por su
Portal y para obtener una mayor eficacia y personalización de los servicios ofrecidos a los
Usuarios. Las cookies empleadas en www.NOMBRE_DE_SU_WEB.com se asocian
únicamente con un Usuario anónimo y su ordenador, no proporcionan referencias que
permitan deducir el nombre y apellidos del Usuario y no pueden leer datos de su disco
duro ni incluir virus en sus textos. Asimismo, www.NOMBRE_DE_SU_WEB.com no
puede leer las cookies implantadas en el disco duro del Usuario desde otros servidores.
El usuario puede libremente decidir acerca de la implantación o no en su disco duro de las
cookies empleadas en www.NOMBRE_DE_SU_WEB.com En este sentido, el usuario
puede configurar su navegador para aceptar o rechazar por defecto todas las cookies o
para recibir un aviso en pantalla de la recepción de cada cookie y decidir en ese momento
su implantación o no en su disco duro. Para ello le sugerimos consultar la sección de
ayuda de su navegador para saber cómo cambiar la configuración que actualmente
emplea. Aun cuando el Usuario configurase su navegador para rechazar todas las cookies
o rechazase expresamente las cookies de www.NOMBRE_DE_SU_WEB.com podrá
navegar por el Portal con el único inconveniente de no poder disfrutar de las
funcionalidades del Portal que requieran la instalación de alguna de ellas. En cualquier
caso, el Usuario podrá eliminar las cookies de www.NOMBRE_DE_SU_WEB.com
implantadas en su disco duro en cualquier momento, siguiendo el procedimiento
establecido en la sección de ayuda de su navegador.

CONDICIONES DE USO

La utilización de la página otorga la utilización de usuario e implica la aceptación de las


condiciones del aviso legal, política de privacidad y condiciones de uso, si el usuario no
estuviera conforme, se abstendrá de utilizar la página. El Usuario está obligado y se
compromete a utilizar la página y los contenidos de conformidad con la legislación
vigente, el Aviso Legal, y cualquier otro aviso contenido en esta página, así como con las
normas de convivencia, la moral y buenas costumbres generalmente aceptadas. El Usuario
se obliga y se compromete a no transmitir, difundir o poner a disposición de terceros
cualquier contenido en la Página, tales como informaciones, textos, datos, contenidos,
mensajes, gráficos, dibujos, archivos de sonido y/o imagen, fotografías, grabaciones,
software, logotipos, marcas, iconos, tecnología, fotografías, software, enlaces, diseño
gráfico y códigos fuente, o cualquier otro material al que tuviera acceso en su condición de
Usuario de la Página, sin que esta enumeración tenga carácter limitativo.

PROPIEDAD INTELECTUAL

Todas las marcas, nombres comerciales o signos distintivos de cualquier clase que
aparecen en la Página son propiedad de “SU RAZÓN SOCIAL”, S.L., o, en su caso, de
terceros que han autorizado su uso, sin que pueda entenderse que el uso o acceso al Portal
y/o a los Contenidos atribuya al Usuario derecho alguno sobre las citadas marcas,
nombres comerciales y/o signos distintivos, y sin que puedan entenderse cedidos al
Usuario, ninguno de los derechos de explotación que existen o puedan existir sobre dichos

170
contenidos. Y no entiende cedidos ni se autoriza su utilización, en ningún caso, a los
usuarios de la Página salvo que se obtengan dichos derechos por escrito del legítimo
titular de los mismos.

17.4 Cuestionario: La política de privacidad y avisos legales

1.- ¿Tenemos que tener en la Web información registral de nuestra empresa?


Indicando un nº de teléfono de contacto o un correo electrónico a tal efecto, es suficiente,
ya que el usuario puede contactar para solicitar la información que desee.
Si, tenemos que tener de forma clara y siempre accesible, información del titular de la
Web, su CIF,y modo de contacto.
No, ya que nuestra Web pertenece a una pyme, y esta obligación recae únicamente a
grandes empresas.

2.- Mi organización utiliza tecnología cookies ¿tenemos que avisar al usuario de ello?
Tenemos que incluir en la política de privacidad un texto explicativo sobre la utilización
de cookies en nuestra Web e indicarles la forma de desactivarlas.
Únicamente si nuestra página Web tiene un sistema de contratación o compra online, en
caso contrario no es necesario incluir dicha información, aunque si es recomendable.
Obviamente no hace falta ningún aviso pues la utilización de cookies no es ningún sistema
malicioso ni intrusivo, ya que no guarda información con datos de carácter personal del
usuario.

3.- Nuestra organización pertenece a un grupo empresarial, por lo cual en mi página Web
tenemos links con acceso al resto de empresas del grupo.
No es legal tener acceso a otras páginas diferentes a la que a entrado el usuario, es una
medida de seguridad impuesta por la AEPD.
Tenemos que avisar al usuario antes de empezar a navegar por las páginas diferentes, que
está saliendo de la principal.
Siempre que sean páginas Web que tengan relación con la principal y además no utilicen
tecnología cookies, no será necesario tomar ninguna medida adicional.

4.- ¿Qué son las cookies?


Un potente sistema de seguridad para virus y anti-espías.
Un sistema de control de copias de seguridad para acceder a páginas anteriormente
visitadas, evitando de este modo entrar en páginas piratas o en páginas copia.
Un fichero de texto donde nuestro navegador guarda información relativa a la pagina
visitada.

5.- ¿Qué debemos incluir antes de recabar datos personales en un formulario de contacto?
Una casilla de marcación ineludible aceptando o no, las condiciones de uso y avisos
legales pertinentes.
Un texto explicativo de nuestros productos o servicios, en el que incluiremos la garantía
del mismo, impuestos aplicados y gastos de gestión o transporte.

171
Antes de solicitar los datos, incluiremos un cuadro de texto, donde incluiremos los datos
de la empresa que los recaba.
Todas las respuestas son correctas.

17.5 Cuestionario: Cuestionario final

1.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes
para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean
adversos, a más de seis años, siempre que respondan con veracidad a la situa
Falso.
Verdadero.

2.- ¿Es posible que reciban de parte del Director de la Agencia una cesación del
tratamiento de datos? ¿y qué plazos tienen para el cumplimiento y las alegaciones?
Si, El plazo máximo para cumplir el cesamiento es inmediato a la recepción del mismo, no
teniendo que realizar acción alguna mientras no lo indique de forma fehaciente la AEPD.
Si, el plazo para cumplir con el cesamiento se hará efectivo de forma inmediata,
presentando las alegaciones oportunas como máximo en tres días.
Si, además en el plazo de 3 días tenemos que cumplir con dicho cesamiento y en el mismo
plazo presentar las alegaciones oportunas.

3.- En una oficina donde existe un archivador común para almacenar expedientes de
clientes y al cual por su ubicación física, tiene acceso todos los empleados, ¿Cómo se
iniciará el protocolo de seguridad en lo que concierne a las personas con acceso?
No es necesario tomar ninguna iniciativa con las personas que tienen acceso ya que estas
solo son empleados/as y realizan su función especifica
Se registrará en el RGPD el nombre de cada persona con acceso al archivador que contiene
los ficheros y recaerá sobre los mismos la figura de responsable del fichero, ya que todos
tienen acceso.
Nombraremos a las personas con dicho acceso en un registro de personal autorizado y
accesos permitidos,todas ellas firmaran como recibido y entendido el propio documento
de seguridad o en su caso la parte correspondiente a las medidas de seguridad y oblig

4.- Por norma general, ¿Cuánto tiempo podemos tener almacenadas las imágenes
captadas?
Se conservaran el tiempo imprescindible para satisfacer la finalidad por la que fueron
captadas, con un plazo máximo de un mes.
Como máximo será de tres meses, pudiendo ampliar dicho plazo si tenemos restringido
las intrusiones no deseadas.
Todas las respuestas son correctas.
No hay plazo máximo, siempre que tengamos restringido el acceso a las imágenes, y a
estas grabaciones únicamente tenga acceso el responsable del fichero.

5.- El tratar datos de carácter personal sin el consentimiento explicito del afectado puede

172
acarrear sanciones de:
Desde 900€ a 40000€.
Desde 600€ a 900€.
Desde 40000 a 300000€.

6.- ¿Cuándo le tiene que dar la opción a un usuario/afectado a darse de baja de las
comunicaciones electrónicas que le envía?
Únicamente la primera vez que le enviemos publicidad por correo electrónico, será
necesario incluir esta información, ya que la LSSI en su Artículo 21.2 letra E, nos indica
que el consentimiento tácito es válido siempre que por lo menos una vez se le haya
más.
Siempre que cuando se le hayan recabado los datos de carácter personal le hayamos
avisado fehacientemente de la finalidad de los datos y en esta finalidad se le indique que
se le enviarán correos electrónicos publicitarios y que puede negarse a ello pero
En todas las comunicaciones informativas, promocionales y demás publicidades enviadas,
tendremos que incluir la información pertinente para que de forma sencilla y gratuita
pueda solicitar el no recibir más publicidad.

7.- ¿Qué son las cookies?


Un potente sistema de seguridad para virus y anti-espías.
Un fichero de texto donde nuestro navegador guarda información relativa a la pagina
visitada.
Un sistema de control de copias de seguridad para acceder a páginas anteriormente
visitadas, evitando de este modo entrar en páginas piratas o en páginas copia.

8.- A las personas de las que tomemos datos personales les informaremos de:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad
de la recogida de éstos y de los destinatarios de la información.
Todas las respuestas son correctas.
De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

9.- Principalmente, en los envíos publicitarios a través del correo electrónico a clientes
deberemos incluir.
Los datos de contacto de la empresa que emite la publicidad, la dirección postal y el modo
de ejercer los derechos que amparan al afectado.
Todas las respuestas son correctas.
De donde provienen sus datos, incluyendo la palabra publicidad en el apartado asunto, la
posibilidad de darse de baja de estas comunicaciones, los datos fiscales de la misma.
La palabra Publicidad al principio del apartado ASUNTO, en el cuerpo del mensaje
indicaremos la razón social de la empresa que envía la Publicidad y se incluirá el aviso
legal, donde de forma clara, sencilla y gratuita le indicaremos al afectado la forma

10.- ¿Cuántos carteles informativosde videovigilancia tienen que tener expuestos?


Sería suficiente tener uno que estuviera bien visible bajo la 1ª cámara.
Tantos como accesos diferentes tenga la zona videovigilada.
Uno mínimo bajo cada cámara.

173
11.- ¿Qué debemos incluir antes de recabar datos personales en un formulario de contacto?
Un texto explicativo de nuestros productos o servicios, en el que incluiremos la garantía
del mismo, impuestos aplicados y gastos de gestión o transporte.
Todas las respuestas son correctas.
Una casilla de marcación ineludible aceptando o no, las condiciones de uso y avisos
legales pertinentes.
Antes de solicitar los datos, incluiremos un cuadro de texto, donde incluiremos los datos
de la empresa que los recaba.

12.- Se considera el nivel medio de seguridad en los ficheros, cuando:


Los ficheros contienen datos relativos a la comisión de infracciones administrativas o
penales, Hacienda Pública y servicios financieros.
Los ficheros contienen datos de carácter personal.
Los ficheros contienen datos de ideología, creencias.

13.- ¿Cuándo es posible que las cámaras de su empresa puedan captar imágenes de las
zonas públicas?
Cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte
imposible evitarlo por razón de la ubicación de aquéllas, siempre que sean parciales y
limitadas.
Cuando estén instaladas por empresas debidamentehomologadas.
Siempre es posible, lo único que tenemos que tener presente son los carteles informativos
antes de entrar en la zona videovigilada.

14.- Se considera el nivel alto de seguridad en los ficheros, cuando:


Los ficheros contienen datos relativos a la comisión de infracciones administrativas o
penales.
Los ficheros contienen datos de ideología, creencias, origen racial, salud y vida sexual.
Los ficheros contienen datos de carácter personal.

15.- ¿A quién va dirigida la LSSI-CE?


A toda empresa o particulares, en definitiva, cualquier pagina Web o correo electrónico
que circule por la Red.
A las empresas que contienen formularios donde nos recaban datos de carácter personal.
A toda empresa o profesional que tenga o envíe publicidad y prestadores e intermediarios
de comunicaciones.

16.- Además de las medidas de nivel básico y medio, las medidas de nivel alto¿en qué
supuestos ficherosse aplicaran?
Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento
de las personas afectadas.
Aquéllos que contengan datos derivados de actos de violencia de género.
Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual.
Todas son correctas.

174
17.- ¿A partir de qué edad el niño puede consentir por el mismo?
Siempre que sea menor de edad será necesario del consentimiento de padres o tutores.
A partir de los 14 años.
A partir de los 16 años.
A partir de los 18 años.

175

También podría gustarte