LA PROTECCIÓN DE DATOS

EN ESPAÑA
Eduard Chaveli Donet

@eduardchaveli

http://www.linkedin.com/in/eduardchaveli
1. Introducción (Origen)
Artículo 18 C.E.

•  Se garantiza el derecho al honor, a la intimidad personal y familiar y

a la propia imagen.

•  El domicilio es inviolable. Ninguna entrada o registro podrá hacerse

en él sin consentimiento del titular o resolución judicial, salvo en
caso de flagrante delito.

•  Se garantiza el secreto de las comunicaciones y, en especial, de

las postales, telegráficas y telefónicas, salvo resolución judicial.

•  La Ley limitará el uso de la informática para garantizar el

honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos.”

La protección de datos en España – Eduard Chaveli Donet 2

1.2. Marco legal

BÁSICO.

§  Artículo 18.4 de la Constitución Española.

§  Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de julio

de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de
estos datos.

§  Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos

de Carácter Personal [LOPD]

§  Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal [RDLOPD]
Entró en vigor el 19 de abril de 2008

La protección de datos en España – Eduard Chaveli Donet 3

NORMAS SECTORIALES.

§  Ley 34/2002, de 11 de julio, de servicios de sociedad de la información

y de comercio electrónico.

§  Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía

del paciente, y de derechos y obligaciones en materia de información
y documentación clínica.

§  ….

La protección de datos en España – Eduard Chaveli Donet 4

1.3 Conceptos básicos
Dato de carácter personal
TIPO DE INFORMACIÓN CONCERNIENTE A PERSONA SUSCEPTIBLE DE
FÍSICA O NATURAL TRATAMIENTO

Numérica CARACTERÍSTICAS SOPORTE FÍSICO

Ej. DNI, Matrícula vehículo
§ Física Automatizado (informático)
Alfabética § Psíquica No automatizado (papel)
Ej. Nombre y Apellidos § Fisiológica
§ Económica TRATAMIENTO
Fotográfica § Cultural
Ej. Imagenes captadas por § Social Operaciones y procedimientos
cámaras o vídeo camaras técnicos de carácter
vigilancia PERMITA DIRECTA O automatizado o no
INDIRECTAMENTE IDENTIFICAR A
LA PERSONA § Recogida
Acústica § Grabación
Ej. Voz humana Sin emplear medios o plazos § Conservación
desproporcionados. § Elaboración
§ Modificación
De cualquier otro tipo
§ Bloqueo
Ej. Marca física (tatuaje o
§ Cancelación
cicatriz)
Así como las cesiones de datos

La protección de datos en España – Eduard Chaveli Donet 5

§  Afectado o interesado: Persona física titular de los datos que sean
objeto de tratamiento

§  Responsable del fichero o tratamiento: Persona física o jurídica, de

naturaleza pública o privada, u órgano administrativo, que sólo o
conjuntamente con otros decida sobre la finalidad, contenido y uso
deltratamiento, aunque no lo realizase materialmente…

§  Encargado del tratamiento: La persona física o jurídica, pública o

privada, u órgano administrativo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento o del
responsable del fichero, como consecuencia de la existencia de una
relación jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio.

La protección de datos en España – Eduard Chaveli Donet 6

§  Usuario: sujeto autorizado para acceder a datos o recursos (cualquier
parte componente de un sistema de información )

§  Responsable de seguridad: persona o personas a las que el

responsable del fichero ha asignado formalmente la función de
coordinar y controlar las medidas de seguridad aplicables

La protección de datos en España – Eduard Chaveli Donet 7

2. A,E,I,O,U de la LOPD

a. Inscripción de ficheros en a AEPD.

e. Cumplimiento del deber de información del interesado y, en su caso, la

obtención del consentimiento para el tratamiento de su información de
carácter personal.

i. Formalización de contratos de acceso a datos por cuenta de terceros

y contratos de prestación de servicios sin acceso a datos por
terceros.

o. Elaboración del Documento de seguridad e implantación de

medidas de seguridad de carácter técnico y organizativo en el sistema
de información.

u. Formación del personal: usuarios y responsables de seguridad.

La protección de datos en España – Eduard Chaveli Donet 8

(a)  INSCRIPCIÓN (modificación y cancelación) DE FICHEROS

i.  ¿Qué es?

Se trata de la obligación que tiene el Responsable de inscribir sus

ficheros en el RGPD de la AEPD.
ii.  ¿Cómo se hace?
•  Con el programa NOTA
h t t p s : / / w w w. a g p d . e s / p o r t a l w e b A G P D / c a n a l r e s p o n s a b l e /
inscripcion_ficheros/Notificaciones_tele/obtencion_formulario/index-
ides-idphp.php
•  o con cualquier otra aplicación que lo permita

iii.  ¿Dónde se consultan los ficheros?

https://www.agpd.es/portalwebAGPD/ficheros_inscritos/index-ides-
idphp.php

 
 

La protección de datos en España – Eduard Chaveli Donet 9

(e) EL DEBER DE INFORMACIÓN Y LA LEGITIMACIÓN EN LA
RECOGIDA DE DATOS (artículos 5,6,7 y 11 LOPD)

(e) DEBER DE INFORMACIÓN

i.  ¿Qué es?

Nace de un derecho del interesado a ser informado

sobre dónde irán los datos aportados, para qué serán
utilizados, a quienes se cederán …
Es una obligación o deber para el Responsable del
Fichero [Abogado].
Por tanto en cualesquiera recogida de datos efectuada,
mediante formularios o cuestionarios, en papel y/o
electrónicos, debiera proporcionarse al interesado la
información preceptiva = CLAUSULAS
 
   
   
 

La protección de datos en España – Eduard Chaveli Donet 10

ii. ¿Cuál es la información que debe proporcionarse al interesado ?
§  De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios de
la información.
§  Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
§  De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
§  De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
§ De la identidad y dirección del Responsable del Tratamiento.

La protección de datos en España – Eduard Chaveli Donet 11

iii. Praxis cumplimiento del deber de información.

Artículo 5.2 LOPD << Cuando se utilicen cuestionarios u otros impresos

para la recogida, figurarán en los mismos, en forma claramente legible,
las advertencias antes mencionadas >>

Se deberán redactar cláusulas informativas a introducir con el fin de

cumplir con este derecho, en diferentes documentos:

Ejemplos: q  FORMULARIOS ELECTRÓNICOS Y/O

EN PAPEL.
q  ADENDA EN CONTRATOS DE EMPLEADOS.
q  CLÁUSULA PARA PROCESO DE SELECCIÓN DE
PERSONAL (Curriculum)
q DEBER DE INFORMACIÓN EN RELACIÓN CON LA
VIDEO VIGILANCIA
q CLÁUSULA PARA EL CORREO ELECTRÓNICO
q  CLÁUSULA PARA LA PORTADA DEL FAX

La protección de datos en España – Eduard Chaveli Donet 12

(e´´) LEGITIMACIÓN PARA TRATAR LOS DATOS
(Art. 6 LOPD y 10 y ss. RDLOPD)

I.  Regla general: Necesario el consentimiento

II.  Excepciones:
a. No es necesario el consentimiento:
-  Recogidos para el ejercicio de las funciones propias de
Administración;
-  Cuando se trata de una relación negocial, laboral o
administrativa y necesarios para su cumplimiento o
mantenimiento;
-  Salvaguarda de intereses vitales del interesado;
-  Fuentes accesibles al público.

b. Consentimiento expreso: Raza, salud o vida sexual.

c. Consentimiento expreso y por escrito: Ideología, afiliación

sindical, religión o creencias.

La protección de datos en España – Eduard Chaveli Donet 13

(e´´´) LEGITIMACIÓN PARA LA CESIÓN
(Art. 11 LOPD y 10 y ss. RDLOPD)

Cesión o comunicación de datos: toda revelación de datos

realizada a una persona distinta del interesado (articulo 3 LOPD y 5
RDLOPD).

Regla general: Es necesario el consentimiento del interesado.

Excepciones: Hay una serie de excepciones (art. 11.2. LOPD).

Ej. Cuando la cesión esté autorizada por Ley, Cuando se trate de
una jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de
terceros, cuando tenga por destinatarios a jueces, ministerio fiscal
etc…
 
 

La protección de datos en España – Eduard Chaveli Donet 14

¿Qué ocurre con los menores? (artículo 13 RDLOPD)

•  Si < 14: Necesario el consentimiento de los padres.

•  Si > 14: Consentimiento del menor.

MATICES:
I.  No se puede pedir a menor datos sobre demás miembros de
su familia si no existe el consentimiento de éstos.
II.  La información dirigida a los mismos deberá expresarse en un
lenguaje que sea fácilmente comprensible por aquéllos.
III. Articular los procedimientos que garanticen que se ha
comprobado de modo efectivo la edad del menor y la
autenticidad del consentimiento prestado en su caso, por los
padres, tutores o representantes legales.

La protección de datos en España – Eduard Chaveli Donet 15

(i)  RELACIÓN CON TERCEROS

(I´) CONTRATOS DE ACCESO A DATOS POR CUENTA DE

TERCEROS.
Encargado de Tratamiento = La persona física o jurídica, autoridad
pública servicio o cualquier otro organismo que, sólo o conjuntamente
con otros, trate datos personales por cuenta del responsable del
tratamiento.

Ficción legal = Estos supuestos no se consideran “cesión o

comunicación de datos” y, por tanto, no se rigen por las reglas del
consentimiento antes citadas sobre comunicaciones de datos.

¡¡ Cualquier supuesto en el que un tercero [empresa o profesional] para

prestar un servicio, remunerado o no, eventual o indefinido, acceda a
datos personales de los ficheros en papel o informático titularidad del
Responsable del fichero !!

La protección de datos en España – Eduard Chaveli Donet 16

i. Praxis formalización contratos de acceso a datos por cuenta
de terceros

a) Firma del Contrato

En estos supuestos, norma obliga a que se firme un contrato entre el

Responsable de Fichero o Tratamiento y el Encargado de
Tratamiento [Tercero, prestador del servicio].

No obstante, para la formalización, puede optarse por las siguientes

alternativas:

§  Contrato ad hoc, de acceso a datos por terceros.

§  Inclusión de una cláusula o estipulación en el contrato de

prestación de servicios, que recoja los extremos preceptivos.

§  O se incluya en un anexo [adenda] al citado contrato de

prestación de servicios.

La protección de datos en España – Eduard Chaveli Donet 17

b) Control y observancia de cumplimiento de la obligación

A estos efectos, es necesario que:

* Identifique los supuestos en los que la ejecución del servicio, puede

comportar un acceso y/o tratamiento de datos personales, obrantes
en los ficheros informáticos y/o en papel.

* En caso afirmativo, comprobar si el contrato de prestación de servicios

que presenta a firma el tercero, incluye una cláusula o estipulación
que se recoja en los términos, esto es, disponga del contenido legal
que a continuación se expone.

La protección de datos en España – Eduard Chaveli Donet 18

c) Contenido del contrato

Sujeción al Responsable de Fichero = Se deberá establecer “que el encargado

del tratamiento únicamente tratará los datos conforme a las instrucciones del
Responsable
Finalidad y Uso del acceso o tratamiento = También se hará constar “que (el
encargado) no los aplicará o utilizará con un fin distinto al que figure en dicho
contrato”.
Cesión o comunicación de datos = Asimismo hay que hacer constar que el
encargado “no los comunicará, ni siquiera para su conservación, a otras
personas”.
Adopción de medidas de seguridad = De igual forma el precepto obliga a que
“en el contrato se estipulen las medidas de seguridad exigidas por esta normativa
que el encargado del tratamiento está obligado a implementar”.
Deber de devolución y/o destrucción = “una vez cumplida la prestación
contractual, los datos de Carácter personal deberán ser destruidos o devueltos
al responsable del tratamiento, al igual que cualquier soporte o documentos en
que conste algún dato de carácter personal objeto del tratamiento”.
Responsabilidad = “En el caso de que el encargado del tratamiento destine
los datos a otra finalidad, los comunique o los utilice incumpliendo las
estipulaciones del contrato, será considerado también responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente”.

La protección de datos en España – Eduard Chaveli Donet 19

Algunos ejemplos

•  Empresas de mantenimiento informático: Software y hardware

(Si alguna empresa le mantiene el software o el hardware)

•  Asesorías y gestoría laborales/contables/fiscales.

(Si otra asesoría le lleva su contabilidad, su fiscalidad, sus nóminas etc..
al abogado)

•  Servicio de copias de seguridad externalizada

•  Otros que reciba y en los que los proveedores deban tratar datos

La protección de datos en España – Eduard Chaveli Donet 20

(i´´) Prestación de servicios sin acceso a datos (art.83 RDLOPD)

i. ¿Qué es?
•  El responsable del fichero o tratamiento adoptará las medidas
adecuadas para limitar el acceso del personal a datos personales, a los
soportes que los contengan o a los recursos del sistema de información,
para la realización de trabajos que no impliquen el tratamiento de
datos personales.
•  Cuando se trate de personal ajeno, el contrato de prestación de
servicios recogerá expresamente la prohibición de acceder a los datos
personales y la obligación de secreto respecto a los datos que el
personal hubiera podido conocer con motivo de la prestación del servicio.

ii. Praxis
q  Ejemplo: Servicios de limpieza, destrucción de documentos,
mantenimiento en general

La protección de datos en España – Eduard Chaveli Donet 21

 (o) MEDIDAS DE SEGURIDAD

ESPECIAL REFERENCIA A LA ELABORACIÓN DEL DOCUMENTO

DE SEGURIDAD

§  El   Responsable   del   Fichero,   y,   en   su   caso,   el   Encargado   del  

Tratamiento,   deberán   adoptar   las   medidas   de   índole   técnica   y  
organiza<vas   necesarias,   que   garan<cen   la   seguridad   de   los   datos   de  
carácter  personal  y  eviten  su  alteración,  pérdida,  tratamiento  o  acceso  
no  autorizado,  habida  cuenta  del  estado  de  la  tecnología,  la  naturaleza  
de   los   datos   almacenados   y   los   riesgos   a   que   están   expuestos,   ya  
provengan  de  la  acción  humana  o  del  medio  >sico  o  natural.  

§  No   se   registrarán   datos   de   carácter   personal   en   ficheros   que   no  

reúnan   las   condiciones   que   se   determinen   por   vía   reglamentaria   con  
respecto   a   su   integridad   y   seguridad   y   a   las   de   los   centros   de  
tratamiento,  locales,  equipos,  sistemas  y  programas.  
 

La protección de datos en España – Eduard Chaveli Donet 22

  
•  Las medidas se dividen en niveles: BÁSICO, MEDIO Y ALTO (según
la tipología de datos tratados. (Vid. art. 81 RD 1720/2007).

•  Existen medidas técnicas y organizativas

•  Hay medidas comunes a todos los ficheros y otras específicas:

- Para los ficheros automatizados: Ej. Copias de seguridad, Control

de acceso lógico (ej. Contraseñas), etc…
- Para los ficheros no automatizado: Ej. Armarios cerrados con llave,
destructoras de papel etc …

•  Se trata de medidas mínimas.

•  Las medidas se recogerán en el denominado Documento de

Seguridad. Su contenido mínimo se prevé en el RD 1720/2007.

•  Puedes ver un modelo en:

h t t p s : / / w w w. a g p d . e s / p o r t a l w e b A G P D / c a n a l d o c u m e n t a c i o n /
publicaciones/common/Guias/modelo_doc_seguridad.pdf
 
La protección de datos en España – Eduard Chaveli Donet 23
(U) FORMACIÓN

DE NADA SIRVE QUE TENGAMOS TODO LO ANTERIOR SI:

-  LOS USUARIOS no están formados y concienciados en la materia.

-  LOS RESPONSABLES DE SEGURIDAD no conocen sus funciones y

saben como cumplirlas.

La protección de datos en España – Eduard Chaveli Donet 24