2.

LA PROTECCIÓN DE LA IN FORMACIÓN
Nos vamos a basar en la Ley Europea de Protección de datos del año 2018 que empezó a funcionar en Mayo 2018.
Esta ley tiene por objeto garantizar y proteger derechos y libertades de las personas físicas, en especial su honor e intimidad,
mediante la protección de sus datos privados.
La ley hace referencia a los datos de las personas físicas contenidos en los archivos existentes en las empresas.
Su ámbito de aplicación es territorio español, afecta a los datos efectuados en España.

2.1. OBJETO Y ÁMBITO DE APLICACIÓN DE LA LOPD.

Esta ley tiene por objeto garantizar y proteger los derechos y libertades de las personas físicas en especial su honor e
intimidad, mediante la protección de sus datos privados, o de cualquier otro tipo, que permitan identificarla o que puedan
suponer una amenaza.
Su ámbito de aplicación comprende tanto a las personas físicas afectadas como al territorio en el que ha de aplicarse.
Esta ley hace referencia a los datos de las personas físicas contenidos en los archivos existentes en las empresas. Y su ámbito
de aplicación es el territorio español.

Es Importante comprender:
● Qué datos personales manejo
● Como los conseguí
● Donde se almacenan
● Como se usan
● Por dónde pueden circular.
Sobre qué son esos datos:
● Nombre, foto, dirección de correo electrónico, datos bancarios, sus publicaciones en RRSS, información médica,
IP de un ordenador.

B. INSCRIPCIÓN REGISTRAL DE FICHEROS.

Nos indica que toda persona o entidad que cree un fichero de datos de carácter personal debe notificarlo previamente a
la asociación española de protección de datos.
● Hay que inscribir/ rellenar en esta página de la AEPD lo que se llama un REGISTRO DE LA ACTIVIDAD.
● Debe guardarse en la empresa tanto en formato electrónico como escrito.
● Hay que tenerlo siempre actualizado y a disposición de esta AEPD para su control.
● Este registro que hay que hacer es responsabilidad del responsable de tratamiento de datos de cada empresa, si
no se hace este registro será una infracción grave.
● Este registro tendrá que contener:
○ Datos del responsable de tratamiento de datos de la empresa.
○ Datos del delegado de protección de datos.
○ Tiene que especificarse la categoría de los datos que tenemos archivados.
○ Si va a haber transferencia internacional de esos datos.
○ Si se prevé una fecha de supresión (eliminación) de esos datos.
○ Descripción general de medidas de seguridad que tiene esa empresa respecto a esos datos.

PRINCIPIO DESCRIPCIÓN
1. CALIDAD DE LOS DATOS Los datos deben ser exactos, estar actualizados y recogerse atendiendo a un criterio,
(ART.4) para una finalidad y un uso posterior claramente definido y legítimo. Los datos
cuando dejen de ser útiles serán cancelados y eliminados.
2. DEBER DE INFORMACIÓN El responsable del fichero debe informar al interesado de forma previa, expresa y
(ART.5) precisa de los siguientes aspectos: existencia de un fichero de datos; finalidad de

3. CONSENTIMIENTO DEL
AFECTADO (ART. 6)
4. DATOS ESPECIALMENTE
PROTEGIDOS (ART. 7)
5. SEGURIDAD DE LOS DATOS
(ART. 9)
6. DEBER DE SECRETO (ART. 10)
7. COMUNICACIÓN DE LOS
DATOS (ART. 11)
8. ACCESO A LOS DATOS POR
PARTE DE TERCERAS PERSONAS
(ART. 12)
A. DERECHOS BÁSICOS RESPECTO A LA PROTECCIÓN DE DATOS.
recogida de datos; consecuencias de la obtención de los datos; y la identidad y
dirección del responsable del fichero.
El tratamiento de los datos de carácter personal requiere del consentimiento del
afectado, y son los interesados los que tienen la última palabra para darlos o no.
La legislación otorga un trato especial a determinadas categorías de datos, al
considerar que afectan a aspectos muy delicados de la persona.
El responsable de los datos ha de garantizar su seguridad y evitar la alteración,
pérdida, acceso o tratamiento no utilizado. No se registran datos si no se cumplen
las condiciones mínimas.
El responsable de los datos y cualquier persona que intervenga en su tratamiento
estará obligado a mantener el secreto profesional.
Los datos sólo podrán ser comunicados a terceros con el consentimiento previo del
interesado.
Cuando una tercera persona acceda a los datos para la prestación de un servicio al
responsable del fichero, no se considerará comunicación de datos.

DERECHO DE ACCESO: Da al ciudadano derecho a acceder y controlar el uso que se esté haciendo de sus datos, a saber, si
están siendo tratados y, si lo están siendo, a saber el fin de su tratamiento. También nos da derecho a saber la fuente de la
cual se han obtenido.
Este derecho sólo podrá ser ejercido por el titular de esos datos. Nadie puede reclamar datos sobre terceros. Para ejercer
el derecho de acceso es necesario rellenar una serie de formularios y presentarlos ante la empresa u organismo público en
el que queramos ejercer el derecho de acceso.

DERECHO DE RECTIFICACIÓN: Reconoce nuestro derecho a exigir la modificación de nuestros datos cuando estos sean
inexactos. Al igual que el caso anterior, sólo puede ser ejercido por el titular de los datos a modificar, especificando qué
datos desea corregir, así como la corrección a llevar a cabo.

DERECHO DE CANCELACIÓN: Nos otorga el derecho a solicitar la supresión de nuestros datos. Al igual que los demás
derechos debe ser ejercido por el titular de los datos, que aportará la documentación pertinente indicando que datos desea
ver suprimidos.
El ejercicio de este derecho dará lugar al bloqueo de los datos, quedando a disposición de las Administraciones Públicas,
Jueces y Tribunales durante un determinado plazo de tiempo después del cual se procederá a la supresión definitiva.

DERECHO DE OPOSICIÓN: El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de
sus datos de carácter personal o se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento.

DERECHO DE INDEMNIZACIÓN: Podremos solicitar una indemnización por los daños que nos puedan haber ocasionado
como consecuencia del incumplimiento y lo podemos hacer por la vía jurídica civil para archivos privados y por la vía
administrativa para ficheros públicos.

CÓMO EJERCITAR LOS DERECHOS

● Dirigirse al responsable del fichero
● Mi solicitud tiene que ser resuelta en 10 días, si en este plazo no se resuelve mi petición, será cuando podremos
reclamar ante la agencia española de protección de datos.

DIFERENTES CARGOS:
● Responsable del tratamiento: persona física o jurídica o autoridad pública, que es el responsable de tratamiento
de datos. Suele ser la propia empresa donde trabajo
● Encargado tratamiento: trata datos de carácter personal que son responsabilidad del responsable del
tratamiento.
 ● DPO, Delegado de protección de datos: tiene que ayudar al responsable y/o al encargado del tratamiento de
datos. Puede ser interno de la propia empresa o externo y una vez nombrado, le tenemos que comunicar sus
datos a la AEPD. Este DPO no es obligatorio en todas las empresas, pero si 3 casos concretos:
○ Cuando el tratamiento de datos lo hace un organismo público o autoridad.
○ Si las actividades principales del responsable o encargado de la protección de datos consisten en
operaciones de tratamiento que requieren seguimiento regular.
○ Cuando las actividades principales del responsable o encargado consisten en tratar datos a gran escala
de categorías especiales (religión, médico) o si son datos relacionados con delitos penales o condenas.

EMPRESAS QUE NECESITAN OBLIGATORIAMENTE DPD y luego opcional que tengan un encargado de tratamiento:
● Centros docentes.
● Bancos.
● Aseguradoras.
● Centros sanitarios.
● Comercializadores de energía eléctrica y gas natural.
Los responsables y encargados tienen que comunicar en un plazo de 10 días a la agencia española de protección de datos,
las designaciones y ceses de los Delegados de protección de datos.

COMUNICAR LOS INCIDENTES DE SEGURIDAD.

Es obligatorio notificar en un plazo de 72h desde que se conoció que se ha violado la seguridad en algún fichero, se tiene
que comunicar a la agencia y al afectado.
Si esta brecha de seguridad se considera alto riesgo, la empresa puede comunicarlo directamente al interesado.
Al notificarlo a la autoridad competente se debe notificar como mínimo:
● Naturaleza de la violación, que ha pasado.
● Datos de contacto del DPD.
● Consecuencias de lo que ha pasado.
● Medidas adoptadas para remediar esta brecha de seguridad que se ha producido.

CONSENTIMIENTO INEQUÍVOCO
Los menores de 14 años necesitan el consentimiento de sus padres.

DENUNCIAS Y RECLAMACIONES
CLASIFICAMOS LAS INFRACCIONES en 2 categorías:
● Las menos graves se sancionarán con hasta 10 m€ o el 2% del volumen de facturación de la empresa.
● Las más graves con multas de hasta 20m€ o el 4% del volumen de facturación de la empresa
Esta sanción se aplica sobre los responsables y encargados del tratamiento y no al delegado de la protección de datos.

PARA FIJAR LA CUANTÍA SE TIENEN EN CUENTA ALGUNOS CRITERIOS:

● Volumen de negocio.
● Grado de intención.
● Que haya o no reincidencia, si es la primera vez que pasa.
● Prejuicios que se hayan podido causar a personas interesadas.
Se puede sustituir la sanción por un APERCIBIMIENTO (una llamada de atención) para que el infractor adopte las medidas
correctoras.
En caso de que no demuestre que está cumpliendo esas medidas, ya se abriría un expediente sancionador.