ProteccionDeDatosDeCaracterPersonalUCAV PDF

PROTECCIÓN
DE DATOS
DE CARÁCTER
PERSONAL
Alfonso Bienes Adánez
Textos universitarios
25
Textos universitarios
25
Alfonso Bienes Adánez
PROTECCIÓN
DE DATOS
DE CARÁCTER
PERSONAL
2017
Bienes Adánez, Alfonso
Protección de datos de carácter personal [Libro electrónico] / Alfonso Bienes Adánez.
Ávila: Universidad Católica de Ávila, 2017. – 1 archivo de Internet (PDF).
(Textos universitarios (UCAV) ; 25)
ISBN 978-84-9040-437-9
1. Datos personales – Protección – España 2. Datos personales – Legislación – España
KKT3042
342.738(460)
© Servicio de Publicaciones
Universidad Católica de Ávila
C/ Canteros s/n. 05005 Ávila
Tlf. 920 25 10 20
publicaciones@ucavila.es
www.ucavila.es
© Primera edición (en formato electrónico): abril 2017
“Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra sólo
puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a
CEDRO (Centro Español de Derechos Reprográficos) si necesita imprimir o descargar algún fragmento de
esta obra (http://www.conlicencia.com; 91 702 19 70 / 93 272 04 47).”
ISBN: 978-84-9040-437-9
Maquetación: INTERGRAF
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Índice general
Unidad 1:
El derecho fundamental a la protección de datos
1.1. Orígenes de la protección de datos............................... 13
1.2. Normativa en la protección de datos............................. 15
1.3. Plan estratégico 2015-2019............................................. 19
1.3.1. Ejes estrategicos del Plan....................................... 19
1.3.2. Destinatarios del Plan Estratégico........................... 19
1.4. Derechos de los sujetos titulares de los datos:
el derecho fundamental a la protección de datos........ 22
Unidad 2:
Registro, datos y videovigilancia
2.1. La inscripción y registro de ficheros y bases
de datos............................................................................ 36
2.2. Datos especialmente protegidos................................... 38
2.2.1. Derecho a la información en la recogida de datos.. 38
2.2.2. El consentimiento del afectado................................ 39
2.2.3. Datos especialmente protegidos............................. 40
2.2.4. Seguridad de los datos............................................ 41
2.2.5. La cesión de datos a un tercero.............................. 42
2.2.6. Acceso a los datos por cuenta de terceros............. 43
2.3. La videovigilancia............................................................ 44
2.4. La protección de datos en las relaciones laborales..... 48
2.4.1. Sistemas internos de denuncias o “whistleblowing”. 50
www.ucavila.es ÍNDICE GENERAL

PROTECCIÓN
DE DATOS
DE CARÁCTER
PERSONAL
1
Unidad
didáctica
El derecho
fundamental
a la protección
de datos
Índice
Objetivos............................................................................................ 10
Introducción...................................................................................... 11
1.1. Orígenes de la protección de datos....................................... 13
1.2. Normativa en la protección de datos..................................... 15
1.3. Plan estratégico 2015-2019..................................................... 19

1.3.1. Ejes estrategicos del Plan............................................... 19
1.3.2. Destinatarios del Plan Estratégico................................... 19
1.4. Derechos de los sujetos titulares de los datos:

el derecho fundamental a la protección de datos................ 22
Resumen............................................................................................ 29
Bibliografía........................................................................................ 30
www.ucavila.es UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS

FORMACIÓN ABIERTA
Objetivos
• Conocer la defensa del derecho fundamental a la protección de datos personales.
• Conocer las definicios legales de la terminología usada en la protección de datos de

carácter personal.
• Entender el origen de la protección de datos en España y conocer la existencia de

autoridades independientes de protección.
• Saber cúal es la normativa más relevante en distintos ámbitos para poder acudir a ella
a la hora de resolver incidencias.
• Conocer el planteamiento del Plan Estratégico 2015/2019 de la Agencia Española de

Protección de Datos: ejes estratégicos y destinatarios.
• Saber cuando pueden tratarse los datos de un ciudadano.
• Comprender el derecho de información en la recogida de datos.
• Reconocer y diferenciar unos derechos de otros en materia de protección de datos,

concretamente: el derecho de acceso, de rectificación, de cancelación y de oposición,
10
UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS www.ucavila.es

Introducción
La protección de datos y la privacidad se sitúan, en todas las encuestas, entre las

preocupaciones destacadas de los ciudadanos. Origen de los datos: Agencia Española de
Protección de Datos”. Ley 37/2007, de 16 de noviembre, sobre reutilización de la infor-
mación del sector público
Teniendo en cuenta que los europeos han otorgado a la protección de datos el rango
de derecho fundamental y que corresponde a la Agencia Española de Protección de Datos
tanto difundir el derecho, como proteger a los ciudadanos, como velar por el cumpli-
miento de la legislación española; y por ello es imprescindible escuchar atentamente las
necesidades que plantean todos los implicados y articular los mecanismos necesarios para
fomentar las garantías necesarias.
La protección de datos vive un momento determinante, por un lado, con continuos

cambios tecnológicos que imponen un ritmo trepidante y que pueden tener un fuerte im-
pacto en la vida privada de las personas generando una demanda de nueva legislación,
como ha sido con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Acorde con lo anterior el Reglamento comienza diciendo que la protección de

las personas físicas en relación con el tratamiento de datos personales es un derecho
fundamental.
El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión

Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea
(TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter
personal que le conciernan.
Todo tratamiento de datos personales en el contexto de las actividades de un estable-

cimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a
cabo de conformidad con el Reglamento citado, independientemente de que el tratamien-
to tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva
y real de una actividad a través de modalidades estables. La forma jurídica que revistan
tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el fac-
tor determinante al respecto.
11

FORMACIÓN ABIERTA
Para que el tratamiento sea lícito, los datos personales deben ser tratados con el
consentimiento del interesado o sobre alguna otra base legítima establecida conforme a
Derecho, ya sea en el Reglamento reseñado o en virtud de otro Derecho de la Unión o
de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad
de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de
ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a
instancia del interesado con anterioridad a la conclusión de un contrato.
12

1.1. Orígenes
de la protección de datos
Nuestra Constitución dispone en el art. 18.4 que la ley limitará el uso de la informáti-
ca para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
La Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucio-

nal concluye que el derecho a la protección de datos es un derecho fundamental, autó-
nomo y claramente diferenciado de los demás que se garantizan en el mismo art. 18 de la
Constitución Española, siendo su objetivo el garantizar a esa persona un poder de control
sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico
ilícito y lesivo para la dignidad y derecho del afectado.
El Convenio 108 del Consejo de Europa, de 1981, posibilita la existencia de una

autoridad independiente que vele por este derecho y se refuerza con la publicación de
la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
Así se dictaminó que la creación de una autoridad de control que ejerza sus funciones
con plena independencia en cada uno de los Estados miembros constituía un elemento
esencial de la protección de las personas en lo que respecta al tratamiento de datos perso-
nales y que esa autoridad de control debería ejercer sus funciones con total independencia.
La Agencia Española de Protección de Datos goza de esa naturaleza de ente inde-

pendiente, con presupuesto propio y plena autonomía funcional, creándose en 1992 y
desarrollando sus funciones en el año 1994.
También se recogió en la normativa la posibilidad de que los Estados Miembros dis-

pusieran de una o más autoridades públicas que se encargaran de vigilar la aplicación en
su territorio de las disposiciones adoptadas por ellos.
Se crearon así tres agencias autonómicas en España:
• Madrid en el año 2001: La Agencia de Protección de Datos de la Comunidad

de Madrid fue suprimida el 1 de enero de 2013 y sus funciones pasaron a ser
asumidas por la Agencia Española de Protección de Datos.
• Cataluña en el año 2003.
• País Vasco en el 2004. 13

FORMACIÓN ABIERTA
Actualmente existen dos agencias autonómicas: la Autoridad Catalana de Protección

de Datos y la Agencia Vasca de Protección de Datos.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de
carácter personal creados o gestionados por las Comunidades Autónomas y por la Admi-
nistración Local de su ámbito territorial, pero los ficheros privados de estas Comunidades
Autónomas siguen siendo competencia de la Agencia Española de Protección de Datos.
14

1.2. Normativa
en la protección de datos
Podríamos dividir el ámbito normativo de la protección de datos de carácter personal

en las siguientes esferas:
1. Ámbito Europeo.
2. Ámbito Estatal.
3. Ámbito de la Agencia Española de Protección de datos.
4. Ámbito Autonómico.
5. Ámbito Sectorial.
Indiquemos las normas de consulta más importante en cada uno de los referidos
ámbitos:
Ámbito Europeo:
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL

CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físi-
cas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos):
Recordemos que este reglamento si bien entró en vigor a los veinte días de su
publicación en el Diario Oficial de la Unión Europea, no será aplicable hasta el
25 de mayo de 2018.
Ámbito Estatal:
• Constitución Española.
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal (LOPD).
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Regla-

mento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protec-
ción de datos de carácter personal.
• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comu-

nicaciones electrónicas y a las redes públicas de comunicaciones 15

FORMACIÓN ABIERTA
• Resolución de 22 de junio de 2001, de la Subsecretaría, por la que se dispone la

publicación del Acuerdo de Consejo de Ministros por el que se concreta el plazo
para la implantación de medidas de seguridad de nivel alto en determinados
sistemas de información.
Ámbito de la Agencia Española de Protección de datos:
• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la

Agencia de Protección de Datos.
• Resolución de 24 de mayo de 2010, de la Agencia Española de Protección de

Datos, por la que se regula el Registro Electrónico de la Agencia Española de
Protección de Datos.
• Resolución de 18 de marzo de 2010, de la Agencia Española de Protección de

Datos, por la que se crea la Sede Electrónica de la Agencia Española de Protec-
ción de Datos.
• Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección

de Datos, por la que se determina la información que contiene el Catálogo de
ficheros inscritos en el Registro General de Protección de Datos.
• Resolución de 12 de julio de 2006, de la Agencia Española de Protección de

Datos, por la que se crea el Registro Telemático de la Agencia Española de Pro-
tección de Datos.
• Resolución de 12 de julio de 2006, de la Agencia Española de Protección de

Datos, por la que se aprueban los formularios electrónicos a través de los que
deberán efectuarse las solicitudes de inscripción de ficheros en el Registro Ge-
neral de Protección de Datos, así como los formatos y requerimientos a los que
deben ajustarse las notificaciones remitidas en soporte informático o telemático.
• Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, rela-

tiva al ejercicio de los derechos de acceso, rectificación y cancelación.
Y especialmente en el campo de la seguridad privada:
• Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de

Datos, sobre el tratamiento de datos personales con fines de vigilancia a través
de sistemas de cámaras o videocámaras.
• Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre

ficheros automatizados establecidos con la finalidad de controlar el acceso a los
casinos y salas de bingo
• Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre

ficheros automatizados establecidos con la finalidad de controlar el acceso a los
16 edificios.

Ámbito Autonómico:
• Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de

Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
Su objeto es la regulación de los ficheros de datos de carácter personal creados

o gestionados por la Comunidad Autónoma del País Vasco, los órganos forales
de los territorios históricos y las administraciones locales de la Comunidad Au-
tónoma del País Vasco, con algunas excepciones según materia.
• Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.
A la que configura como un organismo independiente que tiene por objeto ga-
rantizar, en el ámbito de las competencias de la Generalidad, los derechos a la
protección de datos personales y de acceso a la información vinculada a ellos.
Ámbito Sectorial:
En este apartado únicamente antederemos al que específicamente nos interesa: el de

seguridad privada.
• Ley 5/2014, de 4 de abril, de Seguridad Privada. [Inclusión parcial]
Respecto a los artículos:
Artículo 15. Acceso a la información por las Fuerzas y Cuerpos de

Seguridad.
Artículo 42. Servicios de videovigilancia.
Artículo 48. Servicios de investigación privada.
Artículo 49. Informes de investigación.
Artículo 57. Infracciones de las empresas que desarrollen actividades

de seguridad privada, de sus representantes legales, de los despachos de
detectives privados y de las centrales de alarma de uso propio.
Artículo 58. Infracciones del personal que desempeñe funciones de

seguridad privada.
La monitorización, grabación, tratamiento y registro de imágenes y

sonidos por parte de los sistemas de videovigilancia estará sometida
a lo previsto en la normativa en materia de protección de datos de
BÁSICO carácter personal, y especialmente a los principios de proporcionalidad,
idoneidad e intervención mínima.
17

FORMACIÓN ABIERTA
Para poder avanzar en el respeto al derecho de la protección de datos de carácter

personal en la empresa en la que estemos prestando nuestros servicios como jefes o di-
rectores de seguridad, es necesario que tengamos clara la terminología y así se distingue1:
Datos de carácter personal: cualquier información concerniente a personas
físicas identificadas o identificables.
Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que
fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter au-
tomatizado o no, que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido
y uso del tratamiento.
Afectado o interesado: persona física titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente artículo.
Procedimiento de disociación: todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona identificada o
identificable.
Encargado del tratamiento: la persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequí-
voca, específica e informada, mediante la que el interesado consienta el tratamiento
de datos personales que le conciernen.
Cesión o comunicación de datos: toda revelación de datos realizada a una per-
sona distinta del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser reali-
zada, por cualquier persona, no impedida por una norma limitativa o sin más exigen-
cia que, en su caso, el abono de una contraprestación.
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo pro-
mocional, los repertorios telefónicos en los términos previstos por su normativa espe-
cífica y las listas de personas pertenecientes a grupos de profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección
e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso
público los diarios y boletines oficiales y los medios de comunicación.
1 Glosario de términos obtenido de: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_

18 ficheros/preguntas_frecuentes/glosario/index-ides-idphp.php.

1.3. Plan estratégico 2015-2019
Las líneas de actuación de la Agencia Española de Protección de Datos (AEPD) para

el periodo 2015-2019, han quedado reflejadas en un Plan Estratégico que abarca desde el
año 2015 hasta el año 2019.
En el mismo se han incorporado las acciones específicas que cada departamento de

la AEPD ha propuesto en relación con sus respectivas materias.
Con la ejecución del Plan se pretenden conseguir determinados objetivos, y para

realizarlos se plantean una serie de iniciativas estructuradas en cinco grandes ejes es-
tratégicos, que a su vez se encuentran desarrollados a través de diferentes programas
específicos.
Cada uno de estos ejes tiene planificado un seguimiento y control que permita retro-
alimentar el Plan y, en consecuencia, hacer los ajustes y modificaciones que se consideren
necesarios.
1.3.1. Ejes estrategicos del Plan

Los cinco ejes estratégicos del Plan son los siguientes:
• Eje estratégico 1: Prevención para una protección más eficaz.
• Eje estratégico 2: Innovación y protección de datos: factor de confianza y garan-

tía de calidad.
• Eje estratégico 3: Una Agencia colaboradora, transparente y participativa.
• Eje estratégico 4: Una Agencia cercana a los responsables y a los profesionales

de la privacidad.
• Eje estratégico 5: Una Agencia más ágil y eficiente.
1.3.2. Destinatarios del Plan Estratégico

El Plan Estratégico se ha elaborado teniendo en cuenta los destinatarios a los que va
dirigido:
Ciudadanos:
El pilar fundamental de la protección de datos son los ciudadanos por cuyo de-
recho fundamental debe velar la Agencia. 19

FORMACIÓN ABIERTA
Para contribuir a esa protección de forma efectiva es imprescindible la realiza-

ción de una labor de difusión preventiva, que los ciudadanos conozcan cuáles
son sus derechos en materia de protección de datos, qué pueden hacer para pro-
tegerlos y cómo exigirlos en caso de que fuera necesario, teniendo en cuenta
además un contexto tecnológico en continuo cambio que, en ocasiones, puede
tener un fuerte impacto en la esfera privada.
Por ello, muchas de las iniciativas de la Agencia contenidas en el Plan están cen-
tradas en desarrollar esa labor preventiva de concienciación en diferentes nive-
les y con especial atención a los colectivos más vulnerables, como los menores.
Responsables:
La Agencia va a centrar buena parte de su trabajo en colaborar con las empre-

sas y autónomos que en el desarrollo de su actividad comercial o empresarial
se convierten en los principales obligados al cumplimiento de la legislación de
protección de datos, ya sea como responsables o encargados del tratamiento.
Ello sin perjuicio de otros ámbitos que, por la naturaleza de los datos que tratan,
requieren de un tratamiento específico (partidos políticos, sindicatos, confesio-
nes religiosas, etc.)
La Agencia quiere contribuir a que el sector empresarial consiga un elevado

cumplimiento de las obligaciones que la normativa de protección de datos les
impone, fomentando una cultura de la protección de datos que suponga una
clara mejora de la competitividad, compatible con el desarrollo económico de
España.
Las iniciativas incluidas en el Plan están dirigidas a poner en marcha las herra-
mientas y canales de cooperación necesarios para lograr que el desarrollo de la
actividad tanto de pequeñas empresas como de grandes grupos respete de forma
activa este derecho fundamental.
Al mismo tiempo, a través de la Unidad de Evaluación y Estudios Tecnológicos,

se prevé la colaboración con los responsables y empresas para garantizar la pri-
vacidad y la competitividad empresarial desde el diseño del producto o proceso
tecnológico.
Se trata, en definitiva, de que la institución facilite el cumplimiento y sea recep-

tiva a las sugerencias que nos dirijan con el fin de mejorar los instrumentos de
los que disponemos para hacer efectiva esa colaboración.
Hay que distinguir entre actividades excluidas y actividades prohibidas: las pri-
meras son las que no están sujetas a la Ley de Seguridad Privada; las segundas
son las que la propia Ley prohíbe.
20

La Agencia va a centrar buena parte de su trabajo en colaborar

con las empresas y autónomos que en el desarrollo de su actividad
comercial o empresarial se convierten en los principales obligados al
RECUERDE cumplimiento de la legislación de protección de datos, ya sea como
responsables o encargados del tratamiento.
Instituciones Públicas:
Las instituciones públicas, en el ejercicio de sus funciones y en la prestación de

los diferentes servicios que ofrecen, tratan una gran cantidad de datos personales.
Mediante diferentes iniciativas se busca poner en marcha proyectos que generen

estrechos lazos de colaboración entre las diferentes 14 entidades públicas y la
Agencia con el fin de lograr también su estrecha implicación en el cumplimien-
to y fomento del derecho a la protección de datos.
Por ello, se van a desarrollar iniciativas en ámbitos administrativos sectoriales

como educación y sanidad. Al mismo tiempo, se va a reforzar la colaboración con
otras Autoridades de Protección de Datos, el Defensor del Pueblo, el Consejo de
Transparencia y Buen Gobierno, las Fuerzas y Cuerpos de Seguridad, la Fiscalía,
el Consejo General del Poder Judicial, la Administración General del Estado, las
Comunidades Autónomas y la Federación Española de Municipios y Provincias
como algunos de los principales implicados en la protección de este derecho.
No podemos olvidar en este Plan el importante papel que juegan las diferentes
instituciones públicas para promover y difundir el respeto a la protección de datos.
Profesionales de la privacidad y delegados de protección de datos:
Los profesionales de la privacidad desarrollan una labor muy relevante en el

asesoramiento que realizan a los responsables y encargados de tratamiento.
Igualmente, la figura del delegado de protección de datos tiene, para la Agencia,
una función fundamental como interlocutor para facilitar la adopción de las
correspondientes medidas protectoras en el seno de las entidades responsables,
desarrollando así la labor proactiva que la Agencia quiere impulsar.
Personal de la Agencia Española de Protección de Datos:
Este Plan Estratégico va dirigido también al personal que presta sus servicios
en la Agencia Española de Protección de Datos como un elemento fundamental
a la hora de llevar a cabo las tareas que se derivan del mismo. El desempeño
de las funciones que la Agencia tiene actualmente encomendadas, así como la
asunción de las nuevas tareas y responsabilidades que recoge este Plan, requeri-
rá de su compromiso y de la necesaria formación para alcanzar el más efectivo
cumplimiento de los objetivos propuestos.
21

FORMACIÓN ABIERTA
1.4. Derechos de los sujetos titulares

de los datos: el derecho fundamental
a la protección de datos
El Tratado Europeo por el que se establece una Constitución para Europa ya recono-
ció el derecho a la protección de datos como un derecho en constante evolución.
La Constitución Europea ha recogido expresamente el derecho fundamental a la pro-

tección de datos en dos ocasiones:
• En la Parte I, Título VI (De la vida democrática de la Unión), el artículo I-51

establece en el epígrafe primero que toda persona tiene derecho a la protección
de los datos de carácter personal que le conciernan.
• En la Parte II (Carta de los Derechos Fundamentales de la Unión), Título II (Li-

bertades), se introduce en el artículo II-68 la segunda referencia al derecho a la
protección de datos, señalando que toda persona tiene derecho a la protección
de los datos de carácter personal que le conciernan, y que estos datos se trata-
rán de modo leal, para fines concretos y sobre la base del consentimiento de la
persona afectada o en virtud de otro fundamento legítimo previsto por la ley; de
tal modo que toda persona tenga derecho a acceder a los datos recogidos que la
conciernan y a obtener su rectificación.
En ambos preceptos se establece que una autoridad independiente se encargará de la

garantía del derecho fundamental a la protección de datos personales.
En nuestro País, el derecho fundamental a la protección de datos de carácter perso-

nal, que ha sido definido como autónomo e independiente por la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, deriva de dos artículos constitucionales, y
así la Constitución Española recoge ambos:
• En su artículo 10 reconoce el derecho a la dignidad de la persona.
• En el artículo 18.4 dispone que la ley limitará el uso de la informática para ga-
rantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de

controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.
22

Así y tras el desarrollo legal del art. 18.4, se aprobó la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento
de datos personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar.
La LOPD ha venido garantizando al ordenamiento jurídico español la Directiva

95/46/CE (sobre protección de datos), y ahora le toca lo propio respecto al Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos.
Esos derechos de las personas físicas, titulares de los datos, son: el derecho a ser
informado de cuándo y porqué se tratan sus datos personales, el derecho a acceder a los
datos y, en caso necesario, el derecho a la modificación o supresión de los datos o el de-
recho a la oposición al tratamiento de los mismos.
Los datos personales de un ciudadano sólo pueden tratarse, (recogerse y emplearse),

cuando2:
1. El interesado ha dado su consentimiento.
2. El tratamiento es necesario para el mantenimiento o cumplimiento de un contra-

to o precontrato de una relación negocial, laboral o administrativa.
3. El tratamiento es necesario para proteger un interés vital del interesado o de otra

persona, en el supuesto de que el afectado esté física o jurídicamente incapaci-
tado para dar su consentimiento.
4. El tratamiento es necesario para cumplir las funciones de las Administraciones

Públicas en el ámbito de sus competencias.
5. Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo del responsable del fichero o
de un tercero a quienes se comuniquen los datos.
6. Cuando una ley habilite el tratamiento sin requerir el consentimiento inequívo-

co de su titular.
El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los prin-

cipios de: información, calidad, finalidad, consentimiento y seguridad.
2 Artículo 6 del Real Decreto 1720/2007, de 21 de diciembre. 23

FORMACIÓN ABIERTA
Respecto a los datos:
• Deben recogerse con fines determinados, explícitos y legítimos.
• Deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los

fines para los que se han recogido.
• Deben ser exactos y mantenerse actualizados de manera que respondan con ve-
racidad a la situación actual de su titular.
Los responsables deben atender a los interesados que soliciten el acceso a sus datos
personales, los cuales deben conservarse durante el tiempo necesario para las finalidades
del tratamiento para el que han sido recogidos, procediendo a su cancelación cuando ha-
yan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron.
Todo responsable o encargado de un tratamiento tiene que adoptar todas las medidas
necesarias para garantizar la seguridad de los datos personales e impedir cualquier altera-
ción, pérdida, tratamiento o acceso no autorizado. El responsable tendrá que notificar al
Registro General de Protección de Datos la creación, modificación o supresión de cual-
quier fichero o tratamiento de datos personales.
Como norma general los datos de ideología, creencias, religión o afiliación sindical
no pueden ser tratados ni almacenados en ficheros. Sólo pueden ser objeto de tratamiento
con el consentimiento expreso y por escrito del afectado.
Los datos relativos al origen racial, a la salud y a la vida sexual sólo podrán ser re-
cogidos, tratados y cedidos, si alguna Ley así lo dispone por razones de interés general, o
en caso de que el afectado haya consentido expresamente.
La Ley Orgánica de Protección de datos reconoce específicamente a los ciudadanos

los siguientes derechos en materia de protección de datos:
1. Derecho de información en la recogida de datos.
2. Derecho de consulta al registro general de protección de datos.
3. Derecho de acceso.
4. Derecho de rectificación.
5. Derecho de cancelación.
6. Derecho de oposición.
24

Derecho de información en la recogida de datos:
El ciudadano tiene derecho a ser informado, en el momento que facilita sus da-
tos personales.
El art. 5 de la Ley Orgánica de Protección de datos recoge la obligación que

tienen los responsables de ficheros o tratamientos de informar a los ciudadanos
de la incorporación de sus datos a un fichero, de la identidad y dirección del
responsable, de la finalidad del fichero, de los destinatarios de la información,
así como de la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
Derecho de consulta al registro general de protección de datos:
El derecho de consulta permite al ciudadano, dirigiéndose al Registro General

de Protección de Datos de la Agencia Española Protección de Datos, conocer de
la existencia de un fichero o tratamiento de datos.
El art. 14 de la Ley Orgánica reseñada, permite a cualquier ciudadano dirigirse

al Registro General de Protección de Datos con el fin de obtener información
sobre la existencia de tratamientos de datos de carácter personal, de sus fina-
lidades y de la identidad del responsable del mismo. La consulta al RGPD es
pública y gratuita, y su objeto es hacer posible a todo ciudadano el ejercicio de
los derechos que veremos a continuación.
Derecho de acceso:
Toda persona tiene derecho a dirigirse al responsable o encargado de un fichero

o tratamiento para conocer la totalidad de los datos personales que le afecten y
así mismo, recibir una copia inteligible de los mismos, y cualquier información
sobre su origen.
Ejerciendo el derecho de acceso, la persona puede informase de las finalidades

del tratamiento, del tipo de datos registrados, de su origen, de los destinatarios
de los datos y de las posibles transferencias de datos a otros países.
En virtud del derecho de acceso, regulado en el art. 15 de la LOPD, el ciudadano

puede solicitar y obtener gratuitamente información sobre sus datos de carácter
personal sometidos a tratamiento, así como la información disponible sobre el
origen de dichos datos y de las comunicaciones realizadas o que se prevean
realizar.
La obligación de contestar a dicha solicitud ha de producirse con independencia

de que figuren o no datos personales del ciudadano en sus ficheros. La contes-
tación al derecho de acceso ha de practicarse utilizando cualquier medio que
permita acreditar el envío y la recepción de la misma.
25

FORMACIÓN ABIERTA
El derecho de acceso respecto de los tratamiento realizados por una determinada

entidad, persona u órgano administrativo, sólo podrá ejercitarse a intervalos no
inferiores a doce meses, salvo que el ciudadano acredite un interés legítimo que
posibilite su ejercicio con anterioridad al cumplimiento de dicho período.
Derecho de rectificación:
El artículo 16 de la LOPD, reconoce al ciudadano el derecho a dirigirse al res-

ponsable de un fichero o tratamiento para que rectifique sus datos personales
La solicitud de rectificación debe indicar el dato que se estima erróneo y la

corrección que debe realizarse y debe ir acompañada de la documentación jus-
tificativa de la rectificación solicitada.
El responsable del fichero o tratamiento tiene el deber de atender el derecho de

rectificación en el plazo de diez días hábiles. Deberá contestar de forma moti-
vada a la solicitud que se le dirija, con independencia de que figuren o no datos
personales del afectado en sus ficheros, debiendo utilizar cualquier medio que
permita acreditar el envío y la recepción de su respuesta
Derecho de cancelación:
Este derecho, regulado en el art. 16 de la LOPD, ofrece al ciudadano la po-

sibilidad de dirigirse al responsable para solicitar la cancelación de sus datos
personales.
Este derecho puede ejercerse cuando el tratamiento no se ajuste a lo dispuesto en

la normativa y, en particular, cuando los datos resulten inexactos o incompletos.
En la solicitud de cancelación, el interesado debe indicar la existencia del

dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación
justificativa.
El responsable del fichero o tratamiento tiene la obligación de hacer efectivo el

derecho de cancelación en el plazo de diez días naturales. Deberá contestar de
forma motivada a la solicitud que se le dirija, con independencia de que figuren
o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier
medio que permita acreditar el envío y la recepción de su respuesta.
El responsable del fichero o tratamiento podrá denegar la cancelación, tanto

en el caso de ficheros privados como públicos, cuando exista un deber legal
de conservación de los datos, durante el plazo establecido en cada caso por la
legislación aplicable. Asimismo, podrá denegar la cancelación cuando la con-
servación del dato sea necesaria para el cumplimiento de las obligaciones con-
tractuales que le vinculen con el interesado y justifiquen el tratamiento de los
datos y, en todo caso, cuando su cancelación pudiese causar perjuicio al propio
26 ciudadano titular de los mismos o a terceros.

La cancelación dará lugar al bloqueo de los datos cuando sea preciso conser-
var éstos únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, de cara a posibles responsabilidades. Transcurrido ese plazo deberá
procederse a la supresión de los datos.
La cancelación procede cuando cesa la finalidad o cuando motivada y justifica-

damente se solicita por el afectado.
Para definir el periodo de bloqueo se deberá tener en cuenta el Derecho aplica-

ble ya que en él se encontrarán criterios de delimitación del mismo, pero si el
plazo no existiera, o cuando el mismo sea inferior a un año se tendrán en cuenta
los plazos de prescripción de las infracciones a la LOPD que, en el caso de las
muy graves es de tres años.
En la práctica los datos permanecerán inaccesibles a los usuarios, se impide así

la manipulación o alteración de los mismos, con la salvedad de su puesta a dis-
posición de las autoridades competentes.
Derecho de oposición:
Toda persona tiene la posibilidad de oponerse, por un motivo legítimo y funda-

do, referido a una situación personal concreta, a figurar en un fichero o al trata-
miento de sus datos personales, siempre que una ley no disponga lo contrario.
En principio, el ciudadano tiene la facultad de disponer y decidir sobre los usos

de los datos personales que le conciernen, y por lo tanto, puede oponerse a apa-
recer en un determinado fichero o a que sus datos sean comunicados a terceros.
Este derecho de oposición se encuentra regulado en los arts. 6.4, 17 y 30.4 de

la LOPD. Se ejercita mediante una solicitud por escrito dirigida al responsable
del fichero o tratamiento, en la que se hagan constar los motivos fundados y
legítimos relativos a una concreta situación personal del afectado, que justifican
el ejercicio de este derecho.
Puede ejercerse en el momento de la recogida de la información o posteriormen-

te, dirigiéndose al responsable del fichero. El derecho de oposición no puede
ejercerse ante muchos ficheros de titularidad pública.
El responsable del fichero o tratamiento tiene un plazo máximo de un mes a

contar desde la recepción de la petición, para resolver la solicitud de oposición.
Si transcurrido este plazo no se ha recibido de forma expresa una respuesta a la
petición de acceso, ésta puede entenderse desestimada a los efectos de presentar
una reclamación de tutela de derechos.
27

FORMACIÓN ABIERTA
En relación a los tratamientos de datos con fines de publicidad y de prospección

comercial, los ciudadanos pueden ejercer el derecho de oposición y, a su simple
solicitud, el responsable ha de dar de baja sus datos personales en el tratamiento,
cancelando de este modo las informaciones que figuraban en el mismo.
Puede ejercerse en el momento de la recogida de la información o posteriormen-

te, dirigiéndose al responsable del fichero.
28

Resumen
• El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril

de 2016, es la normativa en la que figura las novedades en lo relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales.
• Todo tratamiento de datos personales en el contexto de las actividades de un estable-

cimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse
a cabo de conformidad con el Reglamento citado
• La Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucio-

nal concluye que el derecho a la protección de datos es un derecho fundamental,
autónomo y claramente diferenciado de los demás.
• Se entiende por datos de carácter personal cualquier información concerniente a per-

sonas físicas identificadas o identificables.
• El Responsable del fichero o tratamiento es una persona física o jurídica, de natura-

leza pública o privada, u órgano administrativo, que decida sobre la finalidad, conte-
nido y uso del tratamiento.
• El derecho fundamental a la protección de datos reconoce al ciudadano la facultad

de controlar sus datos personales y la capacidad para disponer y decidir sobre los
mismos.
• El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los prin-

cipios de: información, calidad, finalidad, consentimiento y seguridad.
• Como norma general los datos de ideología, creencias, religión o afiliación sindical
no pueden ser tratados ni almacenados en ficheros.
29

FORMACIÓN ABIERTA
Bibliografía
• Códigos electrónicos. Protección de Datos de Carácter Personal.
– Edición actualizada a 3 de octubre de 2016.
– © Agencia Estatal Boletín Oficial del Estado NIPO (PDF): 007-14-179-0

NIPO (Papel): 007-14-205-4 NIPO (ePUB): 007-14-180-3 ISBN: 978-84-
340-2157-0 Depósito Legal: M-33794-2014.
• Origen de los datos: Agencia Española de Protección de Datos.
– http://www.agpd.es
30

PROTECCIÓN
DE DATOS
DE CARÁCTER
PERSONAL
Unidad
didáctica2
Registro, datos
y videovigilancia
Índice
Objetivos............................................................................................ 34
Introducción...................................................................................... 35
2.1. La inscripción y registro de ficheros y bases de datos....... 36
2.2. Datos especialmente protegidos........................................... 38

2.2.1. Derecho a la información en la recogida de datos.......... 38
2.2.2. El consentimiento del afectado........................................ 39
2.2.3. Datos especialmente protegidos..................................... 40
2.2.4. Seguridad de los datos.................................................... 41
2.2.5. La cesión de datos a un tercero...................................... 42
2.2.6. Acceso a los datos por cuenta de terceros..................... 43
2.3. La videovigilancia.................................................................... 44
2.4. La protección de datos en las relaciones laborales............. 48

2.4.1. Sistemas internos de denuncias o “whistleblowing”........ 50
Resumen............................................................................................ 52
Bibliografía........................................................................................ 53
33
www.ucavila.es UNIDAD 2: REGISTRO, DATOS Y VIDEOVIGILANCIA

FORMACIÓN ABIERTA
Objetivos
• Conocer la defensa del derecho fundamental a la protección de datos personales.
• Conocer las definicios legales de la terminología usada en la protección de datos de

carácter personal.
• Entender el origen de la protección de datos en España y conocer la existencia de

autoridades independientes de protección.
• Saber cúal es la normativa más relevante en distintos ámbitos para poder acudir a ella
a la hora de resolver incidencias.
• Conocer el planteamiento del Plan Estratégico 2015/2019 de la Agencia Española de

Protección de Datos: ejes estratégicos y destinatarios.
• Saber cuando pueden tratarse los datos de un ciudadano.
• Comprender el derecho de información en la recogida de datos.
• Reconocer y diferenciar unos derechos de otros en materia de protección de datos,

concretamente: el derecho de acceso, de rectificación, de cancelación y de oposición.
34
UNIDAD 2: REGISTRO, DATOS Y VIDEOVIGILANCIA www.ucavila.es

Introducción
Habíamos definido en la unidad didáctica anterior los datos de carácter personal

como cualquier información concerniente a personas físicas identificadas o identificables.
Pues bien, con respecto a los datos de carácter personal sólo se podrán recoger para
su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, perti-
nentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para las que se hayan obtenido.
Esos datos de carácter personal, objeto de tratamiento, no podrán usarse para finali-
dades incompatibles con aquellas para las que los datos hubieran sido recogidos.
No se considerará incompatible el tratamiento posterior de éstos con

fines históricos, estadísticos o científicos.
CORRECTO
Hay una obligación normativa que dispone que los datos de carácter personal serán
exactos y puestos al día de forma que respondan con veracidad a la situación actual del
afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en

parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes
datos rectificados o completados, sin perjuicio de las facultades que a los afectados tienen
sobre los mismos.
Una vez que ya no tengan utilidad, los datos de carácter personal serán cancelados
cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubie-
ran sido recabados o registrados.
Por ello no serán conservados en forma que permita la identificación del interesado
durante un período superior al necesario para los fines en base a los cuales hubieran sido
recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción,

atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación
específica, se decida el mantenimiento íntegro de determinados datos.
Serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo
que sean legalmente cancelados y pesa sobre la materia una prohibición de recogida de
datos por medios fraudulentos, desleales o ilícitos. 35

FORMACIÓN ABIERTA
2.1. La inscripción y registro

de ficheros y bases de datos
Se denomina “Fichero” a todo conjunto organizado de datos de carácter personal,

que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que
Para que se trate de un fichero sujeto a la Ley Orgánica 15/1999, de 13 de diciembre,

de Protección de Datos de Carácter Personal (LOPD), debe permitir el acceso a los datos
con arreglo a criterios determinados, por tanto debe contar con algún criterio de ordena-
ción que permita recuperar datos de una persona determinada.
El concepto de fichero como hemos visto no sólo se aplica entonces a programas in-
formáticos. También procede con datos personales incluidos en soportes no informáticos
cuando puedan ser objeto de tratamiento, surgiendo así una segunda definición:
Fichero no automatizado: todo conjunto de datos de carácter personal organizado de

forma no automatizada y estructurado conforme a criterios específicos relativos a perso-
nas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales,
ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.
El elemento determinante para identificar un fichero o un tratamiento no automatiza-

do sometido a la legislación sobre protección de datos reside en que se trate de informa-
ción estructurada en la que resulte posible recuperar los registros relativos a un individuo
determinado.
Para que una actuación manual sobre datos personales, tratamiento (ya sea recogida,
grabación, conservación, elaboración, modificación, bloqueo...), tenga la consideración
de “tratamiento de datos personales” sujeto al sistema de protección es necesario que
dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un
conjunto estructurado u organizados de datos con arreglo a criterios determinados.
Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de

aplicación de la ley, no será un “tratamiento de datos personales” según el concepto nor-
mativo que la ley proporciona. En realidad la existencia del “fichero” en el sentido legal
es siempre precisa para que un tratamiento de datos personales esté sujeto al sistema de
protección de la ley.
En los casos de tratamiento automatizado de datos es difícil imaginar la inexistencia

de un fichero puesto que los datos que se tratan mediante sistemas automatizados lo son
siempre bajo unos criterios de estructura u organización previa.
36

Hay establecido legalmente el deber de notificar los ficheros:
• Toda persona o entidad que proceda a la creación de ficheros de datos de carác-

ter personal lo notificará previamente a la Agencia de Protección de Datos.
• Deberán comunicarse a la Agencia de Protección de Datos los cambios que se

produzcan en la finalidad del fichero automatizado, en su responsable y en la
dirección de su ubicación.
Se suele identificar cada fichero con un único recurso. Sin embargo, un fichero pue-
de incluir recursos objeto de tratamiento automatizado y no automatizado.
La notificación de un fichero de datos de carácter personal es independiente del sis-

tema de tratamiento empleado en su organización y del soporte o soportes empleados para
el tratamiento de los datos. Cuando los datos de carácter personal objeto de un tratamiento
estén almacenados en diferentes soportes, automatizados y no automatizados o exista una
copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola
notificación, referida a dicho fichero.
Puede existir un mismo fichero en distintos ordenadores puesto que el concepto de

fichero no va directamente vinculado a la exigencia de que el mismo se encuentre en una
única ubicación, sino que será posible la existencia de ficheros distribuidos en lugares
geográficos remotos entre sí, siempre y cuando la organización y sistematización de los
datos responda a una conjunto organizado y uniformado de datos, sometido a algún tipo
de gestión centralizada.
Podríamos considerar la existencia de un único fichero a efectos de inscripción en

aquellos casos en los que quepa reconducirlos a una unidad en términos lógicos, por
ejemplo, por estar ordenados a una misma finalidad.
Debe señalarse que se inscriben los ficheros, pero no los tratamientos. Así por ejem-
plo los sistemas de videovigilancia en los que no se graba deben cumplir con las normas
de protección de datos personales, salvo el deber de inscripción.
La Agencia Española de Protección de Datos dispone en su website de un sistema

para la inscripción de ficheros denominado NOTA, que facilita por medio de modelos
predefinidos la inscripción de los ficheros más comunes como los de personal o clientes.
37

FORMACIÓN ABIERTA
2.2. Datos especialmente

protegidos
Antes de entrar en la regulación existente sobre los datos especialmente protegidos,

debemos recordar algunas generalidades sobre el derecho a la información en la recogida
y sobre el consentimiento del afectado.
Abordemos primero la cuestión sobre el derecho a la información en su recogida:
2.2.1. Derecho a la información en la recogida de datos

Los interesados a los que se soliciten datos personales deberán ser previamente in-
formados de modo expreso, preciso e inequívoco1:
1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.
2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les

sean planteadas.
3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación

y oposición.
5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión

Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá
designar, salvo que tales medios se utilicen con fines de trámite, un representante en Es-
paña, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable
del tratamiento.
Si se utilizasen cuestionarios u otros impresos para la recogida, figurarán en los

mismos, en forma claramente legible, las advertencias a que se refiere lo que hemos ex-
presado en el párrafo precedente.
38 1 Artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

No será necesaria la información a que se refieren los puntos 2,3 y 4, recogidos en

este epígrafe, si el contenido de ella se deduce claramente de la naturaleza de los datos
personales que se solicitan o de las circunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fi-
chero o su representante, dentro de los tres meses siguientes al momento del registro de
los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tra-
tamiento, de la procedencia de los datos, así como de lo previsto en los puntos 1, 4 y 5
precedentes.
No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una

ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o
cuando la información al interesado resulte imposible o exija esfuerzos desproporciona-
dos, a criterio de la Agencia de Protección de Datos o del organismo autonómico equi-
valente, en consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos pro-
cedan de fuentes accesibles al público y se destinen a la actividad de publicidad o pros-
pección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del tratamiento así
como de los derechos que le asisten.
2.2.2. El consentimiento del afectado

Al realizar el tratamiento de los datos de carácter personal de los ciudadanos debe-
mos tener presente las siguientes cuestiones2:
• El tratamiento de los datos de carácter personal requerirá el consentimiento in-

equívoco del afectado, salvo que la ley disponga otra cosa.
• No será preciso el consentimiento cuando los datos de carácter personal se reco-

jan para:
• El ejercicio de las funciones propias de las Administraciones públicas en el ám-

bito de sus competencias.
• Cuando se refieran a las partes de un contrato o precontrato de una relación

negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento
2 Artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 39

FORMACIÓN ABIERTA
• Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado.
• Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado.
El consentimiento podrá ser revocado cuando exista causa justificada

para ello y no se le atribuyan efectos retroactivos.
NOTA
En los casos en los que no sea necesario el consentimiento del afectado para el trata-
miento de los datos de carácter personal, y siempre que una ley no disponga lo contrario,
éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relati-
vos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá
del tratamiento los datos relativos al afectado.
2.2.3. Datos especialmente protegidos

Regulada la cuestión en el art. 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, se dispone:
De acuerdo con lo establecido en el art 16.2 de la Constitución Española, nadie podrá

ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se

refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, re-
ligión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindi-
catos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,
en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión
de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado consienta expresamente.
Por ello quedan prohibidos los ficheros creados con la finalidad exclusiva de alma-
cenar datos de carácter personal que revelen la ideología, afiliación sindical, religión,
40 creencias, origen racial o étnico, o vida sexual.

Respecto a los datos de carácter personal relativos a la comisión de infracciones

penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones
públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
No obstante, podrán ser objeto de tratamiento los datos de carácter personal relati-
vos a la ideología, afiliación sindical, religión y creencias o al origen racial, a la salud
y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para
el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a
una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo ante-
rior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o
de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado
para dar su consentimiento.
2.2.4. Seguridad de los datos

El responsable del fichero, y, en su caso, el encargado del tratamiento (tal y como se
recoge en el art. 9 de la LOPD), deberán adoptar las medidas de índole técnica y organi-
zativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten
su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana o del medio físico o natural.
No se registrarán datos de carácter personal en ficheros que no reúnan las condicio-

nes que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a
las de los centros de tratamiento, locales, equipos, sistemas y programas.
Reglamentariamente se establecerán los requisitos y condiciones que deban reunir

los ficheros y las personas que intervengan en el tratamiento de los datos.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento

de los datos de carácter personal están obligados al secreto profesional respecto de los
mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar
sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
41

FORMACIÓN ABIERTA
2.2.5. La cesión de datos a un tercero

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones
legítimas del cedente y del cesionario con el previo consentimiento del interesado3.
El consentimiento exigido en el apartado anterior no será preciso:
• Cuando la cesión está autorizada en una ley.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación

jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que
la justifique.
• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor

del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuen-
tas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el
consentimiento cuando la comunicación tenga como destinatario a instituciones
autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de
Cuentas.
• Cuando la cesión se produzca entre Administraciones públicas y tenga por ob-

jeto el tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria

para solucionar una urgencia que requiera acceder a un fichero o para realizar
los estudios epidemiológicos en los términos establecidos en la legislación so-
bre sanidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal

a un tercero, cuando la información que se facilite al interesado no le permita conocer la
finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad
de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene tam-

bién un carácter de revocable.
3 Artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

42 Personal.

Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo
hecho de la comunicación, a la observancia de las disposiciones de la Ley.
Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable

lo establecido en los apartados anteriores.
2.2.6. Acceso a los datos por cuenta de terceros

No se considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Continúa diciendo el art. 12 de la LOPD que:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un

contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su
celebración y contenido, estableciéndose expresamente que el encargado del tratamiento
únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento,
que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los co-
municará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad ya estudiadas, las

cuales el encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
43

FORMACIÓN ABIERTA
2.3. La videovigilancia
La videovigilancia con fines de seguridad viene informada por la normativa recogi-

da en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, el Real Decreto 1720/2007 (RDLOPD), de 21 de diciembre, y la 10 Instrucción
1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tra-
tamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras.
La utilización de sistemas de vigilancia mediante videocámaras puede dar lugar a la

creación de ficheros, en ese caso responsable deberá notificarlo previamente a la Agencia
Española de Protección de Datos, para su inscripción en el Registro General de la misma.
Esto ocurrirá siempre que exista algún tipo de grabación.
En caso de tratarse de ficheros de titularidad pública deberá procederse primero a su

creación mediante disposición de carácter general publicada en el correspondiente diario
oficial conforme a lo establecido en el artículo 20 LOPD para posteriormente proceder a
su inscripción.
Hay sistemas que no registran imágenes y por ello la Instrucción 1/2006 señala que
no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o
emisión de imágenes en tiempo real. Por tanto, no resulta necesario inscribirlos.
La información en la recogida de los datos es un elemento esencial del derecho a

la protección de datos y por tanto su cumplimiento resulta ineludible. Sin embargo las
especiales características que se dan en la videovigilancia comportan el diseño de proce-
dimientos específicos para informar a las personas cuyas imágenes se capten.
La Instrucción 1/2006 incorpora un distintivo informativo cuyo uso y exhibición es

obligatoria. El distintivo se ubicará como mínimo en los accesos a las zonas vigiladas,
sean estos exteriores o interiores. Debe tenerse en cuenta que si el lugar vigilado dispone
de varios accesos se debe colocar en todos ellos al objeto de que la información sea visi-
ble con independencia de por donde se acceda.
44

Además el responsable del fichero dispondrá de un impreso con toda la información

a la que se refiere el artículo 5 LOPD. Por tanto el impreso deberá informar al menos
sobre: La existencia de un fichero o tratamiento de datos de carácter personal, de la fina-
lidad de la recogida de éstos y de los destinatarios de la información. La posibilidad de
ejercitar los derechos de acceso, rectificación, cancelación y oposición. La identidad y
dirección del responsable del tratamiento o, en su caso, de su representante. El impreso
deberá estar disponible existiendo cuando menos la posibilidad de imprimirlo a petición
del afectado. La información del impreso podrá incorporarse al cartel anunciador y sus-
tituirlo únicamente en aquellos casos en los que por su contenido y por la ubicación del
mismo la información resulte legible e inteligible.
El uso de la señal y el impreso, no excluye la existencia de métodos adicionales de

información que se añadan a los dos anteriores como publicación en web de polí- ticas
de privacidad, información a la representación sindical, notificaciones a los vecinos etc.
La implementación de sistemas de videovigilancia puede dar lugar a distintos tipos

de prestación:
Una empresa externa puede prestar servicios consistentes en:
• Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigi-

lancia sin acceso a las imágenes. En este caso la empresa de seguridad no posee
la condición de encargado de tratamiento correspondiendo al responsable, que
la contrató, la adaptación de la instalación a los requisitos normativos.
• Instalación y/o mantenimiento de los equipos y sistemas de videovigilancia con

utilización de los equipos o acceso a las imágenes. Únicamente en este segundo
caso, la empresa de seguridad será considerada encargada del tratamiento y la
obligatoriedad de cumplir con las obligaciones de los dispuesto por el artículo
12 LOPD.
Por ello, cuando se capten y/o registren imágenes con fines de seguridad privada y
la empresa de seguridad contratada utilice las videocámaras y/o acceda a las imágenes
por medio de su personal resulta ineludible la celebración de un contrato de acceso a los
datos por cuenta de terceros.
Este contrato ha sido regulado por el RDLOPD siendo sus características principales:
• Es un contrato cuyo contenido se determina atendiendo a las circunstancias

concretas de la prestación de servicios. No basta con reiterar las cláusulas del
artículo 12 LOPD, debe reflejarse la realidad de la prestación y adoptarse las
decisiones que garanticen el cumplimiento de la norma.
45

FORMACIÓN ABIERTA
• Existe un deber de diligencia en la comprobación de las condiciones que reúne

el encargado. En materia de videovigilancia con fines de seguridad privada ello
obliga, a verificar las condiciones de cumplimiento de la LOPD por parte de la
empresa de seguridad y si reúne los requisitos legales que habilitan para la pres-
tación de estos servicios.
• No cabe la subcontratación con terceros salvo que:
Se atribuya al encargado poder de representación suficiente para celebrar

estos contratos en nombre del responsable.
Se autorice en el contrato a subcontratar con una determinada empresa

específica o bien se trate de una autorización genérica con la obligación de
contar con la posterior autorización del responsable.
Además de contar con capacidad de subcontratar en cualquiera de los dos

casos anteriores, se formalice un contrato de acceso a los datos por cuenta
de terceros entre el encargado y el subcontratista.
Se garantice siempre el cumplimiento de las instrucciones del responsable.
Debe recordarse que la Ley de Seguridad Privada fija una obligación adicional y los
contratos de prestación de los distintos servicios de seguridad deberán en todo caso con-
signarse por escrito y comunicarse al Ministerio del Interior, con una antelación mínima
de tres días a la iniciación de tales servicios.
El responsable de la instalación deberá adoptar las medidas de índole técnica y or-

ganizativas necesarias que garanticen la seguridad de las imágenes y eviten su alteración,
pérdida, tratamiento o acceso no autorizado. Por tanto, quien haya contratado los servi-
cios de una empresa de seguridad, debe cumplir con el deber de garantizar la seguridad
de las imágenes en los términos establecidos por la LOPD y su Reglamento de desarrollo.
Con carácter general los ficheros de videovigilancia suelen tener un nivel básico. No
obstante el responsable del fichero debe tener en cuenta que deberá evaluar el nivel de
seguridad teniendo en cuenta lo dispuesto por el artículo 81 del Reglamento en función
del contenido y finalidad del fichero.
El responsable deberá informar a las personas con acceso a los datos sobre sus obli-
gaciones de seguridad y su deber de secreto en los términos del artículo 8 de la Instruc-
ción 1/2006. Asimismo cualquier persona que por razón del ejercicio de sus funciones
tenga acceso a los datos deberá observar la debida reserva, confidencialidad y sigilo en
relación con las mismas. El responsable deberá informar a las personas con acceso a los
datos del deber de secreto a que se refiere el apartado anterior.
46

La Instrucción 1/2006 establece en su artículo 6 un plazo de cancelación máximo

de un mes desde su captación. En ella se ha seguido el mismo criterio que el fijado en el
artículo 8 de la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos.
Por tanto una vez transcurrido dicho plazo las imágenes deberán ser canceladas, lo
que implica el bloqueo de las mismas pues así lo establece la Ley Orgánica 15/1999 y el
RDLOPD, conservándose únicamente a disposición de las Administraciones Públicas,
Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del trata-
miento, durante el plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión. En aquellos casos en los

que el responsable constatase la grabación de un delito o infracción administrativa que
deba ser puesta en conocimiento de una autoridad, y la denunciase, deberá conservar las
imágenes a disposición de la citada autoridad.
47

FORMACIÓN ABIERTA
2.4. La protección de datos

en las relaciones laborales
El art 2.2 del Real Decreto 1720/2007 (RDLOPD), de 21 de diciembre, dispone

que no será de aplicación a los tratamientos de datos referidos a personas jurídicas, ni a
los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus
servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o
puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de
fax profesionales.
Esta regulación está motivada porque a lo largo de la vigencia de la Ley Orgánica

15/1999, se ha advertido la conveniencia de desarrollar qué se entiende por ficheros y
tratamientos relacionados con actividades personales o domésticas, aspecto relevante ya
que están excluidos de la normativa sobre protección de datos de carácter personal.
Es esta una de las novedades que incorpora el RDLOPD, una exclusión a los datos
de las definidas como “personas de contacto”.
Pero se debe interpretar en sentido estricto y de modo restrictivo, es decir, como

excepción, en ningún caso esta exclusión supone no aplicar la LOPD a los ficheros de
personal. Los requisitos que deben darse para ello son:
• Que los datos tratados se limiten efectivamente a los meramente necesarios para
identificar al sujeto en la persona jurídica a la que presta sus servicios.
Cualquier tratamiento que contenga datos adicionales a los citados se encontra-

rá plenamente sometido a la LOPD.
• La finalidad del tratamiento debe perseguir una relación directa entre quienes
traten el dato y la entidad y no entre aquéllos y quien ostente una determinada
posición en la empresa. De este modo, el uso del dato debería dirigirse a la
persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa
finalidad.
• Todo lo anterior no afecta a las previsiones de la Ley 34/2002, de 11 de julio de

Servicios de la Sociedad de Información y Comercio Electrónico, de modo que
los principios que rigen el envío de comunicaciones comerciales por medios
electrónicos se aplican tanto a personas físicas como jurídicas, y entre ellas, las
personas de contacto.
48

En el ámbito de la gestión de personal las organizaciones deben ser particularmente

cuidadosas tanto en el procedimiento que se escoja para la información como en el mo-
mento en el que se proceda a la captación de datos personales.
El primer tratamiento de datos personales en el ámbito laboral se produce con el

candidato a un puesto de trabajo. En estos casos:
• Es conveniente disponer de modelos de impresos tipo para la formalización del

currículo y de un procedimiento de formalización y entrega de los mismos por
los candidatos, ya que ello permite no sólo informar adecuadamente sino definir
con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc.
• Si para la selección de personal se realiza algún tipo de anuncio o convocatoria

pública debería incluirse en ella la información del art. 5 LOPD.
• Si el currículo se presenta directamente por el candidato sin habérsele solicitado

deben fijarse procedimientos de información que supongan algún acuse o con-
firmación de conocer las condiciones en las que se desarrollará el tratamiento.
La normativa en vigor indica que el deber de información deberá llevarse a cabo
a través de un medio que permita acreditar su cumplimiento, debiendo conser-
varse mientras persista el tratamiento de los datos del afectado.
• En casos de grupos de empresas o de cualquier otra fórmula de colaboración

empresarial debe tenerse en cuenta que la cesión de los datos contenidos en
el currículum, o del propio documento debe contar con el consentimiento del
candidato.
Posteriormente, si todo es favorable a la contratación, el candidato deberá formalizar

el contrato de trabajo para pasar a ser trabajador. El contrato es un medio adecuado para
informar al trabajador respecto del tratamiento que se realizará respecto de sus datos. Al
respecto:
• No debe confundirse la información con la manifestación del consentimiento.

Por ello, el contrato de trabajo constituye un medio adecuado para ofrecer in-
formación sobre los tratamientos directamente relacionados con la prestación
laboral. No así para otros tratamientos.
• No exime del deber información sobre todos aquellos nuevos tratamientos de

datos personales que la empresa decida realizar con carácter posterior al naci-
miento de la relación laboral.
El siguiente compás viene determinado por el desarrollo de la prestación laboral Las

relaciones laborales se pueden clasificar de dinámicas y pueden estar sujetas a cambios
posteriores.
49

FORMACIÓN ABIERTA
Por ello será necesario informar al trabajador en todos aquellos casos en los que se
produzcan cambios que afecten al tratamiento de los datos personales como la aparición
de nuevas finalidades o de nuevos tratamientos.
En aquellos tratamientos que repercuten sobre el conjunto de los trabajadores resulta

recomendable informar con carácter previo a la representación de éstos ya que facilita el
conocimiento y la comprensión general de los mismos.
2.4.1. Sistemas internos de denuncias o “whistleblowing”

Los sistemas de denuncia interna en las empresas suelen configurarse mediante
la creación de buzones a través de los cuales los empleados de la compañía, mayorita-
riamente por un procedimiento online, ponen de manifiesto la existencia de conductas
contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por
empleados o auditores de las empresas.
El establecimiento de estos sistemas son conformes a las normas de protección de

datos, si se adecúan a los principios establecidos en la normativa:
La información reviste en este caso un carácter primordial: denunciantes y poten-

ciales denunciados deberán haber sido informados previamente de la existencia de estos
sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de
las consecuencias que para el denunciado puede comportar este hecho.
Así, podrá informarse en el contrato de trabajo o establecer este deber de informa-

ción cuando se contrate un servicio externalizado, como una auditoria, y quepa la denun-
cia respecto de los contratados. Otra posibilidad es la de dirigir circulares informativas al
personal y a sus representantes informando de la existencia y finalidad de un tratamiento
de datos relacionado con estos buzones o sistemas de denuncias.
Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una
tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos
de la que el interesado, tanto denunciante como denunciado, deberá ser debidamente in-
formado. Esta misma información deberá referirse, en su caso, a la posible transferencia
internacional de datos a otras empresas del Grupo.
En todo caso, la existencia de estos buzones debería respetar el principio de pro-

porcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los
hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el
denunciado, concretando así que acciones deberán ser objeto de denuncia y especificando
las normas legales o contenidas en códigos internos de conducta a las que las denuncias
podrán referirse.
50

Para garantizar la exactitud de la información deberían establecerse mecanismos que

garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca
claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas.
En todo caso, la confidencialidad de la información del denunciante debería quedar

a salvo, no facilitándose, como regla general, su identificación al denunciado.
Precisamente como consecuencia de lo anterior, será necesario que se extremen en

relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confi-
dencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y
extremando las cautelas que garanticen el cumplimiento del deber de secreto.
La conservación del dato debería limitarse al tiempo necesario para la investigación

de los hechos y sólo en caso de que de aquélla se desprenda la adopción de determinadas
medidas contra el denunciado sería posible conservar los datos por un plazo superior,
debiendo eliminarse en caso contrario.
Deberán garantizarse los derechos de acceso, rectificación, cancelación y oposición

por parte del denunciado, sin que ello implique facilitar a aquél el dato del denunciante.
En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho
denunciado a fin de poder defender debidamente sus intereses.
Los ficheros creados en el marco de estos sistemas deberán ser notificados al Regis-
tro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse
las transferencias internacionales de los datos que vayan a llevarse a cabo.
51

FORMACIÓN ABIERTA
Resumen
• Se denomina “Fichero” a todo conjunto organizado de datos de carácter personal,

que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que
• Toda persona o entidad que proceda a la creación de ficheros de datos de carácter

personal lo notificará previamente a la Agencia de Protección de Datos.
• Se inscriben los ficheros, pero no los tratamientos. Así por ejemplo los sistemas de
videovigilancia en los que no se graba deben cumplir con las normas de protección
de datos personales, salvo el deber de inscripción.
• El tratamiento de los datos de carácter personal requerirá el consentimiento inequí-

voco del afectado, salvo que la ley disponga otra cosa.
• Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindi-
cal, religión y creencias.
• Los datos de carácter personal que hagan referencia al origen racial, a la salud y a
la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de
interés general, así lo disponga una ley o el afectado consienta expresamente.
• No se considerará comunicación de datos el acceso de un tercero a los datos cuan-

do dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.
• Los sistemas de denuncia interna en las empresas suelen configurarse mediante la

creación de buzones a través de los cuales los empleados de la compañía, mayorita-
riamente por un procedimiento online.
52

Bibliografía
• Códigos electrónicos. Protección de Datos de Carácter Personal.
– Edición actualizada a 3 de octubre de 2016.
– © Agencia Estatal Boletín Oficial del Estado NIPO (PDF): 007-14-179-0

NIPO (Papel): 007-14-205-4 NIPO (ePUB): 007-14-180-3 ISBN: 978-84-
340-2157-0 Depósito Legal: M-33794-2014.
• Origen de los datos: Agencia Española de Protección de Datos.
– http://www.agpd.es
– Guía de Videovigilancia.
– GUÍA. La protección de datos en las relaciones laborales.
– ©Agencia Española De Protección De Datos, abril 2014.
53

ProteccionDeDatosDeCaracterPersonalUCAV PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ProteccionDeDatosDeCaracterPersonalUCAV PDF

Cargado por

Copyright:

Formatos disponibles

PROTECCIÓN

Alfonso Bienes Adánez

Protección de datos de carácter personal [Libro electrónico] / Alfonso Bienes Adánez.

Ávila: Universidad Católica de Ávila, 2017. – 1 archivo de Internet (PDF).

(Textos universitarios (UCAV) ; 25)

1. Datos personales – Protección – España 2. Datos personales – Legislación – España

© Primera edición (en formato electrónico): abril 2017

www.ucavila.es ÍNDICE GENERAL

1.1. Orígenes de la protección de datos....................................... 13

1.2. Normativa en la protección de datos..................................... 15

1.3. Plan estratégico 2015-2019..................................................... 19

1.4. Derechos de los sujetos titulares de los datos:

www.ucavila.es UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS

• Conocer la defensa del derecho fundamental a la protección de datos personales.

• Conocer las definicios legales de la terminología usada en la protección de datos de

• Entender el origen de la protección de datos en España y conocer la existencia de

• Conocer el planteamiento del Plan Estratégico 2015/2019 de la Agencia Española de

• Saber cuando pueden tratarse los datos de un ciudadano.

• Comprender el derecho de información en la recogida de datos.

• Reconocer y diferenciar unos derechos de otros en materia de protección de datos,

UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS www.ucavila.es

La protección de datos y la privacidad se sitúan, en todas las encuestas, entre las

La protección de datos vive un momento determinante, por un lado, con continuos

Acorde con lo anterior el Reglamento comienza diciendo que la protección de

El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión

Todo tratamiento de datos personales en el contexto de las actividades de un estable-

www.ucavila.es UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS

UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS www.ucavila.es

La Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucio-

El Convenio 108 del Consejo de Europa, de 1981, posibilita la existencia de una

La Agencia Española de Protección de Datos goza de esa naturaleza de ente inde-

También se recogió en la normativa la posibilidad de que los Estados Miembros dis-

Se crearon así tres agencias autonómicas en España:

• Madrid en el año 2001: La Agencia de Protección de Datos de la Comunidad

• Cataluña en el año 2003.

• País Vasco en el 2004. 13

www.ucavila.es UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS

Actualmente existen dos agencias autonómicas: la Autoridad Catalana de Protección

UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS www.ucavila.es

Podríamos dividir el ámbito normativo de la protección de datos de carácter personal

3. Ámbito de la Agencia Española de Protección de datos.

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Regla-

• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comu-

www.ucavila.es UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS

• Resolución de 22 de junio de 2001, de la Subsecretaría, por la que se dispone la

Ámbito de la Agencia Española de Protección de datos:

• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la

• Resolución de 24 de mayo de 2010, de la Agencia Española de Protección de

• Resolución de 18 de marzo de 2010, de la Agencia Española de Protección de

• Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección

• Resolución de 12 de julio de 2006, de la Agencia Española de Protección de

• Resolución de 12 de julio de 2006, de la Agencia Española de Protección de

• Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, rela-

Y especialmente en el campo de la seguridad privada:

• Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de

• Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre

• Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre

UNIDAD 1: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS www.ucavila.es

• Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de

Su objeto es la regulación de los ficheros de datos de carácter personal creados

• Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.