Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE DATOS
DE CARÁCTER
PERSONAL
Textos universitarios
25
Textos universitarios
25
Alfonso Bienes Adánez
PROTECCIÓN
DE DATOS
DE CARÁCTER
PERSONAL
2017
Bienes Adánez, Alfonso
ISBN 978-84-9040-437-9
KKT3042
342.738(460)
© Servicio de Publicaciones
Universidad Católica de Ávila
C/ Canteros s/n. 05005 Ávila
Tlf. 920 25 10 20
publicaciones@ucavila.es
www.ucavila.es
“Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra sólo
puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a
CEDRO (Centro Español de Derechos Reprográficos) si necesita imprimir o descargar algún fragmento de
esta obra (http://www.conlicencia.com; 91 702 19 70 / 93 272 04 47).”
ISBN: 978-84-9040-437-9
Maquetación: INTERGRAF
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Índice general
Unidad 1:
El derecho fundamental a la protección de datos
1.1. Orígenes de la protección de datos............................... 13
1.2. Normativa en la protección de datos............................. 15
1.3. Plan estratégico 2015-2019............................................. 19
1.3.1. Ejes estrategicos del Plan....................................... 19
1.3.2. Destinatarios del Plan Estratégico........................... 19
1.4. Derechos de los sujetos titulares de los datos:
el derecho fundamental a la protección de datos........ 22
Unidad 2:
Registro, datos y videovigilancia
2.1. La inscripción y registro de ficheros y bases
de datos............................................................................ 36
2.2. Datos especialmente protegidos................................... 38
2.2.1. Derecho a la información en la recogida de datos.. 38
2.2.2. El consentimiento del afectado................................ 39
2.2.3. Datos especialmente protegidos............................. 40
2.2.4. Seguridad de los datos............................................ 41
2.2.5. La cesión de datos a un tercero.............................. 42
2.2.6. Acceso a los datos por cuenta de terceros............. 43
2.3. La videovigilancia............................................................ 44
2.4. La protección de datos en las relaciones laborales..... 48
2.4.1. Sistemas internos de denuncias o “whistleblowing”. 50
1
Unidad
didáctica
El derecho
fundamental
a la protección
de datos
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Índice
Objetivos............................................................................................ 10
Introducción...................................................................................... 11
Resumen............................................................................................ 29
Bibliografía........................................................................................ 30
Objetivos
• Saber cúal es la normativa más relevante en distintos ámbitos para poder acudir a ella
a la hora de resolver incidencias.
10
Introducción
Teniendo en cuenta que los europeos han otorgado a la protección de datos el rango
de derecho fundamental y que corresponde a la Agencia Española de Protección de Datos
tanto difundir el derecho, como proteger a los ciudadanos, como velar por el cumpli-
miento de la legislación española; y por ello es imprescindible escuchar atentamente las
necesidades que plantean todos los implicados y articular los mecanismos necesarios para
fomentar las garantías necesarias.
11
Para que el tratamiento sea lícito, los datos personales deben ser tratados con el
consentimiento del interesado o sobre alguna otra base legítima establecida conforme a
Derecho, ya sea en el Reglamento reseñado o en virtud de otro Derecho de la Unión o
de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad
de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de
ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a
instancia del interesado con anterioridad a la conclusión de un contrato.
12
1.1. Orígenes
de la protección de datos
Nuestra Constitución dispone en el art. 18.4 que la ley limitará el uso de la informáti-
ca para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
Así se dictaminó que la creación de una autoridad de control que ejerza sus funciones
con plena independencia en cada uno de los Estados miembros constituía un elemento
esencial de la protección de las personas en lo que respecta al tratamiento de datos perso-
nales y que esa autoridad de control debería ejercer sus funciones con total independencia.
Las mismas ejercen las funciones de control respecto de los ficheros de datos de
carácter personal creados o gestionados por las Comunidades Autónomas y por la Admi-
nistración Local de su ámbito territorial, pero los ficheros privados de estas Comunidades
Autónomas siguen siendo competencia de la Agencia Española de Protección de Datos.
14
1.2. Normativa
en la protección de datos
1. Ámbito Europeo.
2. Ámbito Estatal.
4. Ámbito Autonómico.
5. Ámbito Sectorial.
Indiquemos las normas de consulta más importante en cada uno de los referidos
ámbitos:
Ámbito Europeo:
Recordemos que este reglamento si bien entró en vigor a los veinte días de su
publicación en el Diario Oficial de la Unión Europea, no será aplicable hasta el
25 de mayo de 2018.
Ámbito Estatal:
• Constitución Española.
Ámbito Autonómico:
A la que configura como un organismo independiente que tiene por objeto ga-
rantizar, en el ámbito de las competencias de la Generalidad, los derechos a la
protección de datos personales y de acceso a la información vinculada a ellos.
Ámbito Sectorial:
17
Cada uno de estos ejes tiene planificado un seguimiento y control que permita retro-
alimentar el Plan y, en consecuencia, hacer los ajustes y modificaciones que se consideren
necesarios.
Ciudadanos:
El pilar fundamental de la protección de datos son los ciudadanos por cuyo de-
recho fundamental debe velar la Agencia. 19
Por ello, muchas de las iniciativas de la Agencia contenidas en el Plan están cen-
tradas en desarrollar esa labor preventiva de concienciación en diferentes nive-
les y con especial atención a los colectivos más vulnerables, como los menores.
Responsables:
Ello sin perjuicio de otros ámbitos que, por la naturaleza de los datos que tratan,
requieren de un tratamiento específico (partidos políticos, sindicatos, confesio-
nes religiosas, etc.)
Las iniciativas incluidas en el Plan están dirigidas a poner en marcha las herra-
mientas y canales de cooperación necesarios para lograr que el desarrollo de la
actividad tanto de pequeñas empresas como de grandes grupos respete de forma
activa este derecho fundamental.
Hay que distinguir entre actividades excluidas y actividades prohibidas: las pri-
meras son las que no están sujetas a la Ley de Seguridad Privada; las segundas
son las que la propia Ley prohíbe.
20
Instituciones Públicas:
No podemos olvidar en este Plan el importante papel que juegan las diferentes
instituciones públicas para promover y difundir el respeto a la protección de datos.
Este Plan Estratégico va dirigido también al personal que presta sus servicios
en la Agencia Española de Protección de Datos como un elemento fundamental
a la hora de llevar a cabo las tareas que se derivan del mismo. El desempeño
de las funciones que la Agencia tiene actualmente encomendadas, así como la
asunción de las nuevas tareas y responsabilidades que recoge este Plan, requeri-
rá de su compromiso y de la necesaria formación para alcanzar el más efectivo
cumplimiento de los objetivos propuestos.
21
El Tratado Europeo por el que se establece una Constitución para Europa ya recono-
ció el derecho a la protección de datos como un derecho en constante evolución.
• En el artículo 18.4 dispone que la ley limitará el uso de la informática para ga-
rantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
Así y tras el desarrollo legal del art. 18.4, se aprobó la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento
de datos personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar.
Esos derechos de las personas físicas, titulares de los datos, son: el derecho a ser
informado de cuándo y porqué se tratan sus datos personales, el derecho a acceder a los
datos y, en caso necesario, el derecho a la modificación o supresión de los datos o el de-
recho a la oposición al tratamiento de los mismos.
• Deben ser exactos y mantenerse actualizados de manera que respondan con ve-
racidad a la situación actual de su titular.
Los responsables deben atender a los interesados que soliciten el acceso a sus datos
personales, los cuales deben conservarse durante el tiempo necesario para las finalidades
del tratamiento para el que han sido recogidos, procediendo a su cancelación cuando ha-
yan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron.
Todo responsable o encargado de un tratamiento tiene que adoptar todas las medidas
necesarias para garantizar la seguridad de los datos personales e impedir cualquier altera-
ción, pérdida, tratamiento o acceso no autorizado. El responsable tendrá que notificar al
Registro General de Protección de Datos la creación, modificación o supresión de cual-
quier fichero o tratamiento de datos personales.
Como norma general los datos de ideología, creencias, religión o afiliación sindical
no pueden ser tratados ni almacenados en ficheros. Sólo pueden ser objeto de tratamiento
con el consentimiento expreso y por escrito del afectado.
Los datos relativos al origen racial, a la salud y a la vida sexual sólo podrán ser re-
cogidos, tratados y cedidos, si alguna Ley así lo dispone por razones de interés general, o
en caso de que el afectado haya consentido expresamente.
3. Derecho de acceso.
4. Derecho de rectificación.
5. Derecho de cancelación.
6. Derecho de oposición.
24
El ciudadano tiene derecho a ser informado, en el momento que facilita sus da-
tos personales.
Derecho de acceso:
Derecho de rectificación:
Derecho de cancelación:
La cancelación dará lugar al bloqueo de los datos cuando sea preciso conser-
var éstos únicamente a disposición de las Administraciones Públicas, Jueces y
Tribunales, de cara a posibles responsabilidades. Transcurrido ese plazo deberá
procederse a la supresión de los datos.
Derecho de oposición:
27
28
Resumen
• Como norma general los datos de ideología, creencias, religión o afiliación sindical
no pueden ser tratados ni almacenados en ficheros.
29
Bibliografía
– http://www.agpd.es
30
Unidad
didáctica2
Registro, datos
y videovigilancia
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Índice
Objetivos............................................................................................ 34
Introducción...................................................................................... 35
2.3. La videovigilancia.................................................................... 44
Resumen............................................................................................ 52
Bibliografía........................................................................................ 53
33
Objetivos
• Saber cúal es la normativa más relevante en distintos ámbitos para poder acudir a ella
a la hora de resolver incidencias.
34
Introducción
Pues bien, con respecto a los datos de carácter personal sólo se podrán recoger para
su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, perti-
nentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para las que se hayan obtenido.
Esos datos de carácter personal, objeto de tratamiento, no podrán usarse para finali-
dades incompatibles con aquellas para las que los datos hubieran sido recogidos.
Hay una obligación normativa que dispone que los datos de carácter personal serán
exactos y puestos al día de forma que respondan con veracidad a la situación actual del
afectado.
Una vez que ya no tengan utilidad, los datos de carácter personal serán cancelados
cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubie-
ran sido recabados o registrados.
Por ello no serán conservados en forma que permita la identificación del interesado
durante un período superior al necesario para los fines en base a los cuales hubieran sido
recabados o registrados.
Serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo
que sean legalmente cancelados y pesa sobre la materia una prohibición de recogida de
datos por medios fraudulentos, desleales o ilícitos. 35
El concepto de fichero como hemos visto no sólo se aplica entonces a programas in-
formáticos. También procede con datos personales incluidos en soportes no informáticos
cuando puedan ser objeto de tratamiento, surgiendo así una segunda definición:
Para que una actuación manual sobre datos personales, tratamiento (ya sea recogida,
grabación, conservación, elaboración, modificación, bloqueo...), tenga la consideración
de “tratamiento de datos personales” sujeto al sistema de protección es necesario que
dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un
conjunto estructurado u organizados de datos con arreglo a criterios determinados.
Se suele identificar cada fichero con un único recurso. Sin embargo, un fichero pue-
de incluir recursos objeto de tratamiento automatizado y no automatizado.
Debe señalarse que se inscriben los ficheros, pero no los tratamientos. Así por ejem-
plo los sistemas de videovigilancia en los que no se graba deben cumplir con las normas
de protección de datos personales, salvo el deber de inscripción.
37
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fi-
chero o su representante, dentro de los tres meses siguientes al momento del registro de
los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tra-
tamiento, de la procedencia de los datos, así como de lo previsto en los puntos 1, 4 y 5
precedentes.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos pro-
cedan de fuentes accesibles al público y se destinen a la actividad de publicidad o pros-
pección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del tratamiento así
como de los derechos que le asisten.
• Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado.
NOTA
En los casos en los que no sea necesario el consentimiento del afectado para el trata-
miento de los datos de carácter personal, y siempre que una ley no disponga lo contrario,
éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relati-
vos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá
del tratamiento los datos relativos al afectado.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, re-
ligión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindi-
catos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,
en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión
de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado consienta expresamente.
Por ello quedan prohibidos los ficheros creados con la finalidad exclusiva de alma-
cenar datos de carácter personal que revelen la ideología, afiliación sindical, religión,
40 creencias, origen racial o étnico, o vida sexual.
No obstante, podrán ser objeto de tratamiento los datos de carácter personal relati-
vos a la ideología, afiliación sindical, religión y creencias o al origen racial, a la salud
y a la vida sexual, cuando dicho tratamiento resulte necesario para la prevención o para
el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a
una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo ante-
rior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o
de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado
para dar su consentimiento.
41
En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que
la justifique.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo
hecho de la comunicación, a la observancia de las disposiciones de la Ley.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán
ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
43
2.3. La videovigilancia
Hay sistemas que no registran imágenes y por ello la Instrucción 1/2006 señala que
no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o
emisión de imágenes en tiempo real. Por tanto, no resulta necesario inscribirlos.
44
Por ello, cuando se capten y/o registren imágenes con fines de seguridad privada y
la empresa de seguridad contratada utilice las videocámaras y/o acceda a las imágenes
por medio de su personal resulta ineludible la celebración de un contrato de acceso a los
datos por cuenta de terceros.
Este contrato ha sido regulado por el RDLOPD siendo sus características principales:
45
Debe recordarse que la Ley de Seguridad Privada fija una obligación adicional y los
contratos de prestación de los distintos servicios de seguridad deberán en todo caso con-
signarse por escrito y comunicarse al Ministerio del Interior, con una antelación mínima
de tres días a la iniciación de tales servicios.
Con carácter general los ficheros de videovigilancia suelen tener un nivel básico. No
obstante el responsable del fichero debe tener en cuenta que deberá evaluar el nivel de
seguridad teniendo en cuenta lo dispuesto por el artículo 81 del Reglamento en función
del contenido y finalidad del fichero.
El responsable deberá informar a las personas con acceso a los datos sobre sus obli-
gaciones de seguridad y su deber de secreto en los términos del artículo 8 de la Instruc-
ción 1/2006. Asimismo cualquier persona que por razón del ejercicio de sus funciones
tenga acceso a los datos deberá observar la debida reserva, confidencialidad y sigilo en
relación con las mismas. El responsable deberá informar a las personas con acceso a los
datos del deber de secreto a que se refiere el apartado anterior.
46
Por tanto una vez transcurrido dicho plazo las imágenes deberán ser canceladas, lo
que implica el bloqueo de las mismas pues así lo establece la Ley Orgánica 15/1999 y el
RDLOPD, conservándose únicamente a disposición de las Administraciones Públicas,
Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del trata-
miento, durante el plazo de prescripción de éstas.
47
Es esta una de las novedades que incorpora el RDLOPD, una exclusión a los datos
de las definidas como “personas de contacto”.
• Que los datos tratados se limiten efectivamente a los meramente necesarios para
identificar al sujeto en la persona jurídica a la que presta sus servicios.
• La finalidad del tratamiento debe perseguir una relación directa entre quienes
traten el dato y la entidad y no entre aquéllos y quien ostente una determinada
posición en la empresa. De este modo, el uso del dato debería dirigirse a la
persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa
finalidad.
48
Por ello será necesario informar al trabajador en todos aquellos casos en los que se
produzcan cambios que afecten al tratamiento de los datos personales como la aparición
de nuevas finalidades o de nuevos tratamientos.
Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una
tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos
de la que el interesado, tanto denunciante como denunciado, deberá ser debidamente in-
formado. Esta misma información deberá referirse, en su caso, a la posible transferencia
internacional de datos a otras empresas del Grupo.
50
Los ficheros creados en el marco de estos sistemas deberán ser notificados al Regis-
tro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse
las transferencias internacionales de los datos que vayan a llevarse a cabo.
51
Resumen
• Se inscriben los ficheros, pero no los tratamientos. Así por ejemplo los sistemas de
videovigilancia en los que no se graba deben cumplir con las normas de protección
de datos personales, salvo el deber de inscripción.
• Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindi-
cal, religión y creencias.
• Los datos de carácter personal que hagan referencia al origen racial, a la salud y a
la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de
interés general, así lo disponga una ley o el afectado consienta expresamente.
52
Bibliografía
– http://www.agpd.es
– Guía de Videovigilancia.
53