Bloque I. Tema 8.

La protección de datos
personales y su normativa reguladora. Las
Agencias de Protección de Datos:
competencias y funciones
Índice de contenido
Bloque I. Tema 8. La protección de datos personales y su normativa reguladora. Las Agencias de
Protección de Datos: competencias y funciones...................................................................................1
Productos Software..........................................................................................................................1
Datos de carácter personal y medidas de seguridad........................................................................1
Datos que precisan medidas de nivel medio...............................................................................2
Datos que precisan medidas de nivel alto...................................................................................2
Datos protegidos y medidas de seguridad...................................................................................3
El Documento de Seguridad............................................................................................................5
Medidas de Seguridad......................................................................................................................5
Infracciones y Sanciones.................................................................................................................8

Productos Software
Disposición adicional única de RD 1720/2007, de 21 de diciembre, del reglamento de desarrollo.
Los productos de software destinados al tratamiento automatizado de datos personales deberán
incluir en su descripción técnica el nivel de seguridad básico, medio o alto, que permitan alcanzar
de acuerdo con lo establecido en el Título VIII de este reglamento.

Datos de carácter personal y medidas de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles:
básico, medio y alto.
• Todos los ficheros deben adoptar las de nivel básico.
• En una serie de datos determinada, deben implantar las de nivel medio, algunos de esos son
los “especialmente protegidos” pero otros no.
• Otras medidas de nivel alto hay que aplicarlas a otra serie de datos determinada, y ésto sí
enlaza con los datos “especialmente protegidos”.
Un DCP es cualquier información concerniente a personas físicas identificadas o identificables.
Todo fichero o tratamiento de estos datos deberá llevar las medidas de seguridad de nivel básico.
Las medidas de seguridad que hay que tomar según que datos se exponen en el Título VIII del
Reglamento de Desarrollo (RD 1720/2007 de 21 de diciembre).
Las medidas de seguridad en sí están el Capítulo II del mismo Título, el cual detalla el documento
de seguridad.

Datos que precisan medidas de nivel medio

Además de las de nivel básico, requerirán las de nivel medio:
 a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la LO 15/1999 de 13 de
diciembre (Prestación de servicios de solvencia patrimonial y crédito)
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el
ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la
Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo,
aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades
profesionales de la Seguridad Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una
definición de las características o de la personalidad de los ciudadanos y que permitan
evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
¿cuales son las conclusiones sobre las características que tienen en común estos datos? Pues está
claro que cuando se está hablando de dinero, no es tan importante como para las medidas de
protección de nivel alto, que son datos que van más con la personalidad, moral, intimidad de los
individuos, pero sí es suficientemente importante para la persona el derecho a la protección en lo
que respecta a su pasta.
Uno que se parece a los datos especialmente protegidos, que es donde hay que tener mucho cuidado
de no confundirse, es el conjunto de datos que permitan evaluar la personalidad de un individuo. Se
acerca a lo que se puede pensar como religión, creencias, ideología, afiliación sindical, pero no
llega, quedándose en algo más vago como “la personalidad”. Así que se queda con las de nivel
medio.
Y ya las que hay que memorizar son las de la Seguridad Social y las de las infracciones
administrativas y penales. Resumen:
• Todo lo que tenga que ver con el dinerito.
• Infracciones Administrativas y Penales -que recordemos solo los pueden tratar las AAPP-
• Seguridad Social
• Los datos que permitan evaluar la personalidad.

Datos que precisan medidas de nivel alto

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los
siguientes ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento
de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.

Datos protegidos y medidas de seguridad

Ahora vamos a ver la relación entre los datos especialmente protegidos con los datos que necesitan
medidas de seguridad de nivel medio.
 1. Nadie podrá ser obligado a declarar Deberán implantarse las medidas de nivel
sobre su ideología, religión o creencias. medio:
Hay derecho a no prestar el • Los relativos a la prestación de servicios
consentimiento. Y expreso y por escrito de información sobre solvencia
como vemos a continuación. patrimonial y crédito.
2. Solo con consentimiento expreso y por • Aquellos de los que sean responsables
escrito podrán tratarse: las Administraciones tributarias y se
✔ ideología relacionen con sus potestades.
✔ religión • Aquellos de los que sean responsables
✔ creencias entidades financieras para el ejercicio de
✔ afiliación sindical sus funciones.
A excepción de los ficheros mantenidos • Las Entidades Gestoras y Servicios
por partidos políticos, sindicatos, grupos Comunes de la Seguridad Social.
religiosos, fundaciones y otras entidades • Los que contengan un conjunto de datos
sin ánimo de lucro con similares que ofrezcan una definición de las
funciones para sus asociados o características o de la personalidad de los
miembros, siempre con el previo ciudadanos o permita evaluarlas.
consentimiento. • Los relativos a la comisión de
3. Tratamiento para origen racial, salud y infracciones administrativas o penales.
vida sexual solo por razones de interés
general y por una ley, o bien cuando
haya consentimiento expreso -aquí ya no
dice por escrito-
4. Prohibidos los ficheros cuyo único fin
sea almacenar algunos de los datos
anteriores.
5. Las infracciones penales o
administrativas solo podrán tratarse o
almacenarse por las Administraciones
Públicas.
6. Se exceptúa lo dicho en 2 y 3: ideología,
religión, creencias, afiliación sindical,
origen racial, salud y vida sexual para
prevención o diagnóstico médico o
gestión de servicios sanitarios.

Ahora vamos a ver la relación de los datos especialmente protegidos con los datos que precisan
medidas de seguridad de nivel alto.

1. Nadie podrá ser obligado a declarar
sobre su ideología, religión o creencias.
Hay derecho a no prestar el
consentimiento. Y expreso y por escrito
como vemos a continuación.
2. Solo con consentimiento expreso y por
escrito podrán tratarse:
✔ ideología
✔ religión
✔ creencias
• Los que se refieran a datos de ideología,
afiliación sindical, religión, creencias,
origen racial, salud o vida sexual. Con
esto cubrimos puntos 1, 2 y 3 de los
datos que necesitan medidas de
seguridad de nivel alto.
• Los que contengan o se refieran a datos
recabados para fines policiales sin
consentimiento de las personas
afectadas.
 ✔ afiliación sindical • Aquéllos que contengan datos derivados
A excepción de los ficheros mantenidos de actos de violencia de género.
por partidos políticos, sindicatos, grupos
religiosos, fundaciones y otras entidades
sin ánimo de lucro con similares
funciones para sus asociados o
miembros, siempre con el previo
consentimiento.
3. Tratamiento para origen racial, salud y
vida sexual solo por razones de interés
general y por una ley, o bien cuando
haya consentimiento expreso -aquí ya no
dice por escrito-
4. Prohibidos los ficheros cuyo único fin
sea almacenar algunos de los datos
anteriores.
5. Las infracciones penales o
administrativas solo podrán tratarse o
almacenarse por las Administraciones
Públicas.
6. Se exceptúa lo dicho en 2 y 3: ideología,
religión, creencias, afiliación sindical,
origen racial, salud y vida sexual para
prevención o diagnóstico médico o
gestión de servicios sanitarios.

Lo que está claro aquí es que todos los datos especialmente protegidos necesitan medidas de
protección de nivel alto. No hay datos especialmente protegidos que no las necesiten, salvo unas
excepciones que sí están contempladas:
• En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de
seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a
las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se
contengan aquellos datos sin guardar relación con su finalidad.
• También podrán implantarse las medidas se seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de
discapacidad o la simple declaración de la condición de discapacidad o invalidez del
afectado, con motivo del cumplimiento de deberes públicos.
No es cierta la implicación de que todas las medidas de seguridad de nivel alto son solo para los
datos especialmente protegidos, ya que aparecen los datos recabados para fines policiales sin el
consentimiento del afectado y los datos de violencia de género, como datos que requerirán medidas
de protección de nivel alto, pero sin ser datos especialmente protegidos según la ley o el
reglamento.

El Documento de Seguridad
Recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente
que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
Deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos
protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros y descripción de los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo en los ficheros o tratamientos
automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos.
Si hay que aplicar medidas de nivel alto además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que deban realizar para verificar el cumplimiento de lo dispuesto
en el propio documento.
Cuando exista un tratamiento de datos por cuenta de terceros:
1. Identificación de los ficheros o tratamientos que se traten en concepto de encargado con
referencia expresa al contrato o documento que regule:
1. Las condiciones del encargo
2. La identificación del responsable
3. El período de vigencia del encargo
2. Si el encargo es para la totalidad de los ficheros esta circunstancia deberá anotarse en el
documento de seguridad.
3. Podrá delegarse la llevanza del documento en el encargado

Medidas de Seguridad
Aunque esté distribuido de una manera poco ordenada existen medidas de seguridad con el mismo
epígrafe en los tres niveles de seguridad, pero que van añadiendo progresivamente
responsabilidades. Recordar claramente que si una medida aparece en un nivel y no en el superior
no es que no se deba llevar a cabo, esto puede llevar a preguntas con truco. Todo lo de los niveles
inferiores se “acumula”. Aquí hay que tratar de memorizar qué medidas y a qué nivel de exigencia
se expone en cada nivel de seguridad.
Vamos a ver un resumen al revés, en el que se exponen las medidas de seguridad que hay y en qué
nivel aparecen por primera vez. Entre paréntesis estarán los niveles en los que aparece.
• Funciones y Obligaciones del Personal (1)
• Nivel Básico – Del personal con acceso a D.C.P.
• Registro de Incidencias (2)
• Nivel Básico – Deberá existir un procedimiento de notificación y gestión de las
incidencias y establecer un registro: tipo, efectos, medidas correctoras, etc.
• Nivel Medio – Consignarse además los procedimientos realizados para la recuperación
de los datos y la persona que realizó el proceso. Y qué datos hubo que grabar a mano.
 Necesaria autorización para la recuperación.
• Identificación y autenticación (2)
• Nivel Básico –
• Mecanismo que permita la identificación de forma inequívoca y personalizada de
todo aquel usuario que intente acceder al sistema.
• Si hay contraseña existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
• El período de validez de la contraseña nunca superior a un año.
• Nivel Medio – Se establecerá un mecanismo que limite la posibilidad de intentar
reiteradamente el acceso no autorizado al sistema de información.
• Control de Acceso (3)
• Nivel Básico – Relación actualizada de usuarios y perfiles de usuario, y los accesos
autorizados para cada uno. Exclusivamente el personal autorizado para ello en el
Documento de Seguridad podrá conceder, alterar o anular el acceso.
• Nivel Medio – Control de acceso físico. Solo el personal autorizado accederá a los
lugares donde se hallen instalados los equipos físicos con los datos.
• Nivel Alto – Registro de Accesos. De cada intento de acceso se guardarán como
mínimo:
• Identificación del usuario.
• Fecha y hora.
• Fichero accedido, caso de éxito.
• Tipo de acceso.
• Autorizado o denegado.
• Registro accedido, caso de éxito.
• Gestión de Soportes y Documentos (3)
• Nivel Básico –
• Los soportes y documentos que contengan D.C.P. deberán permitir identificar el tipo
de información que contienen, ser inventariados y ser solo accesibles por el personal
autorizado, salvo que los soportes no lo permitan.
• Salida de datos es autorizable o si no, estar autorizada en el Documento de
Seguridad.
• La identificación de soportes con datos sensibles se podrá realizar con etiquetado que
dificulte la identificación a las personas no autorizadas.
• Nivel Medio –
• Un registro de entrada/salida de soportes permitirá conocer:
• Tipo de documento
• Fecha y hora
• Número de documentos incluidos en la transmisión
 • Tipo de información
• Forma de envío
• Entrada: emisor y persona responsable de la recepción
• Salida: destinatario y persona responsable del envío
• Nivel Alto – Gestión y Distribución de Soportes
• Etiquetados que dificulten la identificación a los no autorizados, ahora son
obligatorios.
• Cifrado de datos para las transmisiones o también cuando los datos viajen en
dispositivos portátiles, o medidas alternativas en caso de imposibilidad, que deberán
detallarse en el Doc. Seg.
• Copias de Respaldo y Recuperación (2 irregular)
• Nivel Básico –
• Un mínimo de 1 copia semanal si se han producido cambios en los datos.
• Solo en los ficheros o tratamientos parcialmente automatizados se permite grabación
manual al recuperar los datos salvaguardados.
• El responsable del fichero verificará cada seis meses las copias y sus
procedimientos.
• Nivel Alto – Conservar una copia de los datos y de los procedimientos en un lugar físico
diferente, que también deberá cumplir las medidas aquí expuestas.
• Responsable de Seguridad (1)
• Nivel Medio – Designación de uno o varios responsables de seguridad, para todos los
ficheros o por grupos, que no exonera al responsable del tratamiento.
• Auditoría (1)
• Nivel Medio – Al menos cada dos años una auditoría interna o externa. Se hará una con
carácter extraordinario si hay modificaciones sustanciales en el SI. Los informes de
auditoría serán analizados por el responsable de seguridad.
• Telecomunicaciones (1) – la única que sólo exige a nivel alto.
• Nivel Alto – La transmisión de D.C.P. a través de redes públicas o redes inalámbricas
debe ser cifrada o con mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros.
Serie de números que nos dice cuantas veces aparece cada medida, en orden que se da a
continuación, en cada uno de los niveles. Para las medidas, en las que no pongo nada, si el número
es 1 es que es en básico, si es 2 es que es en básico y medio, etc.
• 122332111
• Funciones y obligaciones del Personal
• Registro Incidencias
• Identificación y Autenticación
• Control de Acceso
• Gestión de Soportes y Documentos
 • Copias de Respaldo y Recuperación (básico y alto)
• Responsable de Seguridad (medio)
• Auditoría (medio)
• Telecomunicaciones (alto)
• La FIA haCe GRR porque solo tiene ordenadores AT.

Infracciones y Sanciones
En la ley están las generalidades de las infracciones y sanciones, toda la chicha, pero en el
Reglamento también se habla del Procedimiento sancionador (Título IX, Capítulo II, Sección 3ª)

Ficheros en general
La mejor manera de aprenderse esto es memorizando las leves y memorizando las muy graves, que
ambos grupos son pequeños. Intentaremos crear nemotécnicos o algo parecido.
Son infracciones leves (RISE!!! RISE!! We shall RISEEEEE!!):
a) No Remitir a la AEPD las notificaciones previstas en este Ley o en sus disposiciones de
desarrollo.
b) El incumplimiento del deber de Información al afectado acerca del tratamiento de sus
datos de carácter personal cuando los datos sean recabados del propio interesado.
c) No Solicitar la inscripción del fichero de datos de carácter personal en el Registro General
de Protección de Datos.
d) La transmisión de los datos a un Encargado del tratamiento sin dar cumplimiento a los
deberes formales establecidos en el artículo 12 de esta Ley.
Son infracciones muy graves:
a) La recogida de datos en forma engañosa o Fraudulenta.
b) Tratar o ceder datos de carácter personal Especialmente protegidos a los que se refieren
los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo
autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
(Son los datos especialmente protegidos: religión, creencias, ideología, afiliación sindical,
origen racial, salud, vida sexual, además de los de comisión de infracciones penales o
administrativas, que solo los pueden tratar las Administraciones Públicas)
c) No Cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo
requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la
AEPD salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de
desarrollo dicha autorización no resulta necesaria.

Prescripción
Infracciones: 3 años, 2 años, 1 año y Sanciones: 3 años, 2 años, 1 año.

Ficheros de titularidad pública

Artículo 46. El órgano sancionador dictará una resolución estableciendo las medidas que procede
adoptar y se notificará al responsable del fichero. Podrán proceder también actuaciones
disciplinarias. Se comunicará al Defensor del Pueblo.

El procedimiento sancionador

Iniciación
Contiene:
1. Identificación de responsables
2. Descripción sucinta de hechos y posible calificación sanciones
3. Indicación de que el órgano competente es AEPD
4. Indicación al responsable de que puede reconocer voluntariamente su responsabilidad
5. Designación de instructor
6. Indicación expresa derecho formular alegaciones
7. Medidas de carácter provisional

El plazo máximo para dictar resolución será el que determinen las normas
aplicables a cada procedimiento sancionador y se computará desde la fecha en que se
dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución
sancionadora, o se acredite debidamente el intento de notificación.
El vencimiento del citado plazo máximo, sin que se haya dictado y notificado
resolución expresa, producirá la caducidad del procedimiento y el archivo de las
actuaciones.