LOPD

LEY ORGÁNICA DE

PROTECCIÓN DE DATOS

8 de Julio de 2015

© Javier Peña Alonso

CURSO SUPERIOR DE ESTUDIOS

INMOBILIARIOS

OBLIGATORIEDAD

Cualquier entidad está obligada a cumplir, entre otras, obligaciones:

1. Las obligaciones contables

1.1. Cuentas anuales

2. Las obligaciones formales

2.1. Sujetos pasivos del Impuesto sobre Sociedades

2.2. Sujetos pasivos del Impuesto sobre la Renta de las Personas

Físicas

3. Las obligaciones fiscales

3.1. Impuesto de la renta de las personas físicas

3.2. Impuesto sobre sociedades

3.3. Impuesto sobre el Valor Añadido

4. Obligaciones Laborales

5. Obligaciones Varias

5.1. Obligaciones en materia de Prevención de Riesgos Laborales

5.2. Obligaciones en materia de Protección de Datos

6. Otras

¿Qué saben las pequeñas y medianas

empresas españolas sobre la LODP?

Estudio de evolución de las pequeñas y

medianas empresas españolas en el

cumplimiento de la LOPD

INTECO 2012

Situación de las Empresas con respecto a la LOPD


Si la conocen... ¿la cumplirán?

1. ¿Qué es la Protección de Datos?

Datos de carácter personal y tratamiento

Tratamiento de Datos

2. Legislación Aplicable

Antecedentes Normativos

Legislación Aplicable

o Europea

o Estatal

o Conexa Estatal

o Autonómica

Ley Orgánica de Protección de Datos (LOPD)

RD 1720/2007: Reglamento de desarrollo de la LOPD (RDLOPD)

Instrucciones de la AEPD

3. ¿Quién es la Agencia Española de Protección de Datos?

Naturaleza y Funciones de la AEPD

Sanciones por Incumplimiento

Bloque I

1.- ¿Qué es la Protección de Datos?

Esta expresión hace alusión al amparo debido a los ciudadanos contra la posible utilización por

terceros, de forma no autorizada, de sus datos personales susceptibles de tratamiento, para,

de esta forma, confeccionar una información que, identificable con él, afecte a su entorno

personal, social o profesional, en los límites de su intimidad.

El ámbito de la protección de datos alcanza a esta información siempre que esté registrada en

soporte físico que la haga susceptible de tratamiento.

La protección de datos pretende así garantizar al titular de los datos que los terceros, ya se

trate del sector público o del sector privado, utilizarán sus datos personales con el respeto

debido, de forma que pueda tener control sobre los mismos, y en todo momento sepa qué va

a hacer quién trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a

quién se los cede o comunica.

1.- ¿Qué es la Protección de Datos?

¿Qué es el tratamiento de datos personales?

“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la

recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como

las cesiones de datos que resulten de comunicaciones, consultas interconexiones y

transferencias”

Las operaciones más frecuentes son:

• La recogida organizada de datos

• La conservación y mantenimiento

• La cesión de los datos a otras personas y/o entidades

¿Qué son los datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables, tanto la

relativa a su identidad (nombre, apellidos, dirección, teléfono …) a sus ocupaciones (estudio,

trabajo …) datos bancarios, datos relativos a la salud, afiliación sindical y creencias, entre otros

2.- Legislación Aplicable

Constitución Española

1978

1981

Convenio 108 Consejo de

Europa

LORTAD

1992

1995

Directiva 95/46/CE

LOPD

RMS

1999

2000

STC 292/2000

RLOPD

2007

Antecedentes Normativos

Agencia Española de Protección de Datos – LEGISLACIÓN

Legislación Aplicable

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/index-ides-idphp.php


UNIÓN EUROPEA:

Tratado de Lisboa por el que se modifican el Tratado de la Unión Europea y el

Tratado constitutivo de la Comunidad Europea, firmado en Lisboa el 13 de diciembre

de 2007

Carta de los Derechos Fundamentales de la Unión Europea de 7 de diciembre de

2000

Versiones consolidadas del Tratado de la Unión Europea y del Tratado de

Funcionamiento de la Unión Europea

Legislación de la Unión Europea para la Protección de Datos

http://eur-lex.europa.eu/legal-content/ES/AUTO/?uri=uriserv:OJ.C_.2007.306.01.0001.01.SPA

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/common/pdfs/B.1-cp--Carta-de-los-Derechos-Fundamentales.pdf

http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:12012E/TXT&from=EN

http://ec.europa.eu/justice/data-protection/law/index_en.htm


ESTATAL

Constitución Española de 1978.

LEY:

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal. (Texto consolidado. Última modificación: 5 de marzo de 2011)

Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden

social. (Texto consolidado. Última modificación: 17 de septiembre de 2014).

REAL DECRETO:

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de

carácter personal. (Texto consolidado. Última modificación: 8 de marzo de 2012).

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la

Agencia Española de Protección de Datos. (Texto consolidado. Última modificación:

5 de noviembre de 2008).

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Constitucion_es.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_Organica_15-1999_de_13_de_diciembre_de_Proteccion_de_Datos_Consolidado.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_62-2003_de_30_de_diciembre_de_medidas_fiscales_administrativas_y_del_orden_social_Consolidado.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Real_Decreto_1720-2007_de_21_de_diciembre_por_el_que_se_aprueba_Reglamento_de_desarrollo_Ley_Organica_15-1999_Consolidado.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Real_Decreto_428-1993_de_26_de_marzo_por_el_que_se_aprueba_Estatuto_Agencia_de_Proteccion_de_Datos_Consolidado.pdf

ANTECEDENTES NORMATIVOS

NORMATIVA AUTONÓMICA.

COMUNIDAD AUTÓNOMA DE ANDALUCÍA:

Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía

COMUNIDAD AUTÓNOMA DE CATALUÑA:

Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.

(Texto consolidado. Última modificación: 23 de marzo de 2012)

COMUNIDAD AUTÓNOMA DEL PAÍS VASCO:

Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de

Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/autonomica/common/pdfs/Ley_1-2014_de_24_de_junio_de_Transparencia_Publica_de_Andalucia.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/autonomica/common/pdfs/Ley_32-2010_Autoridad_Catalana_Proteccion_Datos.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/autonomica/common/pdfs/Ley_2-2004_de_25_de_febrero_de_ficheros_y_de_creacion_de_la_AVPD.pdf


Normas de carácter reglamentario (AEPD)

1.- Instrucciones, entre otras:

Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento

de datos personales con fines de vigilancia a través de sistemas de

cámaras o videocámaras. (Texto consolidado. Última modificación: sin

modificaciones).

Descarga de Modelos de Videovigilancia

Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros

automatizados establecidos con la finalidad de controlar el acceso

a los casinos y salas de bingo. (Texto consolidado. Última modificación: sin

modificaciones).

Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros

automatizados establecidos con la finalidad de controlar el acceso

a los edificios. (Texto consolidado. Última modificación: sin modificaciones).

Instrucción 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que

garantizan la intimidad de los datos personales recabados como consecuencia de la

contratación de un seguro de vida de forma conjunta con

la concesión de un préstamo hipotecario o personal. (Texto consolidado. Última

modificación: sin modificaciones).

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/common/pdfs/Instruccion_1-2006_de_8_de_noviembre_de_la_Agencia_Espanola_de_Datos_sobre_tratamiento_de_datos.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#video

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Instruccion_2-1996_de_1_de_marzo_de_la_APD_sobre_ficheros_automatizados_establecidos.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Instruccion_1-1996_de_1_de_marzo_de_la_Agencia_de_Proteccion_de_de_Datos_sobre_ficheros_automatizados.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Instruccion_2-1995_de_4_de_mayo_de_la_APD_sobre_medidas_que_garantizan_la_intimidad_de_los_datos_personales.pdf


NORMAS DE CARÁCTER REGLAMENTARIO (AEPD)

2.- Resoluciones, entre otras:

Resolución de 18 de marzo de 2010, de la Agencia Española de Protección de Datos, por la que se

crea la Sede Electrónica de la Agencia Española de Protección de Datos. (Texto

consolidado. Última modificación: sin modificaciones).

Resolución de marzo de 2011, de la Agencia Española de Protección de Datos, por la gue se crea el

sello electrónico para su utilización por la Agencia Española de protección de Datos.

Resolución de 27 abril de 2011, de la Agencia Española de Protección de Datos, para la utilización de un

código seguro de verificación en las actuaciones automatizadas que se hayan

publicado en su Sede Electrónica.

Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se crea

el Registro Telemático de la Agencia Española de Protección de Datos. (Texto

consolidado. Última modificación: sin modificaciones).

Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se

determina la información que contiene el Catálogo de ficheros inscritos en

el Registro General de Protección de Datos. (Texto consolidado. Última modificación: 13 de

noviembre de 2008).

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Resolucion_de_18_de_marzo_de_2010_de_la_AEPD_por_la_que_se_crea_la_Sede_Electronica.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2011/ResolucionCreacionSelloElectronico.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Resolucion_de_27_de_abril_de_2011_de_la_AEPD_para_la_utilizacion_de_un_codigo_seguro_de_verificacion_en_las_actuaciones_automatizadas.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Resolucion_de_12_de_julio_de_2006_de_la_AEPD_por_la_que_se_crea_el_Registro_Telematico.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/Resolucion_de_1_de_septiembre_de_2006_de_la_AEPD_por_la_que_se_determina_la_informacion_que_contiene_el_Catalogo_de_ficheros.pdf

ANTECEDENTES NORMATIVOS

NORMATIVA ESTATAL CONEXA

Por Sectores de Actividad:

Administraciones Públicas

Civil, Mercantil y Consumidores

Firma y DNI electrónicos

Seguridad Ciudadana

Intimidad, Honor y Propia Imagen

Penal y Penitenciaria

Sanidad, Salud y Reproducción Asistida

Seguros

Telecomunicaciones y Sociedad de la Información

Tributaria

Videovigilancia y descarga de modelos

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#admin

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#civil

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#firma

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#fuerz

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#intim

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#penal

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#sanid

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#segur

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#telec

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#tribu

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/normativa_estatal/index-ides-idphp.php#video


Ley Orgánica 15/1999, de 13 de Diciembre,

de Protección de Datos de Carácter Personal (LOPD)

Se reconoce los derechos de los afectados en el tratamiento de los

datos personales.

Evoca la necesidad de realizar y establecer un entorno organizativo

Establece obligaciones sobre los titulares de los ficheros

“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al

tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las

personas físicas, y especialmente de su honor e intimidad personal y familiar”


Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de

diciembre, de protección de datos de carácter personal

“El presente Reglamento tiene por objeto el desarrollo de la Ley Orgánica 15/1999, ...” “ de las

disposiciones relativas al ejercicio por la Agencia Española de Proteccion de Datos de la

potestad sancionadora, en aplicación de lo dispuesto en la Ley Orgánica 15/1999, en el título

VII de la Ley 34/2002, de 11 de Junio de Servicios de la sociedad de la información y de

comercio electrónico, y en el título VIII de la Ley 32/2003, de 3 de noviembre, General de

Telecomunicaciones”

Desarrolla los contenidos de la LOPD,

Comprende el tratamiento automatizado y no automatizado de

datos de carácter personal.

Clasifica los datos por niveles y expone las medidas de seguridad

3.- La Agencia Española de Protección de Datos

Naturaleza

Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.

Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

Funciones

De forma general se puede decir que la principal función de la APD es: velar por el cumplimiento

de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a

los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Sus funciones en relación a quién trata los datos son:

• Emitir autorizaciones previstas en la Ley.

• Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación

de los datos.

• Requerir medidas de corrección.

• Ejercer la potestad sancionadora.

• Recabar ayuda e información que precise.

• Autorizar las transferencias internacionales de datos.

http://www.agpd.es/portalwebAGPD/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Bloque II

5. Glosario de Términos

6. Tipología de los datos según la AEPD

7. Niveles de Seguridad

Nivel Básico

Nivel Medio

Nivel Alto

8. A qué obliga la LOPD

Ámbito de aplicación

Fases del proceso de adecuación

9. Requisitos organizativos de cumplimiento

Obligaciones Legales Básicas (Formato Mixto)

Medidas a Adoptar en Formato Papel

Datos de carácter personal:

Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero:

Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la

forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de Datos:

Operaciones y procedimientos técnicos de carácter automatizado o no, que

permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y

cancelación, así como las cesiones de datos que resulten de comunicaciones

consultas, interconexiones y trasferencias.

5.- Glosario de Términos Básicos

Afectado o interesado:

Persona física titular de los datos que sean objeto del tratamiento.

Responsable del Fichero o tratamiento:

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo,

que decida sobre la finalidad, contenido y uso del tratamiento.

Responsable de Seguridad:

Persona o personas a las que el responsable del fichero ha asignado formalmente

la función de coordinar y controlar las medidas de seguridad aplicables.

Usuario:

Sujeto o proceso autorizado para acceder a los datos o recursos



Encargado de Tratamiento:

La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo

que, sólo o conjuntamente con otros trate datos personales por cuenta del

responsable del tratamiento.

Cesión o comunicación de datos:

Toda revelación de datos realizada a una persona distinta del interesado.

Consentimiento del interesado:

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante

la que el interesado consienta el tratamiento de datos personales que le conciernen.

Identificación del afectado:

Cualquier elemento que permita determinar directa o indirectamente la identidad

física, fisiológica, psíquica, económica, cultural o social de la persona física

afectada.


Sistema de Información:

Conjunto de ficheros automatizados, programas, soportes y equipos empleados

para el almacenamiento y tratamiento de datos

Control de Acceso:

Mecanismo que en función de la identificación ya autenticada permite acceder a

datos o recursos

Identificación:

Procedimiento de reconocimiento de la identidad de un usuario

Autenticación:

Procedimiento de comprobación de la identidad de un usuario

Contraseña:

Información confidencial, frecuentemente constituida por una cadena de caracteres,

que puede ser usada en al autenticación de un usuario.

Bloque II




Nivel Básico

Nivel Medio

Nivel Alto







DATOS ESPECIALMENTE PROTEGIDOS.

DATOS IDENTIFICATIVOS.


DATOS DE TRANSACCIONES.

DATOS DE CIRCUNSTANCIAS SOCIALES.

DATOS DE DETALLE DE EMPLEO.

DATOS ACADÉMICOS Y PROFESIONALES.

DATOS ECONÓMICOS FINANCIEROS Y DE SEGUROS.

DATOS DE INFORMACIÓN COMERCIAL.

6.- Tipología de los datos según la AEPD

DATOS ESPECIALMENTE PROTEGIDOS.

IDEOLOGÍA

ORIGEN RACIAL O ETNICO

AFILIACIÓN SINDICAL

SALUD

RELIGIÓN

VIDA SEXUAL

CREENCIAS


DNI/ NIF

Nº SEGURIDAD SOCIAL

NOMBRE Y APELLIDOS

DIRECCIÓN( Postal-Electrónica)

TELEFONO (Fijo -Móvil)

FIRMA

HUELLA DIGITALIZADA

IMAGEN/ VOZ

ANTROPOMÉTRICAS

MARCAS FÍSICAS

FIRMA ELECTRÓNICA



DATOS DE CARACTERÍSTICAS PERSONALES

NACIONALIDAD

LUGAR DE NACIMIENTO

FECHA NACIMIENTO

EDAD

SEXO

LENGUA MATERNA

CARACTERÍSTICAS FÍSICAS O ANTROPOMÉTRICAS

DATOS DE FAMILIA

ESTADO CIVIL

OTROS


DATOS DE TRANSACCIONES

BIENES Y SERVICIOS SUMINISTRADOS POR EL AFECTADO

TRANSACCIONES FINANCIERAS

COMPENSACIONES / INDEMNIZACIONES

BIENES Y SERVICIOS RECIBIDOS POR EL AFECTADO

OTROS


DATOS DE CIRCUNSTANCIAS SOCIALES.

CARACTERÍSTICAS DE ALOJAMIENTO / VIVIENDA

SITUACIÓN MILITAR

PROPIEDADES/ POSESIONES

AFICIONES Y ESTILOS DE VIDA

PERTENENCIA A CLUBES ASOCIACIONES

LICENCIAS, PERMISOS, AUTORIZACIONES


DATOS ACADÉMICOS Y PROFESIONALES.

FORMACIÓN, TITULACIONES

HISTORIAL DE ESTUDIANTE

EXPERIENCIA PROFESIONAL

PERTENENCIA A COLEGIOS O ASOCIACIONES PROFESIONALES

OTROS


DATOS DE DETALLE DE EMPLEO.

PROFESIÓN

PUESTOS DE TRABAJO

DATOS NO ECONÓMICOS DE LA NÓMINA

HISTORIAL DEL TRABAJADOR

OTROS


DATOS DE INFORMACIÓN COMERCIAL.

LICENCIAS COMERCIALES

SUSCRIPCIONES A PUBLICACIONES/ MEDIOS

CREACIONES ARTÍSTICAS

LITERARIAS, CIENTÍFICAS O TÉCNICAS


DATOS ECONÓMICOS FINANCIEROS Y DE SEGUROS.

INGRESOS, RENTAS

DATOS SOBRE DEDUCCIONES IMPOSITIVAS/ IMPUESTOS

INVERSIONES/ BIENES PATRIMONIALES

SEGUROS

CRÉDITOS, PRESTAMOS, AVALES

HIPOTECAS

SUBSIDIOS, BENEFICIOS

DATOS BANCARIOS

HISTORIAL CRÉDITOS

PLANES DE PENSIONES / JUBILACIÓN

TARJETAS CRÉDITO

DATOS ECONÓMICOS DE LA NÓMINA


Bloque II




Nivel Básico

Nivel Medio

Nivel Alto







7.- Niveles de Seguridad

Niveles de Seguridad

La normativa clasifica las medidas de seguridad que debe adoptar su empresa en tres niveles según

el tipo de datos que se traten :

Alto

Básico

Medio

Nivel Alto

Tratamiento de datos:

de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual

y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;

recabados con fines policiales sin consentimiento de las personas afectadas; y

derivados de actos de violencia de género.


Nivel Medio

Relativos a la comisión de infracciones administrativas o penales;

Que se rijan por el artículo 29 de la LOPD (servicios de solvencia patrimonial y crédito);

Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades

tributarias;

Entidades financieras para las finalidades relacionadas con la prestación de servicios

financieros;

Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el

ejercicio de sus competencias;

Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;

Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos

de la misma o del comportamiento de las personas; y

Operadores de comunicaciones electrónicas, respecto de los datos de tráfico y

localización.


Nivel Básico

Cualquier otro fichero que contenga datos de carácter personal.

INCLUIDOS: los ficheros que contengan datos de ideología, afiliación sindical, religión,

creencias, salud, origen racial o vida sexual cuando:

Los datos se utilicen los datos se utilicen con la única finalidad de realizar una transferencia

dineraria a entidades de las que los afectados sean asociados o miembros;

Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos

tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del

fichero; y

En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente

al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del

cumplimiento de deberes públicos.


Bloque II




Nivel Básico

Nivel Medio

Nivel Alto







ÁMBITO DE APLICACIÓN DE LA LOPD

El artículo 1 de la LOPD dispone literalmente que:

“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las libertades públicas y

los derechos fundamentales de las personas físicas, y especialmente de su

honor e intimidad personal y familiar”

Ficheros Automatizados.

Ficheros NO AutomatizadosAFECTA A AMBOS

La protección no es aplicable:

A las personas jurídicas.

A los profesionales que organizan su actividad bajo la forma de empresa. (A los que se refiere el código de

comercio)

A los empresarios individuales que ejercen una actividad comercial y respecto de los cuales sea posible

diferenciar su actividad mercantil de su actividad privada

“A Contrario Sensu” tanto los profesionales como los comerciantes individuales quedaran amparados cuando

los primeros no tuvieran organizada su actividad bajo la forma de empresa (profesionales liberales) y los

segundos cuando no fuese posible diferenciar su actividad mercantil de la propia actividad privada.

8.- ¿A qué me obliga la LOPD?


La seguridad de los datos se manifiesta en el deber que tiene el Responsable de

los Ficheros de adoptar las medidas de índole técnica y organizativas

necesarias para garantizar la seguridad de los datos personales y evitar su

alteración, pérdida, tratamiento o acceso no autorizado, al igual que respetar y

facilitar el ejercicio de los derechos que la misma normativa reconoce a sus

titulares.

Su empresa tiene que interpretar el cumplimiento de este deber como un

beneficio, porque la adopción de las medidas de seguridad evitan la producción

de los prejuicios derivados de la pérdida de información relevante.

Además para su empresa la información es el “principal activo del negocio”, por

eso es imprescindible adoptar medidas de seguridad para protegerla contra

pérdidas, alteraciones, usos indebidos o indeseados …


FASES DEL PROCESO DE ADECUACIÓN

Bloque II




Nivel Básico

Nivel Medio

Nivel Alto







Niveles de Seguridad

La normativa clasifica las medidas de seguridad que debe adoptar su empresa en tres niveles según

el tipo de datos que se traten :

Alto

Básico

Medio

9.- Requisitos organizativos de cumplimiento

Tabla resumen de medidas de seguridad a aplicar en función de la

naturaleza de los datos de carácter personal tratados

NIVEL BASICO MEDIO ALTO

Naturaleza

de los

Datos

• Nombre

• Apellidos.

• Direcciones de contacto

(físicas y electrónicas)

• Teléfono (fijo o móvil)

• Otros

• Infracciones penales.

• Infracciones

administrativas.

• Información de hacienda

pública.

• Información de servicios

financieros

• Otros

• Ideología

• Religión.

• Creencias.

• Origen racial.

• Salud.

• Vida sexual

• Otros

Medidas

de

Seguridad

• Documento de seguridad

• Régimen de funciones y

obligaciones del personal

• Registro de incidencias

• Identificación y

autenticación de usuarios

• Control de acceso

• Gestión de soportes

• Copias de respaldo y

recuperación

• Medidas de seguridad de

nivel básico

• Responsable de

Seguridad

• Auditoria bienal

• Medidas adicionales de

Identificación y

autenticación de usuarios

• Control de acceso físico

• Medidas de seguridad

de nivel básico y medio

• Seguridad en la

distribución de soportes

• Registro de accesos

• Medidas adicionales de

copias de respaldo

• Cifrado de

telecomunicaciones


OBLIGACIONES LEGALES BÁSICAS EN PROTECCIÓN DE DATOS (MIXTO)

Inscripción de los ficheros en el Registro General de Protección de Datos

Redacción del documento de seguridad.

Recabar el consentimiento del afectado cuando se vayan a tratar sus datos

personales.

Auditoría. Obligatoria cuando existen ficheros que requieren medidas de nivel

medio o alto.

Implementar medidas de seguridad de índoles técnicas y organizativas

necesarias para garantizar la seguridad de los datos objeto de tratamiento.

Redacción de los contratos, leyendas y cláusulas necesarias para la recogida

datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

Deber de secreto.


DOCUMENTO DE SEGURIDAD

Es el núcleo central de toda política de protección de datos de carácter personal,

pues contiene políticas, normas y procedimientos por los cuales se va a regir la

organización en el tratamiento de los datos de carácter personal.

Es un manual que debe reflejar la realidad de los procedimientos de una

organización en relación con el tratamiento de los datos de carácter personal.

En el mismo se recogen todas aquellas medidas de carácter técnico, jurídico y

organizativo que una organización adopta con el objeto de proteger o garantizar la

seguridad de los datos personales que puedan existir, tanto en sus sistemas de

información como en sus ficheros manuales o no automatizados.

Ha de ser un documento cuya vigencia esta relacionada con el funcionamiento

diario de la organización y en las personas que la conforman.

Es decir, que sea un documento vivo, actualizado y revisado

a efectos de contemplar las nuevas situaciones con respecto al uso de la

información.


Algunos procedimientos básicos a tener en cuenta:

PROCEDIMIENTOS RELATIVOS A FICHEROS AUTOMATIZADOS

CONTROL DE ACCESO LÓGICO

COPIAS DE SEGURIDAD

CORREO ELECTRÓNICO

PROCEDIMIENTOS RELATIVOS A FICHEROS AUTOMATIZADOS

CRITERIOS DE ARCHIVO

DISPOSITIVOS DE ALMACENAMIENTO

CUSTODIA DE SOPORTES

MEDIDAS DE TRASLADO DE DOCUMENTACIÓN

CONTROL DE COPIA Y/O REPRODUCCIÓN (NIVEL ALTO)

ÁREAS RESTRINGIDAS (NIVEL ALTO)


Algunos procedimientos básicos a tener en cuenta:

PROCEDIMIENTOS COMUNES A AMBOS TIPOS DE FICHEROS

GESTIÓN DE USUARIOS

GESTIÓN DE INCIDENCIAS

GESTIÓN DE SOPORTES Y DOCUMENTOS

DESECHADO Y REUTILIZACIÓN DE SOPORTES Y DOCUMENTOS

GESTIÓN DE FICHEROS TEMPORALES O COPIAS DE TRABAJO DE

DOCUMENTOS

MEDIDAS DE SEGURIDAD ADICIONALES

CONTROL DE LO DISPUESTO EN EL DOCUMENTO DE SEGURIDAD:

AUDITORÍA.

ATENCIÓN AL EJERCICIO DE LOS DERECHOS A.R.C.O.


AFECTADOS

Información al afectado.

Casos de Consentimiento explícito.

CONTRATAS

Encargado de Tratamiento CON Acceso a Datos.

Encargado de Tratamiento SIN Acceso a Datos.

EMPLEADOS

Acuerdo de Confidencialidad

Conocimiento de las Funciones y Obligaciones

CLAUSULADO


COMUNICACIÓN DE DATOS

Se entiende por comunicación o cesión de datos toda revelación de datos realizada a persona distinta del

interesado. Definida en el artículo 3, i) de la LOPD, se trata de toda entrega o revelación de datos personales

que realiza el titular de un fichero o un encargado del tratamiento, etc. a un tercero. Esta cesión de acuerdo con

el artículo 11 de la LOPD, tiene que realizarse para el cumplimiento de fines directamente relacionados con las

funciones legítimas del cedente y del cesionario y, como regla general, debe contar con el previo

consentimiento del interesado. Se trata de un régimen que lo que busca es garantizar el control y

conocimiento del uso y destino de los datos personales por parte de su titular o afectado.

EXCEPCIONES AL CONSENTIMIENTO EN LA COMUNICACIÓN DE DATOS

• Cuando la cesión está autorizada en una Ley.

• Cuando se trate de datos recogidos de fuentes accesibles al público.

• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo

desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento

con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a

la finalidad que la justifique.• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o

Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento

cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al

Tribunal de Cuentas.

• Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines

históricos, estadísticos o científicos.

• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder

a un fichero para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o

autonómica.


OBLIGACIONES DE LOS USUARIOS

Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal

conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral

con la organización.

Guardar todos los soportes físicos y/o documentos que contengan información con datos de

carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera

de la jornada laboral.

Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter

personal en los que se almacene información titularidad de la organización fuera de los

locales de la misma, sin autorización previa del Responsable de Seguridad. En el supuesto

de existir traslado o distribución de soportes y documentos se realizará cifrando dichos

datos, o mediante otro mecanismo que impida el acceso o manipulación de la información

por terceros.

Comunicar al Responsable de Seguridad, conforme al procedimiento de notificación, las

incidencias de seguridad de las que tenga conocimiento.


Ficheros de carácter temporal o copias de documentos son aquellos en los que se

almacenan datos de carácter personal, generados para el cumplimiento de una necesidad

determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea

superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser

borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación

y, mientras estén vigentes, deberán cumplir con los niveles de seguridad asignados por el

Responsable de Seguridad. Si, transcurrido el mes, el usuario necesita continuar utilizando

la información almacenada en el fichero, deberá comunicarlo al Responsable de Seguridad,

para adoptar las medidas oportunas sobre el mismo.

Únicamente las personas autorizadas en un listado de accesos podrán introducir, modificar

o anular los datos contenidos en los ficheros o documentos objeto de protección. Los

permisos de acceso de los usuarios son concedidos por el Responsable de Seguridad. En

el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a

ficheros o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento

del Responsable de Seguridad correspondiente.

OBLIGACIONES DE LOS USUARIOS


Bloque III

10. ¿Cuál es mi situación como Administrador de Fincas?

¿Cuál es mi figura?

¿Qué obligación tengo como encargado del tratamiento?

¿Es obligatorio celebrar un contrato con la Comunidad de

Vecinos?

¿Influye la ubicación del fichero?

¿Los vecinos deben firmar algún documento?

¿Cómo publicar los datos de los morosos?

¿Se pueden dar datos de los vecinos a empresas que prestan

sus servicios a los mismos?

Informes y Sentencias de la AEPD

¿Cuál es mi situación como Administrador de Fincas?

Administradores

de Fincas

Encargado de

Tratamiento

Comunidad de

Vecinos/Propietarios

Responsable de

Fichero

Responsable de

«mis» Ficheros



Administradores

de Fincas

Encargado de

Tratamiento

Comunidad de


Responsable de

«sus» Fichero

Responsable de

«mis» Ficheros

Debe cumplir con la LOPD en

todos los aspectos

contemplados ya que trata

datos de carácter personal.



Administradores

de Fincas

Encargado de

Tratamiento

Comunidad de


Responsable de

«sus» Fichero

Responsable de

«mis» Ficheros

Debe cumplir con la LOPD en todos

los aspectos contemplados ya que

trata datos de carácter personal como

por ejemplo del personal propio o de

sus clientes pero hay que distinguir

que...



Administradores

de Fincas

Encargado de

Tratamiento

Comunidad de


Responsable de

«sus» Fichero

Responsable de

«mis» Ficheros

... Actúa como ENCARGADO DE

TRATAMIENTO de los datos que posee

propios de las comunidades de vecinos.

No tiene que registrar el fichero pero

debe cumplir con lo expuesto en la

LOPD



La comunidad de Vecinos está obligada a registrar sus ficheros y cumplir con las

obligaciones inherentes en la LOPD como responsable de fichero.

El Responsable del Fichero es la comunidad de propietarios, el administrador de fincas es el

Encargado de Tratamiento por lo que debe cumplir una serie de OBLIGACIONES que

podemos resumir a continuación:

Fijar instrucciones concretas para el acceso y tratamiento de los datos

Establecer y detallar las medidas de seguridad que deberá adoptar e implantar, para

garantizar su seguridad y evitar su alteración, pérdida, tratamiento o acceso no

autorizado.

Establecer la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera

para su conservación

Si subcontrata servicios Firmar un contrato con el subcontratista con el consentimiento

del Responsable del Fichero o habiendo obtenido expresa autorización de éste

Devolución o destrucción de los datos una vez concluida la prestación del servicio. Si

deben conservarse durante un plazo legal debe procederse a su Bloqueo.

¿Qué obligación tengo como encargado del tratamiento?


La relación entre el Administrador de Fincas y la Comunidad de

Propietarios, deberá estar regulada en un contrato que deberá constar por escrito

o en alguna otra forma que permita acreditar su celebración y contenido,

estableciéndose expresamente que el encargado del tratamiento (el

Administrador de Fincas) tratará los datos conforme a las instrucciones del

Responsable del tratamiento (la Comunidad de Propietarios), que no los aplicará

o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni

siquiera para su conservación, a otras personas.

¿Es obligatorio celebrar un contrato con la Comunidad de Vecinos?


Normalmente, es el propio administrador de fincas quién se encarga de la custodia de la

información, tanto por disponibilidad como por disponibilidad a la hora de prestar los

servicios contratados.

Administradores de

Fincas

Custodian la

información

• Recoger en un contrato las obligaciones de custodia

INCLUYENDO la llevanza del documento de seguridad

si así se estableciese.

• Implementar las medidas de seguridad adecuadas al

nivel requerido por el fichero

¿Influye la ubicación del fichero?


NO, ya que el tratamiento de datos que la comunidad de propietarios, o el

Administrador de Fincas realiza está dentro del cumplimiento de sus

obligaciones legales. Esto se encuentra dentro de los supuestos legales que

exceptúan la necesidad de recabar el consentimiento de los vecinos.

Sin embargo, estas excepciones no eximen a la Comunidad de Propietarios de

cumplir con el Derecho de Información (artículo 5 de la LOPD) y deberán informar

de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y

oposición así como de la identidad del responsable de los ficheros a los

propietarios.

¿Los vecinos deben firmar algún documento?



Cómo Notificar:

1. Notificar al afectado en su domicilio conocido la convocatoria de la Junta o el Acta

donde se contiene su condición de deudor.

2. En su defecto, se notificará en el inmueble del que es propietario en la comunidad de

que se trate.

3. En caso de total imposibilidad para notificar personalmente, se procederá a publicar

la convocatoria de Junta o el Acta en el tablón de anuncios del edificio o lugar visible.

1. Principio de calidad de los datos, (artículo 4 LOPD)

2. Ley de Propiedad Horizontal (LPH)

• En la convocatoria de la Junta de vecinos (artículo 16.2 LPH)

• En la publicación del acta aprobado en Junta (artículo 19.3 LPH)



Cómo Notificar:

La finalidad de colgar la lista en el tablón es informar a los propietarios deudores

que se hallan en tal situación, y no poner en conocimiento de terceros tal hecho,

aunque ello sea una consecuencia inevitable. Por ello, se ha de intentar por otros

medios notificar personalmente a los afectados, quedando la publicación en el

tablón de anuncios como última posibilidad.

Asimismo, ha de tenerse en cuenta que no cabe la publicación de forma

autónoma de un listado de vecinos deudores, pues la LPH se refiere a la

publicación de la convocatoria de Junta y la del Acta aprobada por los

propietarios.


Hay que tener en cuenta que «los datos de carácter personal objeto del tratamiento

sólo podrán ser comunicados a un tercero para el cumplimiento de fines

directamente relacionados con las funciones legítimas del cedente y del cesionario

con el previo».

La “comunicación o cesión de los datos de carácter personal, fuera de los casos en

que estén permitidas” se considera según la LOPD infracción muy grave que

pueden sancionarse con multas de hasta 601.012 euros.

¿Se pueden dar datos de los vecinos a empresas que prestan sus

servicios a los mismos?

Instalador de

Antenas

Administrador de

Fincas

Listado de Nombres y teléfonos

de propietarios

Solicitud de

consentimiento

a la cesión

Previa

Solicita Al

Facilita


Informe 0081/2010: La consulta plantea dudas en relación con la inscripción de ficheros de

las comunidades de propietarios de las que el consultante es Administrador y las medidas

de seguridad a implementar respecto del fichero de datos del empleado de portería de una

de dichas fincas.

Informe 0636/2009: La consulta plantea si resulta conforme con lo dispuesto por la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la

comunicación por parte del consultante, Administrador colegiado de Fincas, de listas con

los datos personales de los propietarios de las fincas que administra, a solicitud de los

correspondientes Presidentes de las Comunidades de Propietarios.

Informe 46/2006: Condición de responsable del fichero de administradores y gestores de

fincas.

INFORMES DE LA AEPD

SENTENCIAS DE LA AEPD

http://www.agpd.es/portalwebAGPD/resultados-ides-idphp.php#

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2010-0081_Inscripci-oo-n-en-fichero-de-personal-y-n-oo-minas-por-Administrador-de-Fincas.-Medidas-de-Seguridad.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2009-0636_Administrador-de-fincas-encargado-del-tratamiento.-Comunicaci-oo-n-de-datos-al-responsable.pdf

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2006-0046_Condici-oo-n-de-responsable-del-fichero-de-administradores-y-gestores-de-fincas.pdf

http://www.agpd.es/portalwebAGPD/resultados-ides-idphp.php

Reglamento General de Protección de Datos.

https://www.boe.es/doue/2016/119/L00001-00088.pdf

https://www.boe.es/doue/2016/119/L00001-00088.pdf


¿A QUÉ EMPRESAS U ORGANISMOS SE APLICA?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de

datos establecidos en la Unión Europea, y se amplía a responsables y encargados no

establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes

o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización

y seguimiento de su comportamiento.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar

tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras

regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa

europea.


¿TRATAMIENTO DE DATOS DE MENORES?

Validez del consentimiento del menor de más de 16 años

Posibilidad de rebaja del umbral con un mínimo de 13 años

Reglas especiales.

Especialidades en la claridad de la información a facilitarles

Especialidades en el derecho al borrado

Prueba (artículo 8.2)

“El responsable del tratamiento hará esfuerzos razonables para verificar en tales

casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o

tutela sobre el niño, teniendo en cuenta la tecnología disponible”


NUEVAS CATEGORÍAS DE DATOS.

Datos genéticos o biométricos.

Especialidades en datos de condenas e infracciones, que no son considerados

estrictamente datos sensibles pero respecto de los que se limita el tratamiento.


DERECHO A LA PORTABILIDAD.

Derecho del interesado a

Recibir los datos personales que le incumban.

Que haya facilitado a un responsable del tratamiento.

En un formato estructurado y de uso habitual y de lectura mecánica.

Y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del

tratamiento al que se hubieran facilitado los datos

Requisitos para que pueda ejercitarse (acumulativos):

El tratamiento esté basado en el consentimiento o en un contrato.

El tratamiento se efectúe por medios automatizados

Modo de ejercicio

Podrá implicar la transmisión directa de responsable a responsable a instancia del interesado

“cuando sea técnicamente posible”

Limitaciones

Exceptuado cuando el tratamiento se funde en el cumplimiento de una misión de interés

público o inherente al ejercicio del poder público


VENTANILLA ÚNICA.

Este sistema está pensado para que los responsables establecidos en varios Estados

miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten

significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de

protección de datos como interlocutora. También implica que cada Autoridad de protección de

datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel

estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene

carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre

todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay

discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos,

un organismo de la Unión integrado por los directores de todas las Autoridades de protección

de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes

para las Autoridades implicadas.


¿TIENEN LAS EMPRESAS QUE EMPEZAR A APLICAR YA LAS

MEDIDAS CONTEMPLADAS EN EL REGLAMENTO?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018

deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas

empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de

complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar

las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de

protección de datos.


CONSENTIMIENTO

El Reglamento requiere que las personas cuyos datos se tratan presten su consentimiento

mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la

utilización del llamado consentimiento tácito, que actualmente permite la normativa

española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del

RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando

los criterios fijados por el propio Reglamento.

El Reglamento requiere que haya una declaración de los interesados o una acción

positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse

del silencio o de la inacción de los ciudadanos.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes

recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó

su consentimiento.

A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados

en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese

consentimiento.

El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Carga de la prueba del responsable


DERECHO AL OLVIDO (I)

El denominado 'derecho al olvido' es la manifestación de los tradicionales derechos de y

cancelación y oposición aplicados a los buscadores de internet. El 'derecho al olvido' hace

referencia al derecho a impedir la difusión de información personal a través de internet cuando

su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos

personales en los buscadores generales cuando la información es obsoleta o ya no tiene

relevancia ni interés público, aunque la publicación original sea legítima (en el caso de

boletines oficiales o informaciones amparadas por las libertades de expresión o de

información).

La sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, reconoció

por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el

interesado puede solicitar que se bloqueen en las listas de resultados de los

buscadores los vínculos que conduzcan a informaciones que le afecten que resulten

obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.


DERECHO AL OLVIDO (II)

¿Puedo ejercerlo frente al buscador sin acudir previamente a la fuente original?

Sí. Los motores de búsqueda y los editores originales realizan dos tratamientos de datos

diferenciados, con legitimaciones diferentes y también con un impacto diferente sobre la

privacidad de las personas.

Si lo ejerzo frente a un buscador, ¿la información desaparecerá de internet?

No. La sentencia del Tribunal de Justicia de la UE de 13 de mayo de 2014 declara

expresamente en este sentido que el ejercicio de los derechos de cancelación y oposición

realizado frente a los buscadores sólo afecta a los resultados obtenidos en las búsquedas

hechas mediante el nombre de la persona y no implica que la página deba ser suprimida de

los índices del buscador ni de la fuente original.

¿Cómo puedo ejercerlo?

Google: https://goo.gl/5PMIDB

Bing: https://goo.gl/xpjaDC

Yahoo: https://goo.gl/U2tzzd

Si no me responden puedo solicitar que AGPD tutele mis derechos:

Tutela de derechos AGPD: https://goo.gl/43Ck7w

https://goo.gl/5PMIDB

https://goo.gl/xpjaDC

https://goo.gl/U2tzzd

https://goo.gl/43Ck7w


OBLIGACIONES DE RESPONSABLES Y ENCARGADOS

El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas

apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos

personales se lleva a cabo de conformidad con el Reglamento.

Tipos de medidas:

Registro de actividades de tratamiento.

Medidas de Protección de Datos desde el Diseño.

Medidas de Protección de Datos por Defecto.

Medidas de seguridad adecuadas.

Evaluaciones de Impacto.

Autorización previa o consultas previas con APD.

Delegado Protección de Datos (DPD).

Notificación de Quiebras de Seguridad.

Códigos de conducta y esquemas de certificación.

Medidas aplicables en función del riesgo para los derechos y libertades de los

interesados

Alto riesgo vs. riesgo estándar.

El riesgo como criterio de ponderación.

Necesidad de determinar el nivel de riesgo.

¡Responsabilidad activa y demostrable!



Medidas técnicas y organizativas adecuadas (p.ej. seudonimización, minimización)

para aplicar principios.

Tratamiento por defecto sólo de datos personales necesarios para cada fin

específico

Registro de tratamientos.

Medidas de seguridad.

Notificación de violaciones de seguridad.

Evaluación de impacto.

Delegado de Protección de Datos.

Relaciones Responsable – Encargado.



¡Registro de tratamientos!

Identificación y datos de contacto de responsable, corresponsable, representante y

DPD

Fines

Descripción de categorías de interesados y datos.

Categorías de destinatarios existentes o previstos (inclusive en terceros países u

organizaciones internacionales)

TID y documentación de garantías para TID exceptuadas sobre base de intereses

legítimos imperiosos

Cuando sea posible

plazos previstos para supresión de datos

descripción general de medidas de seguridad



¡Medidas de seguridad!

Responsables y encargados deben aplicar medidas técnicas y organizativas

apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en

cuenta

Estado de la técnica y costes de aplicación.

Naturaleza, alcance, contexto y fines del tratamiento.

Riesgos para los derechos y libertades de las personas.

Reglamento no establece listado estructurado de medidas ni prevé desarrollo o

especificación.

La adhesión a un código de conducta o a un mecanismo de certificación podrá

servir de elemento para demostrar cumplimiento



¡Notificación de violaciones de seguridad!

Sin demora y a más tardar en 72 horas desde que se haya tenido constancia. Más

tarde, justificación motivada

No obligación cuando “sea improbable que dicha violación de la seguridad

constituya un riesgo para los derechos y las libertades de las personas físicas”

Reglamento prevé contenido mínimo de notificación

Documentación de todas las violaciones de seguridad

Obligación del encargado de notificar sin dilación indebida violaciones de seguridad al

responsable

Cuando es probable que la quiebra entrañe alto riesgo para los derechos y libertades

de interesados

Sin dilación indebida

Contenido mínimo, que no incluye posibles medidas paliativas

Excepciones

Implementación de medidas de protección tecnológica que haga ininteligibles

los datos a terceros no autorizados (p.ej.: datos encriptados)

medidas ulteriores que garanticen que ya no exista la probabilidad de que se

concretice el alto riesgo para derechos y libertades

APD puede obligar a notificar a interesados

Notificación a interesados:

Notificación a APD:



¡Evaluación de impacto!

La realización de estas

Evaluaciones tiene carácter previo a

la puesta en marcha de los

correspondientes tratamientos

elaboración de perfiles sobre

cuya base se tomen decisiones

que produzcan efectos jurídicos

para las personas físicas.

tratamiento a gran escala de

datos sensibles

observación sistemática a gran

escala de una zona de acceso

público


El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva

figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del

responsable y del encargado del tratamiento de los datos.

¿Quién necesitará un Delegado de Protección de Datos?

Organizaciones e instituciones públicas.

Empresas.

Con más de 250 trabajadores.

Con menos de 250 empleados.

Que necesiten un seguimiento sistemático y periódico de los datos personales

tratado:

o Para la monitorización e investigación de mercados.

o De análisis de riesgos.

o Créditos o de solvencia patrimonial.

Que traten datos catalogados de especialmente protegidos:

o Religiosos o de creencias.

o Afiliación sindical.

o Raciales.

o Biométricos, se permiten identificar exhaustivamente a una persona.

o Sexuales.

o Salud.

o Antecedentes penales o condenas.


¡Delegado de Protección de Datos!


La diferencia más notoria entre el Responsable de Seguridad y el Delegado de Protección de

Datos son:

La exclusividad del DPO en sus funciones.

Que debe ser nombrado en base a sus "cualidades profesionales y, en particular, su

conocimiento" en la materia de la protección de datos, que le capacite para cumplir las

tareas que le atribuye el Reglamento. "Esas competencias o capacidades acreditadas se

obtendrán a través de estudios reglados y específicos; es decir másters, modelos formativos,

o acreditaciones desarrolladas por la Entidad Nacional de Acreditación (ENAC)"


¡Delegado de Protección de Datos!

Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos

Supervisar el cumplimiento de la normativa de protección de datos, incluidas

asignación de responsabilidades

concienciación y formación del personal

las auditorías correspondientes

Ofrecer asesoramiento sobre EIPD

Cooperar con la APD y actuar como punto de contacto para cuestiones relativas al

tratamiento

Funciones:



¡Relaciones Responsable - Encargado!

Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales,

categorías de interesados afectados, obligaciones y derechos del responsable del

tratamiento

Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del

responsable

Confidencialidad de personas que manejen datos

Medidas “conforme al artículo 32”

Contratación de subencargados con autorización previa, general o específica, del

responsable, y posibilidad de rechazar subencargados

Asistencia al responsable en ejercicio de derechos y en cumplimiento de obligaciones

de arts. 32 a 36


CÓDIGOS DE CONDUCTA.

Facilitan la correcta aplicación del RGPD, teniendo en cuenta las características

específicas de los distintos sectores y las necesidades específicas de PYMES y

micropymes.

Aportan garantías adecuadas para las transferencias internacionales de datos.

Tienen carácter voluntario. Sólo obligan a quienes se comprometan a aplicar sus

disposiciones.

Los Estados, APDs, CEPD y la Comisión obligados a impulsar su elaboración

Códigos nacionales

Códigos que afecten a tratamientos en varios Estados UE

Ámbito territorial:


CERTIFICACIONES, SELLOS Y MARCAS.

Objeto:

Demostrar el cumplimiento del RGPD por responsables y encargados y/o

Proporcionar garantías adecuadas para las T.I.D.

De manera que permitan evaluar con mayor rapidez el nivel de protección de datos de

productos y servicios

No limitará la responsabilidad de los responsables o encargados en cuanto al

cumplimiento del RGPD, con arreglo a las competencias de las APD.

Carácter voluntario y disponible de manera transparente.

Expedición de la certificación por:

Un organismo de certificación acreditado

La APD competente

CEPD

Criterios de certificación han de ser aprobados por:

La APD competente

CEPD, que dará lugar una certificación común: Sello Europeo de Protección de Datos

Validez por 3 años, renovable en las mismas condiciones

La expedición y renovación de una certificación por un organismo de certificación habrá de

comunicarse previamente a la APD, que podrá retirarla u ordenar que no se expida

Se retirará por el organismo de certificación, y en su caso por la APD, si no se cumplen

los requisitos de la certificación.


TRANSFERENCIAS INTERNACIONALES DE DATOS.


RÉGIMEN SANCIONADOR

Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta

el 2 % de volumen de negocio anual a nivel mundial.

Obligaciones de responsable o encargado

Obligación de organismos de certificación

Obligaciones de organismos de supervisión de códigos de conducta

(Medidas por incumplimiento del C. de conducta)

Multa hasta 20 M € o hasta el 4%.

Principios básicos.

Derechos

Transferencias internacionales..

Multa hasta 20 M € o hasta el 4%.

Incumplimiento de resoluciones de APD

Política de Uso y Control de las TIC en el Ámbito Laboral.

La utilización de las TIC por los trabajadores para fines no empresariales.

Las medidas que puede adoptar el Empresario en el ejercicio de su facultad disciplinaria.

El poder de dirección y sus límites.

PUNTOS DE ANÁLISIS EN RELACIÓN CON EL USO DE LAS TIC EN EL

LUGAR DE TRABAJO

DERECHO A LA INTIMIDAD

SECRETO DE LAS COMUNICACIONES

PROTECCIÓN DE DATOS


LEGITIMACIÓN PARA EL CONTROL Y VIGILANCIA

Artículo 18. Inviolabilidad de la persona del trabajador.

<< Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y

efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y

del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de

trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se

contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del

centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible >>

Artículo 20.3 Dirección y control de la actividad laboral.

<< El Empresario podrá adoptar las medidas que estime más oportunas de vigilancia y

control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes

laborales, guardando en su adopción y aplicación la consideración debida a su dignidad

humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso

>>



Sentencia del TS de 26 de septiembre de 2007.

Ante el supuesto planteado de si la empresa puede acceder al correo electrónico del

trabajador estableció que “en síntesis prevé la posibilidad de que el Empresario pueda

acceder al control del ordenador, del correo electrónico y los accesos a Internet de los

trabajadores, siempre que la empresa de buena fe haya establecido previamente las

reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e

informado de que va existir un control y de los medios que han de aplicarse en orden a

comprobar la corrección de los usos

Sentencia del TS de 6 de octubre de 2011.

Si la empresa prohíbe totalmente el uso de estas tecnologías con fines particulares, ya sea

dentro o fuera del horario laboral, no se puede entender que el Derecho Fundamental a la

Intimidad o al Secreto de las comunicaciones opera en el uso de estos equipos.



Sentencia del TS de 16 de junio de 2014.

Ha venido a alterar el estado de las cosas en lo que respecta a técnicas de monitorización y

acceso al correo electrónico profesional del empleado, creando dos líneas jurisprudenciales

diferentes a la hora de valorar la licitud de una prueba.

Los mensajes de correo que ya han sido abiertos, o leídos, por su destinatario, pasan a

ser considerados ficheros de datos.

Los que permanecen cerrados o, todavía no leídos, se ven afectados por el secreto de

las comunicaciones.

El Alto Tribunal declara que para acceder a estos últimos se requiere disponer previamente

de autorización judicial en virtud del derecho fundamental al secreto de las comunicaciones

y en concordancia con el artículo 579 de la Ley de Enjuiciamiento Criminal (LECRIM).


ACCESO A LOS DATOS DE TRÁFICO DE LAS COMUNICACIONES

ELECTRÓNICAS (I)

La Organización esta legitimada para el control o monitorización del correo electrónico,

siempre y cuando haya informado previamente a los empleados acerca de la adopción de

esta medida y las normas de uso de las TIC, pero ¿está facultada para el acceso al

contenido de las comunicaciones hechas por correo electrónico?

Sentencia 2844/2014 de la Sala de lo Penal de Tribunal Supremo de 16 de junio de

2014 "...el ordenador registrado era una herramienta propiedad de la empresa y facilitada

por la empresa a don AAA exclusivamente para desarrollar su trabajo, por lo que

entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir

algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un

ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa,

estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones

que pudiera tener el señor AAA utilizando tal terminal informático“.

Según esta sentencia, no se precisa de autorización judicial para investigar los archivos en

el disco duro del ordenador del empleado, o los mensajes remitidos o leídos en las bandejas

de correo electrónico (normalmente en el servidor), ni los datos de tráfico de las

comunicaciones.



ELECTRÓNICAS (II)

El artículo 18.3 de la Constitución, que garantiza el secreto de las comunicaciones, no

exceptúa dicha garantía por la titularidad del medio, ni por su carácter empresarial, ni por el

momento en que sucede la comunicación.

Tampoco permite excepciones a la exigencia de autorización judicial para la intervención de

los medios de comunicación, a diferencia de la entrada en el domicilio (18.2 CE).

Ni siquiera contempla la posibilidad de que el interesado renuncie a esta libertad (lo que sí se

permite en el caso de la entrada en domicilio).

Además, la interceptación afecta a la libertad del tercero con quien se comunica el empleado,

que puede ser ajeno a la relación laboral.

¡Dudas que se plantean!

Se garantiza el secreto de las comunicaciones y, en especial, de las postales,

telegráficas y telefónicas, salvo resolución judicial.

Sección 1.ª De los derechos fundamentales y de las libertades públicas

Artículo 18 Constitución Española

El Tribunal Supremo matiza que el art. 18.3 de la Constitución (secreto de las

comunicaciones) no protege los mensajes, sino los medios de comunicación

propiamente dichos.



ELECTRÓNICAS (III)

Si es posible, el control del correo electrónico debería limitarse a los datos sobre tráfico

de los participantes y a la hora de una comunicación más que al contenido, si ello es

suficiente para satisfacer las necesidades del Empleador. Si el acceso al contenido de

los mensajes es indispensable, convendría tener en cuenta el respeto de la vida

privada de los destinatarios externos e internos de la Organización. Por ejemplo, el

Empleador no puede obtener el consentimiento de las personas ajenas a la

Organización que envían mensajes. La tecnología ofrece al Empleador importantes

posibilidades de evaluar la utilización del correo electrónico por sus trabajadores,

comprobando, por ejemplo, el número de mensajes enviados y recibidos o el

formato de los documentos adjuntos; por ello la apertura efectiva de los mensajes

electrónicos es desproporcionada. La tecnología puede también utilizarse para

garantizar que sean proporcionadas las medidas adoptadas por el Empleador para

proteger de todo abuso el acceso a Internet autorizado a su personal, utilizando

mecanismos de bloqueo más que de vigilancia >>.

Agencia Española de Protección de Datos

Informe 0247/2008 y el Informe 0615/2009


OBLIGACIÓN DE PROPORCIONAR INFORMACIÓN AL INTERESADO (I)

El Empleador debe transmitir a su personal una declaración clara, precisa y fácilmente

accesible de su política relativa a la vigilancia del correo electrónico y la utilización de Internet.

Esta información debería incluir necesariamente:

La política de la empresa en cuanto a utilización del correo electrónico e Internet,

describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los

sistemas de comunicación de la empresa con fines privados o personales (por ejemplo,

períodos y duración de utilización).

Deberá informarse a los trabajadores de los sistemas instalados para impedir el acceso a

algunos sitios o para detectar una posible utilización abusiva.

Los motivos y finalidad de la vigilancia, en su caso. Cuando el empleador autorice a los

trabajadores a utilizar los sistemas de comunicación de la empresa con fines personales,

las comunicaciones privadas podrán supervisarse en circunstancias muy limitadas,

por ejemplo para garantizar la seguridad del sistema informático (detección de

virus).

Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo, quién ha

adoptado las medidas, qué medidas se han adoptado y cuándo.

Información detallada sobre los procedimientos de aplicación, precisando cómo y cuándo

se informará a los trabajadores en caso de infracción de las directrices internas y de los

medios de que disponen para reaccionar en estos casos.

La política deberá especificar cuando proceda, el uso que se hará de los datos recogidos

sobre las personas que visitaron sitios específicos.


OBLIGACIÓN DE PROPORCIONAR INFORMACIÓN AL INTERESADO (II)

En definitiva, lo determinante para que la organización pueda legalmente controlar el correo

de sus empleados, es que previamente les haya advertido de dicha circunstancia y de que la

medida esté orientada a mejorar las tareas laborales.

Y es obligatoria:

La notificación a la Agencia Española de Protección de Datos los ficheros o tratamientos que

se produzcan, para que los trabajadores siempre puedan comprobar en los registros, por

ejemplo, qué categorías de datos personales de los trabajadores puede procesar el

empleador, con qué finalidad y para qué destinatarios.

Y frente a su vulneración cabe:

El ejercicio de los derechos Acceso, Rectificación, Cancelación y Oposición (A.R.C.O.). Esto

es, un trabajador como afectado o interesado que es, tendrá estos derechos en relación con

sus datos de carácter personal tratados por su Empleador, teniendo en cuenta que éstos,

como cualquier otro, no son absolutos, teniendo límites en su ejercicio.


PROPORCIONALIDAD, NECESIDAD E IDONEIDAD DE LAS MEDIDAS DE

CONTROL (I)

Para que una actividad de control sea legal y se justifique, deben respetarse todos los

principios siguientes:

Necesidad.

Legitimidad.

Proporcionalidad.

Seguridad.

En la sentencia 186/2000, de 10 de julio del TC, considera que la medida de instalación de

un circuito cerrado de televisión, que controlaba la zona donde el trabajador desempeñaba su

actividad laboral, era una medida justificada (ya que existían razonables sospechas de la

comisión por parte del recurrente de graves irregularidades en su puesto de trabajo); idónea

para la finalidad pretendida por la empresa (verificar si el trabajador cometía efectivamente las

irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias

correspondientes); necesaria (ya que la grabación serviría de prueba de tales

irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja y

a una duración temporal limitada, la suficiente para comprobar que no se trataba de un hecho

aislado o de una confusión, sino de una conducta ilícita reiterada), por lo que debe

descartarse que se haya producido lesión alguna del derecho a la intimidad personal

consagrado en el art. 18.1 CE.


CORREO ELECTRÓNICO ¿HERRAMIENTA DE TRABAJO O

INSTRUMENTO DE PRODUCCIÓN

La doctrina jurisprudencial considera que es un instrumento o medio de producción

del que es titular el empresario, concretamente en Sentencia de 26 de septiembre

de 2007 del Tribunal Supremo, que, en relación al correo electrónico apunta se

“facilita al trabajador para utilizarlos en el cumplimiento de la prestación

laboral, por lo que esa utilización queda dentro del ámbito del poder de

vigilancia del empresario”.


CÁMARAS PARA EL CONTROL EMPRESARIAL (I)

El estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más

oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales,

que deberán guardar la consideración debida a la dignidad humana y tener en cuenta la

capacidad real de los trabajadores con discapacidad.

La aplicación del artículo 20.3 ET,, no legitima por sí solo el tratamiento de las imágenes, si bien

este será posible, aún sin contar con el consentimiento del afectado en caso de que el

trabajador haya sido debidamente informado de la existencia de esta medida, debiendo

además ser claro que, conforme a lo exigido por el artículo 4.2 LOPD, los datos no podrán ser

utilizados para fines distintos.

Deber de información:

Colocación de carteles “Zona Videovigilada”

Comunicación de la medida a trabajadores

y órganos de representación


CÁMARAS PARA EL CONTROL EMPRESARIAL (II)

Las cámaras sólo captarán imágenes de los espacios indispensables para el control laboral:

En ningún caso se ubicarán en zonas de vestuarios, baños y espacios de descanso de los

trabajadores.

Si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de

privacidad para evitar captar imágenes de la vía pública, terrenos, viviendas o cualquier otro

espacio ajeno.

No se registrarán conversaciones privadas.


CÁMARAS PARA EL CONTROL EMPRESARIAL (III)

Sentencia del TC de 3 de marzo de 2016.

El Tribunal Constitucional (TC) ha establecido que las empresas podrán vigilar con cámaras a sus

empleados sin informarles del fin concreto, en una sentencia que cambia su doctrina y aclara el

uso de videocámaras en la empresa.

Deber de consentimiento.

Deber de información.

El Pleno afirma que, de acuerdo con la LOPD, “el empresario no necesita el consentimiento

expreso del trabajador para el tratamiento de las imágenes”; y argumenta que el Estatuto de

los Trabajadores atribuye al empresario la facultad de dirección, lo que le permite “adoptar las

medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento

por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y

aplicación la consideración debida a su dignidad humana”. Por tanto, concluye, “el

consentimiento se entiende implícito en la propia aceptación del contrato”.

El deber de información persiste pese a la exención del deber de consentimiento.

En este caso, la cámara estaba situada en el lugar donde la demandante realizaba su trabajo,

“enfocando directamente a la caja”. Asimismo, en cumplimiento de la Instrucción 1/2006, de 8

de noviembre, de la Agencia Española de Protección de Datos, la empresa colocó un distintivo

informativo sobre la existencia de cámaras (“zona videovigilada”) en el escaparate de la tienda.


CÁMARAS PARA EL CONTROL EMPRESARIAL (IV)


En cuanto a la sentencia recurrida, el Tribunal entiende que valoró “adecuadamente” la

proporcionalidad de la medida de vigilancia adoptada por el empresario. Se trataba de una

medida “justificada (ya que existían razonables sospechas de que algunos de los trabajadores

que prestaban servicios en dicha caja se estaba apropiando de dinero); idónea para la finalidad

pretendida por la empresa (verificar si alguno de los trabajadores cometía efectivamente las

irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias correspondientes);

necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues

la grabación de imágenes se limitó a la zona de la caja). Por todo ello, “debe descartarse que se

haya producido lesión alguna del derecho a la intimidad personal consagrado en el art. 18.1 CE”..


CÁMARAS PARA EL CONTROL EMPRESARIAL (V)


En su voto particular, los Magistrados Valdés y Asua afirman que la sentencia supone un

“retroceso en la protección de los derechos fundamentales” de los trabajadores. Entienden

que debió declarar la nulidad del despido porque la instalación de las cámaras se realizó sin

informar al empleado de su finalidad concreta y, por tanto, vulneró su derecho fundamental a

la propia imagen (art. 18.4 CE). ”.

Consideran que la sentencia “confunde la legitimidad del fin” perseguido en este caso concreto

por la empresa (verificar el cumplimiento de las obligaciones laborales del empleado) “con la

constitucionalidad del acto” en sí (que exige ofrecer previamente la información necesaria sobre

la finalidad de la instalación de las cámaras).

Por su parte, Xiol considera que la información genérica sobre la instalación de cámaras de

videovigilancia dirigida al público es “insuficiente” en el ámbito laboral.

JAVIER PEÑA ALONSO

[email protected]

@japealonso

LOPD

Internet

Transcript of LOPD