Resumen LOPD 15/1999

Mi Resumen L.O.P.D 15/1999, de 13 de Diciembre Página 1 de 22

Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter

Personal.

En 1992 aparece la L.O.R.T.A.D

LOPD ha entrado en vigor el 14 de Enero de 2000, 1 mes a partir de su publicación en el BOE.

R.D. 994/1999, de 11 de Junio → Reglamento de medidas de seguridad de los ficheros automatizados que

contengan datos de carácter personal.

Real Decreto 1720/2007, de 21 de Diciembre → por el que se aprueba el Reglamento de desarrollo de la Ley

Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

La diferencia fundamental entre la LOPD y la LORTAD es que el ámbito de la LORTAD únicamente

abarcaba los ficheros que contuviesen datos de carácter personal que se almacenasen en soporte

electrónico. La LOPD amplia este ámbito a cualquier tipo de soporte, es decir, los ficheros en formato

papel también están sujetos a esta reglamentación.

Así mismo en la LOPD se incluye la figura del encargado del fichero además de la figura del responsable del

fichero, en la LORTAD sólo se incluía la figura del responsable del fichero:

En la LORTAD se establecía que los datos de carácter personal objeto de tratamiento automatizado no

podrán utilizarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos. En la

LOPD se establece que los datos de carácter personal objeto de tratamiento no podrán usarse para

finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, no se considerará

incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

La LOPD no será de aplicación a:

Ficheros sometidos a la normativa sobre protección de materias clasificadas (tienen su propia legislación).

Los ficheros sobre investigación del terrorismo y de delincuencia organizada.

Los ficheros sobre actividades exclusivamente personales o domésticas (mientras no se comercie con

dichos datos).

Los datos no podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran

sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos,

estadísticos o científicos.


Se entiende por:

Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o

identificables.

Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o

modalidad de su creación, almacenamiento, organización y acceso. Antes de recabar datos de personas

físicas con la intención de crear un fichero de titularidad privada o pública, se deberá pedir por regla

general, el consentimiento de los titulares (las personas físicas).

En la LORTAD solo eran ficheros automatizados, y en la LOPD cualquier tipo de fichero.

Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona.

Exclusivamente, el censo promocional, y los repertorios telefónicos.

Responsable del fichero o tratamiento : persona física o jurídica, de naturaleza pública o privada, u

órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Encargado del tratamiento : la persona física o jurídica, autoridad pública, servicio o cualquier otro

organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del

tratamiento.

La Agencia de Protección de Datos, es un ente de Derecho Público y ejerce la potestad sancionadora. La

Agencia de Protección de Datos puede sancionar tanto al responsable del fichero como al encargado

del tratamiento.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la

situación actual del afectado, y serán cancelados cuando hayan dejado de ser necesarios.

No serán conservados en forma que permita la identificación del interesado durante un período superior

al necesario para los fines.

Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.


Los interesados a los que se soliciten datos personales deberán ser informados expresa e inequívocamente de

- De la existencia de un fichero o tratamiento de datos de carácter personal

- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas

- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos

- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea, deberá

designar un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el

propio responsable del tratamiento.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de

forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres

meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con

anterioridad.


El Consentimiento:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo

que la ley disponga otra cosa.

En el consentimiento se debe especificar claramente la finalidad y el uso que se les va a dar a los datos

personales pedidos, e informar que se van a grabar sus datos en un fichero y además los derechos de

acceso, rectificación y anulación que toda persona física tiene sobre los datos personales cedidos.

El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y

no se le atribuyan efectos retroactivos.

[Por ejemplo en un control de acceso a un edificio público. La recogida de datos por el personal de

seguridad de los edificios. Para poder acceder las visitas al interior de los edificios de los organismos

públicos y empresas, el personal de seguridad les solicita sus datos personales y profesionales. Sin estos

datos no se permite la entrada al edificio. Debe aparecer un aviso en el punto de recogida de datos que

informe de que: Se va a introducir los datos en un fichero, Que es obligatorio proporcionar estos datos,

Que no se utilizarán para ningún otro fin, y que se cumplen las medidas de seguridad que dicta la Ley

(LOPD) y que los datos se mantendrán solamente durante x tiempo y pueden ser rectificados en

cualquier momento. También se debe especificar la identidad del responsable del fichero que contiene

los datos].


No será preciso el consentimiento:

Cuando los datos se recojan para el ejercicio de las funciones de las Administraciones Públicas.

Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o

administrativa. Es decir si van a ser tratados para gestión de nóminas, o prevención de riesgos

laborales, por parte de una Asesoría Fiscal, no haría falta mi consentimiento.

[Cuando existe un contrato entre dos partes, se entiende que para el tratamiento de todos aquellos datos

de carácter personal relacionados con el objeto del cumplimiento de dicho contrato, no se precisa

consentimiento explícito por parte del afectado o titular de dichos datos, es importante subrayar que

si precisaría de consentimiento por parte del afectado cuando se utilizasen para otro fin distinto al

recogido en el objeto del contrato].

Cuando dicho tratamiento de los datos resulte necesario para la prevención o para el diagnóstico de

personal sanitario, siempre que el tratamiento de los datos se realice por un profesional sanitario sujeto

al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

Cuando los datos sean obtenidos por las autoridades pertinentes por un asunto de seguridad nacional.

Mención especial para los datos en fuentes accesibles a públicos:

o La guía telefónica.

o El censo electoral (antes si pero desde el 2003 deja de ser considerada fuente de acceso público

siendo ahora necesario el consentimiento expreso de las personas).

o Ficheros o listas de personas físicas pertenecientes a grupos profesionales, incluyendo su titulo,

dedicación, dirección

o Diarios y boletines oficiales del estado.

o Los medios de comunicación, todos los datos obtenidos por ellos pueden ser usados por terceras

personas.

Los datos aparecidos en dichas fuentes de acceso público pueden ser utilizados por personas o entes

dedicados a la publicidad o venta directa durante determinado plazo, de darse el caso, simplemente

abonando una contraprestación económica.

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de

carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento, y

el responsable del fichero excluirá del tratamiento los datos relativos al afectado.


Los datos podrán ser comunicados a un tercero, siempre que sean para fines directamente

relacionados con el motivo de recogida de los mismos y contando con el consentimiento del afectado, que

debe ser informado de la cesión de dichos datos.

Se regulará por un contrato escrito en el que se expone el consentimiento de la empresa afectada a realizar

dicha cesión. Si el tercero incumple dicho contrato, será considerado responsable del tratamiento y/o del

fichero y responderá ante la Ley como tal.

[1 mes creo, es el plazo para que el interesado de su consentimiento desde que es informado de la cesión de

sus datos a una tercera empresa según una carta de Telefónica; aunque según la profesora del curso, sí

que debe ser un plazo razonable, pero vendrá determinado por la política de privacidad de la empresa en

concreto].

[No es lo mismo la comunicación de datos a otros, que cuando otros accedan al fichero para un servicio del

responsable del fichero].

Éste consentimiento no será preciso:

Cuando la cesión está autorizada en una ley.

Cuando se trate de datos recogidos de fuentes accesibles al público.

Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio

Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene

atribuidas.

Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior

de los datos con fines históricos, estadísticos o científicos.

Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una

urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos

establecidos en la legislación sobre sanidad estatal o autonómica.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la

información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de

revocable.

(No se podrán hacer transferencias de datos a países que no ofrezcan un nivel de protección que sea

equiparable al nuestro, salvo autorización del director de la Agencia de Protección de Datos, por

ejemplo los EE.UU., pq el cifrado de estos ficheros es más débil que en España).

[El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar

de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han

sido cedidos y el nombre y dirección del cesionario. A no ser que sea entre Administraciones o en el

caso de cesión de datos a la justicia o si la comunicación se efectúa previo procedimiento de

disociación].


No se considerará comunicación de datos cuando un tercero (= encargado de tratamiento) acceda al fichero

para un servicio del responsable del fichero. Con lo cual no es necesario informar a la persona titular de

esa acción.

El responsable del fichero debe garantizar la seguridad de los datos personales y evitar la alteración, la

pérdida y el tratamiento o el acceso no autorizado. Toda persona que tiene acceso a los datos está obligada

al secreto profesional y al deber de guardarlos. Así cualquier persona contratada por un responsable de un

fichero o del tratamiento para llevar a cabo una obligación laboral que implique el tratamiento de datos

personales, estará obligada por el deber de secreto.

Estará regulada en un contrato, estableciéndose expresamente que el encargado del tratamiento únicamente

tratará los datos conforme a las instrucciones del responsable del tratamiento.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o

devueltos al responsable del tratamiento.

El encargado del tratamiento puede ser también responsable de las infracciones.

El hecho de tener un encargado del tratamiento no supone que el responsable del tratamiento se exima del

cumplimiento de las obligaciones de la ley. Sobre el responsable del tratamiento recaen todas las

obligaciones impuestas por la legislación. El responsable tiene un robusto instrumento que asegura el

tratamiento de sus datos y permite una exención de responsabilidad por parte del responsable del

tratamiento en caso de mal uso de los datos por parte del Encargado

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de

índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter

personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos están

obligados al secreto profesional respecto de los mismos y al deber de guardarlos, aun después de

finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.


Los datos especialmente protegidos son por ejemplo, la ideología, religión o creencias, y la ley

recomienda no recabar, salvo en el caso de algunos supuestos como pueden ser de peligro vital del

afectado o asuntos de seguridad nacional. Como por ejemplo, datos referentes a inclinaciones sexuales,

origen racial o étnico, sobre la salud, ideología política, afiliación sindical, religión o creencias.

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de

carácter personal especialmente protegidos.

[Consentimiento tácito → como aquel consentimiento no expreso, pero que se manifiesta una voluntad a

través de algún acto que se haya realizado. Puede se decir también que el consentimiento tácito es

aquel resultante de una inactividad o del silencio, o por la simple falta de oposición. Resulta que este

tipo de consentimiento tiene un carácter probatorio muy escaso].

[Consentimiento presunto o implícito → es aquel que deriva de nuestros propios actos, aunque no

pronunciados de manera expresa. En este consentimiento se deduce por intermedio de la conducta que

la persona otorga su consentimiento. La legislación de protección de datos es silente sobre este tipo de

consentimiento.

La Agencia Española de Protección de Datos ya se ha pronunciado admitiendo el consentimiento tácito

como regla general de otorga de consentimiento para datos no protegidos].

[Consentimiento expreso → es por escrito].

Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o

comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad

sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros,

sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados,

tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta

expresamente.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal

que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual (es

falta muy grave).

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo

podrán ser incluidos en ficheros de las Administraciones públicas.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal

que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.


Derechos de las personas físicas titulares de los datos personales:

- El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter

personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o

que se prevén hacer de los mismos.

El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a

12 meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán

ejercitarlo antes.

- El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o

cancelación del interesado en el plazo de 10 días.

- A la cancelación de los datos a petición del afectado, o cuando la actividad para la que eran necesarios

esos datos haya finalizado (salvo que dichos datos sean usados en adelante únicamente para fines

científicos, históricos o estadísticos), y deberán ser destruidos, salvo que existan un marco legal o una

relación contractual que impida dicha cancelación. Por ejemplo, no será de aplicación si, ponderados

los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado

hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste

a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o

incompletos.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las

Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades

nacidas del tratamiento, durante el plazo de prescripción de éstas.

- Oposición. El particular se podrá oponer a que sus datos sean recabados para el fin que se le comunicó, y

oponerse al envío de publicidad.

[En la agrupación de empresas de marketing existe una lista, la Lista Robinson, en la que están

recogidos los datos de todas las personas que no desean recibir ningún tipo de publicidad. Toda

empresa u organismo debe conocer esta información, solicitando esta lista mediante una suscripción.]

- No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso,

rectificación o cancelación.


- El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos (oposición, acceso,

rectificación o cancelación) podrá ponerlo en conocimiento de la Agencia de Protección de Datos. El

plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.

Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-

administrativo (= es cuando el ciudadano demanda judicialmente a la Administración).

- El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración

de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que

ofrezca una definición de sus características o personalidad. Esta valoración sobre el comportamiento

únicamente podrá tener valor probatorio a petición del afectado.

- El Registro General De Protección de Datos será de consulta pública y gratuita.

[Del Chat de la profesora → El Registro GPD, nos dice sobre el Nombre o razón social del responsable

del fichero, el Nombre del fichero, la finalidad y usos declarados, la dirección en la que el interesado

puede ejercitar los derechos de oposición, acceso, rectificación y cancelación de la información

contenida en el fichero, es decir, proporciona la dirección de la empresa. Pero hay que dirigirse

directamente a la empresa para acceder a la información contenida en el fichero].

- A ser indemnizados, los interesados que sufran daño o lesión en sus bienes o derechos tendrán derecho.


Ficheros de titularidad pública:

La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse

por medio de disposición general publicada en el «BOE» o Diario oficial correspondiente.

Las disposiciones de creación o de modificación de ficheros deberán indicar: La finalidad y usos del

fichero; Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal; El

procedimiento de recogida de los datos; La estructura básica del fichero y la descripción de los tipos de

datos; Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean

a países terceros.; Los órganos de las Administraciones responsables del fichero; Los servicios o

unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición;

Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Los datos de carácter personal recogidos por las Administraciones públicas no serán comunicados a otras

Administraciones para el ejercicio de competencias diferentes, salvo cuando la comunicación hubiere

sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule

su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines

históricos, estadísticos o científicos.

Los ficheros creados por las Fuerzas y Cuerpos de Seguridad, estarán sujetos al régimen general de la

presente Ley.

La recogida y tratamiento para fines policiales de datos sin consentimiento de las personas afectadas están

limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un

peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser

almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en

función de su grado de fiabilidad.

Se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de los ficheros podrán denegar el acceso, la rectificación o cancelación en función de los

peligros que pudieran derivarse para la defensa del Estado o la seguridad pública.

Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los

derechos cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el

cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de

actuaciones inspectoras.


Ficheros de titularidad privada:

Antes de crear el fichero y empezar a recabar datos personales de los afectados se debe:

- Elaborar un estudio acerca de la seguridad con la que deberán ser tratados dichos ficheros según el tipo de

datos que contenga.

- Comunicar a la Agencia de Protección de Datos la intención de crear en el fichero ciertos datos , con el fin

que la información sobre el mismo, sea inscrita en el Registro General de Protección de Datos, se

deberá comunicar:

o El nombre del responsable del fichero y del encargado del tratamiento del mismo.

o La finalidad del fichero y su ubicación.

o El tipo de datos que contiene dicho fichero.

o Las medidas y nivel de seguridad exigibles que va a tener dicho fichero.

o Las cesiones a terceros y transferencias a países previstas.

o Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la

finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

- El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos

exigibles, o podrá pedir que se completen los datos que falten.

- Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección

de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los

efectos.

- El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar

de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han

sido cedidos y el nombre y dirección del cesionario. A no ser que sea entre Administraciones o en el

caso de cesión de datos a la justicia o si la comunicación se efectúa previo procedimiento de

disociación.

- Para los datos incluidos en las fuentes de acceso público, como los colegios profesionales, l os interesados

tendrán derecho a que la entidad responsable del mantenimiento de los listados indique gratuitamente

que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, y

tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales. La atención

a la solicitud deberá realizarse en el plazo de 10 días.

- Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el

carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga

telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de

acceso público en el plazo de un año.


- Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el

crédito sólo podrán tratar datos de fuentes accesibles al público o procedentes de informaciones

facilitadas por el interesado o con su consentimiento.

Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de

obligaciones dinerarias facilitados por el acreedor.

En estos casos se notificará a los interesados en el plazo de 30 días desde dicho registro, una referencia

de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la

totalidad de ellos, en los términos establecidos por la presente Ley.

Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la

solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de 6 años,

siempre que respondan con veracidad a la situación actual de aquéllos.

Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las

evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis

meses y el nombre y dirección

- En el tratamiento con fines de publicidad y de prospección comercial, se utilizaran los datos cuando los

mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios

interesados u obtenidos con su consentimiento. Los interesados tendrán derecho a oponerse, previa

petición y sin gastos, al tratamiento de los datos que les conciernan.

- Los datos del censo promocional, podrán ser solicitados al Instituto Nacional de Estadística u órganos

equivalentes de las Comunidades Autónomas, formado con los datos de nombre, apellidos y domicilio

que constan en el censo electoral.

El uso de cada lista de censo promociona1 tendrá un plazo de vigencia de 1 año. Transcurrido el plazo

la lista perderá su carácter de fuente de acceso público.

El interesado puede solicitar no aparecer en el censo promocional, trimestralmente se editará una lista

actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan

solicitado.


- Los responsables de tratamientos de titularidad pública y privada, podrán formular códigos tipo que

establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables,

normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el

tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de

los derechos.

Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional,

debiendo ser depositados o inscritos en el Registro General de Protección de Datos.

El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se

ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el

Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las

correcciones oportunas.


MOVIMIENTO INTERNACIONAL DE DATOS:

- No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal, con destino a

países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo

que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de

la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

- El país de destino se evaluará por la Agencia de Protección de Datos.

- [Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea, deberá

designar un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el

propio responsable del tratamiento].

No será de aplicación:

- Para los tratados o convenios en los que sea parte España.

- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, que haya

declarado que garantiza un nivel de protección adecuado.

- En el auxilio judicial internacional.

- Para un proceso judicial

- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de

asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

- Cuando haya un contrato de por medio entre el afectado y el responsable del fichero, (sería el supuesto

de que hubiésemos contratado con una compañía de telefonía nuestra línea de teléfono móvil y que

ésta, para dar soporte al servicio de atención al cliente de la compañía, tenga un call center en un país

fuera de la Unión Europea (Argentina, Chile, etc.). La compañía, aunque sea española, realiza una

transferencia de datos a otro país para poder dar cumplimiento del servicio contratado con el cliente.),

- O el contrato sea entre el afectado, el responsable del fichero y un tercero, (podríamos aplicar el ejemplo

anterior pero considerando que el call center fuera propiedad de un tercero, ajeno a la compañía de

telefonía, con la que ésta hubiese contratado la prestación del servicio de atención al cliente).

- Para la salvaguarda de un interés público, como por ejemplo: la transferencia solicitada por una

Administración fiscal o aduanera para el cumplimiento de sus competencias.

- En las transferencias dinerarias conforme a la legislación específica.

- [Es falta muy grave, La transferencia temporal o definitiva de datos de carácter personal que hayan sido

objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países

que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de

Protección de Datos].


AGENCIA DE PROTECCIÓN DE DATOS:

- La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y

plena capacidad pública y privada, que actúa con plena independencia de las Administraciones

públicas en el ejercicio de sus funciones.

- Actúa de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las

Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones

patrimoniales y contratación estará sujeta al derecho privado.

- Para el cumplimiento de sus fines contará con: lo que se establezca en los presupuestos generales del

Estado (previamente habrá elaborado el correspondiente ante-proyecto) + Bienes, valores, y rentas de

su patrimonio + Otros que legalmente pueden serle atribuidos.

- El Director de la Agencia dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes

componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

No estará sujeto a instrucción alguna en sus funciones pero deberá oír al Consejo Consultivo en las

propuestas que realice.

- El Director de la Agencia estará asesorado por un Consejo Consultivo compuesto por: 1 Diputado, 1

senador, 1 representante de la Administración Central designado por el Gobierno, 1 representante de la

Administración Local propuesto por la Federación Española de Municipios y Provincias, 1

representante del sector de ficheros privados, 1 experto en la materia propuesto por el Consejo

Superior de Universidades, 1 representante de los usuarios y consumidores, 1 representante de cada

Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, 1

miembro de la Real Academia de la Historia.

- La Agencia tiene potestad de inspección, pudiendo solicitar la exhibición o el envío de documentos y

datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos

físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen

instalados.

Los funcionarios que ejerzan la inspección tendrán la consideración de autoridad pública en el

desempeño de sus cometidos, estando obligados a guardar secreto incluso después de haber cesado

en las mismas.

- [En los supuestos, constitutivos de infracción muy grave, el Director de la Agencia de PD podrá, además

de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter

personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los

datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante

resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las

personas afectadas].


Funciones de la Agencia:

- Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.

- Velar por la publicidad de la existencia de los ficheros de datos con carácter personal.

- Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece

respecto a la recogida de datos estadísticos y al secreto estadístico.

- Atender las peticiones y reclamaciones formuladas por las personas afectadas.

- Proporcionar información a las personas acerca de sus derechos.

- Ejercer la potestad sancionadora.

- Redactar una memoria anual y remitirla al Ministerio de Justicia.

El Registro General de Protección de Datos:

Es un órgano integrado en la Agencia de Protección, inspecciona los ficheros de las Administraciones

públicas, los ficheros de titularidad privada, las autorizaciones a que se refiere la presente Ley, los códigos

tipo, los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información,

acceso, rectificación, cancelación y oposición.

Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública

como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción,

su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás

extremos pertinentes.

Las Comunidades Autónomas, en ficheros de datos creados o gestionados por las Comunidades Autónomas

y por la Administración Local de su ámbito territorial, tendrán la consideración de autoridades de control,

a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.

Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio

de las competencias que se les reconoce sobre los mismos.

El Director de la Agencia podrá convocar regularmente a los órganos correspondientes de las

Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o

procedimientos de actuación.

El Director de la Agencia podrá requerir a la Administración correspondiente de la Comunidad Autónoma,

que se adopten las medidas correctoras respecto a un fichero de datos que determine en el plazo.

Si la Administración pública correspondiente no cumpliera el requerimiento formulado, el Director de la

Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración


INFRACCIONES Y SANCIONES:

Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador.

Para las Administraciones Públicas, el Director de la Agencia de Protección dictará una resolución

estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. La

resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los

afectados si los hubiera.

Podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran.

El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las

resoluciones que dicte.

Las infracciones pueden ser leves, graves o muy graves.

Infracciones leves:

- No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos

personales objeto de tratamiento cuando legalmente proceda.

- No proporcionar la información que solicite la APD en el ejercicio de las competencias que tiene

legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

- No solicitar la inscripción del fichero de datos en el Registro General de Protección de Datos, cuando no

sea constitutivo de infracción grave.

- Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la

información que señala el artículo 5 de la presente Ley (Derecho de información en la recogida de los

datos).

- Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que sea infracción grave.

[El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de

carácter personal están obligados al secreto profesional respecto de los mismos y al deber de

guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo].

- La prescripción de una infracción leve se produce en 1 año a partir de la fecha de comisión de la misma.


Infracciones graves:

- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los

mismos, sin autorización de disposición general, publicada en el «BOE» o Diario oficial correspondiente.

- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los

mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

[Es muy grave, la recogida de datos en forma engañosa y fraudulenta].

- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas

afectadas, en los casos en que éste sea exigible.

[Es leve, incumplir el derecho a la información en la recogida de los datos por parte del usuario].

- Tratar los datos de carácter personal o usarlos posteriormente con conculcación (=vulnerando) de los principios y

garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las

disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

- El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la

información que sea solicitada.

[Es leve, No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos

personales objeto de tratamiento cuando legalmente proceda].

- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que

legalmente procedan.

- La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que

contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios

financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que

contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad

del individuo.

- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas

condiciones de seguridad que por vía reglamentaria se determinen.

- No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de

desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o

sean requeridos por aquél a tales efectos.

[Es leve, No proporcionar la información que solicite la APD en el ejercicio de las competencias que tiene

legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos].

- La obstrucción al ejercicio de la función inspectora.

- No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido

requerido para ello por el Director de la Agencia de Protección de Datos.

[Es leve, No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de

Protección de Datos, cuando no sea constitutivo de infracción grave].

- Incumplir el deber de información que se establece en los artículos 5, 28 (datos incluidos en las fuentes de acceso al

público) y 29 (servicios de solvencia patrimonial y crédito) de esta Ley, cuando los datos hayan sido recabados

de persona distinta del afectado.


Infracciones muy graves:

- La recogida de datos en forma engañosa y fraudulenta.

- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

- Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 (datos

especialmente protegidos) cuando no medie el consentimiento expreso del afectado; recabar y tratar

los datos referidos en el apartado 3 del artículo 7 (origen racial, a la salud y a la vida sexual) cuando

no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición

contenida en el apartado 4 del artículo 7 (= ‘Quedan prohibidos los ficheros creados con la finalidad

exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical,

religión, creencias, origen racial o étnico, o vida sexual’).

- La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia

los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin

consentimiento de las personas afectadas.

- No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido para ello por el Director

de la APD o por las personas titulares del derecho de acceso.

- La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento

o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen

un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías

que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos

fundamentales.

- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación,

cancelación u oposición.

[Es leve, No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación

de los datos personales objeto de tratamiento cuando legalmente proceda].

[Es grave, El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la

negativa a facilitar la información que sea solicitada].

- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter

personal en un fichero.


Tipos de sanciones:

Las leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.

Las graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas.

Las muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año ,

comenzará a contarse desde el día en que la infracción se hubiera cometido.

Las sanciones prescribirán de igual modo que las infracciones en 3, 2 ó 1 años desde el momento en que

han sido dictadas.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de

ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa

no imputable al infractor.

La cuantía de las sanciones dependen de: La naturaleza de los derechos personales afectados; El volumen de

los tratamientos realizados; Los beneficios obtenidos con esa infracción; El grado de intencionalidad; La

reincidencia en la infracción o conducta ilegal; Los daños y perjuicios causados; Cualquier otra

circunstancia relevante para determinar el grado de antijuridicidad y culpabilidad presentes en la actuación

infractora.

Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la

imposición de las sanciones a que hace referencia el presente Título. Las resoluciones de la Agencia de

Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la vía administrativa.

En los supuestos, constitutivos de infracción muy grave, el Director de la APD podrá, además de ejercer la

potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de

titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el

requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada,

inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

En las infracciones de las Administraciones públicas, el Director de la Agencia de PD dictará una resolución

estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción.

Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los

afectados si los hubiera.

El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si

procedieran, que serán las establecidas en la legislación sobre régimen disciplinario de las

Administraciones públicas.

El Director de la Agencia puede exigir a los responsables de los ficheros que cesen en el uso o cesión

ilícita de datos, cuando se atente contra los derechos de los sujetos.

El Director de la Agencia, comunicará al Defensor del Pueblo las actuaciones que efectúe y las

resoluciones que dicte al amparo de los apartados anteriores.


DISPOSICIONES ADICIONALES:

La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán

solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del

fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en

los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde

ejerzan sus competencias, para la creación de ficheros o registros de población.

Resumen LOPD 15/1999

Law

Transcript of Resumen LOPD 15/1999