FAQ's LOPD

Sección de Preguntas Frecuentes (Frequently Asked Questions)

¿Qué se entiende por fichero con datos de carácter personal?
El concepto de fichero y de datos de carácter personal respectivamente, se esbozan en el glosario de términos, pero para que usted lo entienda mejor relacionamos a continuación algunos ejemplos de ficheros con datos de carácter personal. Es frecuente que las organizaciones dispongan de ficheros como el de clientes, proveedores, trabajadores, contabilidad, contactos etc... y estos pueden estar en diversos formatos tanto informáticos como en papel.
La LOPD contempla algunas exclusiones, como es el supuesto práctico del empleo de una agenda personal, al tratarse de ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Ir a arriba Arriba

¿En qué consiste la inscripción de los ficheros?
Toda persona o entidad que proceda a la creación de ficheros de carácter personal lo debe notificar a la Agencia de Protección de Datos, estableciéndose reglamentariamente los distintos extremos que debe contener la notificación.
La consulta de los ficheros inscritos es pública, y se puede hacer on line. Por tanto si desea saber si su organización tiene inscritos los ficheros puede hacerlo a través del Registro General de Protección de Datos dependiente de la AEPD y que se puede consultar a través de la web http://www.agpd.es.

Ir a arriba Arriba

¿Qué es la Agencia Española de Protección de Datos (AEPD)?
Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos.
La AEPD puede llevar a cabo inspecciones de oficio o a instancia de los afectados, dirigiéndose a los locales en los que se hallen los ficheros. El Director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.
El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.
Más información sobre la AEPD en http://www.agpd.es.

Ir a arriba Arriba

Nivel de seguridad que se exige a determinados datos

NIVEL DESCRIPCIÓN


Básico
  • Todos


 

 

Medio
  • Los relativos a la comisión de infracciones administrativas o penales.
  • Los relativos al art. 29 LOPD (ficheros de solvencia patrimonial y crédito).
  • Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
  • Aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

 

Alto
  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquéllos que contengan datos derivados de actos de violencia de género.

Excepciones:

  • A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de traacute;fico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 del reglamento (registro de accesos).
  • En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
    1. Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
    2. Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
  • También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Ir a arriba Arriba

¿Qué se entiende por servicios financieros?
Según la propia AEPD para delimitar el sentido de esta referencia deberá atenderse al ámbito que, en relación con dicho tipo de servicios, establece la normativa vigente. En todo caso, excederá de lo que deba de ser considerado, meramente, como servicios bancarios o actividades tradicionales llevadas a cabo por las entidades de crédito.
En concreto, el Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, considera las actividades de intermediación financiera como una categoría específica, incorporada en el apartado "J" de la clasificación, estableciendo tres epígrafes separados para las actividades de intermediación financiera en sentido estricto, las relacionadas con seguros y planes de seguros (excepto Seguridad Social obligatoria) y las actividades auxiliares de las anteriores.
Partiendo de esta clasificación, no cabe duda de que habrán de ser consideradas actividades de intermediación financiera, y por ello integradas en el concepto "servicios financieros" al que se refiere el artículo 4.2 del Reglamento de Medidas de Seguridad, las actividades incluidas en el epígrafe 65 (intermediación financiera) y las incorporadas al epígrafe 67.1 (auxiliares de las anteriores). Estas actividades son la intermediación monetaria, las actividades relacionadas con la Banca Central, Bancos, Cajas y Cooperativas, las actividades de arrendamiento financiero, las llevadas a cabo por Sociedades de crédito hipotecario, entidades de financiación, Sociedades mediadoras en el mercado de dinero y el Instituto de Crédito Oficial (ICO), así como las efectuadas por Instituciones de inversión colectiva de carácter financiero, Sociedades y fondos de capital riesgo y otras sociedades de inversión en activos financieros.
También son servicios financieros los relacionados con la Administración de mercados financieros, y las actividades llevadas a cabo por Sociedades de valores, sociedades de garantía recíproca y de reafianzamiento, sociedades de tasación, casas de cambio, fondos de garantía de depósito y sus sociedades gestoras.
Se plantea el problema de la inclusión o no dentro del ámbito de los servicios financieros de las actividades relacionadas con la prestación de servicios relacionados con los seguros y planes de pensiones. En relación con esta actividad, la conclusión que puede alcanzarse es, en principio, proclive a considerar las actividades aseguradoras como de prestación de servicios financieros. Así se deduce de lo establecido en la Exposición de Motivos de la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los seguros privados, al indicar que la dinámica que les afecta (a la actividad aseguradora y la concerniente a los planes y fondos de pensiones) es de las más avanzadas de nuestro sistema financiero. En este mismo sentido, debe recordarse que el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los Recursos propios y supervisión en base consolidada de las Entidades Financieras, incluye a las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito lo que no hace sino reiterar su configuración como entidades prestadoras de servicios financieros. Por su parte, la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la comercialización a distancia de servicios financieros destinados a los consumidores, considera, en su artículo 2 b), servicios financieros "cualquier servicio relativo a las actividades de las entidades de crédito, de las compañías de seguros y de las organizaciones de inversiones".
Por este mismo motivo la Clasificación Nacional de Actividades Económicas, a la que anteriormente se ha hecho mención incluye dentro de los servicios de intermediación financiera los relacionados con seguros de vida (incluso si se realizan por entidades de previsión social), los planes de pensiones y, dentro del epígrafe referido a "seguros no vida", los seguros de daños y el reaseguro. Asimismo se consideran actividades de intermediación financiera las efectuadas por agentes y corredores de seguros e intermediarios de seguros.

Ir a arriba Arriba

¿Es aplicable la LOPD a los ficheros en soporte papel?
Según la AEPD, la protección de las personas debe aplicarse tanto al tratamiento al automático como a su tratamiento manual. Por lo que respecta al tratamiento manual, el ámbito de aplicación de la LOPD abarca aquellos ficheros contenidos en un archivo estructurado, según los criterios específicos relativos a las personas, a fin de que se puedan acceder fácilmente a los datos de carácter personal que se tratan (los ficheros manuales que se refieren las historias clínicas, pueden ser el ejemplo más claro de tratamientos no automatizados incluidos dentro del ámbito de aplicación de la Ley).
La entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se produjo el día 14 de enero de 2000. Cualquier fichero creado con posterioridad a esta fecha tiene que cumplir con las exigencias de esta ley desde el mismo día de su creación, entre las que se encuentra la obligación de notificación e inscripción registral que, en estos ficheros de nueva creación, tiene carácter previo. Si se trata de un fichero manual preexistente a la entrada en vigor de la propia ley a la que venimos haciendo referencia, la adecuación será exigible desde octubre de 2007.

Ir a arriba Arriba

¿En qué consisten los derechos de Acceso, Rectificación, Cancelación u Oposición (ARCO)?
El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:
Derecho de acceso: el interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se preveén hacer con los mismos. Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.
Derecho de rectificación y cancelación: el responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez dias. Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajuste a l dispuesto en la presente ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la AEPD unos impresos para la solicitud de los mismos o pudiendo el afectado dirigirla a la dirección facilitada por el responsable del fichero.

Ir a arriba Arriba

¿Qué tipos de consentimiento son admitidos por la LOPD?
Analizamos brevemente los tipos de consentimiento admitidos por la LOPD, haciendo hincapié en el consentimiento tácito, por ser un consentimiento que presenta obvias dudas de prueba:
PRESUNTO:
El consentimiento presunto, siguiendo a Javier Aparicio Salom, “se desprende del comportamiento del interesado”. Es el caso, por ejemplo, en los que un entrevistado cumplimenta un formulario con sus datos personales, sin consentir expresamente al almacenamiento de los mismos, pero estando informado de las circunstancias relativas a su tratamiento.
El consentimiento presunto, pese a su admisión doctrinal, presenta grandes problemas de inseguridad jurídica conllevando un evidente riesgo.
TÁCITO:
El consentimiento tácito, a diferencia del presunto, no se deriva de actos del interesado sino precisamente “de su falta de actuación, de su silencio”. El consentimiento tácito es admitido por la LOPD y también por la propia AEPD. De este modo se pronuncia el organismo regulador ante la consulta realizada por numerosos afectados, a los que un operador de telefonía solicitaba su consentimiento para tratar los datos de facturación con fines de promoción publicitaria:
Si, en la carta recibida por los abonados, se requiere el consentimiento para tratar automatizadamente los datos personales, y se informa de que el consentimiento solicitado –facultativo y no obligatorio- es para ofrecer servicios de telecomunicaciones de la propia organización –no de terceras compañías-, y, se incluye la referencia expresa a la posibilidad de ejercer los derechos de acceso, rectificación y cancelación y del lugar y responsable del fichero ante el que ejercitarlos, y teniendo en cuenta que los destinatarios de la carta pueden conocer los datos de tráfico y facturación objeto de tratamiento, en la medida en que constan en las facturas que le envía periódicamente la compañía remitente, se indica que debe considerarse que la carta remitida se adecuaría a las exigencias legales, disponiendo el abonado de la opción de manifestar su consentimiento contrario al tratamiento de los datos, así como de la de revocarlo posteriormente, pudiendo ejercitar el derecho de oposición por escrito y con acuse de recibo.
A mayor abundamiento, en este mismo sentido se ha pronunciado la AEPD en su memoria del año 2000:
“...respecto de la forma de solicitar el consentimiento se ha señalado que la LOPD solo habla de necesidad de consentimiento expreso y por escrito en el artículo 7 que regula los datos especialmente protegidos, es decir aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, o bien aquellos que hagan referencia al origen racial, a la salud y a la vida sexual.
Es por ello, que si el legislador hubiera considerado que el consentimiento hubiera de ser siempre expreso no habría distinguido entre diversas clases de supuestos o modalidades para prestarlo. En este sentido se informó que el Tribunal Supremo, en varias sentencias, interpreta que: ...fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado en forma tácita.”
Por tanto, el consentimiento tácito puede ser válido, siempre y cuando no se trate de datos especialmente protegidos.
EXPRESO:
El consentimiento expreso, por su parte, “exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio”.
El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la Ley así lo establece de forma manifiesta.
Si unimos las anteriores consideraciones a los diferentes niveles de sensibilidad de datos (artículo 4 R.D. 994/1999, por el que se aprueba el Reglamento de Medidas de Seguridad) llegaremos a las siguientes conclusiones:
1.Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que sería válido el consentimiento tácito.
2.Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) es necesario el consentimiento expreso.
3.Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.

Ir a arriba Arriba

¿Los datos contenidos en los ficheros son tratados por terceras entidadesque prestan un servicio al responsable del fichero?
Existe tratamiento de datos por terceros cuando el fichero titularidad de una organización es tratado por una persona, física o jurídica, ajena a su organización, pero bajo el mandato e instrucciones de la primera. Es decir: si como consecuencia de una prestación de servicio al responsable del fichero (también denominado responsable del tratamiento), un tercero accede cuando sea necesario a sus datos de carácter personal almacenados en sus sistemas, la LOPD no lo considera una comunicación de datos sino un tratamiento de datos por cuenta de terceros.
Es habitual que las organizaciones contraten la prestación de servicios como:
  • Asesoría laboral
  • Asesoría Contable
  • Asesoría fiscal
  • Organización de prevención de riesgos laborales
  • Despacho jurídico
  • Organización de fraqueo
  • Organización de mantenimiento informático
  • Organización que presta servicios de housing
  • Organización proveedora de software
Este acceso deberá estar regulado en un contrato conforme lo estipulado en el art. 12 de la LOPD, lo que excluye el deber de obtener el consentimiento del afectado para someter a tratamiento estos datos por terceras entidades. Una vez se haya cumplido la prestación, los datos y soportes deberán ser destruidos y devueltos al responsable del tratamiento.

Ir a arriba Arriba

¿Qué es un Documento de Seguridad?
La Ley obliga a las organizaciones que sean titulares de datos de carácter personal a elaborar e implantar un Documento de Seguridad que describa los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le atribuye.
El documento de seguridad debe tener el contenido mínimo que indica el artículo 88 del RDLOPD si estamos ante datos de nivel básico pero habrá que documentar en él también las medidas correspondientes a los diferentes niveles en tanto en cuanto en el sistema de información se traten datos de dichos niveles. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Ir a arriba Arriba

¿Qué se entiende por Medidas de Seguridad de los ficheros de datos?
Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable de un fichero automatizado de datos de carácter personal, a fin de garantizar la seguridad de tales ficheros, de los centros de tratamiento de los datos, de los locales en los que se ubican físicamente los ficheros de datos, de los equipos, sistemas informáticos y programas que se utilicen en su almacenamiento y tratamiento, y de las personas que realizan las labores de recogida y tratamiento de los datos.

Ir a arriba Arriba

¿Qué entidades están obligadas a someterse a una auditoría de protección de datos?
Dicho Reglamento establece la necesidad de someter los sistemas de información e instalaciones de tratamiento de datos de carácter personal calificados de nivel medio y alto a una Auditoría Bienal que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos, al menos, cada dos años.

Ir a arriba Arriba

¿Cuándo existe distribución o transporte de datos?
Cuando existe movimiento de datos fuera del sistema de información sea mediante un soporte extraíble o de otra forma, como la que se produce por correo o por cualquier otro medio convencional.

Ir a arriba Arriba

¿Cuáles serían en la práctica, los casos típicos de Transferencia Internacional?
El más habitual sería aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente.
Ejemplo: contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo están yendo a USA mis datos, a otro servidor, sin mediar consentimiento alguno.
Otro supuesto, no menos habitual, es aquel que se da cuando una organización matriz, obtiene de una de sus sucursales en el extranjero, datos transferidos, con la única intención de mejorar su gestión. Puede servirnos como ejemplo Microsoft Ibérica, filial en España de la organización norteamericana Microsoft. Pues bien, se sancionó por el tránsito hacia USA de datos de clientes españoles, y argumentó en su defensa que se trataba de la misma organización, aunque la AEPD replicó que se trataba de organizaciones diferentes, al tener personalidad jurídica diferentes, y que además, el hecho cierto es que se trataba de una transferencia internacional de datos, para la cual no se había solicitado la oportuna autorización.

Ir a arriba Arriba