Temario General de la ESTT-OEP 2011 Elaborado en 2011

Temario General de la ESTT - OEP 2011

Grupo de Materias GeneralesElaborado en 2011

TEMA 28

PROTECCIN DE DATOS PERSONALES. LA LEY ORGNICA DE PROTECCIN DE DATOS DE CARCTER PERSONAL. FICHEROS Y DATOS. FUNCIONES DE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS DE CARCTER PERSONAL.

1. INTRODUCCIN.2

2. LA LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIN DE DATOS DE CARCTER PERSONAL..2

2.1. mbito de aplicacin...22.2. Definiciones..........3

2.3. Principios Generales...52.4. Derechos de las personas......82.5. Obligaciones del responsable del fichero..113. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS......123.1. Naturaleza y rgimen jurdico......123.2. Funciones y procedimientos.143.3. Iniciativas y participaciones..154. CONCLUSIONES.....161. INTRODUCCIN:La Constitucin Espaola en su artculo 10 reconoce el derecho a la dignidad de la persona. Por su parte, el artculo 18.4 dispone que la ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

De ambos preceptos deriva el derecho fundamental a la proteccin de datos de carcter personal, que ha sido definido como autnomo e independiente por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.

Si bien es cierto que los primeros textos normativos que regularon esta materia fueron la Ley Orgnica 5/1992 de 29 de octubre, de regulacin del tratamiento automatizado de los datos de carcter personal (LORTAD), y su posterior Real Decreto 1332/1994; en desarrollo del citado artculo 18.4, y como trasposicin al ordenamiento jurdico espaol de la Directiva 95/46/CE (Directiva sobre proteccin de datos), fue aprobada la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD).

Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente su honor e intimidad personal y familiar. La LOPD establece las obligaciones que los responsables de los ficheros y los encargados de los tratamientos, tanto de organismos pblicos como privados, han de cumplir para garantizar la observancia del derecho a la proteccin de los datos de carcter personal. Esta Ley Orgnica fue desarrollada por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo (RLOPD).

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (LSSI) atribuyen a la Agencia Espaola de Proteccin de Datos (AEPD), la tutela de los derechos y garantas de abonados y usuarios en el mbito de las comunicaciones electrnicas, en relacin con las comunicaciones comerciales remitidas por correo electrnico o medios equivalentes y sobre el empleo de dispositivos de almacenamiento de la informacin en equipos terminales.

2. LA LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIN DE DATOS DE CARCTER PERSONAL (LOPD):2.1. mbito de aplicacin:

La LOPD ser de aplicacin a los datos de carcter personal registrados en soporte fsico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carcter personal.

Se regirn por la LOPD los tratamientos efectuados en territorio espaol, o cuando al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la legislacin espaola o cuando el responsable del tratamiento no est establecido en territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio espaol.

Por el contrario no se aplicar la LOPD y el RLOPD a los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domsticas; a los ficheros sometidos a la normativa sobre proteccin de materias clasificadas; a los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada; a los tratamientos de datos referidos a personas jurdicas; a los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros; as como a los datos referidos a personas fallecidas.

Se regirn por sus disposiciones especficas, los ficheros regulados por la legislacin de rgimen electoral; los que sirvan a fines exclusivamente estadsticos, y estn amparados por la legislacin estatal o autonmica sobre la funcin estadstica pblica; los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificacin a que se refiere la legislacin del Rgimen del personal de las Fuerzas Armadas; los derivados del Registro Civil y del Registro Central de penados y rebeldes; as como los procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislacin sobre la materia.2.2. Definiciones:

Considerando la amplitud y el detalle del listado de conceptos que vienen definidos en los artculos 3 de la LOPD y 5 del RLOPD aparte de que muchos de ellos irn apareciendo a lo largo de la exposicin de este tema, en este momento se ha estimado ms oportuno mencionar tan slo los ms relevantes:

1) Comenzando por el concepto de dato de carcter personal, la normativa vigente lo define como cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables. Se consideran datos de carcter personal relacionados con la salud, las informaciones concernientes a la salud pasada, presente y futura, fsica o mental, de un individuo.2) La LOPD y el RLOPD definen el fichero como todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

Atendiendo a la naturaleza de su titularidad, stos pueden ser de titularidad privada, cuyos responsables sern las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos econmicos, as como los ficheros de los que sean responsables las corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho pblico que a las mismas atribuye su normativa especfica; o bien de titularidad pblica, de los que sern responsables los rganos constitucionales o con relevancia constitucional del Estado o las instituciones autonmicas con funciones anlogas a los mismos, las Administraciones pblicas territoriales, as como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho pblico siempre que su finalidad sea el ejercicio de potestades de derecho pblico.

Ahora bien, conforme al proceso de almacenamiento elegido, los ficheros podrn ser automatizados: soportes informticos organizados de tal manera que se pueda acceder a la informacin que contienen mediante aplicaciones o procedimientos informatizados; y ficheros no automatizados: estructurados conforme a criterios especficos relativos a personas fsicas, que permiten acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aqul centralizado, descentralizado o repartido de forma funcional o geogrfica (archivadores que almacenan expedientes clasificados mediante criterios identificativos).

3) Se entiende por tratamiento de datos cualquier operacin o procedimiento tcnico, sea o no automatizado, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, consulta, utilizacin, modificacin, cancelacin, bloqueo o supresin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Es habitual que prcticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana (al abrir una cuenta en el banco, cuando una persona se matricula en un curso, cuando se reserva un vuelo o una habitacin, cuando se pide cita en una consulta mdica, cuando se navega por Internet, etc). La LOPD regula el tratamiento de cualquier tipo de dato personal con independencia de que ste pertenezca o no a la vida privada del titular. La LOPD se aplica a los tratamientos de datos personales privados y pblicos.

4) La cesin o comunicacin de datos se define como el tratamiento de datos que supone su revelacin a una persona distinta del interesado. Ms adelante, al estudiar los principios generales de proteccin de datos se analizar el marco que regula este tipo de tratamiento as como su relacin directa con la obtencin del consentimiento previo del titular de los datos.5) El consentimiento del interesado se describe como toda manifestacin de voluntad, libre (salvo que la ley lo disponga no podemos ser obligados a facilitar nuestros datos), inequvoca, especfica (no se consiente para cualquier tratamiento ni de manera general) e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.6) Figura primordial, junto al titular de los datos es la del Responsable del fichero o tratamiento; definindose en la normativa vigente como aquella persona fsica o jurdica, pblica o privada, u rgano administrativo que solo o conjuntamente con otros decide sobre la finalidad, el contenido y el uso del tratamiento de datos.

Por citar algn ejemplo: una empresa, ser la responsable de los ficheros que contienen datos relativos a sus empleados y a sus clientes; un autnomo o empresario individual ser responsable del tratamiento de los datos personales de sus clientes, un centro educativo ser responsable del fichero de sus alumnos, o un Ayuntamiento ser responsable del fichero del padrn municipal.

7) En ocasiones, el tratamiento de los datos de carcter personal no slo es llevado a cabo por el responsable del fichero o tratamiento sino que aparece, directamente relacionado con ste, el Encargado del tratamiento: persona fsica o jurdica, pblica o privada, u rgano administrativo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable fichero o tratamiento como consecuencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la prestacin de un servicio.

Una empresa que preste servicios para la realizacin de envos postales; el informtico ajeno a la organizacin del responsable que realiza tareas de mantenimiento de software o hardware; el gestor administrativo que confecciona nminas y gestiona el fichero de personal, son ejemplos de esta figura.El encargado tratar los datos conforme a las instrucciones del responsable, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. El RLOPD en sus artculos 20 a 22 establece una regulacin completa como desarrollo del artculo 12 de la LOPD.2.3. Principios generales:

Conforme a la normativa vigente en materia de proteccin de datos de carcter personal, todo responsable de un fichero o tratamiento deber tener en cuenta los siguientes principios:

A) Calidad-Finalidad y Exactitud de los datos:Establecen los artculos 4 de la LOPD y 8 del RLOPD que los datos de carcter personal objeto de tratamiento:

1) Debern ser tratados de forma leal y lcita.

2) No podrn recogerse por medios fraudulentos, desleales o ilcitos.

3) Slo podrn ser recogidos para el cumplimiento de finalidades determinadas, explcitas y legtimas del responsable del tratamiento.

4) No podrn usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. A estos efectos no se considerar incompatible, el tratamiento de los datos de carcter personal con fines histricos, estadsticos o cientficos.

5) Slo podrn ser objeto de tratamiento los datos adecuados, pertinentes y no excesivos en relacin con las finalidades determinadas, explcitas y legtimas para las que se hayan obtenido.

6) Sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. De lo contrario, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez das desde que se tuviese conocimiento de la inexactitud, salvo que la legislacin aplicable al fichero establezca un procedimiento o un plazo especfico para ello.B) Obtencin del consentimiento previo del afectado:De conformidad con los artculos 6 de la LOPD y 12 y 17 del RLOPD: el responsable del tratamiento deber obtener el consentimiento del interesado para el tratamiento de sus datos de carcter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes. Debiendo informar inequvocamente al afectado, en el caso de que se cedan sus datos, de la finalidad a la que se destinarn los mismos, as como el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser nulo.

Excepcionalmente veremos ms adelante que existen casos en que los datos personales pueden tratarse sin el consentimiento de su titular.

El afectado podr revocar su consentimiento, cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos, materializndose a travs de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. Debiendo el responsable cesar en el tratamiento de los datos en el plazo mximo de diez das a contar desde el de la recepcin de la revocacin del consentimiento, sin perjuicio de su obligacin de bloquear los datos conforme a lo dispuesto en el artculo 16.3 de la LOPD. Igualmente, si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado el consentimiento, deber comunicarlo a los cesionarios, en el plazo previsto anteriormente para que stos, cesen en el tratamiento de los datos en caso de que an lo mantuvieran, conforme al artculo 16.4 de la LOPD.

C) Cesin o comunicacin de datos:Los artculos 11 de la LOPD y 10 del RLOPD establecen como norma general que los datos de carcter personal nicamente podrn ser objeto de tratamiento o cesin si el interesado hubiera prestado previamente su consentimiento para ello, regulando un listado de supuestos excepcionales a dicha norma entre los que destacan los siguientes:

A) Ser posible el tratamiento o la cesin de datos de carcter personal sin necesidad del consentimiento del interesado cuando:

1) Lo autorice una norma con rango de ley o una norma de derecho comunitario.

2) Los datos objeto de tratamiento o de cesin figuren en fuentes accesibles al pblico y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un inters legtimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. Las Administraciones pblicas slo podrn comunicar datos recogidos de fuentes accesibles al pblico a responsables de ficheros de titularidad privada cuando les habilite una norma con rango de ley.

B) Los datos de carcter personal podrn tratarse sin necesidad del consentimiento del interesado cuando:

1) Se recojan para el ejercicio de las funciones propias de las Administraciones pblicas en el mbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

2) Se recaben por el responsable del tratamiento con ocasin de la celebracin de un contrato o precontrato o de la existencia de una relacin negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

3) El tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del apartado 6 del artculo 7 de la LOPD.

C) Ser posible la cesin de los datos de carcter personal sin contar con el consentimiento del interesado cuando:

1) La cesin responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control comporte la comunicacin de los datos y siempre que se limite a la finalidad que la justifique.

2) La comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el mbito de las funciones que la ley les atribuya expresamente.

3) La cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento de los datos con fines histricos, estadsticos o cientficos; los datos de carcter personal hayan sido recogidos o elaborados por una Administracin pblica con destino a otra o la comunicacin se realice para el ejercicio de competencias idnticas o que versen sobre las mismas materias.

D) Datos especialmente protegidos:

La normativa vigente establece un rgimen especfico para el tratamiento de los datos especialmente protegidos. As, el tratamiento y cesin de este tipo de datos se realizar en los trminos previstos en los artculos 7 y 8 de la LOPD.

En este sentido se advertir al interesado de su derecho a no prestar su consentimiento en el tratamiento de estos datos, debiendo solicitarse consentimiento expreso y por escrito del interesado para el tratamiento de datos que revelen ideologa, afiliacin sindical, religin y creencias.

Para el tratamiento o cesin de datos relativos a origen racial, salud o vida sexual se necesitar el consentimiento expreso o que as lo disponga una ley.

Se podrn tratar, no obstante, los datos anteriores, si resulta necesario para el diagnstico mdico o la gestin de un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligacin equivalente de secreto. Igualmente cuando sea necesario para salvaguardar el inters vital del afectado o de otra persona, en el supuesto de que el afectado est fsica o jurdicamente incapacitado para dar su consentimiento.

E) Seguridad de los datos:

Conforme al artculo 9 de la LOPD, el responsable del fichero y, en su caso, el encargado del tratamiento, debern adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado. Disponer de polticas de seguridad supone garantizar la integridad, disponibilidad y confidencialidad de los datos.

Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrn ser de nivel bsico, medio o alto en funcin del tipo de datos de carcter personal que se traten. Tales medidas de seguridad vienen reguladas en el Ttulo VIII del RLOPD (artculos 89 y siguientes), diferenciando las mismas en funcin de los niveles anteriormente mencionados as como atendiendo al tipo de ficheros o tratamientos automatizados o no (formato papel) que se hayan determinado por parte del responsable del fichero o tratamiento. Todas ellas vendrn reguladas en el documento de seguridad que ser de obligado cumplimiento para el personal con acceso a los sistemas de informacin.

F) Deber de guardar secreto:

Esta obligacin, regulada en el artculo 10 de la LOPD consiste en la confidencialidad profesional que han de respetar, sobre los datos de carcter personal a los que tengan acceso, todos los que intervengan en cualquier fase del tratamiento. Obligacin que subsistir an despus de finalizar su relacin con el responsable del fichero.

El secreto es esencial para garantizar el derecho fundamental a la proteccin de datos. Esto explica, por ejemplo, que en determinados servicios de atencin telefnica se realicen preguntas para establecer la identidad del cliente antes de facilitar datos, que en un hospital nunca nos faciliten informacin sobre una persona que est siendo atendida, o que nunca nos den acceso a datos de personas mayores de edad, aunque se trate de familiares directos, si no aportamos un escrito probando que nos han otorgado su representacin.2.4. Derechos de las personas:

En materia de proteccin de datos de carcter personal, los derechos de las personas vienen regulados en los artculos 13 al 19 de la LOPD y 23 al 36 del RLOPD, siendo los ms destacables los denominados derechos ARCO (Acceso, Rectificacin, Cancelacin y Oposicin).

Estos derechos se caracterizan por las siguientes peculiaridades:

Son derechos personalsimos: slo pueden ejercercitarse por el propio afectado, acreditando su identidad; por su representante legal acreditado, cuando el afectado se encuentre en situacin de incapacidad o minora de edad o bien por su representante voluntario, expresamente designado para el ejercicio del derecho.

Se trata de derechos independientes, por lo que el ejercicio de ninguno de ellos ser requisito previo para el ejercicio de otro tipo de derecho.

Al titular de los datos se le deber facilitar un medio sencillo y gratuito para el ejercicio de los derechos ARCO.

El ejercicio por el afectado de sus derechos ser gratuito y en ningn caso podr suponer un ingreso adicional para el responsable del tratamiento ante el que se ejerciten.

Los derechos ARCO se deben ejercer ante el responsable o encargado del tratamiento.

La comunicacin dirigida para el ejercicio de los derechos deber contener: nombre y apellidos del interesado, copia del documento que acredite su identidad o la de su representante; peticin en que se concrete la solicitud, direccin a efectos de notificacin, fecha y firma del solicitante y documentos acreditativos de la peticin formulada.

Deber utilizarse un medio que acredite el envo y la recepcin de la solicitud.

Transcurrido el plazo sin que de forma expresa se responda a la peticin, o bien la resolucin no sea conforme con lo solicitado, el interesado podr interponer la reclamacin ante la AEPD, prevista en el artculo 18 de la LOPD.

Junto a la descripcin de los derechos ARCO se aprovechar para describir el derecho a la informacin y el derecho de consulta.

A) Derecho de informacin:

Si bien es cierto que el Derecho de informacin en la recogida de datos queda articulado en la LOPD, como un principio general (artculo 5), en muchas ocasiones y debido a su carcter hbrido, tanto como derecho del interesado y como deber que ha de cumplir el responsable del fichero o tratamiento, se puede abordar desde diferentes perspectivas.

Este derecho consiste en que los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco:

- de la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin.

- del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

- de las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.

- de la posibilidad de ejercitar los derechos ARCO.

- de la identidad y direccin del responsable del tratamiento o de su representante.

Cuando los datos de carcter personal no hayan sido recabados del interesado, ste deber ser informado de forma expresa, precisa e inequvoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, as como de la existencia del fichero, de la posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.

Las excepciones a este derecho vendrn determinadas por Ley, o bien en los casos en que el tratamiento tenga fines histricos, estadsticos o cientficos; resulte imposible o exija esfuerzos desproporcionados, a criterio de la AEPD o del organismo autonmico equivalente, en consideracin al nmero de interesados, a la antigedad de los datos y a las posibles medidas compensatorias; o cuando los datos procedan de fuentes accesibles al pblico y se destinen a la actividad de publicidad o prospeccin comercial.

Del mismo modo sern tratados con carcter excepcional, aquellos casos en los que el bien protegido sea la Defensa Nacional, la Seguridad Pblica o la utilizacin de los datos sea necesaria para la persecucin de infracciones penales.

B) Derecho de Acceso:

Este derecho, regulado en el artculo 15 de la LOPD y 27 al 30 del RLOPD consiste en solicitar y obtener informacin sobre datos de carcter personal (origen, cesiones, usos y finalidades) que pudieran tener los responsables de ficheros o tratamientos.

Podr ejercitarse este derecho cada doce meses, salvo que se acredite un inters legtimo al efecto, debiendo el responsable del fichero resolver (siempre y de forma motivada), en el plazo de un mes desde la recepcin de la solicitud. En el caso de que la resolucin sea estimatoria, se producir el acceso efectivo en el plazo de diez das desde su notificacin.

El responsable del fichero o tratamiento podr resolver de forma desestimatoria y por tanto, denegar el derecho de acceso a los datos de carcter personal, cuando el derecho se haya ejercido en los doce meses anteriores a la solicitud y no se haya acreditado un inters legtimo; as como en los supuestos previstos por una Ley o norma de derecho comunitario.

En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la tutela de la AEPD u organismo autonmico equivalente, conforme a lo dispuesto en el artculo 18 de la LOPD.

C) Derechos de rectificacin y cancelacin:

Conforme al artculo 16 de la LOPD y 31 al 33 del RLOPD este derecho habilita al afectado para solicitar que se modifiquen los datos personales que resulten ser inexactos o incompletos.

El ejercicio del derecho de cancelacin dar lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.

La solicitud de rectificacin o de cancelacin deber indicar a qu datos se refiere y la correccin que haya de realizarse, debiendo acompaar la documentacin justificativa de lo solicitado.

El responsable del fichero resolver siempre y de forma motivada sobre la solicitud de rectificacin o cancelacin en el plazo mximo de diez das a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin, el interesado podr interponer la reclamacin prevista en el artculo 18 de la LOPD.

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber comunicar la rectificacin o cancelacin efectuada al cesionario, en idntico plazo, para que ste, tambin en el plazo de diez das contados desde la recepcin de dicha comunicacin, proceda, asimismo, a rectificar o cancelar los datos.

Los efectos del ejercicio de estos derechos pueden ser de naturaleza distinta: desde el borrado o supresin de los datos solicitados; el bloqueo de los mismos, conservndose nicamente a disposicin de las Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripcin de stas; hasta la conservacin de los datos durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

D) Derecho de oposicin:

Este derecho viene regulado en el artculo 6.4, 17 y 30.4 de la LOPD y 34 a 36 del RLOPD y consiste en la potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se cese en el mismo:

a) Cuando no sea necesario su consentimiento para el tratamiento.

b) Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comercial.

c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin con efectos jurdicos sobre el interesado o que le afecte de manera significativa, referida a un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crdito, fiabilidad o conducta).

El derecho de oposicin se ejercitar mediante solicitud dirigida al responsable del tratamiento debiendo hacerse constar los motivos fundados y legtimos, relativos a una concreta situacin personal del afectado, que justifiquen el ejercicio de este derecho y siempre que una Ley o norma de derecho comunitario no disponga lo contrario.

El responsable del fichero resolver sobre la solicitud de oposicin en el plazo mximo de diez das a contar desde la recepcin de la solicitud.

Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el responsable del fichero o tratamiento, stos son el derecho de consulta (pblica y gratuita), que se ejercita ante el Registro General de la AEPD, permitiendo saber quin puede haber tratado nuestros datos, sus finalidades, as como la identidad del responsable del fichero (artculo 14 de la LOPD).

Finalmente cabe mencionar el derecho de indemnizacin, regulado en el artculo 19 de la LOPD, y que consiste en el derecho a ser indemnizados por los daos y perjuicios que como consecuencia del incumplimiento de la Ley haya producido el responsable o encargado del tratamiento de datos; aplicndose previamente la legislacin en materia de responsabilidad administrativa, en el caso de ficheros de titularidad pblica. En el supuesto de ficheros de titularidad privada la accin se ejercitar ante los rganos de la jurisdiccin ordinaria.

2.5. Obligaciones del responsable del fichero:Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD, a quin le corresponde velar por el cumplimiento de la Ley en su organizacin. Entre dichas obligaciones cabe destacar las siguientes:

Creacin, modificacin y supresin de ficheros: con identificacin del responsable, del fichero, finalidades y usos previstos, sistema de tratamiento empleado, tipologa de datos, medidas de seguridad, el encargado del tratamiento y los destinatarios de cesiones y transferencias internacionales. En el caso de las Administraciones Pblicas slo podrn hacerse por medio de disposicin general publicada en el "Boletn Oficial del Estado" o diario oficial correspondiente (art. 20 de la LOPD).

Notificacin e Inscripcin de ficheros ante el RGPD.

Informar a los titulares previamente a la recogida de sus datos (art. 5 LOPD) y recabar su consentimiento.

Implementacin de medidas de seguridad tcnicas y organizativas (por niveles segn tipo de datos). Recogidas en el Documento de seguridad.

Asegurarse de que los datos sean adecuados, veraces, obtenidos lcita y legtimamente y tratados de modo proporcional a la finalidad que justific su recogida.

Garantizar el cumplimiento de los deberes de confidencialidad y seguridad.

Facilitar y garantizar el ejercicio de los derechos ARCO.

Asegurar que en sus relaciones con terceros (prestadores de servicios), cumplan con la LOPD.

3. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS:

3.1. Naturaleza y rgimen jurdico:El art. 35 de la LOPD establece que La Agencia Espaola de Proteccin de Datos es un ente de derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones.

Por su parte el Real Decreto 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia Espaola de Proteccin de Datos (en lo sucesivo EAEPD), completa la descripcin de la naturaleza jurdica que realiza el citado art. 35 de la LOPD. La Ley 6/1997, de 14 de abril, de Organizacin y Funcionamiento de la Administracin general del Estado, establece en su disposicin adicional dcima el rgimen jurdico de determinados entes pblicos, entre los que se encuentra la AEPD.

El art. 1.2 del EAEPD dispone que la Agencia acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones y se relaciona con el Gobierno a travs del Ministerio de Justicia.

Esta exigencia de independencia se recoge en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, asimismo, en la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000, y que ha sido incorporada a la Parte II del Proyecto de Tratado por el que se instituye una Constitucin para Europa (artculo 68).

Adems de la normativa citada anteriormente, cabe destacar el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, ya mencionado en varias ocasiones a lo largo de la exposicin de este tema. Del mismo modo hay que destacar, dentro de la potestad de elaboracin normativa que tiene la AEPD, las diferentes Instrucciones dictadas por dicho organismo, las cules tienen carcter vinculante para las entidades que deben aplicar esta normativa, adems de servir para aclarar y flexibilizar en muchas ocasiones el contenido de la LOPD.

La estructura orgnica bsica de la AEPD se establece en el art. 11 de su Estatuto, que distingue los siguientes rganos:A) El Director: Ostenta la representacin de la AEPD; tiene la categora de Subsecretario; es nombrado por Real Decreto de entre los miembros del Consejo Consultivo a propuesta del Ministro de Justicia y su ejercicio es independiente y no est sometido a mandato imperativo alguno. Su mandato dura cuatro aos, si bien su cese podra venir motivado por diferentes causas: a peticin propia, en los casos de separacin por incumplimiento grave, incapacidad, incompatibilidad o comisin de delito doloso. Entre las funciones del Director destacan las resoluciones, que ponen fin a la va administrativa (sobre inscripcin de ficheros, cdigos tipo, transferencias internacionales, tutelas de derecho, procedimientos sancionadores, expedientes disciplinarios, etc); la coordinacin con las autoridades internacionales, nacionales y autonmicas en la materia, as como las funciones de direccin y gestin propias del cargo desempeado.B) El Consejo Consultivo: rgano colegiado de asesoramiento del Director que funciona conforme a sus normas reglamentarias cuyas labores ms relevantes consisten en la elaboracin de informes que le solicite el Director y en la formulacin de propuestas en materia de proteccin de datos. El Director ser elegido de entre sus miembros, entre los cules se encuentra un representante de cada uno de los siguientes rganos: Congreso; Senado; Administracin General del Estado; CCAA que tengan Agencia de Proteccin de Datos (Pas Vasco, Catalua y Madrid); Administracin Local; Real Academia de la Historia; Consejo de Coordinacin Universitaria; Consumidores y Usuarios; Ficheros de titularidad privada. Este rgano se rene al menos cada seis meses, dirigido por el Director de la AEPD y actuando como secretario el Secretario General de la AEPD.C) La Secretara General: Su misin principal consiste en apoyar al adecuado funcionamiento de la Agencia; gestionar (por delegacin del Director) el mbito interno de la AEPD; elaborar y ejecutar el presupuesto; servir de Fondo de documentacin; editar repertorios, publicaciones y la memoria anual del organismo; organizar conferencias; prestar un servicio de atencin e informacin al ciudadano.

D) El Registro General de Proteccin de Datos (RGPD): Su funcin principal es la de velar por la publicidad de los tratamientos de datos de carcter personal con miras a hacer posible el ejercicio de los derechos ARCO; tramitar expedientes de notificacin de ficheros, de autorizaciones de transferencias internacionales; inscripciones de cdigos tipo. El acceso al RGPD es pblico y gratuito, y puede realizarse la consulta a travs del sitio web de la AEPD (www.agpd.es ). A travs del programa NOTA la AEPD simplifica y facilita la inscripcin de ficheros.

E) La Inspeccin de Datos: Esta Subdireccin comprueba la legalidad de los tratamientos, instruyendo los distintos tipos de procedimientos cuya competencia corresponde a la AEPD (tutelas de Derechos, procedimientos sancionadores y procedimientos de infraccin por las Administraciones Pblicas). F) Junto a estos rganos cabe destacar la labor relevante del Gabinete Jurdico de la AEPD, quin emite los informes correspondientes a los Proyectos de normas en materia de proteccin de datos; y da respuesta a las consultas procedentes de las distintas entidades pblicas y privadas con motivo de la aplicacin de las normas pertinentes.

G) Finalmente no hay que olvidar el trabajo desempeado por el Gabinete de Prensa de la AEPD, cuya labor primordial consiste en atender a los diferentes medios de comunicacin, algunos de ellos muy especializados, as como preparar las distintas intervenciones del Director de la AEPD ante los mismos.3.2. Funciones y procedimientos:Con carcter general la funcin principal de la AEPD consiste en: velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos.En relacin con los afectados: atiende a sus peticiones y reclamaciones; informa de los derechos reconocidos en la Ley y promueve campaas de difusin a travs de los medios.En relacin con quienes tratan datos personales: la AEPD emite las autorizaciones previstas en la Ley; requiere medidas de correccin; ordena, en caso de ilegalidad, el cese en el tratamiento y la cancelacin de los datos; ejerce la potestad sancionadora, recaba ayuda e informacin que precise y autoriza las transferencias internacionales de datos.Respecto a la elaboracin de normas: la AEPD informa los Proyectos de normas de desarrollo de la LOPD; informa los Proyectos de normas que incidan en materias de proteccin de datos; dicta Instrucciones y recomendaciones de adecuacin de los tratamientos a la LOPD; as como recomendaciones en materia de seguridad y control de acceso a los ficheros.En materia de telecomunicaciones: tutela los derechos y garantas de los abonados y usuarios en el mbito de las comunicaciones electrnicas, incluyendo el envo de comunicaciones comerciales no solicitadas realizadas a travs de correo electrnico o medios de comunicacin electrnica equivalente.

Otra categora de competencias de la AEPD que no deben olvidarse son las relativas a velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (a travs de la pgina web de la AEPD); la Cooperacin Internacional (en especial su labor dentro de la Red Iberoamericana de Proteccin de Datos, que ha presidido durante ocho aos y desempea las labores de Secretara Permanente- www.redipd.org ); la representacin de Espaa en los foros internacionales relacionados con la proteccin de datos personales; el control y observancia de lo dispuesto en la Ley reguladora de la Funcin Estadstica Pblica; as como la elaboracin de una Memoria Anual, presentada ante las Cortes, previamente conocida por el Ministro de Justicia. La potestad sancionadora de la AEPD es una de las funciones que en ocasiones tiene mayor repercusin social, en gran parte motivada por el importe de las sanciones que la AEPD, a travs de sus resoluciones sancionadoras, puede llegar a imponer (desde 900 euros, por la comisin de infracciones leves, hasta 400.000 euros por la comisin de infracciones graves, y hasta 600.000 euros por la comisin de infracciones muy graves).

Conforme al artculo 45 de la LOPD estas cuantas se graduarn atendiendo a los siguientes criterios: el carcter continuado de la infraccin; el volumen de los tratamientos efectuados; la vinculacin de la actividad del infractor con la realizacin de tratamientos de datos de carcter personal; el volumen de negocio o actividad del infractor; los beneficios obtenidos como consecuencia de la comisin de la infraccin; el grado de intencionalidad; la reincidencia por comisin de infracciones de la misma naturaleza; la naturaleza de los perjuicios causados a las personas interesadas o a terceras personas; la acreditacin de que con anterioridad a los hechos constitutivos de infraccin la entidad imputada tena implantados procedimientos adecuados de actuacin en la recogida y tratamiento de Ios datos de carcter personal, siendo la infraccin consecuencia de una anomala en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor; as como cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora.

Existe un rgimen especfico en el caso de que la infraccin sea cometida por responsables de los ficheros de titularidad pblica: En estos casos, el rgano sancionador dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del fichero, al rgano del que dependa jerrquicamente y a los afectados si los hubiera, pudiendo el rgano sancionador proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran, conforme a las establecidas en la legislacin sobre rgimen disciplinario de las Administraciones Pblicas. Establece la LOPD que se debern comunicar al rgano sancionador las resoluciones que recaigan en relacin con las medidas y actuaciones a que se refieren los apartados anteriores.

Adems de los procedimientos de tutela de derechos, los relativos al ejercicio de la potestad sancionadora o los relacionados con la inscripcin, modificacin o supresin de ficheros y las autorizaciones de transferencias internacionales de datos de carcter personal, la AEPD tramita otros tipos de procedimientos como son los referentes a la exencin del deber de informacin al interesado o las autorizaciones de conservacin de datos para fines histricos, estadsticos o cientficos. Todos ellos regulados en el Ttulo IX del RLOPD.

3.3. Iniciativas y participaciones:Junto a las tareas cotidianas antes mencionadas, la AEPD asume una labor de relaciones institucionales, fruto de las cules surge la conveniencia de firmar convenios y acuerdos de distinta naturaleza tanto con entidades pblicas como privadas.

Del mismo modo elabora documentos de trabajo y guas que permiten difundir la materia y extender la denominada cultura de proteccin de datos, entre las que destacan las dirigidas a responsables de ficheros y tratamientos, a los titulares de los datos personales o a los responsables de seguridad, as como la dedicada a la videovigilancia y los diferentes sistemas de captura y recogida de datos.

La AEPD, con cierta periodicidad participa y organiza eventos a nivel nacional e internacional en los que intervienen autoridades nacionales en materia de proteccin de datos de carcter personal, empresas y multinacionales, entidades y organismos pblicos, etc, siempre con la idea de comunicar y divulgar una materia cada da ms presente en nuestras vidas y con una mayor repercusin a medida que se implantan las tecnologas ms avanzadas y los titulares de los datos son ms conscientes de la existencia y de la categora del Derecho Fundamental a la Proteccin de Datos de Carcter Personal.

Las Conferencias Internacionales de Proteccin de Datos y Privacidad constituyen el mayor foro dedicado a la privacidad a nivel mundial y un punto de encuentro privilegiado entre autoridades de proteccin de datos y garantes de la privacidad de todo el mundo, as como de representantes de entidades pblicas y privadas y la sociedad civil.

Celebrada por primera vez en Bonn en 1979, la Privacy Conference naci con la vocacin de reunir anualmente no slo a las diferentes autoridades de supervisin de proteccin de datos, sino tambin a representantes del sector privado y a la sociedad civil. En sus treinta ediciones, han sido cuatro los continentes y diecinueve los pases u organizaciones internacionales que han asumido la celebracin de este encuentro, por lo que se puede definir como el evento global en materia de proteccin de datos.

La 31 edicin de la Conferencia , que fue organizada por la Agencia Espaola de Proteccin de Datos en Madrid entre los das 4 y 6 de noviembre de 2009, aprobaron la denominada "Resolucin de Madrid", de la que forman parte como anexo los Estndares Internacionales de Proteccin de Datos y Privacidad.

La "Propuesta Conjunta de Estndares Internacionales de Proteccin de Datos y Privacidad" es la apuesta de las autoridades de supervisin para proteger la privacidad en un mundo sin fronteras, en el que reforzar el carcter universal de estos derechos se hace imprescindible.

El documento tiene un doble objetivo: por un lado, lograr el reconocimiento de la proteccin de datos y de la privacidad como derechos fundamentales, con independencia de la nacionalidad o residencia de las personas; por otro, constatar las dificultades que generan, tanto para el ciudadano como para las empresas, las diferencias persistentes entre los marcos jurdicos de los diferentes pases, en especial debido al hecho de que muchos Estados no han aprobado todava leyes adecuadas en la materia.

4. CONCLUSIONES:

A modo de conclusin podemos establecer las siguientes reflexiones:

En una sociedad democrtica como la que actualmente vivimos en nuestro pas, debemos ser conscientes de la cantidad y del valor que tiene la informacin personal que se utiliza diariamente. Gran parte de los servicios que se prestan requieren de dicha informacin para poder justificar su existencia. Tales circunstancias nos llevan a la necesidad de incorporar a nuestro amplio abanico de derechos, el Derecho Fundamental a la Proteccin de Datos de carcter personal, as reconocido por el Tribunal Constitucional en su STC 292/2000.

Este derecho fundamental, a su vez, establece un marco de principios y derechos a favor del titular de los datos de carcter personal, que no slo deben conocer y respetar los ciudadanos sino tambin los responsables de ficheros y tratamientos, los cules adems debern tener en cuenta las obligaciones que la normativa vigente establece al respecto (LOPD y RLOPD).

Tales principios y derechos de las personas requieren de la existencia de una autoridad nacional independiente que vele por el cumplimiento de la normativa vigente y controle su aplicacin, garantizando y tutelando el derecho fundamental a la proteccin de datos personales. En nuestro caso esta labor corresponde a la AEPD como Ente de Derecho Pblico con personalidad jurdica propia y plena capacidad pblica y privada que acta con independencia de las Administraciones Pblicas en el ejercicio de sus funciones.

En este sentido, la AEPD INFORMA y AYUDA al ciudadano a ejercitar sus derechos y a las entidades pblicas y privadas a cumplir las obligaciones que establece la Ley; TUTELA al ciudadano en el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin cuando no han sido adecuadamente atendidos y GARANTIZA el derecho a la proteccin de datos investigando y sancionando aquellas actuaciones que puedan ser contrarias a la ley.

La AEPD, como garante del derecho fundamental a la proteccin de datos de carcter personal, es un organismo que no cesa en su labor de divulgacin y de concienciacin, participando y organizando diferentes modalidades de eventos as como elaborando documentos de trabajo que permiten conocer e interpretar de una manera ms acertada la normativa vigente.

Finalmente no hay que olvidar que el derecho fundamental a la proteccin de datos es la capacidad que tiene el ciudadano para disponer y decidir sobre todas las informaciones que se refieran a l, debiendo conocer cules son sus derechos personales as como la existencia de unos deberes por parte de los responsables de ficheros y tratamientos, que en el caso de que no los cumplan tendrn que dar cuenta de su actuacin ante la autoridad nacional en la materia (AEPD).Autor: Vicente M. Gonzlez Camacho

Tema 28. Pgina 1 de 18