Temario General de la ESTT-OEP 2011 Elaborado en …€¦ · Web viewCreación, modificación y...

Temario General de la ESTT - OEP 2011Grupo de Materias Generales

Elaborado en 2011

TEMA 28

PROTECCIÓN DE DATOS PERSONALES. LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. FICHEROS Y DATOS. FUNCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

1. INTRODUCCIÓN………………………………………………………………………….2

2. LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL………………………………..……………………2

2.1. Ámbito de aplicación…………………………………...………………………………2

2.2. Definiciones………………………………......……….…….…………………………..3

2.3. Principios Generales………………………………..………………………………….5

2.4. Derechos de las personas……………………………….………………..…….……..8

2.5. Obligaciones del responsable del fichero…………………………………………..11

3. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.………..……………...12

3.1. Naturaleza y régimen jurídico……………………………………...………………...12

3.2. Funciones y procedimientos………………………………….………………………14

3.3. Iniciativas y participaciones…………………………………………………………..15

4. CONCLUSIONES…………………………..…………………………………………...16

Autor : Vicente M. González Camacho Tema 28. Página 1 de 18


Elaborado en 2011

1. INTRODUCCIÓN:

La Constitución Española en su artículo 10 reconoce el derecho a la dignidad de la persona. Por su parte, el artículo 18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

De ambos preceptos deriva el derecho fundamental a la protección de datos de carácter personal, que ha sido definido como autónomo e independiente por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.

Si bien es cierto que los primeros textos normativos que regularon esta materia fueron la Ley Orgánica 5/1992 de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD), y su posterior Real Decreto 1332/1994; en desarrollo del citado artículo 18.4, y como trasposición al ordenamiento jurídico español de la Directiva 95/46/CE (Directiva sobre protección de datos), fue aprobada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. La LOPD establece las obligaciones que los responsables de los ficheros y los encargados de los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar la observancia del derecho a la protección de los datos de carácter personal. Esta Ley Orgánica fue desarrollada por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo (RLOPD).

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) atribuyen a la Agencia Española de Protección de Datos (AEPD), la tutela de los derechos y garantías de abonados y usuarios en el ámbito de las comunicaciones electrónicas, en relación con las comunicaciones comerciales remitidas por correo electrónico o medios equivalentes y sobre el empleo de dispositivos de almacenamiento de la información en equipos terminales.

2. LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD):

2.1. Ámbito de aplicación:

La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

Se regirán por la LOPD los tratamientos efectuados en territorio español, o cuando al responsable del tratamiento no establecido en territorio español, le sea de



Elaborado en 2011

aplicación la legislación española o cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español.

Por el contrario no se aplicará la LOPD y el RLOPD a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; a los ficheros sometidos a la normativa sobre protección de materias clasificadas; a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada; a los tratamientos de datos referidos a personas jurídicas; a los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros; así como a los datos referidos a personas fallecidas.

Se regirán por sus disposiciones específicas, los ficheros regulados por la legislación de régimen electoral; los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública; los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; los derivados del Registro Civil y del Registro Central de penados y rebeldes; así como los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

2.2. Definiciones:

Considerando la amplitud y el detalle del listado de conceptos que vienen definidos en los artículos 3 de la LOPD y 5 del RLOPD aparte de que muchos de ellos irán apareciendo a lo largo de la exposición de este tema, en este momento se ha estimado más oportuno mencionar tan sólo los más relevantes:

1) Comenzando por el concepto de dato de carácter personal, la normativa vigente lo define como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Se consideran datos de carácter personal relacionados con la salud, las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

2) La LOPD y el RLOPD definen el fichero como todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Atendiendo a la naturaleza de su titularidad, éstos pueden ser de titularidad privada, cuyos responsables serán las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica; o bien de titularidad pública, de los que serán responsables los órganos constitucionales o con relevancia



Elaborado en 2011

constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.

Ahora bien, conforme al proceso de almacenamiento elegido, los ficheros podrán ser automatizados: soportes informáticos organizados de tal manera que se pueda acceder a la información que contienen mediante aplicaciones o procedimientos informatizados; y ficheros no automatizados: estructurados conforme a criterios específicos relativos a personas físicas, que permiten acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica (archivadores que almacenan expedientes clasificados mediante criterios identificativos).

3) Se entiende por tratamiento de datos “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Es habitual que prácticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana (al abrir una cuenta en el banco, cuando una persona se matricula en un curso, cuando se reserva un vuelo o una habitación, cuando se pide cita en una consulta médica, cuando se navega por Internet, etc…). La LOPD regula el tratamiento de cualquier tipo de dato personal con independencia de que éste pertenezca o no a la vida privada del titular. La LOPD se aplica a los tratamientos de datos personales privados y públicos.

4) La cesión o comunicación de datos se define como el tratamiento de datos que supone su revelación a una persona distinta del interesado. Más adelante, al estudiar los principios generales de protección de datos se analizará el marco que regula este tipo de tratamiento así como su relación directa con la obtención del consentimiento previo del titular de los datos.

5) El consentimiento del interesado se describe como toda manifestación de voluntad, libre (salvo que la ley lo disponga no podemos ser obligados a facilitar nuestros datos), inequívoca, específica (no se consiente para cualquier tratamiento ni de manera general) e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

6) Figura primordial, junto al titular de los datos es la del Responsable del fichero o tratamiento; definiéndose en la normativa vigente como aquella persona física o jurídica, pública o privada, u órgano administrativo que solo o conjuntamente con otros decide sobre la finalidad, el contenido y el uso del tratamiento de datos.

Por citar algún ejemplo: una empresa, será la responsable de los ficheros que contienen datos relativos a sus empleados y a sus clientes; un autónomo o empresario individual será responsable del tratamiento de los datos personales de



Elaborado en 2011

sus clientes, un centro educativo será responsable del fichero de sus alumnos, o un Ayuntamiento será responsable del fichero del padrón municipal.

7) En ocasiones, el tratamiento de los datos de carácter personal no sólo es llevado a cabo por el responsable del fichero o tratamiento sino que aparece, directamente relacionado con éste, el Encargado del tratamiento: persona física o jurídica, pública o privada, u órgano administrativo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable fichero o tratamiento como consecuencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Una empresa que preste servicios para la realización de envíos postales; el informático ajeno a la organización del responsable que realiza tareas de mantenimiento de software o hardware; el gestor administrativo que confecciona nóminas y gestiona el fichero de personal, son ejemplos de esta figura.

El encargado tratará los datos conforme a las instrucciones del responsable, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. El RLOPD en sus artículos 20 a 22 establece una regulación completa como desarrollo del artículo 12 de la LOPD.

2.3. Principios generales:

Conforme a la normativa vigente en materia de protección de datos de carácter personal, todo responsable de un fichero o tratamiento deberá tener en cuenta los siguientes principios:

A) Calidad-Finalidad y Exactitud de los datos: Establecen los artículos 4 de la LOPD y 8 del RLOPD que los datos de

carácter personal objeto de tratamiento:

1) Deberán ser tratados de forma leal y lícita.

2) No podrán recogerse por medios fraudulentos, desleales o ilícitos.

3) Sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

4) No podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. A estos efectos no se considerará incompatible, el tratamiento de los datos de carácter personal con fines históricos, estadísticos o científicos.

5) Sólo podrán ser objeto de tratamiento los datos adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

6) Serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. De lo contrario, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello.



Elaborado en 2011

B) Obtención del consentimiento previo del afectado: De conformidad con los artículos 6 de la LOPD y 12 y 17 del RLOPD: el

responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes. Debiendo informar inequívocamente al afectado, en el caso de que se cedan sus datos, de la finalidad a la que se destinarán los mismos, así como el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.

Excepcionalmente veremos más adelante que existen casos en que los datos personales pueden tratarse sin el consentimiento de su titular.

El afectado podrá revocar su consentimiento, cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos, materializándose a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. Debiendo el responsable cesar en el tratamiento de los datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la LOPD. Igualmente, si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo previsto anteriormente para que éstos, cesen en el tratamiento de los datos en caso de que aún lo mantuvieran, conforme al artículo 16.4 de la LOPD.

C) Cesión o comunicación de datos: Los artículos 11 de la LOPD y 10 del RLOPD establecen como norma general

que los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello, regulando un listado de supuestos excepcionales a dicha norma entre los que destacan los siguientes:

A) Será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del consentimiento del interesado cuando:

1) Lo autorice una norma con rango de ley o una norma de derecho comunitario.

2) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. Las Administraciones públicas sólo podrán comunicar datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando les habilite una norma con rango de ley.

B) Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando:

1) Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.



Elaborado en 2011

2) Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

3) El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la LOPD.

C) Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando:

1) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos y siempre que se limite a la finalidad que la justifique.

2) La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente.

3) La cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos; los datos de carácter personal hayan sido recogidos o elaborados por una Administración pública con destino a otra o la comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.

D) Datos especialmente protegidos: La normativa vigente establece un régimen específico para el tratamiento de

los datos especialmente protegidos. Así, el tratamiento y cesión de este tipo de datos se realizará en los términos previstos en los artículos 7 y 8 de la LOPD.

En este sentido se advertirá al interesado de su derecho a no prestar su consentimiento en el tratamiento de estos datos, debiendo solicitarse consentimiento expreso y por escrito del interesado para el tratamiento de datos que revelen ideología, afiliación sindical, religión y creencias.

Para el tratamiento o cesión de datos relativos a origen racial, salud o vida sexual se necesitará el consentimiento expreso o que así lo disponga una ley.

Se podrán tratar, no obstante, los datos anteriores, si resulta necesario para el diagnóstico médico o la gestión de un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. Igualmente cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

E) Seguridad de los datos: Conforme al artículo 9 de la LOPD, el responsable del fichero y, en su caso, el

encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.



Elaborado en 2011

Disponer de políticas de seguridad supone garantizar la integridad, disponibilidad y confidencialidad de los datos.

Las medidas de seguridad que ha de implementar el responsable del fichero o tratamiento podrán ser de nivel básico, medio o alto en función del tipo de datos de carácter personal que se traten. Tales medidas de seguridad vienen reguladas en el Título VIII del RLOPD (artículos 89 y siguientes), diferenciando las mismas en función de los niveles anteriormente mencionados así como atendiendo al tipo de ficheros o tratamientos automatizados o no (formato papel) que se hayan determinado por parte del responsable del fichero o tratamiento. Todas ellas vendrán reguladas en el documento de seguridad que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

F) Deber de guardar secreto: Esta obligación, regulada en el artículo 10 de la LOPD consiste en la

confidencialidad profesional que han de respetar, sobre los datos de carácter personal a los que tengan acceso, todos los que intervengan en cualquier fase del tratamiento. Obligación que subsistirá aún después de finalizar su relación con el responsable del fichero.

El secreto es esencial para garantizar el derecho fundamental a la protección de datos. Esto explica, por ejemplo, que en determinados servicios de atención telefónica se realicen preguntas para establecer la identidad del cliente antes de facilitar datos, que en un hospital nunca nos faciliten información sobre una persona que esté siendo atendida, o que nunca nos den acceso a datos de personas mayores de edad, aunque se trate de familiares directos, si no aportamos un escrito probando que nos han otorgado su representación.

2.4. Derechos de las personas:

En materia de protección de datos de carácter personal, los derechos de las personas vienen regulados en los artículos 13 al 19 de la LOPD y 23 al 36 del RLOPD, siendo los más destacables los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

Estos derechos se caracterizan por las siguientes peculiaridades:

• Son derechos personalísimos: sólo pueden ejercercitarse por el propio afectado, acreditando su identidad; por su representante legal acreditado, cuando el afectado se encuentre en situación de incapacidad o minoría de edad o bien por su representante voluntario, expresamente designado para el ejercicio del derecho.

• Se trata de derechos independientes, por lo que el ejercicio de ninguno de ellos será requisito previo para el ejercicio de otro tipo de derecho.

• Al titular de los datos se le deberá facilitar un medio sencillo y gratuito para el ejercicio de los derechos ARCO.



Elaborado en 2011

• El ejercicio por el afectado de sus derechos será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejerciten.

• Los derechos ARCO se deben ejercer ante el responsable o encargado del tratamiento.

• La comunicación dirigida para el ejercicio de los derechos deberá contener: nombre y apellidos del interesado, copia del documento que acredite su identidad o la de su representante; petición en que se concrete la solicitud, dirección a efectos de notificación, fecha y firma del solicitante y documentos acreditativos de la petición formulada.

• Deberá utilizarse un medio que acredite el envío y la recepción de la solicitud.

• Transcurrido el plazo sin que de forma expresa se responda a la petición, o bien la resolución no sea conforme con lo solicitado, el interesado podrá interponer la reclamación ante la AEPD, prevista en el artículo 18 de la LOPD.

Junto a la descripción de los derechos ARCO se aprovechará para describir el derecho a la información y el derecho de consulta.

A) Derecho de información: Si bien es cierto que el “Derecho de información en la recogida de datos”

queda articulado en la LOPD, como un principio general (artículo 5), en muchas ocasiones y debido a su carácter híbrido, tanto como derecho del interesado y como deber que ha de cumplir el responsable del fichero o tratamiento, se puede abordar desde diferentes perspectivas.

Este derecho consiste en que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

- de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

- del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

- de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

- de la posibilidad de ejercitar los derechos ARCO.

- de la identidad y dirección del responsable del tratamiento o de su representante.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de la existencia del fichero, de la posibilidad de ejercitar los derechos ARCO y de la identidad del responsable del tratamiento.



Elaborado en 2011

Las excepciones a este derecho vendrán determinadas por Ley, o bien en los casos en que el tratamiento tenga fines históricos, estadísticos o científicos; resulte imposible o exija esfuerzos desproporcionados, a criterio de la AEPD o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias; o cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial.

Del mismo modo serán tratados con carácter excepcional, aquellos casos en los que el bien protegido sea la Defensa Nacional, la Seguridad Pública o la utilización de los datos sea necesaria para la persecución de infracciones penales.

B) Derecho de Acceso: Este derecho, regulado en el artículo 15 de la LOPD y 27 al 30 del RLOPD

consiste en solicitar y obtener información sobre datos de carácter personal (origen, cesiones, usos y finalidades) que pudieran tener los responsables de ficheros o tratamientos.

Podrá ejercitarse este derecho cada doce meses, salvo que se acredite un interés legítimo al efecto, debiendo el responsable del fichero resolver (siempre y de forma motivada), en el plazo de un mes desde la recepción de la solicitud. En el caso de que la resolución sea estimatoria, se producirá el acceso efectivo en el plazo de diez días desde su notificación.

El responsable del fichero o tratamiento podrá resolver de forma desestimatoria y por tanto, denegar el derecho de acceso a los datos de carácter personal, cuando el derecho se haya ejercido en los doce meses anteriores a la solicitud y no se haya acreditado un interés legítimo; así como en los supuestos previstos por una Ley o norma de derecho comunitario.

En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la AEPD u organismo autonómico equivalente, conforme a lo dispuesto en el artículo 18 de la LOPD.

C) Derechos de rectificación y cancelación: Conforme al artículo 16 de la LOPD y 31 al 33 del RLOPD este derecho

habilita al afectado para solicitar que se modifiquen los datos personales que resulten ser inexactos o incompletos.

El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme establece la normativa vigente en la materia.

La solicitud de rectificación o de cancelación deberá indicar a qué datos se refiere y la corrección que haya de realizarse, debiendo acompañar la documentación justificativa de lo solicitado.

El responsable del fichero resolverá siempre y de forma motivada sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la LOPD.



Elaborado en 2011

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos.

Los efectos del ejercicio de estos derechos pueden ser de naturaleza distinta: desde el borrado o supresión de los datos solicitados; el bloqueo de los mismos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas; hasta la conservación de los datos durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

D) Derecho de oposición: Este derecho viene regulado en el artículo 6.4, 17 y 30.4 de la LOPD y 34 a

36 del RLOPD y consiste en la potestad que tiene el afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo:

a) Cuando no sea necesario su consentimiento para el tratamiento.

b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial.

c) Cuando el tratamiento tenga por finalidad la adopción de una decisión con efectos jurídicos sobre el interesado o que le afecte de manera significativa, referida a un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito, fiabilidad o conducta).

El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento debiendo hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifiquen el ejercicio de este derecho y siempre que una Ley o norma de derecho comunitario no disponga lo contrario.

El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud.

Junto a los derechos citados anteriormente, existen otros derechos que no se ejercitan ante el responsable del fichero o tratamiento, éstos son el derecho de consulta (pública y gratuita), que se ejercita ante el Registro General de la AEPD, permitiendo saber quién puede haber tratado nuestros datos, sus finalidades, así como la identidad del responsable del fichero (artículo 14 de la LOPD).

Finalmente cabe mencionar el derecho de indemnización, regulado en el artículo 19 de la LOPD, y que consiste en el derecho a ser indemnizados por los daños y perjuicios que como consecuencia del incumplimiento de la Ley haya producido el responsable o encargado del tratamiento de datos; aplicándose previamente la legislación en materia de responsabilidad administrativa, en el caso de ficheros de titularidad pública. En el supuesto de ficheros de titularidad privada la acción se ejercitará ante los órganos de la jurisdicción ordinaria.



Elaborado en 2011

2.5. Obligaciones del responsable del fichero:

Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD, a quién le corresponde velar por el cumplimiento de la Ley en su organización. Entre dichas obligaciones cabe destacar las siguientes:

• Creación, modificación y supresión de ficheros: con identificación del responsable, del fichero, finalidades y usos previstos, sistema de tratamiento empleado, tipología de datos, medidas de seguridad, el encargado del tratamiento y los destinatarios de cesiones y transferencias internacionales. En el caso de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente (art. 20 de la LOPD).

• Notificación e Inscripción de ficheros ante el RGPD.

• Informar a los titulares previamente a la recogida de sus datos (art. 5 LOPD) y recabar su consentimiento.

• Implementación de medidas de seguridad técnicas y organizativas (por niveles según tipo de datos). Recogidas en el Documento de seguridad.

• Asegurarse de que los datos sean adecuados, veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad que justificó su recogida.

• Garantizar el cumplimiento de los deberes de confidencialidad y seguridad.

• Facilitar y garantizar el ejercicio de los derechos ARCO.

• Asegurar que en sus relaciones con terceros (prestadores de servicios), cumplan con la LOPD.

3. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS:

3.1. Naturaleza y régimen jurídico:

El art. 35 de la LOPD establece que “La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones”.

Por su parte el Real Decreto 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia Española de Protección de Datos (en lo sucesivo EAEPD), completa la descripción de la naturaleza jurídica que realiza el citado art. 35 de la LOPD. La Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración general del Estado, establece en su disposición adicional décima el régimen jurídico de determinados entes públicos, entre los que se encuentra la AEPD.



Elaborado en 2011

El art. 1.2 del EAEPD dispone que la Agencia actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.

Esta exigencia de independencia se recoge en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, asimismo, en la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000, y que ha sido incorporada a la Parte II del Proyecto de Tratado por el que se instituye una Constitución para Europa (artículo 68).

Además de la normativa citada anteriormente, cabe destacar el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, ya mencionado en varias ocasiones a lo largo de la exposición de este tema. Del mismo modo hay que destacar, dentro de la potestad de elaboración normativa que tiene la AEPD, las diferentes Instrucciones dictadas por dicho organismo, las cuáles tienen carácter vinculante para las entidades que deben aplicar esta normativa, además de servir para aclarar y flexibilizar en muchas ocasiones el contenido de la LOPD.

La estructura orgánica básica de la AEPD se establece en el art. 11 de su Estatuto, que distingue los siguientes órganos:

A) El Director: Ostenta la representación de la AEPD; tiene la categoría de Subsecretario; es nombrado por Real Decreto de entre los miembros del Consejo Consultivo a propuesta del Ministro de Justicia y su ejercicio es independiente y no está sometido a mandato imperativo alguno. Su mandato dura cuatro años, si bien su cese podría venir motivado por diferentes causas: a petición propia, en los casos de separación por incumplimiento grave, incapacidad, incompatibilidad o comisión de delito doloso. Entre las funciones del Director destacan las resoluciones, que ponen fin a la vía administrativa (sobre inscripción de ficheros, códigos tipo, transferencias internacionales, tutelas de derecho, procedimientos sancionadores, expedientes disciplinarios, etc…); la coordinación con las autoridades internacionales, nacionales y autonómicas en la materia, así como las funciones de dirección y gestión propias del cargo desempeñado.

B) El Consejo Consultivo: Órgano colegiado de asesoramiento del Director que funciona conforme a sus normas reglamentarias cuyas labores más relevantes consisten en la elaboración de informes que le solicite el Director y en la formulación de propuestas en materia de protección de datos. El Director será elegido de entre sus miembros, entre los cuáles se encuentra un representante de cada uno de los siguientes órganos: Congreso; Senado; Administración General del Estado; CCAA que tengan Agencia de Protección de Datos (País Vasco, Cataluña y Madrid); Administración Local; Real Academia de la Historia; Consejo de Coordinación Universitaria; Consumidores y Usuarios; Ficheros de titularidad privada. Este órgano se reúne al menos cada seis meses, dirigido por el Director de la AEPD y actuando como secretario el Secretario General de la AEPD.

C) La Secretaría General: Su misión principal consiste en apoyar al adecuado funcionamiento de la Agencia; gestionar (por delegación del Director) el ámbito interno de la AEPD; elaborar y ejecutar el presupuesto; servir de Fondo de



Elaborado en 2011

documentación; editar repertorios, publicaciones y la memoria anual del organismo; organizar conferencias; prestar un servicio de atención e información al ciudadano.

D) El Registro General de Protección de Datos (RGPD): Su función principal es la de velar por la publicidad de los tratamientos de datos de carácter personal con miras a hacer posible el ejercicio de los derechos ARCO; tramitar expedientes de notificación de ficheros, de autorizaciones de transferencias internacionales; inscripciones de códigos tipo. El acceso al RGPD es público y gratuito, y puede realizarse la consulta a través del sitio web de la AEPD (www.agpd.es ). A través del programa NOTA la AEPD simplifica y facilita la inscripción de ficheros.

E) La Inspección de Datos: Esta Subdirección comprueba la legalidad de los tratamientos, instruyendo los distintos tipos de procedimientos cuya competencia corresponde a la AEPD (tutelas de Derechos, procedimientos sancionadores y procedimientos de infracción por las Administraciones Públicas).

F) Junto a estos órganos cabe destacar la labor relevante del Gabinete Jurídico de la AEPD, quién emite los informes correspondientes a los Proyectos de normas en materia de protección de datos; y da respuesta a las consultas procedentes de las distintas entidades públicas y privadas con motivo de la aplicación de las normas pertinentes.

G) Finalmente no hay que olvidar el trabajo desempeñado por el Gabinete de Prensa de la AEPD, cuya labor primordial consiste en atender a los diferentes medios de comunicación, algunos de ellos muy especializados, así como preparar las distintas intervenciones del Director de la AEPD ante los mismos.

3.2. Funciones y procedimientos:

Con carácter general la función principal de la AEPD consiste en: velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

En relación con los afectados: atiende a sus peticiones y reclamaciones; informa de los derechos reconocidos en la Ley y promueve campañas de difusión a través de los medios.

En relación con quienes tratan datos personales: la AEPD emite las autorizaciones previstas en la Ley; requiere medidas de corrección; ordena, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos; ejerce la potestad sancionadora, recaba ayuda e información que precise y autoriza las transferencias internacionales de datos.


http://www.agpd.es/


Elaborado en 2011

Respecto a la elaboración de normas: la AEPD informa los Proyectos de normas de desarrollo de la LOPD; informa los Proyectos de normas que incidan en materias de protección de datos; dicta Instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD; así como recomendaciones en materia de seguridad y control de acceso a los ficheros.

En materia de telecomunicaciones: tutela los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente.

Otra categoría de competencias de la AEPD que no deben olvidarse son las relativas a velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (a través de la página web de la AEPD); la Cooperación Internacional (en especial su labor dentro de la Red Iberoamericana de Protección de Datos, que ha presidido durante ocho años y desempeña las labores de Secretaría Permanente- www.redipd.org ); la representación de España en los foros internacionales relacionados con la protección de datos personales; el control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública; así como la elaboración de una Memoria Anual, presentada ante las Cortes, previamente conocida por el Ministro de Justicia.

La potestad sancionadora de la AEPD es una de las funciones que en ocasiones tiene mayor repercusión social, en gran parte motivada por el importe de las sanciones que la AEPD, a través de sus resoluciones sancionadoras, puede llegar a imponer (desde 900 euros, por la comisión de infracciones leves, hasta 400.000 euros por la comisión de infracciones graves, y hasta 600.000 euros por la comisión de infracciones muy graves).

Conforme al artículo 45 de la LOPD estas cuantías se graduarán atendiendo a los siguientes criterios: el carácter continuado de la infracción; el volumen de los tratamientos efectuados; la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal; el volumen de negocio o actividad del infractor; los beneficios obtenidos como consecuencia de la comisión de la infracción; el grado de intencionalidad; la reincidencia por comisión de infracciones de la misma naturaleza; la naturaleza de los perjuicios causados a las personas interesadas o a terceras personas; la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor; así como cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.


http://www.redipd.org/


Elaborado en 2011

Existe un régimen específico en el caso de que la infracción sea cometida por responsables de los ficheros de titularidad pública: En estos casos, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera, pudiendo el órgano sancionador proponer también la iniciación de actuaciones disciplinarias, si procedieran, conforme a las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. Establece la LOPD que se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

Además de los procedimientos de tutela de derechos, los relativos al ejercicio de la potestad sancionadora o los relacionados con la inscripción, modificación o supresión de ficheros y las autorizaciones de transferencias internacionales de datos de carácter personal, la AEPD tramita otros tipos de procedimientos como son los referentes a la exención del deber de información al interesado o las autorizaciones de conservación de datos para fines históricos, estadísticos o científicos. Todos ellos regulados en el Título IX del RLOPD.

3.3. Iniciativas y participaciones:

Junto a las tareas cotidianas antes mencionadas, la AEPD asume una labor de relaciones institucionales, fruto de las cuáles surge la conveniencia de firmar convenios y acuerdos de distinta naturaleza tanto con entidades públicas como privadas.

Del mismo modo elabora documentos de trabajo y guías que permiten difundir la materia y extender la denominada cultura de protección de datos, entre las que destacan las dirigidas a responsables de ficheros y tratamientos, a los titulares de los datos personales o a los responsables de seguridad, así como la dedicada a la videovigilancia y los diferentes sistemas de captura y recogida de datos.

La AEPD, con cierta periodicidad participa y organiza eventos a nivel nacional e internacional en los que intervienen autoridades nacionales en materia de protección de datos de carácter personal, empresas y multinacionales, entidades y organismos públicos, etc…, siempre con la idea de comunicar y divulgar una materia cada día más presente en nuestras vidas y con una mayor repercusión a medida que se implantan las tecnologías más avanzadas y los titulares de los datos son más conscientes de la existencia y de la categoría del Derecho Fundamental a la Protección de Datos de Carácter Personal.

Las Conferencias Internacionales de Protección de Datos y Privacidad constituyen el mayor foro dedicado a la privacidad a nivel mundial y un punto de encuentro privilegiado entre autoridades de protección de datos y garantes de la privacidad de todo el mundo, así como de representantes de entidades públicas y privadas y la sociedad civil.

Celebrada por primera vez en Bonn en 1979, la “Privacy Conference” nació con la vocación de reunir anualmente no sólo a las diferentes autoridades de



Elaborado en 2011

supervisión de protección de datos, sino también a representantes del sector privado y a la sociedad civil. En sus treinta ediciones, han sido cuatro los continentes y diecinueve los países u organizaciones internacionales que han asumido la celebración de este encuentro, por lo que se puede definir como el evento global en materia de protección de datos.

La 31ª edición de la Conferencia , que fue organizada por la Agencia Española de Protección de Datos en Madrid entre los días 4 y 6 de noviembre de 2009, aprobaron la denominada "Resolución de Madrid", de la que forman parte como anexo los Estándares Internacionales de Protección de Datos y Privacidad.

La "Propuesta Conjunta de Estándares Internacionales de Protección de Datos y Privacidad" es la apuesta de las autoridades de supervisión para proteger la privacidad en un mundo sin fronteras, en el que reforzar el carácter universal de estos derechos se hace imprescindible.

El documento tiene un doble objetivo: por un lado, lograr el reconocimiento de la protección de datos y de la privacidad como derechos fundamentales, con independencia de la nacionalidad o residencia de las personas; por otro, constatar las dificultades que generan, tanto para el ciudadano como para las empresas, las diferencias persistentes entre los marcos jurídicos de los diferentes países, en especial debido al hecho de que muchos Estados no han aprobado todavía leyes adecuadas en la materia.

4. CONCLUSIONES: A modo de conclusión podemos establecer las siguientes reflexiones:

En una sociedad democrática como la que actualmente vivimos en nuestro país, debemos ser conscientes de la cantidad y del valor que tiene la información personal que se utiliza diariamente. Gran parte de los servicios que se prestan requieren de dicha información para poder justificar su existencia. Tales circunstancias nos llevan a la necesidad de incorporar a nuestro amplio abanico de derechos, el Derecho Fundamental a la Protección de Datos de carácter personal, así reconocido por el Tribunal Constitucional en su STC 292/2000.

Este derecho fundamental, a su vez, establece un marco de principios y derechos a favor del titular de los datos de carácter personal, que no sólo deben conocer y respetar los ciudadanos sino también los responsables de ficheros y tratamientos, los cuáles además deberán tener en cuenta las obligaciones que la normativa vigente establece al respecto (LOPD y RLOPD).

Tales principios y derechos de las personas requieren de la existencia de una autoridad nacional independiente que vele por el cumplimiento de la normativa vigente y controle su aplicación, garantizando y tutelando el derecho fundamental a la protección de datos personales. En nuestro caso esta labor corresponde a la AEPD como Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.


http://www.privacyconference2009.org/


Elaborado en 2011

En este sentido, la AEPD INFORMA y AYUDA al ciudadano a ejercitar sus derechos y a las entidades públicas y privadas a cumplir las obligaciones que establece la Ley; TUTELA al ciudadano en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos y GARANTIZA el derecho a la protección de datos investigando y sancionando aquellas actuaciones que puedan ser contrarias a la ley.

La AEPD, como garante del derecho fundamental a la protección de datos de carácter personal, es un organismo que no cesa en su labor de divulgación y de concienciación, participando y organizando diferentes modalidades de eventos así como elaborando documentos de trabajo que permiten conocer e interpretar de una manera más acertada la normativa vigente.

Finalmente no hay que olvidar que el derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano para disponer y decidir sobre todas las informaciones que se refieran a él, debiendo conocer cuáles son sus derechos personales así como la existencia de unos deberes por parte de los responsables de ficheros y tratamientos, que en el caso de que no los cumplan tendrán que dar cuenta de su actuación ante la autoridad nacional en la materia (AEPD).


Temario General de la ESTT-OEP 2011 Elaborado en …€¦ · Web viewCreación, modificación y...

Documents

Transcript of Temario General de la ESTT-OEP 2011 Elaborado en …€¦ · Web viewCreación, modificación y...