Adaptación, formación y asesoramiento
a la Ley Orgánica de Protección de Datos (LOPD)

¿Qué es la Protección de Datos?

La Protección de Datos es el derecho que toda persona física tiene para mantener el control sobre sus datos personales, especialmente sobre su uso y destino. Se trata de un derecho fundamental, que busca proteger la intimidad y privacidad frente a las vulneraciones de tales derechos que puedan proceder de un tráfico ilícito y lesivo para la dignidad y derecho del afectado.

La Protección de Datos es la obligación que toda persona que intervenga en cualquier fase del tratamiento de datos personales debe cumplir con el fin de garantizar la seguridad de los datos, y evitar la apertura de inspecciones por parte de la Agencia Española de Protección de Datos y, en su caso, de los correspondientes procedimientos sancionadores.

La información es uno de los activos más importantes de la empresa. La confidencialidad, el secreto profesional y la integridad, la calidad de los datos, el acceso a los mismos y la intimidad de las personas, son aspectos que se deben salvaguardar siempre.

Dudas y Preguntas frecuentes sobre la Protección de Datos

Pulsa sobre las preguntas para conocer las respuestas.

No tenemos ningún fichero de datos, aunque accedemos a datos de clientes ¿debemos cumplir alguna obligación ante la APD?

Los clientes serán los responsables de los ficheros, pero Uds. se configuran como encargados del tratamiento.

Si acceden, o pueden acceder, a datos de clientes, deben tener suscrito el contrato que regula este acceso y deben tener establecidas las medidas de seguridad que correspondan al nivel de los datos a los que acceden, aunque no tengan que dar de alta ningún fichero ante la APD. Los proveedores de servicios de Hosting o de ASP (aplication service provider), son claros ejemplos de encargados de tratamiento.

subir
¿La LOPD se refiere sólo a los tratamientos “automatizados” de datos personales, o incluye también los tratamientos “manuales”, como por ejemplo fichas en papel?

A diferencia de la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, conocida como LORTAD, la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, conocida como LOPD, ya no limita su ámbito de aplicación a los tratamientos automatizados, sino que se extiende a cualquier tratamiento de datos, sea en soporte informático o en cualquier otro soporte.

subir
¿Cuántos documentos de seguridad habría que crear en un caso como el nuestro en el que somos una Universidad que consta de varias instituciones: Universidad, Fundación, Centro de Estudios, Institutos, etc.?.
Al ser una Universidad pequeña, todos comparten instalaciones, gestión de recursos humanos, gestión de alumnos, red y servidores informáticos, servicios generales, etc., pero son fiscalmente independientes ( CIF, nº reg. mercantil, etc. distintos )

Ha de existir, como mínimo, un documento de seguridad por responsable.

En su caso, con independencia de que existan varias instituciones que formen la Universidad, si los ficheros son compartidos existirá un único responsable.

En ese caso, bastará con que exista un único documento de seguridad, si bien nada impide que se confeccionen distintos documentos de seguridad si, por ejemplo, coexisten ficheros de nivel de seguridad bajo con ficheros de nivel medio o alto y se pretende que respecto a cada uno de ellos se cumplan las diferentes medidas que prescribe la ley.

Si por el contrario, existen ficheros que no son compartidos por todas las instituciones mencionadas, entonces cada institución será responsable de sus ficheros y dispondrá de sus propios documentos de seguridad.

subir
Somos un grupo de empresas (manufacturera, comercial y logística) y compartimos los datos que recaba una de ellas (la comercial), que es la responsable de los ficheros y nos comunica a las demás algunos de esos datos.
¿Es necesario advertir expresamente a los titulares de los datos sobre estas comunicaciones?, en caso afirmativo: ¿hay que especificar a qué empresas concretas se comunica, o basta con la expresión “los datos se comunicarán a empresas del grupo”?

Respecto a la primera pregunta, sí es necesario advertir de la comunicación de los datos cuando estos se recaben.

En cuanto a la segunda, la expresión “empresas del grupo” no tiene la concreción exigida por la normativa sobre protección de datos. Sería conveniente especificar el nombre de las empresas a las que se van a comunicar los datos y expresar, asimismo, la finalidad de la comunicación.

subir
Si creamos un fichero a partir de la información que podamos extraer de la guía de teléfonos ¿debemos recabar el consentimiento de los interesados?

Las guías o repertorios telefónicos tienen la consideración legal de fuentes de acceso público, por lo que no será necesario recabar el consentimiento de los interesados. Sin embargo, si se realiza cualquier tipo de comunicación a las personas titulares de esos datos, deberá informárseles expresamente de los siguientes extremos:

  1. el origen de los datos
  2. la identidad del Responsable del fichero
  3. la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición.
subir
¿Qué nivel de seguridad requieren los ficheros que almacenan datos salariales de los empleados, del tipo nóminas, retenciones IRPF, cotizaciones Seguridad Social, etc?

En principio, los ficheros que almacenan datos personales de los trabajadores son de nivel bajo. Ahora bien, si en el fichero se hacen constar datos como la afiliación sindical (por ejemplo, a través del descuento en nómina de la cuota sindical) o bien datos relativos a la salud (como por ejemplo minusvalías), entonces se califican como de nivel alto y les son aplicables las medidas establecidas para tal nivel.

subir
Tengo la duda sobre los ficheros de nivel de seguridad medio en los que la ley hace referencia, entre otros, a datos sobre Hacienda Pública ( Art 4.2 del RD 994/99). Tengo claro el resto de los datos ( infracciones administrativas o penales, servicios financieros y datos que se rigen por el artículo 28 ), pero, ¿me podríais dar algún ejemplo de datos de Hacienda Pública?

Según la Agencia de Protección de Datos, cuando el Art 4.2 del RD 994/99 (Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal), se refiere a datos de Hacienda Pública, dicha expresión, en principio, hace referencia a los ficheros cuya titularidad corresponda a la Hacienda Pública, debiendo entenderse como aplicable a aquellos ficheros cuyo responsable sea una Administración Pública que ostente potestades en materia tributaria; esto es aquellos ficheros cuyo responsable sea la Agencia Estatal de la Administración Tributaria, los que correspondan a las Comunidades Autónomas en materia de tributos que les hayan sido cedidos o aquellos padrones fiscales, correspondientes a los tributos locales, de los que son responsables las Haciendas Locales, como los regulados en los artículos 77.1 y 91.1 de la Ley 39/1988, de 28 de diciembre, reguladora de las mismas.

Si optamos por una interpretación absolutamente estricta, también podríamos entender que se consideraran como datos relativos a Hacienda Pública, por ejemplo, los contenidos en un fichero de datos de un asesor fiscal, en el que se hiciesen constar las bases imponibles y cuotas resultantes en las declaraciones tributarias realizadas a sus clientes. No obstante, tampoco parece necesario, o conveniente, ir más allá que la propia Agencia en la interpretación de los preceptos legales.

subir
Somos un colegio profesional y quisiéramos saber si nuestros ficheros se han de inscribir como de titularidad privada o titularidad pública.

Según la Agencia de Protección de Datos los ficheros de datos creados por corporaciones como los colegios profesionales deberán considerarse como ficheros de naturaleza pública o privada en atención a la finalidad que dichos ficheros tengan. De este modo, si la finalidad del fichero es, por ejemplo, el ejercicio de las potestades administrativas conferidas por las leyes y reglamentos al colegio profesional, entonces se inscribirá como de titularidad pública; pero si la finalidad del fichero es la realización de actividades propias del derecho privado, como por ejemplo, la remisión de comunicaciones a los colegiados, entonces se inscribirá como fichero de titularidad privada.

subir
Tenemos una base de datos en la que relacionamos todas las empresas con las que hemos trabajado, incluyendo su denominación social, dirección, teléfonos, actividad y volumen de facturación. ¿Debemos inscribir este fichero en la Agencia de Protección de Datos?

El art. 1 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal excluye del ámbito de aplicación de la Ley a las personas jurídicas. Por tanto, si en su base de datos no se incluyen datos relativos a personas físicas, no deben proceder a su inscripción, pues no queda afectado por la LOPD.

subir
¿Puedo utilizar libremente los datos personales que aparezcan en páginas web?

Para ello sería necesario que Internet fuera considerado como fuente de acceso público a estos efectos, pero la enumeración fuentes de acceso público realizada en el artículo 3.j de la LOPD no incluye a Internet.

En opinión de la Agencia de Protección de Datos, Internet no constituye un medio de comunicación, por lo que los datos de carácter personal que aparezcan en la red no podrán ser sometidos a tratamiento sin contar con el consentimiento de los interesados, obtenido conforme a las previsiones legales.

subir
¿Puedo informarme a través de la Agencia de Protección de Datos sobre qué empresas disponen de mis datos personales?

El Registro General de Protección de Datos, dependiente de la APD, no dispone de esa información. En el citado Registro constan los nombres de los ficheros, su responsable, su finalidad y las personas o entidades ante quienes se pueden ejercer los derechos de acceso, rectificación y cancelación, pero no las personas respecto de las cuales se tratan sus datos. Ud. puede conocer qué ficheros de datos tiene dados de alta una concreta empresa y luego solicitarles directamente que le permitan acceder a los datos de que dispongan sobre Ud.

subir
Hemos creado un fichero de datos personales sobre nuestros clientes ¿qué hago antes: elaborar el documento de seguridad o dar de alta el fichero en la Agencia de Protección de Datos?.

El fichero debe ser dado de alta (inscrito) desde el momento de su creación. No obstante, lo correcto es que tenga implantadas las medidas de seguridad y redactado el documento de seguridad también desde ese momento. Por tanto, el consejo es que no proceda a la creación del fichero si no tiene preparada o en marcha la implantación de las medidas.

subir
¿Debo comunicar a la Agencia de Protección de Datos el documento de seguridad?

No. El documento de seguridad debe estar a disposición de la Agencia, pero no se debe comunicar nada. La APD da por hecho que Ud. tiene correctamente redactado dicho documento y será lo primero que le pida en caso de inspección.

subir
Nos gustaría realizar nosotros mismos la notificación de nuestros ficheros a la Agencia de Protección de Datos, ¿qué debemos hacer?

La propia APD da las instrucciones para ello, que le reproducimos a continuación:

Para proceder a la declaración se deberá de utilizar necesariamente el formulario aprobado y publicado en el BOE num. 153 de 27 de junio de 2000, en la parte correspondiente a ficheros de titularidad privada.

Se le indica que la declaración la puede realizar a través de Internet, o mediante soporte magnético, para lo cual deberá proceder a descargar e instalarse el programa de ayuda para la generación de notificaciones a través de Internet o en soporte magnético, que se encuentra disponible en el apartado Registro General de Protección de Datos de nuestra página Web y seguir las instrucciones que dicho programa le irá facilitando.

Asimismo y si no quiere o no puede utilizar ninguna de las dos formas anteriores se informa que el formulario en papel lo puede obtener de las páginas Web de la Agencia en Internet accediendo al apartado Registro General de Protección de Datos o fotocopiándolo directamente del Boletín Oficial del Estado.

Hay que señalar, que tanto el formulario como la inscripción es gratuita, y en cuanto a la remisión, ha de realizarse por correo o entregándola en mano en el Registro de la Agencia de Protección de Datos salvo que se realice a través de Internet.

En el supuesto de haber optado por la declaración a través de internet, se le indica que la hoja de solicitud generada por el programa se deberá enviar al número de FAX 91 4483680 o bien, a través del correo ordinario.

Cada notificación de fichero podrá englobar varias operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, etc., de datos personales. Por lo tanto, será indiferente a los efectos de inscripción en el Registro General de Protección de Datos, los ficheros (en terminología técnica) o tablas que incluyan los diseños informáticos de los sistemas de información. Se tendrá que notificar por cada declaración de ficheros la información que corresponda con el conjunto de datos asociados a un tratamiento o uso de los mismos, con una finalidad o finalidades compatibles y determinadas.

Finalmente se informa que de conformidad con el Reglamento aprobado por Real Decreto 994/1999, de 11 de junio (BOE 25-6-1999) deberán de adoptar en sus ficheros el nivel de seguridad básico medio o alto en función del tipo de datos que manejen (art. 4) y redactar el documento de seguridad regulado en el articulo 8 del referido Reglamento no teniendo la obligación de presentarlo en la Agencia, sino tan sólo tenerlo disponible por si les fuera requerido. Al propio tiempo se le informa que la Agencia no ha elaborado ningún modelo de este documento de seguridad.

subir

© Adapta Soluciones 2007