Preguntas frecuentes sobre la LOPD o Ley Orgánica de Protección de Datos de Carácter Personal

NORMATIVA - LEGISLACIÓN

SEGURIDAD - OBLIGACIONES

INFORMACIÓN LOPD

$Infracciones y sanciones por incumplimiento de la LOPD y La Agencia Española de Protección de datos$

Preguntas frecuentes sobre LOPD o Ley Orgánica de Protección de Datos

Preguntas frecuentes sobre LOPD

¿Puedo utilizar los datos personales recabados de alguien para remitirle publicidad?

De acuerdo con el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de carácter personal, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado.

¿Cómo se puede conseguir que eliminen tus datos de los ficheros de las empresas que te remiten publicidad?

Esto se puede evitar ejercitando los derechos de cancelación. Para ello, el afectado deberá dirigirse al responsable de fichero, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, acompañando la copia del DNI. se podrá ver más información acerca del Derecho de cancelación en el apartado dedicado a "Derechos de las Personas".

¿Es aplicable la LOPD a los ficheros en soporte de papel? ¿Debo obligatoriamente inscribir los ficheros manuales o en papel (Listados, fichas, etc.)?

La nueva ley sobre protección de datos es aplicable tanto a los ficheros automatizados como a los no automatizados. Esta es la gran diferencia con la antigua LORTAD que sólo era aplicable a los ficheros automatizados. El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general. Igualmente, los ficheros en soporte papel entran dentro del ámbito de aplicación de la Ley Orgánica 15/1999, aunque su aplicación queda demorada hasta el 24 de diciembre de 2007 para ficheros preexistentes.

¿Es necesario declarar ante la Agencia Española de Protección de Datos el Documento de Seguridad de los Ficheros Automatizados de Datos de Carácter Personal?

El documento de seguridad, al igual que las auditorías bienales, es de carácter interno, pero debe estar disponible y actualizado por si la Agencia lo requiere.

¿Los datos contenidos en los ficheros son tratados por terceras entidades que prestan un servicio al responsable del fichero?

Existe tratamiento de datos por terceros cuando el fichero titularidad de una organización es tratado por una persona, física o jurídica, ajena a su organización, pero bajo el mandato e instrucciones de la primera. Es decir: si como consecuencia de una prestación de servicio al responsable del fichero (también denominado responsable del tratamiento), un tercero accede cuando sea necesario a sus datos de carácter personal almacenados en sus sistemas, la LOPD no lo considera una comunicación de datos sino un tratamiento de datos por cuenta de terceros.

Es habitual que las organizaciones contraten la prestación de servicios como:

Asesoría laboral

Asesoría contable

Asesoría fiscal

Organización de prevención de riesgos laborales

Despacho jurídico

Organización de franqueo

Organización de mantenimiento informático

Organización que presta servicios de housing

Organización proveedora de software

Este acceso deber estar regulado en un contrato conforme lo estipulado en el art. 12 de la LOPD, lo que excluye el deber de obtener el consentimiento del afectado para someter a tratamiento estos datos por terceras entidades. Una vez se haya cumplido la prestación, los datos y soportes deberán ser destruidos y devueltos al responsable del tratamiento.

¿Qué tipos de consentimiento son admitidos por la LOPD?

Analizamos brevemente los tipos de consentimiento admitidos por la LOPD, haciendo hincapié en el consentimiento tácito, por ser un consentimiento que presenta obvias dudas de prueba.

PRESUNTO:

El consentimiento presunto, se desprende del comportamiento del interesado. Es el caso, por ejemplo, en los que un entrevistado cumplimenta un formulario con sus datos personales, sin consentir expresamente al almacenamiento de los mismos, pero estando informado de las circunstancias relativas a su tratamiento.

El consentimiento presunto, pese a su admisión doctrinal, presenta grandes problemas de inseguridad jurídica conllevando un evidente riesgo.

TÁCITO:

El consentimiento tácito, a diferencia del presunto, no se deriva de actos del interesado sino precisamente de su falta de actuación, de su silencio. El consentimiento tácito es admitido por la LOPD y también por la propia AGPD. De este modo se pronuncia el organismo regulador ante la consulta realizada por numerosos afectados, a los que un operador de telefonía solicitaba su consentimiento para tratar los datos de facturación con fines de promoción publicitaria:

Si, en la carta recibida por los abonados, se requiere el consentimiento para tratar automatizadamente los datos personales, y se informa de que el consentimiento solicitado "facultativo y no obligatorio" es para ofrecer servicios de telecomunicaciones de la propia organización y no de terceras compañías, y, se incluye la referencia expresa a la posibilidad de ejercer los derechos de acceso, rectificación y cancelación, y del lugar y responsable del fichero ante el que ejercitarlos, y teniendo en cuenta que los destinatarios de la carta pueden conocer los datos de tráfico y facturación objeto de tratamiento, en la medida en que constan en las facturas que le envía peridicamente la compañía remitente, se indica que debe considerarse que la carta remitida se adecuará a las exigencias legales, disponiendo el abonado de la opción de manifestar su consentimiento contrario al tratamiento de los datos, así como de la de revocarlo posteriormente, pudiendo ejercitar el derecho de oposición por escrito y con acuse de recibo.

A mayor abundamiento, en este mismo sentido se ha pronunciado la AGPD en su memoria del año 2000:

...respecto de la forma de solicitar el consentimiento se ha señalado que la LOPD solo habla de necesidad de consentimiento expreso y por escrito en el artículo 7 que regula los datos especialmente protegidos, es decir aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, o bien aquellos que hagan referencia al origen racial, a la salud y a la vida sexual.

Es por ello, que si el legislador hubiera considerado que el consentimiento hubiera de ser siempre expreso no habría distinguido entre diversas clases de supuestos o modalidades para prestarlo. En este sentido se informó que el Tribunal Supremo, en varias sentencias, interpreta que: ...fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado en forma tácita.

Por tanto, el consentimiento tácito puede ser válido, siempre y cuando no se trate de datos especialmente protegidos.

EXPRESO:

El consentimiento expreso, por su parte, exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio.

El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la ley así lo establece de forma manifiesta.

Si unimos las anteriores consideraciones a los diferentes niveles de sensibilidad de datos (artículo 4 R.D. 994/1999, por el que se aprueba el Reglamento de Medidas de Seguridad) llegaremos a las siguientes conclusiones:

Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que sería válido el consentimiento tácito.

Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) es necesario el consentimiento expreso.

Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.

¿Cuáles serían en la práctica, los casos típicos de Transferencia Internacional?

El más habitual sera aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente.

Ejemplo: contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo están yendo a USA mis datos, a otro servidor, sin mediar consentimiento alguno.

Otro supuesto, no menos habitual, es aquel que se da cuando una organización matriz, obtiene de una de sus sucursales en el extranjero, datos transferidos, con la única intención de mejorar su gestión. Puede servirnos como ejemplo Microsoft Ibérica, filial en España de la organización norteamericana Microsoft. Pues bien, se sancionó por el tránsito hacia USA de datos de clientes españoles, y argumentó en su defensa que se trataba de la misma organización, aunque la AGPD replicó que se trataba de organizaciones diferentes, al tener personalidad jurídica diferente, y que además, el hecho cierto es que se trataba de una transferencia internacional de datos, para la cual no se haba solicitado la oportuna autorización.

¿Cómo actúa la Agencia de Protección de Datos?

La Agencia Española de Protección de Datos, previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados. Una vez realizada la inspección, tiene capacidad para imponer las multas contempladas en la ley.

NOTICIAS EMPRESA

Informática: Venta, instalación y mantenimiento de material informático Hardware y Software: PC's, ordenadores de sobremesa, servidores, TPV's para hostelería, perifericos, equipamiento de impresión como impresoras laser blanco y negro e impresoras color, equipos multifunción, copiadoras de OKI, Brother, Samsung,etc. Desarrollamos proyectos y certificaciones de instalaciones de cableado estructurado para voz y datos, redes inalámbricas y redes Wifi, red Wifi o red Wimax, enlaces punto a punto, punto a multipunto para interconexión de viviendas, edificios o empresas. Alta de dominios, Diseño y posicionamiento de páginas web. Distribución de Adsl Orange y Yacom. Visita nuestra Tienda Online de informática, electrónica y fotografía. Servicios de consultoría y auditorías LOPD, soluciones para empresas en LOPD o Ley Orgánica de Protección de Datos de Carácter Personal, Qué es la Lery Orgánica de protección de datos de carácter personal ?, A quién afecta la LOPD o Ley orgánica de protección de datos de carácter personal, Marco Legal LOPD, Legislación LOPD, Derechos de las personas según la LOPD: acceso, rectificación y cancelación de los datos personales, Definición terminos LOPD, Recursos protegidos dentro de la LOPD, Niveles de seguridad de los ficheros de datos según la LOPD: nivel básico, nivel medio y nivel alto, Normas de Seguridad en el tratamiento y gestión de datos de carácter personal según la LOPD, Obligaciones y responsabilidades del personal con acceso a datos de carácter personal según la LOPD, Resumen de obligaciones por parte de la empresa para el cumplimiento de la LOPD, El documento de seguridad LOPD, Qué es el documento de seguridad, contenido del documento de seguridad, La Auditoría de protección de datos, fases de la auditoría de protección de datos, en que consiste la auditoría de la LOPD, Infracciones y sanciones por incumplimiento de la LOPD y La Agencia Española de Protección de datos, Preguntas frecuentes sobre LOPD o Ley Orgánica de Protección de Datos, Asesoría LOPD, Asesoramiento y soluciones en protección de datos de carácter personal, Software para el cumplimiento de la LOPD: AT-Seguridad, AT-LOPD, Backup Online y AT-USB Encrypt: Software para la implantación de medidas de seguridad en los ordenadores: software AT-Seguridad, Software para la gestión del documento de seguridad AT-LOPD, Software para copias de seguridad AT-Backup y Backup Online de ficheros y archivos, Software para encriptación de unidades USB, AT-USB Encrypt.