Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Tema 8 protección de datos, Apuntes de Derecho Administrativo

tema 8 sobre la protección de datos de carácter personal

Tipo: Apuntes

2020/2021

Subido el 27/04/2021

p-df
p-df 🇪🇸

5 documentos

1 / 23

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
TEMA 8
LA PROTECCIÓN LEGAL DE DATOS DE
CARÁCTER PERSONAL
1. LA EVOLUCIÓN DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Introducción
La protección de los datos de carácter personal tiene poco recorrido justificado por el
rápido desarrollo de la informática. Se pueden diferencias tres grandes etapas o fases:
1) Cuando aún la “informática” no había alcanzado su pleno desarrollo.
El problema de la protección de datos se situaba en las “garantías de los particulares”
frente a una extensiva creación de “Grandes Bancos Centralizados de Datos sobre las
Personas” (SS y AEAT). También hay que distinguir las empresas del sector privado
que operan en el mercado.
En 1981 se celebra el Convenio 108 del Consejo de Europa, en el que se defienen los
principios sobre la protección de datos de carácter personal. Éstos son:
El principio de calidad de los datos (artículo 5).
El principio de seguridad en relación a los datos (artículo 7).
El establecimiento de garantías complementarias de los derechos de
información, acceso, rectificación y cancelación de los datos (artículo 8).
2) Cuando se inicia la “Informática distribuida”, es decir la aparición y generalización
del “PC de IBM” en el año 1983.
En esta etapa el problema de la protección de datos se situó en el hecho de la
“dispersión de la información” que se registraba en pequeños sistemas
interconectados. La información se convirtió en una mercancía y aparecieron el
“DATAWAREHOUSE” y el “DATAMINING”, que son bases de datos sobre gustos,
preferencias, comportamientos, acciones económicas, etc de clientes y usuarios, un
fundamento para desarrollar importantes técnicas de segmentación de la clientela.
El problema en la “elaboración de los bancos de datos de carácter personal”, ahora
dispersos en pequeños sistemas, más el problema del “tratamiento posterior”, es decir,
la transferencia de datos de carácter personal a terceros y al mercado.
3) Cuando se implanta la “Sociedad de la Información” (Internet–autopistas de la
información).
En este momento ya existe una política de la Unión Europea para fomentar la
sociedad de la información, considerada como un instrumento esencial para el
desarrollo de los Estados miembros. Se dicta la Decisión del Consejo de la UE, de 30
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17

Vista previa parcial del texto

¡Descarga Tema 8 protección de datos y más Apuntes en PDF de Derecho Administrativo solo en Docsity!

TEMA 8

LA PROTECCIÓN LEGAL DE DATOS DE

CARÁCTER PERSONAL

1. LA EVOLUCIÓN DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Introducción La protección de los datos de carácter personal tiene poco recorrido justificado por el rápido desarrollo de la informática. Se pueden diferencias tres grandes etapas o fases:

  1. Cuando aún la “informática” no había alcanzado su pleno desarrollo. El problema de la protección de datos se situaba en las “garantías de los particulares” frente a una extensiva creación de “Grandes Bancos Centralizados de Datos sobre las Personas” (SS y AEAT). También hay que distinguir las empresas del sector privado que operan en el mercado. En 1981 se celebra el Convenio 108 del Consejo de Europa, en el que se defienen los principios sobre la protección de datos de carácter personal. Éstos son:  El principio de calidad de los datos (artículo 5).  El principio de seguridad en relación a los datos (artículo 7).  El establecimiento de garantías complementarias de los derechos de información, acceso, rectificación y cancelación de los datos (artículo 8).
  2. Cuando se inicia la “Informática distribuida”, es decir la aparición y generalización del “PC de IBM” en el año 1983. En esta etapa el problema de la protección de datos se situó en el hecho de la “dispersión de la información” que se registraba en pequeños sistemas interconectados. La información se convirtió en una mercancía y aparecieron el “DATAWAREHOUSE” y el “DATAMINING”, que son bases de datos sobre gustos, preferencias, comportamientos, acciones económicas, etc de clientes y usuarios, un fundamento para desarrollar importantes técnicas de segmentación de la clientela. El problema en la “elaboración de los bancos de datos de carácter personal”, ahora dispersos en pequeños sistemas, más el problema del “tratamiento posterior”, es decir, la transferencia de datos de carácter personal a terceros y al mercado.
  3. Cuando se implanta la “Sociedad de la Información” (Internet–autopistas de la información). En este momento ya existe una política de la Unión Europea para fomentar la sociedad de la información, considerada como un instrumento esencial para el desarrollo de los Estados miembros. Se dicta la Decisión del Consejo de la UE, de 30

de marzo de 1998, sobre el Programa Plurianual de la Sociedad de la Información Europea (D 98/253/CE) y se instaura el Proyecto “eEurope”, de 8 de diciembre de 1999, para acceso a Internet de ámbitos como la literatura digital o la nueva economía. De estas tres etapas es importante la Directiva General Europea de Protección de Datos Personales (D 95/46/CEE del Parlamento Europeo y el Consejo de 24 de octubre de 1995), que establece los siguientes principios: a) Principio de tratamiento por el que los datos serán tratados leal y lícitamente, recogidos con fines explícitos y legítimos. Los datos deberán ser adecuados, pertinentes, no excesivos, exactos, actualizados, conservados durante un tiempo. b) Principio de legitimación del tratamiento de datos, con consentimiento del interesado o por cuestión legal. El interesado tendrá derecho de oposición al tratamiento. c) Principio de deber/derecho de información. Cualquier persona deberá conocer la existencia de un fichero con sus datos. Con posterioridad se dicta la Directiva 97/66/CE, de 15 de diciembre de 1997, para armonizar las legislaciones nacionales, por lo que sólo se aborda el tratamiento de datos personales en relación con:

  • La prestación de servicios públicos de telecomunicaciones en las redes públicas de Telecom en la UE y especialmente la “RDSI” (Red Digital de Servicios Integrados), así como las redes móviles digitales públicas (más vulnerables, porque las redes privadas son abiertas y mediante contrato).
  • De esta regulación quedan excluidas la seguridad pública, la defensa (Fuerzas Armadas) y las actividades penales del Estado. La UE ha dictado más directivas para ir cerrando el marco: -D 02/21, de 7 de marzo, redes y servicios de comunicaciones electrónicas. -D 02/20, de 7 de marzo, autorización de redes y servicios de comunicaciones electrónicas. -D 02/22, de 7 de marzo, sobre servicio universal y derechos de los usuarios. -D 02/19, de 7 de marzo, acceso a redes. -D 02/59, de 12 de julio, tratamiento de datos personales en el sector de las comunicaciones electrónicas. -D 02/77, de 16 de septiembre, competencia de mercados. -Decisión 676/2002/CE, del Parlamento y el Consejo, de 7 de marzo, sobre el marco regulador de la política del espectro radioeléctrico en la Unión Europea. La protección de datos como derecho fundamental La Constitución Española establece en el artículo 18.4 que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Así surge la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Además, la STC 292/2000, de 30 de noviembre, reconoce como un derecho fundamental a la protección de datos de carácter personal.

del individuo, y cuando éstos son lesionados surge la facultad de defensa o reacción contra la lesión ante los Jueces y Tribunales. b) El aspecto subjetivo El derecho positivo constitucional español, declara que la libertad y la igualdad son "valores superiores del ordenamiento jurídico" de España como Estado de Derecho (artículo 1.1 CE), y los derechos inviolables de la persona, es decir, "los derechos fundamentales y libertades públicas" son "fundamento del orden político y de la paz social" (artículo 10.1 CE). La Constitución ordena que "los poderes públicos" están sujetos a la misma (artículo 9.1) y a la regulación de los derechos fundamentales y se ordena, que el legislador deberá respetar el contenido esencial de los mismos (art. 53.1 CE), expresión dada por la STC de 8 de abril de 1981, al declarar que con ella se garantiza: a) Una recognoscibilidad de ese tipo abstracto en la regulación concreta. b) Deberá respetar aquella parte del contenido del derecho que es absolutamente necesaria para que los intereses jurídicamente protegibles, resulten real, concreta y efectivamente protegidos. El Estado, no sólo debe respetar los derechos fundamentales, sino que, debe establecer las condiciones para que estos derechos fundamentales y libertades públicas sean reales y efectivas (art. 9.2 CE). En España, los derechos fundamentales poseen una doble cara: a) subjetiva, es decir, la facultad que tiene el ciudadano de actuar libremente y defenderse contra cualquier lesión de los derechos fundamentales. b) objetiva, con las siguientes implicaciones:

  • El Estado tiene que respetar el ámbito de la libertad del ciudadano que garantizan los Derechos Fundamentales.
  • El Estado tiene que modificar el Ordenamiento jurídico de acuerdo con los Derechos Fundamentales ("efecto irradiación" porque éstos irradian toda su eficacia al ordenamiento jurídico).
  • El Estado está obligado a regular los Derechos Fundamentales cuando sea necesario para que éstos puedan ser ejercidos de forma real y efectiva.
  • Los efectos del contenido objetivo de los derechos fundamentales imponen la obligación al Estado de otorgar subvenciones o prestaciones determinadas que se pueden constituir en verdaderos derechos subjetivos de su titular. Régimen jurídico En principio son las personas físicas, también los extranjeros en la medida en que los tengan reconocidos por la Ley (hoy regulado en la Ley orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España, con una importante modificación realizada por la Ley Orgánica 8/2000, de 22 de diciembre). Por otro lado

esta Ley no es de aplicación a los ciudadanos comunitarios y de otros Estados del Espacio Económico Europeo (Oporto 1992), que se les aplica el régimen del Real Decreto 240/2007, de 16 de febrero). Se ha reconocido, en algún caso, este tipo de derechos fundamentales a las personas jurídico-públicas (caso de la STC de 14 de marzo de 1983, para la Comunidad Foral de Navarra), aunque esto puede resultar algo equívoco, pero si es cierto que las personas jurídico-públicas cuando litigan son titulares de un derecho a un procedimiento justo (artículo 24. 1 CE), pero difícilmente pueden ser titulares de derechos de la personalidad (libertad de expresión, honor, etc). Los derechos fundamentales del Título Primero, Capítulo Segundo, tienen que ser regulados mediante Ley Orgánica. Los de la Sección II mediante Ley Ordinaria. La Sección I del Título Primero está prohibida su regulación mediante Decretos- Legislativos o Decreto-Ley, pero no para la Sección II del Título I. La reforma constitucional de los derechos y libertades fundamentales de los artículos 15 a 29, requiere un procedimiento agravado (aprobación de 2/3 de las Cámaras, disolución de los Cortes Generales, aprobación por 2/3 de las nuevas Cámaras y referéndum para su ratificación). El artículo 53.2 de la CE., permite recurrir cualquier vulneración de los derechos y libertades fundamentales ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad (artículos 114 a 122 de la Ley 29/ 1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa) y, posteriormente, recurso de amparo ante el Tribunal Constitucional (artículos 41 a 58 de la Ley Orgánica del Tribunal Constitucional de 1979 con la nueva regulación de la Ley Orgánica 6/2007, de 24 de mayo). El Gobierno y la Administración y Garantías Institucionales El significado para España de la expresión "garantía institucional" consiste en que la Constitución asegura la existencia de determinadas instituciones consideradas esenciales para el orden constitucional (así la autonomía universitaria, la autonomía de las corporaciones locales, la opinión pública, etc.). La Constitución declara o contiene un reducto indisponible por parte del legislador ordinario (Cortes Generales) que debe respetar la recognoscibilidad de la institución garantizada por la Constitución. Así ha declarado el TC (STC 32/81, STC 5/81, STC 12/82, STC 38/83, STC 104/86, etc.).

3. LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Introducción La primera Ley específica para la materia que fue la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). Esta Ley fue derogada por la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que supuso la incorporación al Derecho nacional de la Directiva Europea 95/46/CE, y que se completó con la Ley

  • el derecho de información previo a la recogida de datos, como consecuencia de que se exige, que se informe al afectado de la existencia del fichero, de la finalidad de la recogida de datos y de los destinatarios de la información, la identidad y dirección del responsable y la exigencia de información al interesado cuando no han sido recabadas del mismo. No se puede tratar ningún dato de carácter personal sin el consentimiento del titular. Por ello, se podrán tratar todos aquellos datos para los que el titular de los mismos haya prestado su consentimiento, aunque hay excepciones. El titular de los datos es el único, que desde un punto de vista general puede decidir: cuándo, cómo, dónde y por quién se tratan sus datos de carácter general. Los datos se deben tratar en la forma regulada en la LOPD de 1999, de acuerdo con un esquema que podría ser el siguiente: PRINCIPIOS -> DERECHOS -> PROCEDIMIENTOS. Los Principios de la Protección de Datos de Carácter Personal (artículos 4 a 12 de la LOPD) A. El Consentimiento del Particular (eje central de la protección) Principio general del consentimiento: no se pueden tratar datos de carácter personal sin el consentimiento del titular de los mismos. La propia Ley establece excepciones, así:
  • Los de Administraciones públicas en el ejercicio de sus competencias.
  • Cuando se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
  • Cuando el tratamiento tenga por finalidad proteger un interés vital del interesado.
  • Cuando los datos figuren en fuentes accesibles al público (guías, catálogos, etc.). Hay que hacer notar que la Ley dice “consentimiento inequívoco” por lo que existe una cierta polémica sobre este aspecto. En general se entiende que el consentimiento inequívoco debe ser por escrito. El consentimiento puede ser revocado por quién lo prestó. B. La Calidad de los Datos La idea central consiste en que los datos que se recaben deben ser:
  • Pertinentes y adecuados a los fines que se pretenden.
  • No podrán permanecer en el fichero por tiempo mayor al necesario para cumplir con la finalidad que motivó su recogida. El artículo 4 de la Ley contiene siete apartados sobre este extremo y se debe afirmar que los datos que se recaben o registren en un fichero deben ser:
  • Exactos.
  • Mantenidos al día.
  • Adecuados al fin que los motivó.
  • Obtenidos por medios legales y leales. Cuando los datos de carácter personal registrados sean inexactos o incompletos serán cancelados y sustituidos de oficio. No obstante este aspecto de la calidad de los datos no está exento de conflictos interpretativos. C. La Información al Recabar los Datos Este principio consiste en que todo ciudadano tiene derecho a conocer la información almacenada sobre sí mismo. El afectado sea informado de modo expreso, preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información. En el caso de que la recogida de datos no se realice de forma directa del propio interesado, es obligatorio informar, en el plazo de tres meses desde el registro de los datos de carácter personal, del derecho del afectado para:
  • Acceder al fichero.
  • En su caso, exigir la rectificación y/o cancelación.
  • Formular oposición al tratamiento de datos.
  • Conocer la identidad y dirección del responsable del fichero. D. Los Denominados Datos Sensibles La Ley establece unos grupos o categorías de datos de carácter personal que deben ser objeto de especial protección: a) datos de carácter personal relativos a: el origen racial , la salud y la vida sexual. Requieren consentimiento expreso. b) datos de carácter personal relativos a: la ideología , la afiliación sindical , la religión y las creencias. Requieren consentimiento expreso y por escrito. E. Las Medidas de Seguridad Este principio establece que el responsable del fichero y el que realiza el tratamiento deben adoptar las medidas de índole técnica y organizativas necesarias con el fin de garantizar la seguridad de los datos personales, con el objeto de evitar su alteración, su pérdida, y el tratamiento o acceso no autorizado. Se establecen tres niveles de seguridad:
  1. Nivel Básico : para ficheros que contengan en general datos de carácter general.
  2. Nivel Medio : para ficheros sobre: comisión de infracciones administrativas o penales, hacienda pública., servicios financieros y solvencia patrimonial y crédito.
  3. Nivel Alto : se aplica a los ficheros que contengan datos de los denominados “ Sensibles ” y ficheros con “ Fines Policiales ” (no requieren consentimiento de las personas afectadas).

También es necesario tener en cuenta que la Ley de protección de datos remite a su legislación específica los tratamientos de datos personales en las siguientes materias:

  • Los ficheros regulados por la LOREG.
  • Los que sirvan a fines estadísticos en la estadística pública.
  • Los informes personales de calificación del personal de las Fuerzas Armadas.
    • Los derivados del Registro Civil y del registro Central de Penados y Rebeldes.
  • Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado. I. El encargo del tratamiento El encargado del tratamiento es la persona física o jurídica, autoridad pública o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Nuestras normas abren la posibilidad de acceso de otras personas, distintas al responsable del tratamiento pero que le prestan servicios, a los datos de carácter personal, pero con las siguientes características:
  • No se considera comunicación o cesión de datos.
  • Ese acceso al tratamiento de datos deberá estar regulado por “un contrato que deberá constar por escrito” (o en alguna otra forma que permita acreditarlo).
  • El acceso al tratamiento de ese tercero se hará conforme a las instrucciones y directrices del responsable del tratamiento.
  • El tercero no podrá comunicar o ceder esos datos.
  • El encargado del tratamiento no puede “subcontratar” con otro tercero el tratamiento que se le hubiere encomendado por el responsable, salvo que hubiere obtenido autorización para ello de éste último (en nombre y por cuenta del responsable del tratamiento). Existen otros supuestos en que también se puede subcontratar los servicios del encargado del tratamiento en todo o en parte:
  • Sin autorización del responsable del tratamiento, cuando se especifique en el contrato de servicios la posibilidad de la subcontratación (pero con comunicación previa de los datos de la empresa subcontratista).
  • Sin autorización, cuando el tratamiento de datos por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
  • Sin autorización, cuando el encargado del tratamiento y la empresa subcontratista formalicen el contrato en los términos de las relaciones entre el responsable y el encargado del tratamiento. Una vez cumplida la prestación contractual, los datos deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que este hubiese designado. Si el encargado del tratamiento destina los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será responsable del tratamiento, respondiendo de las infracciones. 4. DERECHOS DE LAS PERSONAS EN LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
  1. El Derecho de Impugnación por los Ciudadanos de las Valoraciones La LOPD establece el principio general de que los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte en un tratamiento de datos. Este principio, presente algunos problemas. El primero es que existen decisiones jurídicas del ámbito jurídico público, sometidas al derecho público, actos administrativos de los poderes públicos (de las Administraciones Públicas), con un régimen jurídico propio. Pero, por otro lado, existen decisiones con efectos jurídicos en el ámbito privado (Código de Comercio, Código civil –contratos, relaciones convencionales, etc.-) que siguen su propio régimen. La LOPD otorga a los ciudadanos un derecho reaccional, de manera que el afectado tiene derecho a impugnar “los actos administrativos” de las autoridades y/o “las decisiones privadas” del mundo privado que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
  2. El Derecho de Consulta al Registro General de Protección de Datos La posibilidad que tiene todo ciudadano para dirigirse al registro Nacional con el objeto de conocer si existen datos y cuáles son los ficheros de esos datos de carácter personal. Además, la consulta es pública y gratuita. Se puede obtener a través de INTERNET de la propia Agencia Española de Protección de Datos (www.agpd.es).
  3. El Derecho de Acceso El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevean hacer de los mismos. Esta información se obtiene del “responsable del tratamiento” sea público o privado, y el afectado o interesado podrá recibir la información por uno o varios de los siguientes medios: a) Visualización en pantalla. b) Escrito, copia o fotocopia remitida por correo certificado o no.

fundados y legítimos”. La solicitud se deberá responder en un plazo de 10 días, después se podrá interponer reclamación a la Agencia de Protección de Datos. El Reglamento 1720/2007, de 21 de diciembre, contiene un régimen específico para determinada clase de ficheros privados, que deben calificarse como de mayor protección, así: A) Ficheros de información patrimonial y crédito : El responsable del fichero estará obligado siempre a satisfacer los derechos de acceso, rectificación, cancelación y oposición. Sólo será posible la inclusión en los ficheros sobre tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias, cuando: a) haya existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y no se haya entablado reclamación judicial, arbitral o administrativa o reclamación (prevista en el Reglamento de Comisionados) para la defensa del cliente. b) no hayan transcurrido 6 años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico. c) haya existido requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. B) Ficheros para actividades de publicidad y prospección comercial : Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en los siguientes supuestos: a) Que figuren en algunas de las fuentes accesibles al público a la que se refiere el artículo 3.j) de la LOPD y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para estas actividades. b) Que hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial. Los interesados tienen derecho de oposición a los datos tratados bajo estos dos supuestos.

5. LOS PROCEDIMIENTOS DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

  1. Procedimiento de Inscripción de Ficheros Hay que diferenciar entre:

A) Los FICHEROS PÚBLICOS , son los de titularidad pública, serán notificados a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de 30 días desde la publicación de la norma o acuerdo de creación en el diario oficial correspondiente. B) Los FICHEROS DE TITULARIDAD PRIVADA serán notificados a la Agencia por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar:

  • La identificación del responsable del fichero.
  • la identificación del fichero.
  • Las finalidades y usos previstos del fichero.
  • El sistema de tratamiento empleado en su organización.
  • El colectivo de personas sobre el que se obtiene los datos.
  • El procedimiento y procedencia de los datos.
  • Las categorías de los datos.
  • El servicio o unidad de acceso.
  • La indicación del nivel de medidas de seguridad exigible.
  • La identificación del encargado del tratamiento en donde se encuentre el fichero.
  • Los destinatarios de cesiones y transferencias internacionales de datos. El plazo máximo para dictar y notificar la resolución de inscripción será de un mes, si es este plazo no se hubiese notificado resolución, se entenderá inscrito el correspondiente fichero (silencio administrativo positivo).
  1. Procedimiento de Acceso También sirve para los de rectificación, cancelación y oposición. El procedimiento se inicia a instancia del afectado, expresando con claridad el contenido de su reclamación, los preceptos de la LOPD que considere vulnerados, la identificación del solicitante y los concretos ficheros a que se refiere su solicitud. Recibida la reclamación, se dará traslado de la misma al responsable del fichero para que, en el plazo de 15 días, formule las alegaciones que estime pertinentes. Recibidas las alegaciones o transcurrido el plazo de 15 días, la Agencia, previos los informes, pruebas y otros actos de instrucción pertinentes (aquí se aplica supletoriamente la LRJPAC), incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá sobre la reclamación formulada. El plazo máximo para dictar y notificar resolución será de 6 meses, a contar desde la fecha de entrada en la Agencia de la reclamación. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, el afectado podrá considerar estimada su reclamación por silencio administrativo positivo.
  • Identificación de los responsables.
  • Descripción sucinta de los hechos imputados, su calificación y las anciones que corresponderían.
  • Indicación de la competencia resolutiva del Director.
  • Indicación al presunto responsable que puede reconocer voluntariamente su responsabilidad.
  • Indicación expresa del derecho a hacer alegaciones, a la audiencia y a proponer pruebas.
  • Medidas de carácter cautelar que pudieran acordarse (en caso de infracción muy grave se adopta la inmovilización del fichero). Las medidas de seguridad El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Título VIII, De las medidas de seguridad en el tratamiento de datos de carácter personal, del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD). De conformidad con lo dispuesto en el artículo 44.3.h) de la Ley Orgánica 15/1999, constituye infracción grave, mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. El artículo 79 del RDLOPD establece que los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII. El Reglamento crea los niveles de seguridad y fija las medidas que corresponda adoptar en cada caso y la revisión. También, ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad. El artículo 80 del RDLOPD señala que las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto y el artículo 81 especifica la aplicación de los niveles de seguridad según el tipo de datos de carácter personal a tratar. Por último señalar que el responsable encontrará en el artículo 88 la concreción del contenido del documento de seguridad. Los ficheros, automatizados y no automatizados, creados con posterioridad a la fecha de entrada en vigor del Real Decreto deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo. Respecto a los ficheros automatizados y no automatizados existentes (notificados antes del 19 de abril de 2008) en la fecha de entrada en vigor del Reglamento, la disposición transitoria especifica los siguientes plazos:

AUTOMATIZADOS NIVEL PLAZO

Seguridad Social, Mutuas y Perfiles Medio 1 Año Violencia de género Medio Alto 1 Año 18 Meses Telecomunicaciones (tráfico, localización) Registro de accesos Medio 1 año 18 Meses Adaptación resto de ficheros 1 Año NO AUTOMATIZADOS NIVEL PLAZO Básico 1 Año Medio 18 Meses Alto 2 Años

6. LOS CÓDIGOS Y LOS CONTRATOS TIPO El Objeto y Naturaleza Artículo 32 de la LOPD. Los códigos surgen de la iniciativa de los que realizan los tratamientos y se contienen en diversas fórmulas que pueden inducir a error. Así es frecuente que se adopten tras la celebración de acuerdos sectoriales de empresas, o convenios administrativos (personas jurídico-públicas) o decisiones de empresas o “protocolos” Lo que contienen los Códigos Tipo son reglas o estándares específicos, normas que componen el ordenamiento jurídico y son el resultado de la influencia anglosajona del Derecho a través de la técnica del denominado “soft law” (derecho blando). Estas normas tratan de armonizar los tratamientos de datos efectuados por los sujetos adheridos, facilitando al mismo tiempo el ejercicio de los derechos de los afectados. Los Códigos tipo no sustituyen al legislador y aunque contienen mecanismos propios para su efectividad, no poseen el rasgo característico de normas del Estado, por ello, se denomina “soft law”. En consecuencia, la LOPD expresamente los califica como “códigos deontológicos” o de buena práctica profesional, vinculantes sólo para quienes se adhieran a los mismos y los únicos que se someten al régimen específico de sanciones que pueda contener el Código. Iniciativa y ámbito de aplicación Los Códigos Tipo tienen carácter voluntario, su ámbito es marcadamente sectorial y pueden referirse a la totalidad o a parte de los tratamientos efectuados por las organizaciones de un determinado sector. También pueden ser promovidos por una sola empresa, las Administraciones públicas y las corporaciones de derecho público pueden adoptar los mismos.

  • Favorecer la accesibilidad de todas las personas (también discapacitados y ancianos). Los Contratos Tipo Artículo 33.1 de la LOPD Esta figura es distinta a los los códigos tipo. Se trata de una técnica denominada de “Autorregulación” que busca nuevos caminos, para facilitar los tratamientos de los datos de carácter personal, a través de instrumentos como el “Derecho Contractual”. Son cláusulas contractuales, con el objeto de que puedan ser autorizadas las correspondientes transferencias internacionales. Su utilización se limita al campo concreto de “La Transferencia Internacional de Datos de Carácter Personal” y supone un reparto de responsabilidades entre empresarios o entidades dedicadas al tratamiento de datos, cuando uno de ellos se encuentra en otro Estado que carece de una normativa de protección de datos de carácter personal equivalente a la del estado de origen. 7. LA TRANSFERENCIA INTERNACIONAL DE DATOS DE CARÁCTER PERSONAL Los estados Unidos de América y la Unión Europea han impuesto la necesidad de arbitrar una serie de medidas y normas que regulen la transmisión de datos personales de carácter personal entre Entidades. Con un punto de encuentro, se encuentra el Convenio de Estrasburgo de 28 de enero de 1981 (el Convenio 108) con un protocolo adicional de 8 de noviembre de 2001. Transferencia Internacional de Datos: Concepto y Delimitación El tráfico internacional de datos de carácter personal se canaliza jurídicamente mediante transferencias internacionales de datos. La LOPD regula su régimen en los artículos 33 y 34 bajo la denominación de “Movimiento Internacional de Datos”, y el Real Decreto 1720/2007. El carácter internacional ha de deducirse de la regulación contenida en el artículo 2. de la LOPD, de manera que: puede entenderse que integra una transferencia internacional de datos aquella transmisión que supone la salida física de los datos personales objeto de la LOPD del territorio español. La Instrucción de la Agencia Española de Protección de Datos nº 1/2000, ofreció un concepto de Transferencia Internacional de Datos: A) Aquellas en las que se produce una “comunicación” de datos a terceros. B) aquellas transmisiones de datos a un tercero que va a actuar como mero encargado del transmitente y por cuenta de éste último. Existen dos tipos de tráfico:
  1. La transferencia Internacional entre Estados cuyo régimen viene establecido por:
  • El Convenio de la Oficina Europea de Policía (Europol).
  • El Convenio sobre tecnología de la información a efectos aduaneros (UE).
  • El Convenio sobre fronteras (Schengen).
  • El Convenio y Decisión sobre la Unidad de Cooperación Judicial (Eurojust).
  • El Reglamento CE/45/2001, del Parlamento y el Consejo sobre protección de datos en el tratamiento entre instituciones y organismos europeos.
  1. La transferencia internacional entre sujetos privados que descansa sobre el principio básico que exige el consentimiento del afectado. Clasificación de las transferencias Internacionales de datos Se puede realizar una propuesta de clasificación según tres criterios: a) En función de la finalidad de transmisión según las facultades del empresario de destino hay dos supuestos:
  • El empresario transmitente cede datos a un tercero localizado en un país extranjero y este decide la finalidad del tratamiento, constituyéndose en “responsable del tratamiento “.
  • Transmisión al empresario localizado en el extranjero que actúa como “encargado del transmitente”, sin capacidad para decidir sobre la finalidad, contenido o uso del tratamiento. b) El carácter principal o accesorio de la transferencia o clasificación según el régimen jurídico que se deduce del objeto del negocio jurídico:
  • La celebración o ejecución de un contrato o precontrato determinado. Aquí no se necesita autorización administrativa previa para la transferencia, aunque el país destinatario carezca de un nivel de protección de datos adecuado.
  • Cuando la transferencia de datos se desarrolla en el marco de un negocio cuyo objeto principal es la transmisión de esos datos. c) Según el nivel de protección del ordenamiento jurídico del destinatario de la transferencia. Se distingue entre:
  • Países que ofrecen un nivel de protección equivalente al español.
  • Países que no lo ofrecen: requiere siempre la obtención previa de autorización del Director de la Agencia, que sólo se concede si hay garantías adecuadas (contratos tipo).
  • Todos los países de la UE, más Noruega e Islandia, y aquéllos cuya suficiencia es reconocida por la Comisión Europea (Suiza, Canadá y EEUU). El Ámbito Espacial de Aplicación de la LOPD El artículo 2.1 de la LOPD reclama la aplicación de la Ley española cuando el “tratamiento de datos se encuentra vinculado con el territorio español”.