FAQ LOPD |
ADAPTACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS |
| PREGUNTAS FRECUENTES |
| 1.-¿Qué normativa regula la protección de datos personales en España? Actualmente, las principales normas reguladoras de esta materia son la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo (RLOPD). Esta es la normativa aplicable en toda adaptación a la legislación de protección de datos. |
| 2.- ¿La normativa de protección de datos es uniforme en toda la Unión Europea? Las normativas legales de los distintos estados miembros de la UE se encuentran armonizadas de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. No obstante, pueden apreciarse sensibles diferencias en el modo en que los Estados han transpuesto a su ordenamiento interno las normas de dicha Directiva. |
| 3.- ¿Qué es un dato de carácter personal? Según la Ley Orgánica de Protección de Datos, lo es cualquier información relativa a una persona física, identificada o identificable. Las empresas que tengan datos de carácter personal deberán adaptarse a la Ley Orgánica de Protección de Datos. |
| 4.- ¿Se aplica la Ley Orgánica de Protección de Datos a datos de empresas? No. Quedan excluidos de su ámbito de aplicación los datos de personas jurídicas. Unicamente se aplica a los datos de personas físicas. |
| 5.- ¿La Ley Orgánica de Protección de Datos se aplica a todos los datos de personas físicas identificadas o identificables? No. Quedan excluidos de su ámbito de aplicación los datos de personas físicas en los casos siguientes: a) Cuando la persona física preste sus servicios en una persona jurídica y los datos tratados no excedan de los siguientes datos de contacto: nombre, apellidos, funciones o puestos desempeñados, dirección profesional (postal o electrónica) y teléfono y número de fax profesionales. b) Cuando se trate de empresarios individuales y sus datos sean tratados en su calidad de comerciantes o industriales (autónomos). Esta excepción no es aplicable a los profesionales liberales (abogados, arquitectos, etc.), a los que sí se aplica la Ley Orgánica de Protección de Datos puesto que, en principio, no organizan su actividad en forma de empresa. c) Cuando se trate de datos de personas ya fallecidas. |
| 6.- ¿Qué es un fichero? Es un conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad en que haya sido creado, en que los datos se encuentren almacenados u organizados o el modo en que se acceda a ellos. |
| 7.- ¿La Ley Orgánica de Protección de Datos se aplica a los datos de carácter personal que no están estructurados en forma de fichero? Es necesario diferenciar el soporte en que los datos personales sean tratados. Si se tratan informáticamente, la Ley Orgánica de Protección de Datos se aplicará aunque no se encuentren estructurados en forma de fichero. Sin embargo, si los datos existen sólo en soporte papel, la Ley Orgánica de Protección de Datos sólo es de aplicación cuando estén estructurados en forma de fichero. |
| 8.- ¿La agenda telefónica personal que mantengo en mi domicilio es un fichero de datos personales al que deba aplicarse la Ley Orgánica de Protección de Datos? No. La Ley Orgánica de Protección de Datos no es de aplicación a los datos personales que se tratan exclusivamente en el ámbito de actividades personales o domésticas. No obstante, si la agenda contuviese datos de contactos profesionales o de clientes que fuesen tratados en el desempeño de una actividad no estrictamente doméstica, la Ley Orgánica de Protección de Datos sí les sería de aplicación. Esta última situación es frecuente en el caso de las agendas contenidas en teléfonos móviles, que reúnen tanto datos de contactos personales como profesionales. |
|
9.- ¿Quién es el responsable, a efectos legales, de cumplir las obligaciones de la Ley Orgánica de Protección de Datos en relación con un concreto fichero de datos personales? Lo es la persona o entidad que decide sobre la finalidad, contenido y uso del fichero. A efectos legales, dicha persona o entidad se denomina “Responsable del Fichero”. |
|
10.- ¿Pueden ser varias empresas a la vez Responsables de un mismo fichero? Sí. En caso de que todas ellas tuviesen capacidad de decisión sobre la finalidad para la que se utiliza el fichero, su contenido y los usos a los que es aplicado, todas ellas serían responsables del mismo, estando obligada cada una de ellas a cumplir las disposiciones de la Ley Orgánica de Protección de Datos y su normativa de desarrollo. |
|
11.- ¿Una empresa puede libremente tratar los datos personales que quiera y para cualquier finalidad? La Ley Orgánica de Protección de Datos dispone que los datos de carácter personal solo se podrán recoger para su tratamiento y someterlos a dicho tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Por tanto, sólo se pueden recabar y tratar los datos imprescindibles para satisfacer esa finalidad. Tratar datos inadecuados o excesivos en relación con dicha finalidad constituiría una infracción de la Ley Orgánica de Protección de Datos. |
| 12.- ¿Todos los tipos de datos se protegen igual? No. La Ley Orgánica de Protección de Datos prevé la existencia de tipologías de datos especialmente sensibles, cuyo tratamiento queda sometido a garantías adicionales. Además, en la aplicación de las medidas de seguridad exigibles en el tratamiento de datos personales, el RLOPD prevé tres niveles de seguridad distintos (básico, medio y alto), aplicándose uno u otro en función de si el dato es más o menos sensible. |
| 13.- ¿Cuáles son los datos especialmente protegidos? Los datos sobre ideología, religión, creencias, salud, origen racial, vida sexual y afiliación sindical. Además, también se exigen medidas especiales para tratar datos recabados para fines policiales sin consentimiento de las personas afectadas y los datos derivados de actos de violencia de género. |
|
14.- Cuando una empresa recaba datos de sus clientes, ¿debe informarles de algo? La Ley Orgánica de Protección de Datos exige que en el momento de recabar los datos, el interesado debe ser informado de la existencia de un fichero o tratamiento al que dichos datos se incorporarán, la identidad y dirección del responsable de dicho fichero, la finalidad para la que los datos serán tratados, el carácter obligatorio o facultativo de la respuesta a las preguntas que se le formulen y las consecuencias de su negativa a facilitar los datos (salvo que ello sea deducible del contexto), los derechos de acceso, rectificación, cancelación y oposición que le asisten y dónde ejercerlos. Si los datos se recabasen mediante formularios u otros escritos, dicha información ha de constar en el propio documento. |
|
15.- ¿Pueden tratarse datos de una persona sin su consentimiento? La regla general es que hace falta el consentimiento del interesado para que puedan ser tratados sus datos de carácter personal. No obstante, es posible prescindir del consentimiento cuando los datos sean tratados por las Administraciones públicas para el desempeño de sus funciones, cuando sea necesario tratarlos para ejecutar un contrato o precontrato con el interesado, cuando sea necesario en caso de urgencia para proteger un interés vital del interesado o cuando los datos figuren en las denominadas fuentes accesibles al público. |
|
16.- ¿Todos los datos a que puede acceder el público en general se considera que constan en fuentes accesibles al público a efectos legales? No. Únicamente pueden considerarse fuentes accesibles al público, a estos efectos, los repertorios telefónicos, los diarios y boletines oficiales, los listados profesionales y los medios de comunicación, siempre que su consulta pueda ser realizada por cualquier persona. |
|
17.- Entonces, ¿puedo enviar publicidad libremente a todas las personas cuyos datos aparezcan en las fuentes accesibles al público mencionadas, aunque no tenga su permiso? Los datos que figuran en fuentes accesibles al público pueden utilizarse con fines publicitarios y de prospección comercial siempre y cuando el interesado no se haya opuesto expresamente a ello. Esta oposición puede constar mediante un signo en la propia fuente pública (por ejemplo, la letra U que aparece en los repertorios telefónicos junto a los datos de algunos de los abonados) o ser manifestada expresamente por el interesado a la empresa que remite la publicidad. |
|
18.- ¿Hay algún requisito previo que se deba cumplir antes de empezar a recabar o tratar datos de carácter personal? La persona o entidad responsable del fichero que se vaya a crear debe notificar previamente su existencia al Registro General de la Agencia Española de Protección de Datos, informando a este organismo de las características generales de dicho fichero. Igualmente, deben notificarse a la AEPD las modificaciones que se produzcan en el fichero durante su existencia y su cancelación cuando deje de existir. |
|
19.- Entonces, ¿cada vez que haga cambios en el fichero debo notificarlo a la AEPD? A la AEPD sólo se le notifican las características generales del fichero (datos del responsable, denominación del fichero, finalidad, tipología de datos que incluye, etc.), pero no los concretos datos personales contenidos en él. Por ello, si dichas características generales no varían, no es necesario hacer notificaciones adicionales a la AEPD cuando se incorporan, modifican o suprimen datos del fichero. |
| 20.- ¿Puedo ceder los datos de mis ficheros a terceras empresas cuando sea conveniente para mi negocio? Los datos personales sólo pueden ser cedidos a tercero con consentimiento del interesado. No obstante, dicho consentimiento no es necesario cuando concurran determinados supuestos, como que la cesión esté prevista en la Ley, que sea necesaria para la ejecución de un contrato o que los datos aparezcan en fuentes accesibles al público, entre otros. En estos casos, no es necesario recabar el consentimiento del interesado para poder ceder sus datos personales a tercero. |
|
21.- ¿Y si la cesión de datos a tercero se hace en beneficio del interesado, por ejemplo porque deja su CV en mi empresa y yo lo entrego a su vez a otras empresas que podrían estar interesadas en contratarle? Estas cesiones de datos requerirían en todo caso el consentimiento del afectado, por lo que no podrían llevarse a cabo sin su autorización, aunque redundaran en su beneficio. |
|
22.- ¿Y qué sucede cuando necesito ceder los datos de mis ficheros a terceras empresas que necesitan tratarlos para prestarme los servicios que tengo contratados con ellas (mantenimiento informático, asesoría laboral, etc? En aquellos supuestos en que un tercero debe acceder al fichero para prestar un servicio al responsable, la Ley Orgánica de Protección de Datos dispone que no existe una cesión de datos, sino un mero acceso a datos. Por tanto, en estos casos, no es necesario solicitar el consentimiento de los interesados para la comunicación de sus datos. |
|
23.- ¿Y tengo que cumplir algún requisito legal para permitir a estos prestadores de servicios externos acceder a mis ficheros de datos personales? La Ley Orgánica de Protección de Datos exige que en estos casos se firme con los proveedores un Contrato de Acceso a Datos en el que aquellos se comprometerán a tratar los datos exclusivamente conforme a las instrucciones del responsable del fichero, a no comunicarlos a tercero, a aplicar las medidas de seguridad reglamentarias en su tratamiento y a devolver o destruir los datos, según se le indique, cuando termine la prestación del servicio. |
|
24.- ¿Qué hago si una empresa tiene mis datos y no sé de dónde los ha sacado? La Ley Orgánica de Protección de Datos reconoce al titular de los datos un derecho de acceso. Ello le permite dirigirse al responsable del fichero mediante un escrito acompañado de copia del DNI en el que se solicite información sobre los datos del afectado de que se dispone, su origen y las cesiones de datos previstas o ya efectuadas. |
|
25.- Recibo constantemente publicidad de una empresa en mi domicilio, ¿Puedo hacer algo para que dejen de hacerlo? La Ley Orgánica de Protección de Datos reconoce el derecho de cancelar los datos personales cuando su tratamiento no sea necesario para el mantenimiento de una relación contractual o la Ley no obligue a ello. El titular de los datos deberá dirigirse a la empresa mediante escrito acompañado de copia del DNI y solicitar que se cancelen sus datos. |
| 26.- ¿Existe algún plazo para que respondan a mi solicitud de acceso, rectificación o cancelación de datos? Los ejercicios de derechos de acceso deben responderse en el plazo de un mes, mientras que las solicitudes de cancelación o rectificación de datos deben ser respondidas en el plazo de diez días. |
|
27.- ¿Y qué pasa si la empresa a la que solicito la cancelación o rectificación de mis datos o el acceso a ellos no atiende mi solicitud? El interesado puede solicitar a la Agencia Española de Protección de Datos la incoación de un procedimiento de tutela de derechos mediante el cual se obligue a la empresa a hacer efectiva nuestra solicitud. |
| 28.- ¿Qué medidas de seguridad deben cumplirse cuando se tratan datos de carácter personal? Las medidas de seguridad a aplicar dependerán de la naturaleza de los datos tratados. La Ley prevé tres niveles de seguridad (básico, medio y alto), debiendo aplicarse uno u otro en función de la concreta tipología de datos que se traten. Los datos más sensibles exigirán la aplicación de medidas de nivel alto, mientras que los datos más elementales requerirán sólo la aplicación de medidas de nivel básico. Las distintas medidas a aplicar en cada caso y la tipología de datos a la que debe aplicarse uno u otro nivel de seguridad se describen en el RLey Orgánica de Protección de Datos. |
|
29.- ¿Basta con implantar y aplicar las medidas de seguridad que la Ley me exige o es necesario adoptar en este punto alguna otra obligación formal? El RLOPD exige que las medidas de seguridad a aplicar en cada caso consten por escrito en lo que denomina “Documento de Seguridad”. El Documento de Seguridad contendrá, por tanto, el protocolo escrito interno de seguridad a cumplir en la empresa. Es de tenencia obligatoria para todas las personas y entidades que tratan datos personales dentro del ámbito de la Ley Orgánica de Protección de Datos. |
| 30.- ¿Y qué sucede si una empresa no cumple las obligaciones que le impone la Ley Orgánica de Protección de Datos? La Agencia Española de Protección de Datos es el organismo público que se encarga de velar por el cumplimiento de la Ley Orgánica de Protección de Datos. La Ley le encomienda funciones inspectoras y sancionadoras, entre otras, pudiendo imponer a las empresas multas por incumplimiento de dicha normativa cuyas cuantías oscilan entre los 900 € y los 600.000 €. |
| 31.-¿ Qué puedo hacer para que mi empresa no sea sancionada por incumplir esta normativa? La complejidad técnica de la normativa sobre protección de datos personales hace aconsejable la contratación de un despacho de abogados especializado en la implantación de la Ley Orgánica de Protección de Datos. Este dará el asesoramiento oportuno para facilitar el cumplimiento de la normativa en la empresa y minimizar los riesgos de ser sancionado, adaptando los protocolos legales a la operativa interna de la empresa. Picón & Asociados Abogados lleva más de una década adaptando empresas e instituciones públicas a la Ley Orgánica de Protección de Datos, con todas las garantías.
|
