LA LEY DE PROTECCIÓN DE DATOS, REGLAMENTO Y CUESTIONES PRÁCTICAS ILUSTRE COLEGIO PROVINCIAL DE ABOGADOS DE ALICANTE

Transcripción

1 LA LEY DE PROTECCIÓN DE DATOS, REGLAMENTO Y CUESTIONES PRÁCTICAS ILUSTRE COLEGIO PROVINCIAL DE ABOGADOS DE ALICANTE

2 INTRODUCCIÓN Y ASPECTOS GENERALES DE LA LOPD Y REGLAMENTO Constitución Española. Art. 18.4: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar Ley Orgánica 5/92, de 26 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD): Primera Ley que regula de forma específica esta materia. Se aplica sólo a ficheros automatizados Directiva 95/46 CE, de 24 de octubre del Parlamento Europeo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. LEY ORGANICA 15/1999, de 13 de diciembre, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD). Amplía el ámbito de aplicación a todo tipo de ficheros. Desarrollo normativo.- Real Decreto 994/1999, de 11 de junio de 1999, de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. Desarrolla la LORTAD y regula las medidas de seguridad que deben aplicarse a los ficheros automatizados. Derogado el 19/4/2008. REAL DECRETO 1720/2007, de 21 de diciembre, REGLAMENTO DE DESARROLLO DE LA LOPD. Desarrolla los principios de la ley así como las medidas de seguridad a aplicar en los sistemas de información. Se aplica a ficheros en cualquier tipo de soportes (automatizados o no). CONCEPTOS FUNDAMENTALES DEFINICIONES Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de otro tipo, concerniente a personas físicas identificadas o inidentificables. Fichero: Conjunto organizado de datos. Tratamiento de datos: Cualquier operación, sea o no automatizado, que permita la recogida, grabación, consulta, utilización, cancelación, cesión, etc. de datos que resulten de comunicaciones, consultas y transferencias. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad del fichero. Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento. Encargado del tratamiento: Persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento. Consentimiento del interesado: Manifestación por la que el interesado consienta el tratamiento de datos que le conciernen. Cesión o comunicación de datos: Toda revelación de datos realizada a persona distinta del interesado.

3 Artículo 1.- OBJETO Garantizar y proteger, en lo que respecta a tratamiento de datos personales, los derechos fundamentales (su honor e intimidad) de las personas físicas. REGLAMENTO: desarrolla disposiciones sobre la potestad sancionadora de la AEPD por lo dispuesto en: LOPD Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (título VII) Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (título VIII) Artículo 2.- ÁMBITO DE APLICACIÓN Será de aplicación: A los datos de carácter personal : registrados en soporte físico susceptibles de tratamiento usados en los sectores público y privado Ámbito territorial: Cuando: el establecimiento se encuentre en territorio español el responsable no esté establecido en territorio español, y le sea de aplicación la legislación española, según normas de Derecho Internacional público pero sí un encargado del tratamiento: de aplicación las medidas de seguridad el responsable no esté establecido en la Unión Europea y utilice en el tratamiento de datos medios sitos en territorio español. El responsable tendrá que designar un representante establecido en territorio español No será de aplicación: tratamiento de datos referidos a personas jurídicas tratamiento de datos de personas que presten sus servicios a personas jurídicas (nombre, dirección, puesto, dirección postal o electrónica, teléfono y fax profesionales) datos relativos a empresarios individuales datos referidos a personas fallecidas ficheros mantenidos para actividades personales o domésticas ficheros sometidos a normativa sobre protección de materias clasificadas ficheros para la investigación de terrorismo y delincuencia organizada Se regirán por disposiciones específicas: Ficheros regulados por la legislación de régimen electoral Los que sirvan para fines estadísticos ( y amparados por legislación sobre función estadística) Los relativos al régimen del personal de las Fuerzas Armadas Los derivados del Registro Civil y del Central de penados y rebeldes Los procedentes de imágenes y sonidos obtenidos por las Fuerzas y Cuerpos de Seguridad

4 Artículo 3.- DEFINICIONES Fuentes accesibles al público: Tienen la consideración de fuente de acceso público, exclusivamente: el censo promocional los repertorios telefónicos en los términos previstos por su normativa específica (guías de servicios de comunicaciones electrónicas) las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir: domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales: número de colegiado, fecha de incorporación y situación de ejercicio profesional. los diarios y boletines oficiales los medios de comunicación Para que los supuestos anteriores puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, sin más exigencia que, en su caso, el abono de una contraprestación. Y las definiciones descritas anteriormente. Ver Glosario. PRINCIPIOS DE LA PROTECCIÓN DE DATOS Artículo 4.- CALIDAD DE LOS DATOS Toma de datos: Los datos sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos con las finalidades determinadas, explícitas y legítimas del responsable del fichero. Tratamiento: Los datos deberán ser tratados de forma leal y lícita. Finalidades: No podrán usarse para finalidades incompatibles con aquellas para las que se recogieron los datos. Excepción: No se considerará incompatible cuando esos datos se traten posteriormente con fines históricos, estadísticos o científicos. Actualización de los datos: Los datos de carácter personal serán exactos y puestos al día. Inexactitud de los datos: Si los datos fuesen inexactos o incompletos, serán cancelados o rectificados de oficio (en el plazo de 10 días desde que se tuvo conocimiento de la inexactitud). Comunicará al cesionario en el plazo de 10 días la cancelación o rectificación y éste dispondrá de 10 días para la rectificación o cancelación notificada. Cancelación: Los datos serán cancelados cuando dejen de ser necesarios para la finalidad para la que fueron recabados. Excepción: Podrán conservarse durante el tiempo en que pueda exigirse alguna responsabilidad derivada de una relación jurídica, ejecución de un contrato o precontrato. Una vez hayan dejado de ser necesarios para la finalidad que fueron recabados, los datos sólo podrán ser conservados previa disociación. Excepción: La AEPD podrá acordar el mantenimiento íntegro de determinados datos, atendidos sus valores históricos, estadísticos o científicos. Almacenamiento: Los datos serán almacenados de forma que permitan el ejercicio del derecho de acceso. Recogida fraudulenta: Se prohíbe la recogida fraudulenta, desleal o ilícita de datos. INFRACCIONES recogidas en el art. 44 LOPD

5 Artículo 5.- DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Datos recabados de los interesados: Deberán ser previamente informados de modo expreso, preciso e inequívoco de: La existencia de un fichero La finalidad de la recogida de datos Los destinatarios de la información El carácter obligatorio o facultativo de su respuesta a las preguntas planteadas Las consecuencias de la obtención de los datos o de la negativa a suministrarlos La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición La identidad y dirección del responsable del tratamiento o de su representante El deber de información se llevará a cabo a través de un medio que permita acreditar su cumplimiento, el responsable del fichero conservará el soporte en el que conste el deber de informar. Recogida de datos: Cuando en la recogida se utilicen cuestionarios u otros impresos, en los mismos figurarán las advertencias arriba indicadas. Datos no recabados del interesado: Deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero, dentro de los tres meses siguientes al momento del registro de sus datos. Excepción: No será de aplicación cuando: Una ley expresamente lo prevea El tratamiento tenga fines históricos, estadísticos o científicos La información al interesado resulte imposible o exija esfuerzos desproporcionados (a juicio de la AEPD) Los datos procedan de fuentes accesibles al público. Requisitos: o o Que se destinen a la actividad de publicidad o prospección comercial Que en cada comunicación dirigida al interesados se le informará de: El origen de los datos La identidad del responsable del tratamiento Los derechos que le asisten Artículo 6.- CONSENTIMIENTO DEL AFECTADO El tratamiento requerirá el consentimiento del afectado, salvo que la ley disponga otra cosa. El interesado, para dar su consentimiento deberá conocer la finalidad del tratamiento o cesión de los datos cuya autorización solicita. Consentimiento de: Mayores de 14 años: Válido. Condiciones: No obtener información sobre otros miembros de la unidad familiar La información dirigida a ellos se expresará con un lenguaje fácilmente comprensible Menores de 14 años: Se requiere el consentimiento de padres o tutores Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento. Negativa: El responsable concederá al afectado un plazo de treinta días para manifestar su negativa al tratamiento. Se le facilitará un medio sencillo y gratuito para manifestar su negativa al tratamiento de sus datos (sobre prefranqueado, llamada telefónica gratuita, etc.).

6 Cuando se solicite el consentimiento, no se podrá solicitar nuevamente para los mismos tratamientos y mismas finalidades en el plazo de un año. Caso particular: Marco de relación contractual para fines no relacionados directamente con la misma finalidad, deberá permitir expresamente su negativa al tratamiento. Revocación: El consentimiento podrá ser revocado cuando exista causa justa. Se llevará a cabo a través de un medio sencillo y gratuito. El responsable cesará en el tratamiento en el plazo de diez días. Si los datos hubieran sido cedidos, el responsable comunicará al cesionario la revocación para que cese el tratamiento en el plazo de diez días. Excepción: No será preciso el consentimiento cuando los datos: Los autorice una norma con rango de Ley o de derecho comunitario Se recojan para el ejercicio de funciones propias de la Administración Pública dentro de sus competencias Se refieran a las partes de un contrato o precontrato de una relación de negocio, laboral o administrativa Sean tratados para la finalidad de proteger un interés vital del interesado Figuren en fuentes accesibles al público Cuando no sea necesario el consentimiento, el afectado podrá oponerse a su tratamiento. INFRACCIONES recogidas en el art. 44 LOPD Artículo 7.- DATOS ESPECIALMENTE PROTEGIDOS Datos de ideología, afiliación sindical, religión, creencias: Se solicitará consentimiento expreso y por escrito. Excepción: Ficheros de partidos políticos, sindicatos, iglesias, confesiones, comunidades religiosas y asociaciones y fundaciones sobre datos relativos a sus asociados o miembros. La cesión de estos datos requerirá el consentimiento. Datos de origen racial, salud y vida sexual: Sólo se recabarán, tratarán y cederán cuando lo disponga una ley por razones de interés general o el interesado lo consienta expresamente. Excepción: Podrán ser tratados los datos anteriores sin consentimiento cuando resulte necesario para la prevención o diagnóstico médico, la gestión sanitaria o para salvaguardar el interés vital del afectado, siempre que dicho tratamiento lo realice un profesional sanitario. Prohibido: Quedan prohibidos los ficheros creados con finalidad exclusiva de almacenar datos relativos a ideología, afiliación sindical, religión, creencias, origen racial o vida sexual. Datos de infracciones penales o administrativas: Sólo se incluirán en ficheros de Administraciones públicas. Artículo 8.- DATOS RELATIVOS A LA SALUD Los centros, instituciones y profesionales sanitarios podrán tratar datos de carácter personal relativos a la salud de las personas que hayan de ser tratados de acuerdo con lo dispuesto en la legislación sobre sanidad (Ley de Autonomía del Paciente)

7 Artículo 9.- SEGURIDAD DE LOS DATOS El responsable del fichero o encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos. Por vía reglamentaria se establecerán las medidas de seguridad. Título VIII del Reglamento. Artículo 10.- DEBER DE SECRETO El responsable y quienes intervengan en el tratamiento de los datos están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Dichas obligaciones subsistirán aún después de finalizar sus relaciones con el titular o responsable del fichero. Artículo 11.- COMUNICACIÓN DE LOS DATOS Los datos objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado. Excepciones: Cuando la cesión está autorizada por una ley Cuando se trate de datos recogidos de fuentes accesibles al público Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros Cuando el destinatario de la comunicación sea el Defensor del Pueblo (e instituciones autonómicas análogas), el Ministerio Fiscal, los Jueces, Tribunales, Tribunal de Cuentas e instituciones autonómicas con funciones análogas a las del Defensor del Pueblo y Tribunal de Cuentas, en el ejercicio de sus funciones. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Respecto a cesión de datos relativos a la salud, cuando sea necesaria para solucionar una urgencia o realizar estudios epidemiológicos. El consentimiento para la comunicación de datos a un tercero será nulo cuando la información que se le facilite al interesado no le permita conocer la finalidad a que se destinarán sus datos. El consentimiento para la comunicación de datos, tiene carácter revocable. A quien se le comuniquen los datos, se obliga por el solo hecho de la comunicación, a la observancia de esta Ley. Se la comunicación se realiza mediante disociación, no será aplicable lo establecido anteriormente. Artículo 12.- ACCESO A LOS DATOS POR CUENTA DE TERCEROS No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. Los tratamientos por cuenta de terceros deberán estar regulados en un contrato por escrito (u otra forma que permita acreditar su celebración y contenido). El encargado únicamente tratará los datos según las instrucciones del responsable aplicando las medidas de seguridad a que se refiere el art. 9 LOPD y no los utilizará con fin distinto. Si el

8 encargado utilizase los datos a otra finalidad o incumpliese las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones que hubiera incumplido. Cumplida la prestación contractual, los datos serán destruidos o devueltos al responsable. DERECHOS DE LAS PERSONAS Artículo 13.- IMPUGNACIÓN DE VALORACIONES Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado. Artículo 14.- DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS El Registro General será de consulta pública y gratuita. Cualquier persona podrá conocer, a través del Registro General, la existencia de tratamientos de datos, sus finalidades y la identidad del responsable del tratamiento. Artículo 15.- DERECHO DE ACCESO El interesado tendrá derecho a solicitar y obtener gratuitamente información de si sus datos están siendo objeto de tratamiento y su finalidad, el origen de dichos datos y las comunicaciones realizadas o que se prevean hacer de ellos. Forma de obtenerse: De forma legible e inteligible, mediante visualización en pantalla, escrito, copia, telecopia o fotocopia (certificada o no) o cualquier otro sistema que sea adecuado. Si el interesado exigiese que el derecho se materializase a través de un procedimiento que implique un coste desproporcionado, serán de su cuenta los gastos derivados de su elección. Cuando razones de especial complejidad lo justifiquen, el responsable podrá solicitar al afectado que especifique los ficheros sobre los cuales quiera ejercitar el derecho de acceso. Plazos: El responsable resolverá sobre la solicitud en el plazo máximo de un mes desde la recepción de la solicitud. Si el responsable estimara la solicitud y no acompañase en la comunicación la información solicitada por el interesado, dispondrá de diez días desde la comunicación para hacer efectivo el acceso. En el caso que no disponga de datos del interesado, se lo comunicará en el mismo plazo. El derecho de acceso sólo se podrá ejercitar en periodos no inferiores a doce meses, salvo que se acredite un interés legítimo. El derecho de acceso es independiente del que otorgan las leyes especiales y en particular la Ley 30/1992 de R. J. de las Administraciones Públicas y del Procedimiento Administrativo Común. En cualquier caso, el responsable informará al afectado de su derecho a recabar la tutela de la AEPD.

9 Artículo 16.- DERECHO DE RECTIFICACIÓN Y CANCELACIÓN El derecho de rectificación es el derecho a que se modifiquen los datos inexactos o incompletos. (Ver art LOPD) El derecho de cancelación dará lugar a que se supriman los datos inadecuados o excesivos. Bloqueo: La cancelación dará lugar al bloqueo de los datos, conservándose solo a disposición de la Administraciones públicas, Jueces y Tribunales durante el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento. Cumplido este plazo, serán suprimidos. Plazo: El responsable del tratamiento habrá de hacer efectivo en el plazo de diez días el derecho de rectificación o cancelación. Transcurrido ese plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer reclamación ante la AEPD. En el caso de que no disponga datos del afectado, deberá comunicárselo en el mismo plazo. Cesión: Si los datos a cancelar o rectificar hubieran sido cedidos previamente, el responsable notificará la cancelación o rectificación al cesionario, procediendo éste a la cancelación en el plazo de diez días. El cesionario no realizará comunicación alguna al interesado. Conservación: La cancelación no procederá cuando los datos deban ser conservados durante los plazos previstos: En las disposiciones aplicables En las relaciones contractuales entre el responsable del tratamiento y el interesado. En cualquier caso, el responsable informará al afectado de su derecho a recabar la tutela de la AEPD. DERECHO DE OPOSICIÓN: Es el derecho del afectado a que no se lleve a cabo o se cese en el tratamiento de sus datos en los siguientes supuestos: Por un motivo legítimo y fundado (habrá que hacer constar en la solicitud los motivos), en los casos que no sea necesario su consentimiento. Cuando se trate de ficheros para actividades de publicidad y prospección comercial (Art. 51 RLOPD) Cuando la finalidad del tratamiento sea la adopción de una decisión referida al afectado y se base en un tratamiento automatizado de sus datos. Ejercicio del derecho: Mediante solicitud dirigida al responsable. Este resolverá en un plazo de diez días. En ese plazo deberá excluir del tratamiento los datos del interesado o denegar motivadamente la solicitud. Transcurrido esos plazos sin obtener respuesta, el interesado podrá interponer reclamación ante AEPD. Si el responsable no dispone de datos del afectado, deberá comunicárselo en el mismo plazo. Artículo 17.- PROCEDIMIENTO DE OPOSICIÓN, ACCESO, RECTIFICACIÓN O CANCELACIÓN Los procedimientos para el ejercicio de estos derechos, se regularán reglamentariamente y no se exigirá contraprestación alguna. Derechos de acceso, rectificación, cancelación y oposición: Son derechos personalísimos e independientes y serán ejercidos por el afectado. Estos derechos se ejercitarán: Por el afectado: acreditando su identidad. Por el representante legal del incapacitado o menor de edad (deberá acreditar tal condición) A través de representante voluntario, expresamente designado (deberá aportar copia del DNI del representado y la representación conferida) Denegación de los derechos: Procederá cuando la solicitud sea formulada por personal distinta del afectado y no acredite la representación.

10 Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de sus derechos (se prohíbe como medio el envío de cartas certificadas o llamadas con tarificación especial, por ejemplo). Procedimiento: El ejercicio de los derechos se llevará a cabo mediante comunicación dirigida al responsable del fichero y contendrá: Nombre y apellidos del interesado; fotocopia D.N.I. o documento que lo identifique, y en su caso, de la persona que lo represente. La utilización de firma electrónica, eximirá de la presentación de las fotocopias mencionadas. Petición de la solicitud. Dirección a efecto de notificaciones, fecha y firma del solicitante. Documentos acreditativos de la petición, en su caso. El responsable deberá contestar la solicitud, con independencia de que figuren o no datos personales del afectado en sus ficheros. Si no se cumplen los requisitos en la solicitud, el responsable deberá solicitar la subsanación de los mismos. La respuesta cumplirá los requisitos previstos en cada caso. Corresponderá al responsable la prueba del cumplimiento del deber de respuesta. Todas las personas de la organización del responsable que tengan acceso a datos de carácter personal estarán en disposición de informar al afectado del procedimiento a seguir para el ejercicio de sus derechos. Estos derechos podrán modularse por razones de seguridad pública en los casos y con el alcance previsto en las Leyes. Encargado del tratamiento: Cuando el interesado ejercite sus derechos ante un encargado del tratamiento, éste trasladará la solicitud al responsable para que resuelva, a menos que en la relación existente con el responsable se prevea que el encargado atenderá, por cuenta del responsable, las solicitudes de los afectados. Artículo 18.- TUTELA DE LOS DERECHOS Las actuaciones contrarias a lo dispuesto en esta Ley, pueden ser objeto de reclamación ante la AEPD. El interesado al que se le deniegue total o parcialmente el ejercicio de sus derechos, lo podrá poner en conocimiento de la AEPD u organismo autonómico competente quien resolverá expresamente en un plazo máximo de seis meses. Contra las resoluciones de la AEPD procederá recurso contencioso-administrativo. Artículo 19.- DERECHO A INDEMNIZACIÓN Los interesados que, como consecuencia del incumplimiento de lo dispuesto en esta Ley por el responsable o encargado, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. Ficheros de titularidad pública: La responsabilidad se exigirá de acuerdo con el régimen de responsabilidad de las Administraciones públicas. Ficheros de titularidad privada: La acción se ejercitará ante los órganos de la jurisdicción ordinaria.

11 FICHEROS DE TITULARIDAD PÚBLICA Artículo 20.- CREACIÓN, MODIFICACIÓN O SUPRESIÓN La creación, modificación o supresión de ficheros de las Administraciones públicas se tendrán que hacer por medio de disposición general publicada en el BOE o Diario oficial correspondiente. Las disposiciones de creación o modificación de ficheros indicarán: Identificación, denominación, descripción de la finalidad del fichero y usos previstos Origen de los datos, indicando las personas o colectivos sobre los que se pretenda obtener datos o resulten obligados a suministrarlos Procedimiento de recogida de datos Estructura del fichero y descripción de los tipos de datos incluidos en el mismo Comunicaciones previstas, indicando los destinatarios Transferencias a terceros países, indicado los países Órganos responsables del fichero Unidades ante los que se puedan ejercer los derechos de acceso, rectificación, cancelación y oposición Medidas de seguridad con indicación del nivel exigible (básico, medio o alto) Las disposiciones para la supresión de los ficheros establecerán su destino o las previsiones para su destrucción. La modificación o supresión de ficheros o datos contenidos en los mismos, requerirá previamente la publicación en el BOE o Diario oficial correspondiente. Artículo 21.- COMUNICACIÓN DE DATOS ENTRE ADMINISTRACIONES PÚBLICAS Con carácter general, los datos recogidos por las Administraciones públicas no serán comunicados a otras Administraciones para el ejercicio de competencias sobre materias distintas, excepto cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Podrán ser objeto de comunicación los datos que una Administración pública obtenga o elabore con destino a otra. La comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado. Artículo 22.- FICHEROS DE LAS FUERZAS Y CUERPOS DE SEGURIDAD Estarán sujetos a esta Ley los ficheros creados por las FF y CC de Seguridad cuyos datos se hayan recogidos para fines administrativos. La recogida y tratamiento para fines policiales de datos recogidos sin consentimiento, están limitados a los supuestos que resulten necesarios para la seguridad pública, debiendo ser almacenados en ficheros específicos. Los datos registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. Artículo 23.- EXCEPCIONES A LOS DERECHOS DE ACCESO, RECTIFICACIÓN Y CANCELACIÓN Los responsables de ficheros que contengan datos para fines policiales podrán denegar el acceso, rectificación o cancelación en función de: Los peligros para la defensa del Estado o seguridad pública

12 La protección de los derechos y libertades de terceros Las necesidades de las investigaciones que se estén realizando Los responsables de los ficheros de la Hacienda Pública podrán denegar el ejercicio de los derechos cuando éste obstaculice las acciones administrativas o el afectado esté siendo objeto de actuaciones inspectoras. A quien se deniegue el ejercicio de sus derechos podrá ponerlo en conocimiento de la AEPD. Artículo 24.- OTRAS EXCEPCIONES El derecho de información en la recogida de datos, no será aplicable cuando la información al afectado afecte a la Defensa nacional, seguridad pública o la persecución de infracciones penales o administrativas. Notificación: Los ficheros se notificarán a la AEPD para su inscripción en el RGPD en el plazo de treinta días desde la publicación del acuerdo en el diario oficial. Cuando una comunidad autónoma haya creado su propio registro, la notificación se hará a la autoridad autónoma competente, que dará traslado de la inscripción al RGPD. FICHEROS DE TITULARIDAD PRIVADA Artículo 25.- CREACIÓN Se crearán ficheros cuando resulte necesario para el logro de la actividad de la empresa y se respeten las garantías para la protección de las personas establecidas en esta Ley. Artículo 26.- NOTIFICACIÓN E INSCRIPCIÓN REGISTRAL La entidad que proceda a crear un fichero, previamente lo notificará a la AEPD para su inscripción en el RGPD. La notificación contendrá: El responsable del fichero Identificación, finalidad y usos previstos Sistema de tratamiento empleado Colectivo de personas sobre el que se obtienen los datos Procedencia de los datos y servicio o unidad de acceso Tipo de datos que contiene Medidas de seguridad, con indicación de nivel básico, medio o alto Identificación del encargado del tratamiento Cesiones de datos previstas Transferencias internacionales que se prevean Solo será precisa una notificación aunque los datos estén almacenados en soportes automatizados y no automatizados. Cuando se cree un fichero del que resulten responsables varias personas o entidades, cada una de ellas deberá comunicar la creación del correspondiente fichero.

13 Los modelos o formularios electrónicos de notificación se podrán obtener gratuitamente en la página web de la AEPD. Se comunicarán a la AEPD los cambios (modificación o supresión) que se produzcan en la finalidad, responsable y la ubicación del fichero. Transcurrido un mes desde la presentación de la solicitud de inscripción del fichero sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito. Artículo 27.- COMUNICACIÓN DE LA CESIÓN DE DATOS El responsable informará a los afectados indicando la finalidad del fichero, la naturaleza de los datos cedidos y nombre y dirección de los cesionarios (ya comentado en el artículo 11.- Comunicación de datos). Artículo 28.- DATOS INCLUIDOS EN LAS FUENTES DE ACCESO PÚBLICO Fuentes de acceso público: Censo promocional Personas pertenecientes a grupos profesionales (nombre, título, profesión, actividad, grado académico y dirección) Repertorios telefónicos Diarios y boletines oficiales Medios de comunicación Derecho de exclusión: Los interesados tendrán derecho a solicitar la exclusión de sus datos para fines de publicidad o prospección comercial ante el responsable del fichero. La solicitud se hará efectiva: En el plazo de 10 días para las informaciones que se realicen mediante consulta o comunicación telemática En la siguiente edición del listado cualquiera que sea el soporte Pérdida del carácter de fuente accesible: Para las que se editen en forma de libro u otro soporte físico, con la nueva edición Para las obtenidas telemáticamente o procedentes de censo promocional (censo electoral), en el plazo de un año desde el momento de su obtención Para las guías de telecomunicaciones, por su normativa específica Artículo 29.- PRESTACIÓN DE SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL Y CREDITO Afecta a: Quienes se dediquen a la prestación de servicios de información sobre solvencia patrimonial y el crédito. Sólo podrán tratar datos obtenidos de: Fuentes accesibles al público El propio interesado o con su consentimiento Y para los datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias: Sólo podrán tratar datos facilitados por el acreedor o por quien actúe por cuenta de éste. En este caso se notificará al interesado, en el plazo de treinta días, desde su inclusión en un fichero, su derecho a recabar información de todos los datos incluidos. Sólo se podrán registrar y ceder datos para enjuiciar la solvencia económica que no se refieran a más de seis años.

14 Información previa a la inclusión de estos datos en ficheros para enjuiciar la solvencia económica: El acreedor deberá informar al deudor, en el momento de la celebración del contrato y al tiempo de efectuar el requerimiento de pago, que en caso de no producirse el pago en el término previsto para ello, los datos podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias. Requisitos para la inclusión: La existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa o que no se haya planteado una reclamación ante los servicios para la defensa del cliente de servicios financieros. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación. La existencia de un requerimiento previo de pago. El acreedor o quien actúe por su cuenta, estará obligado a conservar la documentación que acredite el cumplimiento de estos requisitos a disposición del responsable y de la AEPD. Notificación de inclusión: El responsable notificará al interesado, en el plazo de treinta días desde el registro, una referencia de los datos incluidos y la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. Se efectuará una notificación por cada deuda concreta. Se realizará por un medio que permita acreditar la efectiva realización del envío. En caso de devolución de la notificación por cualquier causa, el responsable no podrá proceder al tratamiento de esos datos. Derecho de acceso por el interesado: Mediante solicitud dirigida a: Titular o responsable del fichero común: Este le comunicará todos los datos contenidos en el mismo y aquellos datos y apreciaciones que se hayan comunicado en los últimos seis meses y el nombre y dirección de los cesionarios. Cualquier otra entidad participante en el sistema: Esta comunicará al afectado todos los datos sobre el mismo a los que tenga acceso, así como la identidad y dirección del responsable del fichero para que pueda completar el ejercicio de su derecho de acceso. Derecho de rectificación o cancelación: Si se solicita a: Titular o responsable del fichero común: Trasladará la solicitud a la entidad que haya facilitado los datos para que ésta resuelva. Si el responsable no recibe contestación en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos. Quien haya facilitado los datos al fichero común: Procederá a la rectificación o cancelación en sus ficheros y lo notificará al titular del fichero común en el plazo de diez días. Otra entidad participante en el sistema: Informará al interesado de la identidad y dirección del titular del fichero para que pueda ejercer sus derechos ante el mismo en el plazo de diez días. Acceso por terceros a la información contenida en el fichero: Los datos contenidos en los ficheros sólo podrán ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado. Concurrirá dicha circunstancia en los siguientes supuestos: Que el afectado mantenga con el tercero alguna relación contractual no vencida. Que el afectado pretenda celebrar con el tercero un contrato o la prestación de un servicio que implique el pago aplazado o la facturación periódica. En este caso, el tercero deberá informar por escrito al afectado su derecho a consultar el fichero. Excepción: Para contratación telefónica de productos o servicios, la información podrá realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar. Responsabilidad: El acreedor o quien actúe por su cuenta, será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero común, así como del incumplimiento de los requisitos exigidos. Cancelación de los datos: El pago de la deuda, determinará la cancelación de todo dato relativo a la misma. Los datos serán cancelados transcurridos seis años a partir del vencimiento de la obligación.

15 Estos datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado. Artículo 30.- TRATAMIENTOS CON FINES DE PUBLICIDAD Y DE PROSPECCION COMERCIAL Afecta a: Quienes se dediquen a recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y actividades análogas. Sólo utilizarán nombres, direcciones u otros datos de carácter personal cuando: Figuren en fuentes accesibles al público y el interesado no haya manifestado su negativo u oposición. En cada comunicación al interesado se informará del origen de los datos, de la identidad del responsable y de los derechos que le asisten. Derecho de acceso: El interesado tendrá derecho a conocer el origen de sus datos y las comunicaciones realizadas o previstas. Derecho de oposición: Previa petición y sin gastos, a petición del interesado, sus datos serán dados de baja. Hayan sido facilitados por el interesado o con su consentimiento para recibir información o publicidad. Los hayan solicitado al Instituto Nacional de Estadística, correspondiendo a los datos que figuran en el censo electoral. Dichos listados se actualizarán trimestralmente, excluyendo los nombres y domicilios de los que previamente lo hayan solicitado. El uso de cada lista de censo promocional, tendrá un plazo de vigencia de un año. Transcurrido ese plazo, la lista perderá su carácter de fuente accesible al público. Tratamiento de datos en campañas publicitarias: Si una entidad realiza una actividad publicitaria entres sus clientes: Necesitará el consentimiento del afectado excepto si los datos figuran en una fuente accesible al público y no se ha opuesto a su tratamiento Si una entidad contrata a terceros la realización de una campaña y le encomienda el tratamiento de determinados datos: - Cuando los parámetros identificativos de los destinatarios los fije la entidad contratante, ésta será la responsable del tratamiento. - Cuando los fije la entidad contratada, ésta será la responsable del tratamiento. - Cuando en la determinación de los parámetros intervengan ambas entidades, ambas serán responsables del tratamiento. Concepto de parámetro identificativo: Variables utilizadas para identificar al público objetivo o destinatario de una promoción. Ficheros de exclusión: Los responsables de ficheros a los que el afectado haya manifestado su negativa a recibir publicidad, podrán conservar los datos mínimos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad. Ficheros comunes de exclusión: Podrán crearse ficheros comunes de exclusión. El afectado podrá solicitar su exclusión respecto a un fichero o tratamiento concreto. Derechos de acceso, rectificación y cancelación: El responsable del fichero dispondrá de diez días para ejercer el derecho del afectado. Derecho de oposición: Deberá concederse al interesado un medio sencillo y gratuito para oponerse al tratamiento, disponiendo de diez días para cancelar las informaciones que sobre ellos figuren. Artículo 31.- CENSO PROMOCIONAL Ya comentado en artículo 30.

16 MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS NIVELES DE SEGURIDAD Niveles de seguridad.- Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto. Los responsables y los encargados del tratamiento deberán implantar las medidas en función de los datos contenidos en los ficheros. Nivel básico.- Todos los ficheros o tratamientos deberán adoptar medida calificadas de nivel básico. Nivel medio.- Afecta a los ficheros que contengan datos referidos a: Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Hacienda Pública, Seguridad Social y sus entidades gestoras Entidades financieras La evaluación de aspectos de la personalidad (perfil psicológico) Nivel alto.- Afecta a los ficheros que contengan datos: De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (*) Para fines policiales sin consentimiento de las personas afectadas Derivados de actos de violencia de género Excepción: Para ficheros de datos de (*), bastará la implantación de medidas de nivel básico cuando: Se utilicen con la finalidad de realizar una transferencia dineraria Se trate de ficheros no automatizados, en los que de forma accesoria se contengan datos sin guardar relación con su finalidad También se aplicarán medidas de nivel básico cuando los datos de salud se refieran sólo al grado de discapacidad con motivo del cumplimiento de deberes públicos. Encargado del tratamiento.- Servicios prestados por el encargado en los locales del responsable: Se hará constar en el documento de seguridad del responsable Servicios prestados en los propios locales del encargado: Este deberá elaborar un documento de seguridad EL DOCUMENTO DE SEGURIDAD El responsable del fichero elaborará un documento de seguridad que recogerá las medidas técnicas y organizativas acordes con la normativa de seguridad y será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento de seguridad podrá ser único de todos los ficheros o individualizado para cada fichero. Tendrá el carácter de documento interno de la organización y deberá estar en todo momento actualizado. Contenido mínimo.- Deberá contener: Ámbito de aplicación: explicación detallada de los ficheros protegidos Medidas, normas y procedimientos de actuación para garantizar el nivel de seguridad exigido Funciones y obligaciones del personal Estructura de los ficheros y descripción de los sistemas de información que los tratan Procedimiento de notificación, gestión y respuesta ante las incidencias Procedimientos de realización de copias de seguridad de los ficheros automatizados

17 Medidas a adoptar para el transporte de soportes y documentos Además para ficheros de nivel medio y alto.- Identificación del responsable de seguridad Controles periódicos que se deban realizar Tratamiento de datos por cuenta de terceros.- El documento de seguridad deberá especificar: los ficheros que se traten en concepto de encargado referencia expresa al contrato o documento que regule las condiciones del encargo identificación del responsable periodo de vigencia del encargo MEDIDAS DE SEGUIRDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS A) DE NIVEL BASICO 1. Funciones y obligaciones del personal.- Las funciones y obligaciones de cada usuario estarán definidas en el documento de seguridad (DS). El personal deberá conocer las normas de seguridad. 2. Registro de incidencias.- Existirá un procedimiento de notificación y gestión de las incidencias. 3. Control de acceso.- Los usuarios sólo tendrán acceso a aquellos recursos que precisen para el desarrollo de sus funciones. El responsable mantendrá una relación actualizada de usuarios y accesos autorizados. 4. Gestión de soportes y documentos.- Los soportes y documentos que contengan datos serán inventariados. Su salida deberá ser autorizada por el responsable del fichero o autorizada en el DS. Se adoptarán medidas para evitar la sustracción, pérdida o acceso indebido durante el transporte. 5. Identificación y autenticación.- El responsable adoptará medidas que garanticen la identificación y autenticación de los usuarios (contraseñas). El DS establecerá la periodicidad en que deberán cambiarse las contraseñas, nunca en plazo superior a un año. 6. Copias de respaldo y recuperación.- Como mínimo semanalmente, ser realizarán copias de respaldo (salvo que en ese plazo no se hubiera producido ninguna actualización de datos). Se establecerán procedimientos para la recuperación de datos (para garantizar su reconstrucción). El responsable, cada seis meses verificará el correcto funcionamiento y aplicación de los procedimientos para la realización de copias de respaldo y recuperación de datos. B) NIVEL MEDIO 1. Responsable de seguridad.- En el DS se designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. La responsabilidad corresponde al responsable del fichero o al encargado del tratamiento. 2. Auditoria.- A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y quedará a disposición de la AEPD. 3. Gestión de soportes y documentos.- Se establecerá un sistema de registro de entrada y salida de soportes.

18 4. Identificación y autenticación.- El responsable del fichero establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 5. Control de acceso físico.- Sólo el personal autorizado en el DS tendrá acceso a los lugares done estén instalados los equipos físicos que den soporte a los sistemas de información. 6. Registro de incidencias.- Los procedimientos de recuperación de datos serán consignados en el registro de incidencias, así como la persona que los ejecutó y los datos restaurados. C) NIVEL ALTO 1. Gestión y distribución de soportes.- La identificación de los soportes se realizará utilizando sistemas de etiquetado que dificulten la identificación para los no usuarios. Se cifrarán los datos que contengan los dispositivos portátiles y cuando se distribuyan los soportes. 2. Copias de respaldo y recuperación.- Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar diferente de aquel en que se encuentren los equipos informáticos. 3. Registro de accesos.- De cada intento de acceso, se guardará la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido y si ha sido autorizado o denegado. El periodo mínimo de los datos registrados será de dos años. El responsable de seguridad revisará al menos una vez al mes la información registrada. Excepción: No será de aplicación el registro de accesos cuando el responsable del fichero sea una persona física y sea él únicamente quien tiene acceso y trata los datos personales. Esta circunstancia se hará constar en el DS. 4.- Telecomunicaciones.- La transmisión de datos a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o mediante otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS A) NIVEL BASICO 1.- Obligaciones comunes.- Les será de aplicación lo dispuesto para los niveles y documento de seguridad de los ficheros automatizados en lo relativo a: alcance, encargado, delegación de autorizaciones, copias de trabajo de documentos, funciones y obligaciones del personal, registro de incidencias, control de acceso y gestión de soportes. 2.- Criterios de archivo.- Deberán garantizar la correcta conservación de los documentos, localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición, acceso, rectificación y cancelación. 3.- Dispositivos de almacenamiento.- Deberán disponer de mecanismos que obstaculicen su apertura. B) NIVEL MEDIO 1.- Responsable de seguridad.- Se designará uno o varios responsables de seguridad.

19 2.- Auditoria.- Los ficheros de nivel medio se someterán al menos cada dos años, a una auditoria interna o externa. C) NIVEL ALTO 1.- Almacenamiento de la información.- Los armarios, archivadores u otros elementos en que se almacenen los ficheros, deberán encontrarse en lugares en el que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. 2.- Copia o reproducción.- Las copias únicamente podrá ser realizada bajo el control del personal autorizado en el DS. 3.- Acceso a la documentación.- El acceso a la documentación se limitará al personal autorizado. CÓDIGOS TIPO Artículo 32.- CODIGOS TIPO Tienen por objeto adecuar la LOPD y el reglamento a las peculiaridades de los tratamientos de quienes se adhieren a ellos. Tendrán carácter de códigos deontológicos o de buena práctica y serán voluntarios. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada podrán formular códigos tipo. Los códigos tipo: De carácter sectorial, podrán referirse a la totalidad o a parte de los tratamientos De una empresa, se referirán a todos los tratamientos de la misma Deberán contener: Ámbito de aplicación Determinación de las cesiones y transferencias internacionales Acciones formativas en materia de protección de datos Mecanismos y órgano de supervisión Cláusulas tipo para la obtención del consentimiento Cláusulas tipo par informar a los afectados Modelos para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición Modelos de cláusulas para el cumplimiento de requisitos formales Otros compromisos adicionales. Relación de adheridos Obligaciones: Ser depositados e inscritos en el Registro General de Protección de Datos(RGPD) de la AEPD, quien dará publicidad de los códigos tipo inscritos Remitir a la AEPD una memoria anual de las actividades realizadas Evaluar periódicamente la eficacia del código tipo La AEPD podrá denegar la inscripción de códigos tipo.

20 TRANSFERENCIAS INTERNACIONALES DE DATOS Artículo 33.- NORMA GENERAL No podrán realizarse transferencias de datos a países que no proporcionen un nivel de protección equiparable al que presta la LOPD, salvo que los autorice el Director de la AEPD. La AEPD publicará la relación de países cuyo nivel de protección se considere equiparable a la LOPD Artículo 34.- EXCEPCIONES Excepciones: No será de aplicación cuando: La transferencia de datos resulte de la aplicación de tratados o convenios en los que sea parte España Se haga para prestar o solicitar auxilio judicial internacional Sea necesaria para la asistencia sanitaria Se refiera a transferencias dinerarias El afectado haya dado su consentimiento inequívoco a la transferencia Sea necesaria para la ejecución de un contrato entre el afectado y el responsable Sea necesaria para la salvaguarda de un interés público Sea precisa para el ejercicio o defensa de un derecho en un proceso judicial Se efectúe desde un Registro público Tenga por destino un Estado de la Unión Europea o un Estado del que se haya declarado que dispone de un nivel adecuado por parte de la Comisión de las CCEE. En cualquier caso, la transferencia internacional de datos deberá ser notificada para su inscripción en el Registro General de Protección de Datos. AGENCIA ESPAÑOLA DE PROTECCION DE DATOS Artículo 35.- NATURALEZA Y REGIMEN JURIDICO Es un ente de derecho público y con personalidad jurídica propia que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Artículo 36.- EL DIRECTOR El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo por un periodo de cuatro años.