FAQ

Ámbito de aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal

Nuestra empresa va a ser responsable de ficheros, pero que afectan a datos de personas jurídicas, a las cuales vamos a proporcionar un servicio de alojamiento de encuestas anónimas. ¿Se nos aplica la formativa sobre protección de datos?

En relación con su consulta se le indica con carácter general que el objeto de la Ley está regulado en los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que expresamente establecen:

Artículo 1. Objeto
- La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar
Artículo 2. Ámbito de aplicación
- 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Asimismo, el articulo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, establece que el reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y numero de fax profesionales.

» Por ello no es de aplicación la Ley Orgánica 15/1999 al caso planteado relativo al tratamiento de datos de una empresa o persona jurídica o de personal de contacto de la misma

Se ha realizado recientemente un proceso de selección de alumnos para una guardería infantil. Para obtener plaza los padres de los futuros alumnos teníamos que presentar una serie de documentación para ser baremada. Finalizado este proceso se ha hecho publico vía Internet, el listado con la puntuación de todos los alumnos admitidos o no, desglosado por conceptos. Con lo que todo el mundo puede conocer los puntos asignados por renta, situación laboral, familia monoparental o no, numero de hermanos, minusvalía, etc.
Mi pregunta es: ¿ Puede hacerse público este listado con datos de menores?

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En virtud de lo anterior, para tratar datos personales de menores de 14 años de dad, se precisa en algunas ocasiones el consentimiento de los mismos. Dado que los menores de edad no pueden normalmente celebrar contratos ni obligarse jurídicamente, deben ser sus padres o tutores (o quienes tengan la patria potestad) los que deben prestar el consentimiento en su nombre, a menos que el menor este emancipado o se de alguna otra circunstancia que le permita actuar como un mayor de edad en el mundo jurídico, es decir, con plena capacidad jurídica.

Los mayores de 14 años pueden prestar su propio consentimiento a efectos de la protección de datos.

¿Se puede permitir el acceso a determinados datos de carácter sanitario de una persona fallecida, obrantes en poder de una administración local (para uso de los servicios sociales), y que son solicitados por el cónyuge del fallecido? ¿Es aplicable la legislación de Protección de Datos a una persona fallecida?

Lo primero que hay que ponerle de relieve, es que de conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación y cancelación a los datos personales son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.

En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.

No obstante, la AEPD viene admitiendo que los familiares de los fallecidos ejerciten el derecho de acceso a su historial clínico, de conformidad con lo prevenido en la Ley de Autonomía del Paciente.

Asimismo, el nuevo Reglamento 1720/2007, de 21 de diciembre , permite también que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

También permite que los familiares de los fallecidos ejerciten el derecho de acceso a los datos de la historia clínica de estos últimos, en los términos que ampara la Ley de Autonomía del Paciente.

Un cliente desea enviar una serie de Correos electrónicos comprados y adquiridos de forma legal a otras empresas dedicadas a la venta de Base de datos con mail. Mi cliente quiere contratarme para efectuar una campaña de consentimiento, es decir desea saber si puede enviar dicha campaña de mail para recibir por mail el consentimiento de los usuarios.
Mi pregunta seria la siguiente: ¿Esta seria la forma legal de proceder?

El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia

Tengo un correo en el cual me indican que rellene unos datos para verificar mi cuenta corriente en un banco de Valencia y no soy de Valencia. ¿Me pueden ayudar a combatir esta estafa?

El tema por Vd. expuesto corresponde a actuaciones que exceden del ámbito de competencias de este Organismo, al poder ser constitutivas de delito. En consecuencia, deberá Vd. dirigirse a la BRIGADA DE INVESTIGACIÓN TECNOLÓGICA DE LA COMISARIA GENERAL DE POLICIA JUDICIAL (Calle Julián González Segador s/n, 28043, Madrid) y exponer allí su caso.

¿Como afecta la LOPD a la libreta de direcciones de correo electrónico (Microsoft Outlook) que guardan datos en cada PC?

Se define un Fichero como “ todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso ”.

En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

Partiendo de la definición anterior, la libreta de direcciones de Outlook es un fichero que contiene datos de carácter personal, ya que el e-mail es tal si puede identificarse a su titular.

En consecuencia, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, sito en la calle Jorge Juan, 6, 28001, Madrid, por correo, fax o Internet.

He ido a comprar a un gran almacén y me han intentado captar mi firma, pero no en un papel normal, sino en una tablilla electrónica, en la que queda grabada mi firma de manera digital, con el peligro que conlleva ¿Es legal?

El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el articulo 5 de la citada Ley Orgánica, según el cual:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

» En consecuencia, cuando se recaban datos personales (entre ellos la firma) debe informarse de los expuesto anteriormente. Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, informándose debidamente al titular de los datos, se cumpliría la normativa de protección de datos. Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa

Ha llegado a mis oídos que el titular de una Armería dispone de videos en los que yo aparezco grabado, y que va jactándose de ello en sus reuniones particulares con gente de su entorno, haciendo comentarios dirigidos hacia mí persona con cierto tono degradante. ¿Es eso legal?

En contestación a su consulta, le tenemos que señalar que este organismo únicamente tiene competencia para analizar si la recogida de imágenes puede ser contraria a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Para dicho fin se ha dictado la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

La potestad para colocar o no videocámaras la otorga el Ministerio del Interior o las Delegaciones del Gobierno pertinentes.

Tal y como marca la Instrucción, las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999 y el artículo 1.4 del Real Decreto 1322/1994 de 20 de junio, que considera como dato de carácter personal la información gráfica o fotográfica. Se excluyen el tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.

Aunque nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero, definido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la Ley. Ello supone que en el supuesto en que las imágenes no sean objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de una determinada persona, el archivo en que se contuvieran no será considerado fichero a los efectos de la Ley. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.

Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción 1/2006 sin que ello requiera plazos o actividades desproporcionados. Las referencias a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.

En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de imágenes a las que se refiere su escrito estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las imágenes

Cuando se graba en tiempo real no existe fichero a inscribir, pero se debe informar, mediante la colocación del cartel pertinente, de que existe una zona videovigilada y que el titular de las imágenes puede ejercitar sus derechos de acceso, rectificación, cancelación u oposición.

Se va a poner en marcha en el Ayuntamiento un sistema de grabación de llamadas realizadas al teléfono de la Policía Local, por lo que consideramos que debe procederse a registrar el fichero correspondiente. La duda que se plantea es la de si es necesario el consentimiento del afectado para ello debiendo informarse de que la llamada va a quedar grabada

Las voces a las que se refiere sólo podrán ser consideradas datos de carácter personal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas voces, no encontrándose amparadas en la Ley Orgánica en caso contrario.

De otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero

En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de llamadas estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las voces o, en caso de poderse identificar dichas voces no hayan sido incorporadas a un fichero, en los términos definidos.

Cuando se recaban voces asociadas a otros datos identificativos, se debe informar en los términos del articulo 5 de la LOPD.

Quisiera denunciar a una empresa de viajes por utilizar mis datos, para enviar spam con mi e-mail, y mis datos personales, a otras personas, a nivel internacional, las cuales, me responden , que me van a demandar a mi por Spam ¿Me pueden ayudar?

Desde el punto de vista de la normativa vigente, se deben identificar como Spam todas aquellas comunicaciones comerciales electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS” ,etc) que el usuario recibe sin haber otorgado su consentimiento para ello,

Si el afectado es una persona física:
- Los titulares de los datos personales pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:
  - “…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”.
  - El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.
  - Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.
  - Igualmente podrá denunciarlo, si así lo desea
Si el afectado es una persona jurídica:
- Puede ponerlo en conocimiento de esta Agencia. Para ello deberá presentar una escrito de denuncia – en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común – y enviarlo por correo (incluido el electrónico)
- Dicho escrito deberá contener:
  - a) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
  - b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
  - c) Lugar y fecha.
  - d) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
  - e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).
- Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba que permita corroborar los hechos denunciados.

Me dirijo a ustedes en relación con el problema suscitado en mi trabajo como personal funcionario docente dependiente de la Comunidad de Madrid. Actualmente estoy destinado en un centro de la capital, en cuyo edificio coexisten dos organismos públicos con entidad jurídica propia cada uno de ellos. El Centro de formación de profesores hace entrega de los horarios y lista de asistentes a un curso de inglés impartido en el referido Centro, al que asistimos algunos compañeros del Instituto, sin nuestro consentimiento. ¿Es legal?

El tema expuesto corresponde a actuaciones realizadas por un Organismo dependiente de la Comunidad de Madrid. En consecuencia, deberá plantearse esta cuestión a la Agencia de Protección de Datos de la Comunidad de Madrid (Calle Cardenal Marcelo Spinola, 14, 28016, Madrid) que tiene competencias sobre los ficheros públicos de su ámbito territorial.

Por temas de trabajo, como funcionario público, necesito saber la relación de juzgados y secretarios judiciales de la provincia de Guipúzcoa y se me ha ocurrido solicitar tales datos a la Consejería de Justicia del Gobierno Vasco. Mi pregunta es la siguiente, ¿existe algún impedimento para que me faciliten nombre, apellidos y demás datos personales?

Actualmente la Comunidades del País Vasco tiene Agencia de Protección de Datos propia en funcionamiento.

Dicha Agencia tiene competencias sobre los ficheros públicos de su ámbito territorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.

En este caso, la competencia es de la Agencia Vasca de Protección de Datos, situada en la calle BEATO TOMAS DE ZUMARRAGA, 7-1-3º PLANTA, 01008-VITORIA GASTEIZ

Me gustaría que me pudieran informar sobre si es lícito el que puedan facilitar todos mis datos de filiación mis números de teléfono tanto el de casa como el del móvil, el cual estamos obligados a facilitar a la administración por ser funcionarios de Policía para estar localizados y que esto se facilite a una empresa privada para que controlen las bajas del personal sin nuestro consentimiento y sin informarnos. Esto está sucediendo en el Ayuntamiento de Viladecans (Barcelona).

Actualmente la Comunidad de Cataluña tiene Agencia de Protección de Datos propia en funcionamiento, con competencias sobre los ficheros públicos de su ámbito territorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.

En este caso, la competencia es de la Agencia Catalana de Protección de Datos, situada en la calle LLACUNA, 166 – 7º 08018 BARCELONA.

Principios de la LOPD: Calidad de datos

¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis trabajadores una encuesta sobre aficiones/hobbies?

El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.”

Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y a la finalidad del tratamiento se fija la condición de que una vez desaparezca la necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el responsable del fichero.

Tambien se trata de evitar que los datos sean usados para finalidades incompatibles o distintas de las inicialmente previstas.

Principios de la LOPD: Deber de información en la recogida de datos personales

¿ Qué información debe proporcionarse a los ciudadanos cuando se recogen sus datos personales? ¿Cómo debe darse esa información?

El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:

‘Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….’
  Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.’

En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de los expuesto anteriormente.

Preguntas más frecuentes: Principios de la LOPD: Tratamiento de datos personales

¿Es conforme a la normativa de protección de datos que mi nombre y apellidos aparezcan reflejados en el tablón de anuncios de la Comunidad de Vecinos donde vivo?

El hecho de hacer públicos los nombres de los vecinos como consecuencia del impago de cuotas podría implicar un tratamiento de datos en los términos que la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal lo considera, dado que según la definición regulada en dicha Ley, por tratamiento de datos hay que entender aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencia.

No obstante si la exposición publica de los datos viene regulada en una Ley, es perfectamente licita (como es el caso de las comunidades de vecinos, cuya ley de propiedad horizontal permite, en sus artículos 15.2 y 16.2, la publicación de las deudas vencidas y no pagadas por los propietarios). En este sentido entre las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la Ley 8/1999, de 6 de abril), en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad.

Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta establece, “ La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2 ”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. La posibilidad de dar publicidad de los propietarios incumplidores de pago ampara el hecho de publicarlo en tablones dentro de la comunidad, máxime si así se acuerda en la Junta.

Esta mañana he recibido una carta desde el Instituto Nacional de Estadística en la que se me insta a rellenar un cuestionario de manera obligatoria en base a estas dos frases “(…) las leyes 4/1990 y 13/1996 precisan la colaboración estadística, considerando esta Encuesta de cumplimentación obligatoria” y “(…)envíe el cuestionario cumplimentado dentro del plazo señalado en el mismo, para evitar en lo posible posteriores reclamaciones”.

¿Con qué derecho puede el INE en base las leyes citadas (que me obligan a darle esta información al INE, no a terceros) a obligarme a ofrecer datos detallados sobre mi ejercicio profesional a un empresa privada cuyos intereses desconozco y sin mi consentimiento?

En contestación a su consulta se le informa que el INE está sujeto a la normativa sobre función estadística publica y teniendo en cuenta esta circunstancia, y al estar amparado por el secreto estadístico tiene potestad para solicitar información individualizada a los ciudadanos con el fin de ejercer las funciones que legalmente tiene atribuidas.

Asimismo, se le informa que según dispone el propio articulo 2 de la Ley Orgánica 15/1999, de protección de datos personales:

Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los tratamientos de datos personales que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

Estamos vendiendo los activos de una sociedad dedicada a la intermediación financiera, deseamos saber que tratamiento, obligaciones y responsabilidades supone la cesión de datos de clientes.

Respecto a la adquisición o división de empresas, se le informa que es una práctica habitual en el tráfico mercantil el que se produzcan fusiones y absorciones de empresas, actividad perfectamente legal siempre que se actúe conforme a lo dispuesto en el Código de Comercio y legislación complementaria.

El hecho de que como consecuencia de las fusiones, escisiones y absorciones se constituyan nuevas empresas en las que quedará englobado todo el activo y patrimonio de las empresas fusionadas o absorbidas, es igualmente legal, pero hay que comunicar a los titulares de datos personales esa circunstancia, a los efectos de que puedan ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en consonancia con lo dispuesto en el articulo 5.4 de la LOPD.

Igualmente, deben inscribir en el Registro General de Protección de Datos el nuevo fichero/s resultante de la fusión o absorción y suprimir los preexistentes.

Hemos recibido un fax con membrete del Ministerio del Interior, Dirección General de la Policía, en el que se nos solicitan los datos que obren en nuestro poder como Administrador de Fincas, referentes a los inquilinos o propietarios de las viviendas ubicadas en la calle XXXXX.
Quisiéramos confirmar que estamos facultados, previa autorización de los Presidentes vigentes de las Comunidades afectadas, a facilitar estos datos.

La policía, como Cuerpo o Fuerza de Seguridad del Estado, tiene derecho a conocer datos personales sin consentimiento de sus titulares únicamente en el caso de que los datos resulten necesarios para la prevención de un peligro real para la seguridad publica o para la represión de infracciones penales, según establece el articulo 22, apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Por lo tanto, fuera de estos casos, no es posible el tratamiento de datos por la policía, salvo que exista una Ley que permita u obligue a ese tratamiento.

He ido a pedir un préstamo y me lo han denegado, afirmando que estoy incluido en un fichero de morosos y nadie me lo ha comunicado. ¿Es esto legal? ¿Qué debo hacer?

En los ficheros de información de solvencia patrimonial y crédito se puede incluir al deudor siempre que lo comunique el acreedor o su representante legal, o bien los datos de insolvencia provengan de fuentes accesibles al público. El artículo 29 de la Ley Orgánica 15/1999 de protección de datos de carácter personal, regulan los ficheros de impagados y morosos.

A la vista de dicho precepto se destaca que el responsable del fichero de información sobre impagados deberá comunicar al afectado la inclusión del dato de morosidad en el plazo de los treinta días siguientes a dicha inclusión.

La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias a los que hace relación el mencionado artículo, deberá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada y, cuando se haya requerido por el acreedor el pago de la deuda a quien corresponda. El tiempo que se puede permanecer en este tipo de ficheros es de seis años.

No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga la existencia de esa deuda. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.

El acreedor deberá informar al deudor, en el momento en que se celebre el contrato que en caso de no producirse el pago los datos relativos al impago deberán ser comunicados a ficheros de este tipo.

En el caso de que se haya procedido al pago de la deuda, se deberá cancelar inmediatamente el dato relativo a la misma.

El titular de los datos puede solicitar la cancelación de los mismos en caso de pago de la deuda. Esa solicitud puede dirigirla tanto al responsable del fichero de solvencia como a la empresa que haya incluido los datos. Si la solicitud se dirige a aquella, el responsable del fichero deberá trasladar la petición al acreedor, para que resuelva. Si el acreedor no contesta en siete días hábiles, el responsable del fichero de solvencia procederá a cancelar cautelarmente la deuda.

La Agencia Española de Protección de Datos no es el Órgano encargado de decidir, a priori, si la deuda es cierta, vencida y exigible, circunstancia que debe ser dirimida frente a las Asociaciones de Consumo existentes al efecto o frente a los tribunales de la justicia ordinaria.

Las direcciones de acceso de los ficheros de morosos más comunes, por si Vd. desconoce en qué fichero está incluido, son las siguientes:

El afectado puede solicitar la cancelación de sus datos de los ficheros de este tipo.

Los más importantes son los siguientes.

ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO, S.L.
- Fichero ASNEF
- Dirección para el ejercicio de los derechos:
- Apartado de correos 10546
- 28080 MADRID
EQUIFAX IBERICA, S.L.
- Fichero INCIDENCIAS JUDICIALES
- Dirección para el ejercicio de los derechos:
- Apartado de correos 10546
- 28080 MADRID
EXPERIAN BUREAU DE CREDITO, S.A.
- Fichero: BADEXCUG
- Dirección para el ejercicio de los derechos:
- Apartado de Correos 40163.
- 28080 Madrid

Una persona solicita certificación de retenciones referidas a ejercicio fiscal de otra persona distinta ¿puede entregársele esta certificación a persona distinta del perceptor sin previa autorización efectuada por dicho perceptor ?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece en su artículo 10 el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Basándose en dicho deber, cualquier entidad que maneje información personal, estará obligada a mantener la confidencialidad de la misma y a no ceder dicha información a nadie sin el consentimiento del titular de los datos personales, salvo que se diera alguna de las excepciones reguladas en el articulo 11 de dicha Ley.

La vulneación del deber de secreto puede constituir falta leve. Si la información revelada se refiere a datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 29 de la Ley Orgánica 15/1999, constituye infracción grave. Finalmente, si se revela información sobre datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas constituye infracción muy grave.

¿Existe algún tipo de incumplimiento normativo por contactar con un cliente que ha indicado expresamente que no desea la cesión de sus datos, que no desean que se compartan con empresas del grupo y que no desean que sus datos se utilicen con fines comerciales, si se contacta con ellos, a través de un instituto de investigación y en su nombre, para realizar una encuesta para poder valorar su grado de satisfacción con el servicio prestado?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal al regular en su artículo 11 la comunicación de datos, establece el principio de que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

No obstante, el propio artículo 11 establece que, será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar. En este sentido se le señala que la finalidad deberá ser determinada, explícita y legitima.

Los datos personales podrán ser tratados por cualquier entidad si el titular no se opone, y en el caso de la cesión de sus datos a terceros, aunque el consentimiento se haya prestado en el momento inicial, siempre tendrá el carácter de revocable como establece la LOPD en su artículo 11. 4. pudiendo Vd. en cualquier momento oponerse a la cesión autorizada en un principio.

Ciertamente, el consentimiento puede obtener de manera expresa o tácita. El no oponerse a una cesión de datos puede suponer la existencia de un consentimiento tácito. Asimismo, la empresa debe demostrar que ha remitido al titular de los datos la solicitud de consentimiento y que éste la ha recibido.

Igualmente, se le informa de que, si la empresa cede los datos a pesar de la negativa de su titular a hacerlo, podrá denunciarlo ante este Organismo.

¿Que debo hacer cuando en las cláusulas de un contrato de servicios se incluye un apartado, que nada tiene que ver con el objeto del contrato, según el cual acepto el tratamiento y uso de mis datos personales para fines que no tienen que ver con el citado contrato? ¿No son las citadas cláusulas contrarias al espíritu de la Ley?

Con carácter general la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) al regular en el artículo 6 el tratamiento de datos, señala que El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos .

Los datos personales podrán ser tratados por cualquier entidad con la finalidad estrictamente contractual, y en el caso del tratamiento de sus datos, aunque el consentimiento se haya prestado en el momento inicial, siempre tendrá el carácter de revocable como establece la LOPD en su artículo 6. 3. pudiendo en cualquier momento oponerse el titular de los datos al tratamiento autorizada en un principio.

Ciertamente, el consentimiento puede obtenerse de manera expresa o tácita. El no oponerse a un tratamiento de datos puede suponer la existencia de un consentimiento tácito.

¿Es legal la cesión de datos del padrón de habitantes a la policía?

Efectivamente, la Ley de Extranjería añade una nueva Disposición Adicional Séptima a la Ley 7/1985, que regula las bases del Régimen Local. Dicha incorporación pretende regular el acceso a los datos del padrón por las autoridades policiales, con lo cual se le concede una habilitación para acceder a los datos de carácter personal de los extranjeros contenidos en el Padrón Municipal.

El Articulo 22 Apartados 2 y 3 de la ley 15/1999 establecen claramente los supuestos en que las fuerzas y cuerpos de seguridad podrán recoger y tratar los datos de carácter personal, siendo estos: cuando exista un peligro real para la seguridad pública o para la represión de infracciones penales y para los fines de una investigación concreta.

Por tanto, a la vista de lo establecido en los preceptos citados, cabe deducir que será admisible la cesión solicitada por cualquiera de dichas policías, si bien quedando la misma limitada a los datos referidos al nombre, apellidos y domicilio, al ser éstos los únicos que la Ley de Bases de Régimen Local autoriza a transmitir, y para el uso derivado de la función de mantenimiento de la seguridad pública.

Tengo 3 empresas de un grupo, ubicadas físicamente en la misma oficina que comparten un mismo fichero. En este caso ¿como tengo que declararlo, como cesión de una a la otra o cada una le doy de alta el mismo fichero?

La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado primero que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

En el caso planteado (creación de una base de datos común entre dos empresas), cuando una empresa accede a la base de datos de otra que tiene su propia personalidad jurídica se está produciendo una cesión de datos.

Cada empresa debe inscribir su propio fichero con datos personales y debe obtener el consentimiento de los titulares de los datos para que se produzca la cesión entre ambas.

Soy la secretaria de un administrador de fincas y en una reunión de comunidad preguntó el presidente si le podíamos facilitar los datos de todos los vecinos de la comunidad. Nombre, apellidos, teléfono y dirección. ¿ Es legal?

El hecho de conocer por cualquier propietario el listado de todos los propietarios o vecinos implica necesariamente una comunicación o cesión de datos.

A la vista de la regulación anterior será por tanto necesario para que los propietarios puedan obtener el listado de vecinos que cada uno de éstos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.

Si en los Estatutos (o en una Ley) no se prevé esta posibilidad es necesario señalarle, que de conformidad con lo previsto en el artículo 5 de la LOPD, si los datos de los vecinos son objeto de tratamiento en una base de datos y han sido cedidos a los demás propietarios, debería poder acreditarse que cada uno de los propietarios ha sido informado previamente y ha dado su consentimiento.

A la vista de dicho precepto y en relación con su consulta se le indica que el hecho de formar parte de la Comunidad de vecinos indicada implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier vecino que lo solicite pueda disponer de un listado de los mismos, el hecho de que se le facilite será legitimo.

Lo que habrá que tener en cuenta es el contenido del listado que se prevé en los Estatutos ya que en principio el facilitar datos distintos del nombre y apellidos y dirección podría ser una información excesiva.

¿Tengo derecho a exigir la aplicación de la ley Orgánica 15/1999 para proteger mis datos y que los representantes de los trabajadores no puedan acceder a mis datos personales, como nº de ficha, nombre y apellidos y nº de horas extra que realizo?

Respecto a la legalidad de entregar datos de los trabajadores a sus representantes, se indica que el artículo 11.1 relativo a la comunicación de datos, establece con carácter general que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

En el apartado 2 de dicho artículo 11 se prevén las excepciones a la necesidad del consentimiento para que la cesión de datos pueda ser efectiva y así se establece que nos será necesario dicho consentimiento Cuando la cesión está autorizada en una Ley .

A nuestro juicio si el supuesto planteado por Vd. no se encuentra en ninguna de las excepciones anteriores (salvo lo que establezcan las leyes sectoriales al respecto) no se deben facilitar datos personales de los trabajadores.

He estado de vacaciones en un Hotel y me han presentado un documento a firmar en el que se informa que mis datos personales van a ser cedidos a la policía ¿Es eso legal?

El artículo 6.1 de la Ley Orgánica dispone que “ El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Del mismo modo, en cuanto a la cesión, el artículo 11.1 dispone que “ Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante este consentimiento no será necesario ” Cuando la cesión está autorizada en una Ley ” (artículo 11.2 a).

Por este motivo, el tratamiento de los datos mencionados y su comunicación a las Fuerzas y Cuerpos de Seguridad se encuentra amparado por lo establecido en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999, dado que existe una norma con rango de Ley que da cobertura al tratamiento y cesión de los datos (el artículo 45.1 del Convenio de Schengen y el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, de seguridad privada)

¿Puedo utilizar los datos personales de alguien para remitirle publicidad?
¿Se pueden crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad?
¿Y si los datos provienen de las guías telefónicas o de los listados de colegios profesionales?

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.’

Por su parte, por fuente accesible al público hay que entender de acuerdo con la definición contenida en el articulo 3 de la Ley Orgánica 15/1999 “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.’

Por lo tanto, para tratar datos personales debe tenerse previamente el consentimiento (expreso o tácito, pero siempre inequívoco) de sus titulares, salvo que se dé alguna de las excepciones previstas en el artículo 5. Si los datos figuran en fuentes accesibles al público (como las guías telefónicas o los listados de colegios profesionales) es posible su tratamiento sin el consentimiento de los titulares de los datos.

¿Es legal el tratamiento de los datos que figuran en el Padrón Municipal de Habitantes o en el Censo Electoral?

Con carácter general la regulación está contenida en la Ley 4/1996, de 10 de enero, que modifica la Ley 7/1985, de 2 de abril, de Bases del Régimen Local en relación con el Padrón Municipal. En concreto el artículo 16 prevé lo siguiente:

‘El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos.
La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos:
- Nombre y apellidos.
- Sexo
- Domicilio habitual.
- Nacionalidad.
- Lugar y fecha de nacimiento.
- Número de documento nacional de identidad o, tratándose de extranjeros, del documento que lo sustituya.
- Certificado o título escolar o académico que se posea.
- Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución.
Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.’

Respecto de la utilización de los datos del censo electoral, el artículo 41.2. de la Ley Orgánica 5/1985, de 19 de junio, de Régimen Electoral General establece que queda prohibida cualquier información particularizada sobre los datos personales contenidos en el censo electoral, a excepción de los que se soliciten por conducto judicial.

Por ello, un uso distinto de los datos censales del padrón municipal o del censo electoral ocasionaría un incumplimiento de la Ley Orgánica 15/1999.

Derechos de los afectados

Nos gustaría saber si la publicación de los resultados de nuestros exámenes (exposición en la puerta del aula de un listado con el nombre y apellidos de los alumnos y la calificación obtenida), vulnera de alguna manera la ley de protección de datos.

La publicación de las calificaciones de los alumnos en los tablones de anuncios de la Universidad, no queda amparado en los supuestos de procesos selectivos, sino ante una forma de comunicación y/o traslado de las notas de calificación correspondientes a cada asignatura, que tienen como destinatario únicamente a los alumnos afectados, anotándose –a su vez- en su expediente académico.

La difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá una cesión de datos de carácter personal de los alumnos autorizada por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala ” no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación”.

Mi consulta va referida a si tiene un ayuntamiento potestad para publicar en tablón de anuncios los consumos de agua de sus vecinos.

El hecho de hacer públicos los nombres de personas físicas en tablones de anuncios podría implicar un tratamiento de datos en los términos que la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal lo considera, dado que según la definición regulada en dicha Ley, por tratamiento de datos hay que entender aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencia.

No obstante si la exposición publica de los datos viene regulada en una Ley, es perfectamente licita. (En periodo de elecciones a representantes sindicales, la ley permite esa exposición pública)

Los titulares de los datos personales pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999.

Si en el plazo de un mes no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

Aparerezco en Internet, en unos listados de la Administración publica, como participante de una pruebas, entiendo que es normal que aparezca mi nombre y apellido ¿pero el DNI? ?”

Internet no es una fuente accesible al publico según la Ley Orgánica 15/1999 (LOPD). La publicación de datos personales en Internet constituye un tratamiento automatizado de datos personales. Por ello, se requiere el previo consentimiento de los titulares de los datos para esa publicación, salvo que los datos figuren, a su vez, en fuentes accesibles al publico (como los Boletines Oficiales).

La información general que no contenga datos personales puede ser publicada en Internet sin ninguna traba.

Los titulares de los datos personales pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999

¿Cómo puedo conseguir que eliminen mis datos de los ficheros de las empresas que me remiten publicidad continuamente a mi casa? ¿Cómo puedo eliminar mis datos de un fichero de morosidad en el que estoy incluido? La empresa de luz me remite a mi domicilio un recibo que contiene un error en uno de los números del DNI. ¿Puedo exigir que me lo modifiquen?

El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos deberá dirigirse directamente a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I..

Vd. debe dirigirse a la dirección del responsable del fichero y solicitar allí la cancelación pretendida. Si desconoce esa dirección, puede solicitarla a la Agencia Española de Protección de Datos.

Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis familiares. ¿Qué tengo que hacer?

La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, lo que significa que Vd. puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, o en su caso, la cancelación de los datos en sus ficheros (derecho de cancelación). En este caso, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.

Si en el plazo de un mes para el derecho de acceso desde la recepción de la solicitud en la oficina referida, ésta no ha sido atendida adecuadamente, podrá dirigirse a la Agencia con copia de la solicitud cursada y de la contestación recibida (si existiera), para que ésta a su vez se dirija a la oficina designada con el objetivo de hacer efectivo el ejercicio de sus derechos.

En el caso expuesto, podrá acceder a la información pretendida si se trata de información sobre sus datos personales, pero no si se trata de información de terceros.

Efectivamente, el derecho de acceso no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés legitimo.

Mantengo una relación contractual con una empresa que me proporciona ciertos servicios que me interesan. Sin embargo, dicha empresa me remite información de otros productos que no quiero que me envíen ¿Me ampara la LOPD?

Los titulares de los datos pueden instar la oposición al tratamiento automatizado de ese tipo de datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

‘…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.’

Datos especialmente protegidos

La consulta plantea si el dato relativo al hecho de que un determinado alumno de un centro docente opta por cursar la asignatura de religión o la alternativa prevista por la Ley ha de ser considerado como dato especialmente protegido a los efectos previstos en la Ley Orgánica 15/1999.

El artículo 7.2 de la Ley Orgánica 15/1999 dispone que “sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias”, prohibiendo el artículo 7.4 “los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual” .

De este modo, ha de considerarse que los datos a los que se refiere el artículo citado son aquéllos que efectivamente se encuentran directamente vinculados con las verdaderas creencias religiosas, filosóficas, políticas o morales de la persona, protegidas constitucionalmente a través del derecho fundamental a la libertad ideológica, religiosa y de culto.

Pues bien, el hecho mismo de cursar la asignatura de religión no revela necesariamente que el estudiante profese las creencias a las que tal asignatura se refiere, del mismo modo que el hecho de no cursarla no revela la inexistencia de esas creencias, sino que tal circunstancia puede deberse al estudio de la religión en otros foros distintos del escolar. Es decir, a nuestro juicio, lo único que revela el dato de optar por cursar la asignatura de religión sería el interés del alumno por conocer los principios, historia y preceptos de la misma, sin que ello implique una efectiva confesionalidad del mismo, a cuya declaración no podría encontrarse obligado.

¿Puede una empresa pedirme los antecedentes penales durante el proceso de selección de personal?

El articulo 2, apartado 3, de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), señala que los datos derivados del Registro Civil y del Registro Central de penados y rebeldes , relativo a los antecedente penales, queda al margen de la aplicación de la Ley Orgánica 15/1999. Asimismo, dichos datos no se encuentran registrados en este Organismo, sino en el Registro Central habilitado al efecto.

No obstante, se le informa que las empresas privadas no pueden tener ficheros con datos de carácter personal relativos a la comisión de infracciones penales o administrativas, ya que éstos solamente podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras (Articulo 7.5 de la LOPD)

¿Se consideran datos sobre la salud de los trabajadores, los informes de las revisiones médicas anuales que las empresas están obligadas a efectuar según la Ley de Prevención de Riesgos Laborales, aún cuando no es la empresa obligada a proporcionar estas revisiones quien las efectúa (la ley establece obligatoriedad de que lo haga una Mutua o el propio INSS), y cuando tan solo recibe un informe de aptitud (o inaptitud) de aquella a quien subcontrate?

Entendemos que la calificación de aptitud o no viene derivada de los reconocimientos médicos resultado de la aplicación de la Ley 31/1995, de 8 de noviembre, de Prevención de riesgos laborales.

En estos supuestos, el hecho de que el empresario y las personas u órganos con responsabilidades en materia de prevención sean informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo, no será considerado un dato de salud.

No obstante si “los datos de apto o no apto” no aparecen aislados sino asociados a otros que motiven su calificación, como por ejemplo, una situación de minusvalía o enfermedad crónica que motiven una adaptación del puesto de trabajo, sin lugar a dudas, será considerado un dato de salud.

¿Han de ser considerados datos de salud los relativos a la enfermedad común y accidente profesional?

Es criterio reiterado de esta Agencia que en cuanto el fichero pueda contener datos relativos a las fechas de baja o alta de trabajadores, asociadas a un código que permita la identificación de la causa de la baja como motivada por enfermedad común, profesional o maternidad, estaremos en presencia de un dato de salud que implicará la necesidad de aplicar a dicho fichero medidas de seguridad de nivel alto.

No sería así, por ejemplo, si figuran únicamente las fechas y la indicación de “baja” u otros supuestos análogos de los que no pueda fácilmente deducirse que la baja se debe a algún tipo de enfermedad.

¿Es legal tratar datos de salud de personas físicas?

El artículo 8 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, establece y regula los datos relativos a la salud señalando que sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos.

¿Se considera dato especialmente protegido el relativo a la aportación, en el IRPF, de un contribuyente a la Iglesia Católica? ¿Y los relativos a la minusvalía y a la afiliación sindical?

Se plantea en esta consulta si la inclusión en los ficheros de datos relacionados con la opción del contribuyente de contribuir al sostenimiento de la Iglesia Católica es un dato relacionado con la ideología, religión o creencias del afectado.

El Artículo 81 del Reglamento que desarrolla la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone que Los ficheros que contengan datos relativos a la ideología, religión, creencias, origen racial, salud o vida sexual deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. Si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto. Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

Igualmente, el nivel es básico si los datos están en ficheros no automatizados y se almacenan datos especialmente protegidos de manera incidental o accesoria sin guardar relación con su finalidad. En estos casos se encuadran los relativos al enunciado de la pregunta, es decir, la aportación, en el IRPF, de un contribuyente a la Iglesia Católica y los relativos a la minusvalía y a la afiliación sindical cuando estan incluidos en el fichero de manera accidental o accesoria.

¿Qué se entiende por datos de salud? El dato de que una persona es fumadora ¿entra dentro del concepto de dato de salud?

Por lo que se refiere a los datos de salud, deberá partirse del concepto que quepa dar a los mismos, a partir de las normas, nacionales e internacionales, vigentes en España.

La norma esencial en la protección de datos automatizados de carácter personal en nuestro país es la Ley Orgánica 15/1999. Sin embargo esta norma, si bien se refiere expresamente a los datos de salud, considerándolos expresamente protegidos y limitando la posibilidad de su recopilación y cesión, no establece un concepto concreto de este tipo de datos.

El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa viene a definir la noción de ‘datos de carácter personal relativos a la salud’ , considerando que su concepto abarca ‘las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo’ , pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Añade el citado apartado 45 que ‘debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas’.

En este mismo sentido, la Recomendación nº R (97) 5, del Comité de Ministros del Consejo de Europa, referente a la protección de datos médicos, afirma que ‘la expresión datos médicos hace referencia a todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con la salud, así como con las informaciones genéticas’.

De lo anteriormente señalado se puede desprender, en principio, que los datos indicados por Vd. en la medida en que pueden ser datos relacionados con la salud serán datos médicos y les será de aplicación las medidas de protección de nivel alto, tal y como establece el artículo 4 del Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal aprobado por Real Decreto 994/1999, de 11 de junio.

Ahora bien, dado que su consulta se plantea solamente en los términos de que si el dato de que una persona fume o no fume se puede considerar dato de salud, habrá que estarse al contexto en el que se encuentra dicha anotación y la finalidad para la que se usa. Es evidente que no es lo mismo anotar en un fichero de control de pasajeros y billetes la condición o no de fumador de una persona (porque no se van a realizar posteriores evaluaciones médicas del mismo) que anotar dicha condición en un fichero de seguros de vida, en el que dicha anotación no va aislada, sino junto con otros datos de salud. En uno y otro caso, las finalidades para las que se va a usar esa anotación son diferentes.

Si el dato de fumador o no fumador no sirve para realizar evaluaciones de salud o médicas, en principio, no parece que sea dato de salud, ya que, aunque sea un dato de riesgo potencial para la salud, no informa por sí solo del estado de salud / pasado, presente o futuro – de la persona. En caso contrario, sí será un dato de salud.

Inscripción de ficheros

¿Cómo se inscriben, modifican o suprimen los ficheros de mi empresa?

El concepto de fichero esta descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso’.

En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.).

Dichos ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al formulario disponible de forma gratuita en la web de la Agencia.

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet con certificado de firma electrónica reconocido. Dicho formulario interactivo, en formato PDF, se encuentra disponible en la página web de la Agencia ( www.agpd.es ).

Mediante este sistema de notificación se pueden realizar notificaciones de forma simplificada mediante notificaciones tipo precumplimentadas. Esta opción del formulario electrónico permite notificar de forma simplificada una serie de ficheros de titularidad privada relacionados con la gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, historial clínico, nóminas y recursos humanos.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda.

Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.

Los apartados señalados que pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que notifique la supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, deberá indicar las previsiones adoptadas para ello.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)?

El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.

Desde octubre del año 2007 es obligatoria la inscripcion de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creacion.

Medidas de Seguridad

¿Qué se quiere decir en el Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007, de 21 de diciembre), con la expresión será preciso guardar la información que permita identificar el registro accedido?

De conformidad con lo dispuesto en el artículo 103 del Reglamento de desarrollo de la LOPD, para cada acceso deberán guardarse, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De lo expuesto se deduce que el registro de accesos se refiere, en primer lugar al fichero y dentro del fichero, a los distintos registros accedidos (es decir, a los concretos datos personales que se consultan).

¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?

El artículo 91 del Reglamento de desarrollo de la LOPD, relativo al control de acceso, establece que:

1.- Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2.- El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfdiles de usuarios y los accesos autorizados para cada uno de ellos.

3.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.”

5.- En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fichero.

El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?

El artículo 81 del Reglamento de desarrollo de la LOPD, señala que:

1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.”

Por ello, si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto.

Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

El mero hecho de alquilar películas pornográficas no presupone dato de orientación sexual. Otra cosa, es que el responsable del fichero incluya en el mismo valoraciones subjetivas que así lo indiquen.

Transferencias Internacionales

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web ?

De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.

Lo que acaba de indicarse ha sido ratificado, en cuanto a la existencia de un tratamiento de datos de carácter personal por la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST).

¿Qué países pueden considerarse con un nivel de protección equiparable a España ?

Se consideran países con nivel de protección adecuado al que presta la Ley Orgánica 15/1999, los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man, las entidades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América.

¿Puede la empresa donde trabajo enviar datos de sus trabajadores a Estados Unidos?

En primer lugar indicarle que cualquier empresa que pretenda realizar una transferencia internacional de datos, en este caso de sus empleados, que con anterioridad no venía realizando, deberá de cumplir, por una parte, con el derecho de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, debiendo informar de la transferencia internacional a cada una de las personas afectadas por los datos.

Por otra parte, tal y como se establece en el artículo 26 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en los artículos 55, 58, 66 y ss del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, BOE de 19 de enero de 2008 (RLOPD ) se deberá comunicar a la Agencia Española de Protección de Datos las transferencias internacionales que se vayan a realizar, dado que, con carácter general, todas las trasferencias internacionales necesitan de la autorización del Director de la Agencia, salvo que se den alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999..

Se le informa por último que, toda la normativa en materia de protección de datos la tiene disponible a través del apartado legislación del menú principal de nuestra página Web.

Si los datos recogidos por una filial española de una multinacional alemana, cumpliéndose todos los requisitos de recogida de datos de la LOPD, se ceden a la matriz en Alemania, ¿Qué responsabilidad tiene la filial española si la matriz alemana utiliza los datos de forma fraudulenta de acuerdo a la legislación española?

En primer lugar, es necesario señalarle que desde el momento en que se están recogiendo y tratando informaticamente en ficheros, cualquier tipo de datos de carácter personal pEr parte de empresas ubicadas en España, pertenezcan o no a multinacionales, dicho tratamiento está sometido a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y los ficheros de datos que se creen están sometidos al ámbito de aplicación de dicha Ley Orgánica, debiendo ser previamente comunicados al Registro General de Protección de Datos y adoptándose en ellos las medidas de seguridad correspondientes, de conformidad con lo previsto en el Reglamento de desarrollo de la LOPD aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)

Una vez realizada la cesión, de conformidad con las disposiciones anteriores, el tratamiento de datos que se realice en Alemania se regulara de conformidad con la legislación alemana y no con la legislación española, aunque, al pertenecer ambos países a la Unión Europa, el nivel de protección será similar en base a la adaptación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Lo sentimos, los comentarios estan cerrados.

FAQ

Enlaces