Anda di halaman 1dari 24

1

Tema 5. Proteccin de datos


personales
[] en el momento en que tienen nuestra
direccin, estado civil, edad, ingresos, marca
del coche, compras, hbitos de bebida e
impuestos, ya nos han cazado: somos una
unidad demogrfica de una persona
(Negroponte, 2003, p. 4)


Cuando abordamos el tema de la proteccin de datos personales, debemos tener en
cuenta que tratamos de la proteccin de un derecho constitucional fundamental,
que ya en 1978 se recoga en nuestra Constitucin espaola.
Artculo 18 C.E.
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podr hacerse en l sin
consentimiento del titular o resolucin judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,
telegrficas y telefnicas, salvo resolucin judicial.
4. La ley limitar el uso de la informtica para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

1. La Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal (LOPD)
1.1. Objeto y sujeto de la proteccin de datos
Tras este mandato de la Constitucin Espaola de 1978, se aprobaba la Ley Orgnica 1/1982,
de 5 de mayo, de Proteccin Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a
la Propia Imagen, as como la LORTAD, Ley Orgnica 5/1992, de 29 de octubre, de Regulacin
del Tratamiento Automatizado de los Datos de Carcter Personal (vigente hasta el 14 de
enero de 2000).
Sin embargo, la Directiva Comunitaria 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales y a la libre circulacin de estos datos, exiga que la
proteccin de datos se extendiera a los ficheros manuales. Por lo que la LORTAD sera
sustituida por la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de
Carcter Personal (en adelante LOPD).

2

La LOPD pretende garantizar y proteger, en lo que concierne al tratamiento de los datos
personales, las libertades pblicas y los derechos fundamentales de las personas fsicas (es
decir, las personas individuales y no las organizaciones), y especialmente de su honor e
intimidad personal y familiar. As, se aplicar tanto a los ficheros pblicos como privados que
contengan datos de carcter personal.
Sin embargo, el rgimen de proteccin de los datos de carcter personal que se establece en
la Ley no ser de aplicacin:
a) A los ficheros mantenidos por personas fsicas en el ejercicio de actividades
exclusivamente personales o domsticas (por ejemplo, un listado de amigos, lo que
no quiere decir que puedan entrar en juego la normativa relativa a la proteccin civil
o penal al honor, la intimidad y la propia imagen).
b) A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas.
c) A los ficheros establecidos para la investigacin del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero
comunicar previamente la existencia del mismo, sus caractersticas generales y su
finalidad a la Agencia de Proteccin de Datos.
Por otro lado, se regirn por sus disposiciones especficas, y por lo especialmente previsto, en
su caso, por esta Ley Orgnica los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislacin de rgimen electoral.
b) Los que sirvan a fines exclusivamente estadsticos, y estn amparados por la
legislacin estatal o autonmica sobre la funcin estadstica pblica.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes
personales de calificacin a que se refiere la legislacin del Rgimen del personal de
las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imgenes y sonidos obtenidos mediante la utilizacin de
videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislacin sobre la materia.
El problema que surge al regular cualquier derecho fundamental es que debe hacerse sin
poner en peligro otros derechos fundamentales. Sin embargo, el que dos derechos no entren
en colisin es prcticamente utpico (De Miguel y Oltra, 2007). En la proteccin de datos,
normalmente se entrar en colisin con otros dos derechos fundamentales:
el derecho a la informacin,
la libertad de expresin.
Qu hacer entonces? Los Tribunales aplican en este caso el principio de proporcionalidad,
pues habr que ver en cada caso concreto qu derecho prevalece. El derecho a la informacin
no es un derecho absoluto, como tampoco lo es la libertad de expresin, y normalmente los
Jueces y Magistrados siempre se volcarn ms hacia la intimidad del individuo que hacia los
otros derechos. Otra cosa ser que haya razones de inters general que aconsejen otra

3

medida (recordemos el caso Maeso
1
). En cualquier caso, tanto el Tribunal Constitucional como
el Tribunal Supremo (por ejemplo, en el Caso Naseiro
2
) resuelven normalmente que el
derecho a la intimidad prevalece frente al derecho a la informacin.
1.2. Conceptos esenciales
El art. 2.4 de la LOPD nos da una serie de definiciones necesarias para comprender la Ley:
a) Datos de carcter personal: Cualquier informacin concerniente a personas fsicas
identificadas o identificables.
b) Fichero: Todo conjunto organizado de datos de carcter personal, cualquiera que
fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
c) Tratamiento de datos: Operaciones y procedimientos tcnicos de carcter
automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin,
modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: Persona fsica o jurdica, de naturaleza
pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y
uso del tratamiento.
e) Afectado o interesado: Persona fsica titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente artculo.
f) Procedimiento de disociacin: Todo tratamiento de datos personales de modo que la
informacin que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: La persona fsica o jurdica, autoridad pblica, servicio o
cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento. (En una empresa ser normalmente el
responsable informtico).
h) Consentimiento del interesado: Toda manifestacin de voluntad, libre, inequvoca,
especfica e informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernen.
i) Cesin o comunicacin de datos: Toda revelacin de datos realizada a una persona
distinta del interesado. (Por ejemplo, con fines publicitarios o entre empresas
ubicadas en diferentes pases).
j) Fuentes accesibles al pblico: Aquellos ficheros cuya consulta puede ser realizada por
cualquier persona, no impedida por una norma limitativa, o sin ms exigencia que, en
su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes de
acceso pblico, exclusivamente, el censo promocional
3
, los repertorios telefnicos en

1
Una noticia relacionada con el caso en: http://www.abc.es/hemeroteca/historico-22-05-
2007/abc/Valencia/caso-maeso-sentencia-justa-pero_1633246841016.html (accesible
noviembre 2011).
2
Ver el artculo sobre pruebas ilcitas de este link:
http://noticias.juridicas.com/articulos/65-Derecho%20Procesal%20Penal/201012-
2317895412.html (accesible noviembre 2011).
3
No hay que confundir el censo promocional (disponible para el pblico) con el electoral ni
con el padrn municipal (datos reservados, slo con fines estadsticos). El censo promocional
slo incluira nombre, apellidos y direccin. Adems, en cuanto a los medios de comunicacin

4

los trminos previstos por su normativa especfica y las listas de personas
pertenecientes a grupos de profesionales (siempre que hayan prestado su
consentimiento) que contengan nicamente los datos de nombre, ttulo, profesin,
actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo.
Asimismo, tienen el carcter de fuentes de acceso pblico, los Diarios y Boletines
oficiales y los medios de comunicacin.
Qu entiende la LOPD por calidad de los datos? Se hace referencia a que los datos sean
adecuados, pertinentes o no excesivos en relacin con el mbito y finalidades legtimas para
las que se hayan obtenido. No podrn usarse para finalidades distintas de aquellas para las
que fueron recogidos. Debern ser exactos y puestos al da. Si son inexactos o estn
incompletos deben ser cancelados o sustituidos por los correctos. Sern cancelados cuando
dejen de ser necesarios. No podrn ser conservados una vez que dejen de ser tiles para la
funcin prevista, con excepcin de la legislacin especfica prevista al efecto.
Se almacenarn de forma tal que permitan el ejercicio del derecho de acceso a los mismos
del afectado. Obviamente, existe la prohibicin de recogida de datos por medios
fraudulentos, desleales o ilcitos, lo que no quiere decir que existan mtodos de recogida de
datos que, an siendo legales, son cuanto menos poco ticos.
Datos especialmente protegidos (arts. 7 y 8) son los referentes a sexo, salud, ideologa,
religin o creencias, salvo que el afectado consienta expresamente y por escrito su uso.
Existe una obligacin de advertir al interesado su derecho a no prestar su consentimiento. Es
decir, que en este caso no cabe marcar la casilla para no utilizarlos. Slo podrn recabarse
datos que se refieran al origen racial, salud o vida sexual por razones de inters general segn
lo disponga una ley, o el afectado consienta expresamente. Slo se podrn recabar estos
cuando sean absolutamente necesarios para los fines de una investigacin concreta realizada
por las Fuerzas y Cuerpos de Seguridad, o en el seno de una fundacin, sindicato, iglesia...
con finalidad poltica, filosfica, religiosa o sindical.
Las instituciones y los centros sanitarios pblicos y privados y los profesionales
correspondientes podrn proceder al tratamiento de los datos de carcter personal relativos a
la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo
con lo dispuesto en la legislacin estatal o autonmica sobre sanidad.
Asimismo, los datos relativos a la comisin de infracciones penales o administrativas slo
podrn incluirse en los ficheros pblicos por las Administraciones competentes de acuerdo con
lo previsto en sus normas reguladoras.

1.3. Seguridad en la recogida y el tratamiento de datos
Es en la seguridad de los datos (art. 9) donde el profesional informtico debe poner especial
atencin. El responsable de los datos deber adoptar las medidas necesarias de ndole tcnica
y organizativa para mantener la seguridad de los datos. Deber evitar su alteracin, prdida,
tratamiento y acceso no autorizado, por accin humana o del medio.
Se prohbe el registro de datos en ficheros que no renan las condiciones que
reglamentariamente se establezcan en relacin con la integridad, seguridad de los datos y
con las de los centros de tratamientos, locales, equipos, sistemas y programas. Ms adelante
veremos el reglamento que desarrolla este punto.

ntese en cualquier peridico que, as como la lista de fallecidos incluye nombre y apellidos,
la lista de nacimientos es una nota simple con el nombre de los nios (sin apellido).

5

No slo ticamente, sino tambin legalmente, el profesional est obligado al deber de
secreto (art. 10). Esta obligacin afecta al responsable del fichero y dems personas que
intervengan en cualquier fase del tratamiento de los datos de carcter personal (por ejemplo,
el encargado del tratamiento), incluso despus de haber finalizado la relacin con el titular o
el responsable del fichero.
Imprescindible ser el consentimiento del afectado (art. 6, 11). Salvo para aquellos casos en
que la Ley prevea que el consentimiento habr de otorgarse expresamente, podr otorgarse
tcitamente o de modo presunto (marcar casilla). Y, como ya hemos dicho, para que el
consentimiento sea vlido se requiere que los datos no se recaben por medios fraudulentos,
desleales o ilcitos.
El consentimiento podr ser revocado en cualquier momento por causa justificada, pero no se
le podrn atribuir efectos retroactivos a la revocacin.
La Agencia Espaola de Proteccin de Datos (AEPD) indica que ser requisito para la validez
del consentimiento que de modo previo e inequvoco se advierta al interesado de la
existencia de un fichero, de la finalidad del mismo, de los destinatarios de la informacin, del
carcter obligatorio o facultativo de sus respuestas a las preguntas planteadas, de las
consecuencias de la obtencin de los datos o de la negativa a suministrarlos, de la posibilidad
de ejercitar los derechos de acceso, rectificacin y cancelacin y de la identidad y direccin
del responsable del fichero. Por tanto, cuando se utilicen cuestionarios u otros impresos para
la recogida figurarn las advertencias sealadas.
El consentimiento para la cesin de datos habr de ser previo; adems se requiere que el
cesionario sea determinado o determinable, siendo nulo el consentimiento en caso contrario.
Tambin ser nulo el consentimiento cuando no conste la finalidad de la cesin. Especial
cuidado habr que tener cuando esa cesin se haga a una organizacin que se encuentre en
otro pas, tal como veremos ms adelante.
Aunque el afectado no otorgue su consentimiento, existen las siguientes excepciones:
que una ley disponga otra cosa.
que se recojan en fuentes accesibles al pblico.
que se refieran a personas vinculadas por una relacin de negocios, laboral
administrativa o un contrato y sean necesarias para el mantenimiento de las
relaciones o para el cumplimiento del contrato.
que la cesin que deba efectuarse tenga por destinatario el Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de las
funciones que tienen atribuidas.
cuando la cesin se produzca entre las Administraciones Pblicas y el objeto
sea el tratamiento posterior de los datos con fines histricos, estadsticos o
cientficos.
cuando la cesin de datos de carcter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero
automatizado, o para realizar los estudios epidemiolgicos en los trminos
establecidos en la Ley General de Sanidad.


6

1.4. Derechos de los particulares
1.4.1. Derecho de informacin (art. 13)
El Registro General de Proteccin de Datos en la Agencia Espaola de Proteccin de Datos,
tiene asignada la misin de dar a conocer la existencia de los ficheros de datos de carcter
personal, para hacer posible el ejercicio de los derechos de acceso, rectificacin y
cancelacin. Es un registro de consulta pblica y gratuita.
Un tema importante es conocer contra quin se podr reclamar. Si en la AEPD no dice lo
contrario, se entender que el responsable del fichero es el titular del mismo. Si el fichero
est a nombre de una empresa, entonces el responsable podra ser el titular de la empresa o
el arrendatario caso de estar esta arrendada.
1.4.2. Derecho de acceso (art. 14)
Es la capacidad que se reconoce al afectado de recabar informacin de sus datos de carcter
personal incluidos y tratados en los ficheros automatizados, en intervalos no inferiores a doce
meses, salvo que el interesado acredite un inters legtimo. El acceso podr consistir en la
mera consulta de los ficheros por medio de la visualizacin, o en la comunicacin de los datos
pertinentes por escrito, copia o telecopia, certificada o no. La informacin deber ser legible
e inteligible cualquiera que sea el medio utilizado (sin usar claves ni cdigos).
Ese derecho se ejercer mediante solicitud o peticin dirigida al responsable del fichero,
formulada mediante cualquier medio que garantice la identificacin del afectado (correo
certificado, burofax o requerimiento notarial con copia de DNI o Pasaporte) y en la que
conste el fichero o ficheros a consultar.
El responsable del fichero resolver la peticin de acceso en el plazo mximo de un mes a
contar desde la recepcin de la solicitud. Transcurrido este perodo de tiempo se entender
desestimada. Si fuera estimatoria el acceso se har efectivo en el plazo de diez das.
En el caso de los ficheros de titularidad privada slo podr denegarse el acceso cuando la
solicitud sea llevada a cabo por persona distinta del afectado. En el caso de los ficheros de
titularidad pblica se podrn denegar en el caso de los ficheros de las Fuerzas y Cuerpos de
Seguridad para fines policiales, que contengan datos de carcter personal, cuando su
ejercicio pudiera ser una amenaza contra la defensa del Estado, la Seguridad Pblica, la
proteccin de derechos y libertades de terceros, las necesidades de las investigaciones que se
estn realizando por parte de los Cuerpos y Fuerzas de Seguridad.
En el caso de los ficheros de la Hacienda Pblica podr denegarse cuando se obstaculicen
actuaciones administrativas para asegurar el cumplimiento de las obligaciones tributarias.
En el caso de las Administraciones Pblicas en general, podr denegarse cuando concurran
algunas de las siguientes circunstancias: razones de inters general o intereses de terceros
ms dignos de proteccin. La existencia de un inters pblico prevalente o intereses de
terceros ms dignos de proteccin, deber llevarse a cabo mediante resolucin motivada del
rgano administrativo responsable del fichero.
El afectado al que se deniegue estos derechos podr ponerlo en conocimiento del Director de
la Agencia de Proteccin de Datos, que se asegurar de la procedencia o improcedencia de la
denegacin. Este derecho slo podr ser ejercido en intervalos superiores a doce meses, salvo
que el afectado acredite un inters legtimo, en cuyo caso podr ejercitarse antes.

7

1.4.3. Derechos de rectificacin y cancelacin (arts. 15 y 16)
El responsable del fichero tiene la obligacin de mantener la exactitud de los datos, esto es,
la facultad o capacidad del afectado por la que puede instar al responsable del fichero, a
cumplir la obligacin de mantener la exactitud de los datos, rectificando o cancelando los
datos de carcter personal cuando resulten incompletos o inexactos, o bien sean inadecuados
o excesivos, en su caso.
Cuando los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable
del fichero deber notificar la rectificacin y cancelacin efectuada al cesionario.
El derecho se ejercer mediante solicitud o peticin dirigida al responsable del fichero,
formulada mediante cualquier medio que garantice la identificacin del afectado y en la que
consten los datos que hay que cancelar o rectificar y el fichero o ficheros en que se
encuentran.
La rectificacin se har efectiva por el responsable del fichero dentro de los cinco das
siguientes al de la recepcin de la solicitud. Si los datos rectificados o cancelados hubieran
sido cedidos previamente, el responsable del fichero deber notificar la rectificacin o
cancelacin efectuada al cesionario en el plazo de cinco das. Si el titular considera que no
procede acceder a lo solicitado se lo comunicar motivadamente en el plazo de cinco das. Si
transcurrido el plazo de cinco das no contesta, podr entenderse su peticin desestimada.
En el caso tanto de los ficheros privados como de los ficheros pblicos existe un deber de
conservacin de los datos para el plazo que se establezca en cada caso por la legislacin
aplicable y, en todo caso, cuando su cancelacin pudiese causar perjuicio al afectado o a
terceros. Esta disposicin es comn a ambos tipos de ficheros.
La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de
las Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripcin de stas.
Cumplido el citado plazo deber procederse a la supresin.
Existen unas excepciones especficas previstas para los ficheros pblicos que podrn denegar,
adems, en los siguientes casos:
En el caso de los ficheros de las Fuerzas y Cuerpos de Seguridad para fines
policiales que contengan datos de carcter personal, cuando su ejercicio
pudiera ser una amenaza contra la defensa del Estado, la Seguridad Pblica,
la proteccin de derechos y libertades de terceros, las necesidades de las
investigaciones que se estn realizando por parte de los Cuerpos y Fuerzas de
Seguridad.
En el caso de los ficheros de la Hacienda Pblica podr denegarse cuando se
obstaculicen actuaciones administrativas para asegurar el cumplimiento de
las obligaciones tributarias.
En el caso de las Administraciones Pblicas en general podr denegarse
cuando concurran algunas de las circunstancias siguientes: razones de inters
general, intereses de terceros ms dignos de proteccin.
La existencia de un inters pblico prevalente o intereses de terceros ms dignos de
proteccin, deber llevarse a cabo mediante resolucin motivada del rgano administrativo
responsable del fichero.

8

Nuevamente, el afectado al que se deniegue estos derechos podr ponerlo en conocimiento
del Director de la Agencia de Proteccin de Datos, que se asegurar de la procedencia o
improcedencia de la denegacin.
1.4.4. Infracciones (arts. 43-49)
Los responsables de los ficheros estn sujetos al rgimen sancionador establecido en la LOPD.
Existe una serie de comportamientos que se califican como infracciones leves, graves y muy
graves.
En el caso de utilizacin o cesin ilcita de datos que atenten contra los derechos
fundamentales, el Director de la AEPD podr requerir a los responsables de los ficheros, tanto
pblicos como privados, la cesacin de la utilizacin o cesin ilcita de los datos. Si se
desatiende el requerimiento, se podrn inmovilizar los ficheros mediante resolucin
motivada. Las infracciones y las funciones de la AEPD no son de aplicacin a los ficheros cuyos
responsables sean las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el
Consejo General del Poder Judicial o el Tribunal Constitucional.
Las sanciones figuran en el art.45 y el procedimiento sancionador en el art. 47. El
procedimiento sancionador se iniciar siempre de oficio mediante acuerdo del Director de la
AEPD, bien por denuncia de un afectado o afectados o por propia iniciativa. Contra las
resoluciones de la AEPD proceder recurso contencioso-administrativo. Las lesiones que el
incumplimiento de los preceptos de esta Ley Orgnica pueda producir al afectado, en sus
bienes o derechos, generan derecho de indemnizacin, bien de acuerdo con el procedimiento
establecido de responsabilidad de las Administraciones Pblicas, en el caso de los ficheros de
titularidad pblica, o bien ante los Tribunales ordinarios para los ficheros de titularidad
privada.
1.4.5. Movimiento transnacional de datos
Las leyes espaolas, siguiendo recomendaciones del Consejo de Europa, prohben la salida de
territorio nacional de datos de carcter personal a pases con un nivel de proteccin inferior.
Es un intento de evitar parasos informticos. La LOPD establece una serie de excepciones a
la norma general como:
a) Cuando la transferencia internacional de datos de carcter personal resulte
de la aplicacin de tratados o convenios en los que sea parte Espaa.
Normalmente todos los pases de la Unin Europea cumplen este requisito por
transposicin de la Directiva, por lo tanto se presupone la proteccin
equiparable.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio
judicial internacional.
c) Cuando la transferencia sea necesaria para la prevencin o para el
diagnstico mdico, la prestacin de asistencia sanitaria o tratamiento
mdicos o la gestin de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislacin
especfica.
e) Cuando el afectado haya dado su consentimiento inequvoco a la
transferencia prevista.

9

f) Cuando la transferencia sea necesaria para la ejecucin de un contrato entre
el afectado y el responsable del fichero o para la adopcin de medidas
precontractuales adoptadas a peticin del afectado.
g) Cuando la transferencia sea necesaria para la celebracin o ejecucin de un
contrato celebrado o por celebrar, en inters del afectado, por el responsable
del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la
salvaguarda de un inters pblico. Tendr esta consideracin la transferencia
solicitada por una Administracin fiscal o aduanera para el cumplimiento de
sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
j) Cuando la transferencia se efecte, a peticin de persona con inters
legtimo, desde un Registro Pblico y aqulla sea acorde con la finalidad del
mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unin
Europea, o un Estado respecto del cual la Comisin de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza
un nivel de proteccin adecuado.
Una situacin particular se produce con Estados Unidos, ya que la Unin Europea firm el 26
de julio de 2000 un acuerdo denominado puerto seguro (safe harbour) por el que las
empresas estadounidenses que cumplan unos requisitos bsicos pasan a formar parte de un
lista por el que se permite la cesin de datos a stas. Dicho listado est disponible en la
pgina web del Departamento de Comercio de Estados Unidos:
http://export.gov/safeharbor/index.asp (accesible octubre de 2011).
Con otros pases habr que consultar los convenios aplicables. En ocasiones puede existir la
proteccin necesaria para los ficheros pblicos y no para los privados, o viceversa. Si no hay
acuerdo, entonces ser obligatoria la solicitud ante el Director de la AEPD.

1.5. Cesin de datos versus tratamiento de datos por cuenta de terceros
Las dos situaciones pueden sugerir confusin pues en ocasiones no quedan muy claras. En la
primera la organizacin a quien se ceden los datos har en tratamiento por s misma,
mientras que en la segunda ser por cuenta de la propia organizacin.
En la cesin, el responsable del fichero tiene obligacin de informar a los afectados indicando
la finalidad del fichero, la naturaleza de los datos y el nombre y direccin del cesionario.
Normalmente se incluye una clusula en la cual se establece que el afectado acepta la cesin
de sus datos entre compaas del mismo grupo y/o sus agentes comerciales. Es decir, una
organizacin nos solicita acceso a nuestra base de datos de clientes para enviarles su propia
publicidad a cambio de una remuneracin econmica.
Sin embargo, en el tratamiento por cuenta de terceros podemos contratar con una empresa
que nos realice nuestra publicidad, por lo que ser necesario que tenga acceso a los datos de
los clientes. Por ello la ley no exige consentimiento expreso para la comunicacin de datos
personales, pero s que sta sea regulada a travs de un contrato en el que el tercero que

10

accede a la informacin se comprometa a garantizar el cumplimiento de la Ley en los mismos
trminos en que sta obliga al titular de los datos. Finalizado el contrato, los datos son
devueltos.

2. Gua para el profesional
Sera necesaria una metodologa para implantar la LOPD en las organizaciones. Proponemos
que conste de las siguientes fases:
1. Nombrar al responsable del fichero y al encargado del tratamiento.
2. Formar una comisin en la que estn representados: informtica, asesora
jurdica, seguridad, auditora interna y el responsable del fichero.
3. Determinar el mbito interno de aplicacin, decidiendo los ficheros que
tienen almacenados datos de carcter personal (nminas, clientes, etc.).
4. Mantener entrevistas con tcnicos de la organizacin que manejen datos
personales.
5. Revisar las polticas y normas de la empresa relacionadas con la
confidencialidad de los datos y su grado de cumplimiento.
6. Elaborar fichas individualizadas por ficheros para conocer la informacin que
contienen, tipo y origen de la misma, finalidad y medidas de seguridad del
fichero, formas de acceso, actualizacin y posibles usos secundarios.
7. Estudiar y analizar desde el punto de vista legal el contenido de cada fichero.
8. Examinar las medidas de seguridad de carcter fsico, lgico y tcnico-
organizativo y comprobar que est asignada la responsabilidad de cada
fichero.
9. Emitir recomendaciones sobre el establecimiento o reforzamiento de medidas
de seguridad.
10. Adoptar criterios para abordar la normativa a contemplar o desarrollar.
11. Divulgar entre los empleados de la empresa la importancia y repercusiones de
la LOPD.
12. Redactar una normativa a aplicar en la organizacin.
13. Implantar medidas de control y seguridad internas.
14. Implantar auditoras informticas peridicas.
2.1. Las listas Robinson
Estas listas son elaboradas con todas las garantas legales por la Federacin Espaola de
Comercio electrnico y Mrketing Directo, de manera que elaboran unas listas de posibles
clientes en funcin de sus preferencias a la hora de recibir publicidad u otro tipo de
promociones. Las empresas adheridas a la federacin tienen acceso a ellas y las personas
inscritas la posibilidad de solicitar la cancelacin y supresin de sus datos en todo momento.

11

Es una buena posibilidad, al igual que el censo promocional pero ms personalizado, de
realizar envos publicitarios de manera legal, pues en internet proliferan diversas bases de
datos totalmente ilegales que pueden plantear problemas a las organizaciones poco
cautelosas.
2.2. Especial atencin a los trabajadores en la organizacin
Un problema que puede presentarse en ocasiones es el uso de internet, o concretamente el
uso del email en el trabajo, por el conflicto que genera entre la intimidad de los trabajadores
y sus empleadores.
En principio, el email personal puede asemejarse al registro de una carta o taquilla del
trabajador. Por lo tanto, si se realiza debe ser de manera excepcional, durante el horario
laboral y con la presencia de otro trabajador. Incluso en ciertos casos ser necesaria una
orden judicial.
Un dato personal sera asimismo el resultado mdico de una revisin anual, en la que la
organizacin slo debe conocer si el trabajador es apto o no apto para el trabajo que debe
desempear, pero cuyos resultados concretos (anlisis de sangre, por ejemplo) pertenecen a
su intimidad.
Algunos datos de los empleados deben guardarse un cierto tiempo aunque se termine una
relacin laboral, por lo que se podr pedir su no uso pero no su cancelacin.
Ahora bien, podemos encontrar recursos compartidos, como un email genrico o las agendas
compartidas. En este caso, no estaramos hablando de un dato personal.
El empresario, sin embargo, puede controlar el uso numrico que los trabajadores realicen
de los recursos informticos mediante tarificadores que midan el nivel de uso, descargas
realizadas, etc., siempre que no se entre en el contenido. En cualquier caso, es importante
que la empresa tenga una poltica concreta de uso que sea conocida de antemano por sus
empleados. Por ejemplo, en algunas empresas el asunto debe ir precedido por la palabra
personal para que se sepa que es un correo de este tipo.
En cuanto a los sistemas de vigilancia, nunca pueden grabar conversaciones ni colocarse en
lugares como la sala de trabajadores, vestuarios o baos.

3. La Agencia Espaola de Proteccin de Datos (AEPD)
La Agencia Espaola de Proteccin de Datos es un Ente de Derecho Pblico, con personalidad
jurdica propia y plena capacidad pblica y privada. Acta con plena independencia de las
Administraciones Pblicas en el ejercicio de sus funciones (lo que no quiere decir que sea
totalmente independiente pues quedar sometida al Tribunal de Cuentas). Entra por tanto en
la categora de Administraciones independientes excluidas de la LOFAGE (Ley 6/1997, de 14
de abril, de Organizacin y Funcionamiento de la Administracin General del Estado).
Su finalidad principal es velar por el cumplimiento de la legislacin sobre proteccin de datos
personales y controlar su aplicacin, en especial en lo relativo a los derechos de informacin,
acceso, rectificacin y cancelacin de datos. Para el cumplimiento de esta misin, la Agencia
realiza campaas de divulgacin para una mejor defensa de los derechos de los ciudadanos.
Son funciones de la AEPD:

12

1. Atender las peticiones y reclamaciones presentadas por los afectados.
2. Proporcionar informacin acerca de sus derechos.
3. Ejercer la potestad sancionadora, en los trminos previstos en la ley.
4. Ordenar el cese o inmovilizacin de los ficheros que proceda.
5. Inspeccionar los ficheros, recabando cuantas informaciones se precisen
para el cumplimiento de sus cometidos.
6. Ejercer el control y adoptar las autorizaciones que procedan en relacin a
los movimientos internacionales de datos.
La estructura de la AEPD se muestra en el siguiente organigrama:

Ilustracin 1. Organigrama de la AEPD. Fuente: www.agpd.es (accesible octubre 2011).

De un modo ms esquemtico:
Registro General Inspeccin de Datos Secretara General
Director de la Agencia Consejo consultivo
Agencia de Proteccin de Datos

Ilustracin 2. Organigrama de la AEPD. Fuente: De Miguel y Oltra (2007).

Como podemos observar, en la actualidad la AEPD ha creado un servicio especfico para
relaciones internacionales.
El Registro General de Proteccin de Datos puede dar informacin al ciudadano sobre los
ficheros que estn registrados. De este modo, sern objeto de inscripcin en el Registro
General de Proteccin de Datos:
a) Los ficheros de que sean titulares las Administraciones Pblicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los cdigos tipo (o cdigos voluntarios de conducta) a que se refiere la Ley.

13

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos
de informacin, acceso, rectificacin, cancelacin y oposicin.
Cualquier persona podr ejercitar su derecho de acceso recabando a tal fin la informacin
oportuna del Registro. Su consulta ser pblica y gratuita.
Cuando se inscribe un fichero se proporcionan las caractersticas del fichero, no el fichero
en s. Por ello, no es necesario renovar la inscripcin si aumentan o disminuyen los
particulares inscritos sino cuando cambian esas caractersticas (por ejemplo, se cambian las
finalidades). Adems, los ficheros pblicos deben publicitarse en un diario oficial.
El registro de la AEPD funciona con silencio positivo. Si ha pasado un mes desde que se envi
el fichero y la agencia no ha dicho nada en contra, se entiende aceptado y registrado. El
registro es gratuito y cualquier persona puede realizarlo a travs de la pgina web de la
AEPD. Incluso si es preciso, se dispone de un sistema para evaluar previamente el fichero
(herramienta de evaluacin EVALUA
4
).
El Registro General de Proteccin de Datos en la Agencia de Proteccin de Datos, tiene
asignada la misin de dar a conocer la existencia de los ficheros de datos de carcter
personal, para hacer posible el ejercicio de los derechos de acceso, rectificacin y
cancelacin.
Segn la AEPD, en el Registro General queda inscrita una descripcin de los ficheros que
tienen la obligacin legal de inscribirse. Por tanto, se puede averiguar mediante consulta al
Registro informacin de aspectos determinados de los ficheros, tales como su finalidad,
estructura, identidad del responsable del fichero, ubicacin, cesiones previstas..., pero la
Agencia no dispone de los datos personales de los afectados.
La Inspeccin de Datos es el rgano de la Agencia al que corresponde el ejercicio de la
potestad inspectora. A tal efecto se podrn examinar los soportes de informacin y equipos
fsicos, requerir la documentacin de los programas y realizar auditoras.
Los rganos de las Comunidades Autnomas podrn ejercer funciones de seguimiento y
control de la AEPD, cuando se trate de ficheros de carcter personal creados o gestionados
por las propias Comunidades. Es decir, que las Comunidades Autnomas podrn crear sus
propias agencias pero slo para ficheros pblicos de sus propias administraciones.
Las Comunidad Autnomas al crear y mantener sus propios registros de ficheros pblicos para
el ejercicio de sus competencias, debern notificarlo a la AEPD e inscribindolos en el
Registro General. Sin embargo, se excluye la administracin y control de ficheros privados.
El Director de la AEPD podr convocar regularmente a dichos entes a efectos de cooperacin
institucional y coordinacin de criterios o procedimientos de actuacin, e impugnar cualquier
resolucin de una Administracin Autonmica contraria a la ley; asimismo, podrn solicitarse
mutuamente la informacin necesaria para el cumplimiento de sus funciones. Sin embargo,
este tipo de AEPD autonmicas todava no han sido creadas en todas las Comunidades
Autnomas y, particularmente, no se ha creado en la Comunidad Valenciana.
Como ya hemos visto antes, el ejercicio de todos estos derechos es controlado por la AEPD
que controla y asegura que las bases de datos cumplan unos requisitos y que, en caso de
infraccin, podamos acudir a ella antes de ir a los tribunales (esta opcin es potestativa, no
obligatoria). Es autnoma, lo que quiere decir que es un organismo no integrado en un
Ministerio u otra entidad pblica. Es por s misma una Administracin Pblica. Podramos

4
Accesible en: http://www.agpd.es/portalwebAGPD/index-ides-idphp.php (noviembre 2011).

14

decir que aquello que no est inscrito en la AEPD no puede darnos confianza, ms an, no
sera legal puesto que se exige que las bases de datos que hayan sido sometidas a tratamiento
se inscriban en este rgano.
La funcin de la Agencia es informar al afectado para que pueda ejercer los derechos que la
Ley le reconoce. Para el caso de que el responsable del fichero desatienda la solicitud del
afectado, est previsto el Procedimiento de Tutela de Derechos.
En el siguiente esquema se representa brevemente cmo reclamaramos ante la APD.

AEPD







Imagen 3. Reclamacin ante la AEPD. De Miguel y Oltra (2007)

Si la organizacin que trata los datos no proporciona el derecho de acceso en 1 mes desde la
solicitud, o no rectifica o cancela los datos pasados 10 das desde el acceso, se presentar la
denuncia ante el Director de la agencia. La AEPD tendr que dictar resolucin en 6 meses
como mximo. Las resoluciones de la agencia agotan la va administrativa, por eso si no se
est de acuerdo con su resolucin habr que acudir a la jurisdiccin ordinaria a travs de un
recurso contencioso-administrativo. Adems la responsabilidad civil (o indemnizacin
econmica) podr exigirse en un periodo de 4 aos desde el hecho causante.
Otro tema importante es conocer contra quin se podr reclamar. Si en la AEPD no se dice lo
contrario, se entender que el responsable del fichero es el titular del mismo. Si el fichero
est a nombre de una empresa, entonces el responsable podra ser el titular de la empresa.
Por ltimo hay que tener en cuenta que determinadas conductas, adems de suponer una
infraccin de la LOPD (leve, grave o muy grave), podrn suponer un delito de acuerdo con el
Cdigo Penal.
3.1. Infracciones (arts. 43-49 LOPD)
3.1.1. Leves:
a) No atender, por motivos formales, la solicitud del interesado de rectificacin o
cancelacin de los datos personales objeto de tratamiento cuando legalmente
proceda.
Ficheros no inscritos Ficheros inscritos
Jurisdiccin ordinaria
(o si personas jurdicas)
1 Se reclama acceso (1 mes)
2. Rectificacin/cancelacin (10 das)
3. Denuncia ante APD
4. Jurisdiccin ordinaria

15

b) No proporcionar la informacin que solicite la Agencia de Proteccin de Datos en
el ejercicio de las competencias que tiene legalmente atribuidas, en relacin con
aspectos no sustantivos de la proteccin de datos.
c) No solicitar la inscripcin del fichero de datos de carcter personal en el Registro
General de Proteccin de Datos, cuando no sea constitutivo de infraccin grave.
d) Proceder a la recogida de datos de carcter personal de los propios afectados sin
proporcionarles la informacin que seala el artculo 5 de la Ley.
e) Incumplir el deber de secreto establecido en el artculo 10 de la Ley, salvo que
constituya infraccin grave.
3.1.2. Graves:
a) Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de
datos de carcter personal para los mismos, sin autorizacin de disposicin
general, publicada en el Boletn Oficial del Estado o diario oficial
correspondiente.
b) Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de
datos de carcter personal para los mismos con finalidades distintas de las que
constituyen el objeto legtimo de la empresa o entidad.
c) Proceder a la recogida de datos de carcter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos en que ste sea
exigible.
d) Tratar los datos de carcter personal o usarlos posteriormente con conculcacin
de los principios y garantas establecidos en la Ley o con incumplimiento de los
preceptos de proteccin que impongan las disposiciones reglamentarias de
desarrollo, cuando no constituya infraccin muy grave.
e) El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y
oposicin y la negativa a facilitar la informacin que sea solicitada.
f) Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o
cancelaciones de los mismos que legalmente procedan cuando resulten afectados
los derechos de las personas que la Ley ampara.
g) La vulneracin del deber de guardar secreto sobre los datos de carcter personal
incorporados a ficheros que contengan datos relativos a la comisin de
infracciones administrativas o penales, Hacienda Pblica, servicios financieros,
prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros
ficheros que contengan un conjunto de datos de carcter personal suficientes
para obtener una evaluacin de la personalidad del individuo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de
carcter personal sin las debidas condiciones de seguridad que por va
reglamentaria se determinen.
i) No remitir a la Agencia de Proteccin de Datos las notificaciones previstas en esta
Ley o en sus disposiciones de desarrollo, as como no proporcionar en plazo a la
misma cuantos documentos e informaciones deba recibir o sean requeridos por
aqul a tales efectos.

16

j) La obstruccin al ejercicio de la funcin inspectora.
k) No inscribir el fichero de datos de carcter personal en el Registro General de
Proteccin de Datos, cuando haya sido requerido para ello por el Director de la
Agencia de Proteccin de Datos.
l) Incumplir el deber de informacin que se establece en los artculos de la Ley,
cuando los datos hayan sido recabados de persona distinta del afectado.
3.1.3. Muy graves:
a) La recogida de datos en forma engaosa y fraudulenta.
b) La comunicacin o cesin de los datos de carcter personal, fuera de los casos en
que estn permitidas.
c) Recabar y tratar los datos de carcter personal a los que se refiere el apartado 2
del artculo 7 cuando no medie el consentimiento expreso del afectado; recabar y
tratar los datos referidos en el apartado 3 del artculo 7 cuando no lo disponga
una Ley o el afectado no haya consentido expresamente, o violentar la
prohibicin contenida en el apartado 4 del artculo 7.
d) No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal
cuando sea requerido para ello por el Director de la Agencia de Proteccin de
Datos o por las personas titulares del derecho de acceso.
e) La transferencia temporal o definitiva de datos de carcter personal que hayan
sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento, con destino a pases que no proporcionen un nivel de proteccin
equiparable sin autorizacin del Director de la Agencia de Proteccin de Datos.
f) Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los
principios y garantas que les sean de aplicacin, cuando con ello se impida o se
atente contra el ejercicio de los derechos fundamentales.
g) La vulneracin del deber de guardar secreto sobre los datos de carcter personal
a que hacen referencia los apartados 2 y 3 del artculo 7, as como los que hayan
sido recabados para fines policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos de
acceso, rectificacin, cancelacin u oposicin.
i) No atender de forma sistemtica el deber legal de notificacin de la inclusin de
datos de carcter personal en un fichero.

4. Medidas de seguridad
El 25 de junio de 1999 se public en el BOE el Reglamento de Medidas de Seguridad
(994/1999), relativo a los ficheros automatizados que contengan datos de carcter personal.
Si bien fue extensible durante varios aos a cualquier tipo de fichero, este Reglamento ha
sido sustituido por el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba (tras
8 aos) el Reglamento de desarrollo de la LOPD. La publicacin de este reglamento supone un
paso en firme por parte de la administracin espaola para completar la Ley con un

17

instrumento tcnico que facilite la labor de la Agencia Espaola de Proteccin de Datos a la
hora de velar por el cumplimiento de la legislacin y controlar su aplicacin.
El reglamento de medidas de seguridad de ficheros con datos personales (RMSDP) establece
tres niveles de proteccin (alto arts. 101-104-, medio arts. 95-100- y bsico, arts. 89-94) y
regula aspectos tan concretos como: documentacin de seguridad reglamentaria, gestin de
soportes, copias de respaldo y recuperacin, funciones y obligaciones del personal, gestin y
registro de incidencias, identificacin y autenticacin, control de acceso lgico, rgimen de
trabajo fuera de la organizacin, ficheros temporales y control de acceso fsico.
Las medidas de seguridad se adoptarn segn los ficheros que estemos manejando y suponen
una escalera en la que, segn aumenta la seguridad, los requisitos del nivel inferior deben
de estar cubiertos. As, los datos que requieran el nivel alto deben asimismo cubrir las
medidas de los niveles: bsico y medio.
Nivel Bsico: cualquier fichero con datos personales.
Nivel Medio: ficheros de datos relativos a infracciones administrativas
o penales, Hacienda, servicios financieros, solvencia (ficheros de morosos), Seguridad Social,
Mutuas, de definicin de la personalidad.
Nivel Alto: ficheros de datos sobre ideologa, religin, creencias,
origen racial, salud, vida sexual o violencia de gnero.
4.1. Nivel bsico (arts. 89-94) del RMSDP
Se debern cumplir las siguientes medidas de seguridad:
1. Ser necesario disponer de un documento de seguridad de la organizacin, que
resuma sus actuaciones en cuanto a la proteccin de datos. Es un documento interno
que no es necesario dar de alta en la AEPD pero que, en caso de inspeccin, ser
obligatorio presentar. Debe incluir las funciones y obligaciones del personal que trata
los datos.
2. Las incidencias contempladas en un registro escrito.
3. Disponer de un protocolo para controlar el acceso a las bases de datos.
4. Disponer de una gestin controlada de soportes y documentos.
5. Disponer de mecanismos de identificacin y autenticacin de los usuarios de las bases
de datos, cambiando su contrasea al menos una vez al ao.
6. Realizar copias de seguridad, como mnimo, semanales.
Lo que se aplicar a cualquier tipo de fichero.
6.1. Nivel medio (arts. 95-100) del RMSDP
En cuanto a los ficheros de nivel medio, adems ser obligatorio:
1. Contar con un responsable de seguridad.
2. Realizar una auditora bienal (es decir, cada 2 aos).
3. Llevar un registro de entrada y salida de datos.

18

4. Establecer medidas adicionales para la identificacin y autenticacin (por ejemplo,
bloqueando el acceso despus de 3 intentos fallidos).
5. Controlar el lugar fsico en el que se accede a los datos.
6. Contar con sistemas de recuperacin en caso de incidencias.
6.3. Nivel alto (arts. 101-104) del RMSDP
Por ltimo, en los ficheros de nivel alto, adems de todas las medidas sealadas deber
incluirse:
1. Medidas de seguridad en la distribucin de soportes (por medio de claves y cifrados).
2. Contar con copias de respaldo que estn a salvo de incendios o algn tipo de
sustraccin (como por ejemplo su guarda en cajas de seguridad).
3. Guardar los registros de acceso durante 2 aos (o en algunos casos durante ms o
menos tiempo).
4. Contar con cifrado de las telecomunicaciones, especialmente en redes pblicas e
inalmbricas, mediante sistemas de encriptacin.

5. Conclusiones
Tal como hemos visto, el cumplir la normativa bsica de proteccin de datos podra resumirse
en tres puntos:
1. Dotar a los ficheros de las garantas necesarias (consentimiento, exactitud, etc.).
2. Registrarlos en el AEPD.
3. Implantar las medidas de seguridad necesarias.
Para ello, es importante que la organizacin realice un diagnstico inicial en la que analice la
legislacin aplicable en su caso y realice un inventario de sus ficheros en funcin de su
contenido y finalidad.
Adems, deber elaborar el documento de seguridad y estudiar si realiza cesin o tratamiento
de datos por cuenta de terceros, revisando los contratos al efecto.
Con la periodicidad necesaria, deber revisar el sistema por si fuera necesario comunicar a la
AEPD modificaciones sustanciales de sus bases de datos.
Por ltimo, puede ser conveniente que si ya manejamos datos de nivel medio o alto
contratemos una auditora externa peridica.

6. Ejercicios propuestos
6.1. La intervencin de las comunicaciones
El Consejo de Ministros de Justicia e Interior de la Unin Europea aprob la Directiva sobre
Retencin de Datos telefnicos y de comunicaciones electrnicas (Directiva 2006/24/CE), en

19

el marco de lucha contra el terrorismo y el crimen organizado, tras un acuerdo poltico
alcanzado y el visto bueno del Parlamento Europeo. La Directiva fue adoptada con el voto en
contra de Irlanda y Eslovaquia.
Dicha Directiva se ha materializado en Espaa en la Ley 25/2007, de 18 de octubre, de
conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de
comunicaciones. Obliga a las operadoras a retener los datos durante un periodo de entre seis
y veinticuatro meses con el fin de hacer ms eficaz la lucha contra el terrorismo y otros
delitos graves. En cualquier caso, el acceso al contenido de esas comunicaciones debe
autorizarse por un Juez.
En otros pases, como Estados Unidos, ese control puede realizarse por la propia
administracin y para ello se utilizan sistemas de intervencin de las comunicaciones como
Carnivore o Echelon (Oltra, 2001), legalizados por la propia USA Patriot Act, que
tericamente estn prohibidos en la Unin Europea.
Crees que la seguridad justifica el uso de estos sistemas?
6.2. Menores y Redes Sociales
5

Las redes sociales (RS) obtienen beneficios por medio de la publicidad personalizada que
pueden proporcionar al usuario en funcin de su perfil personal. Asimismo, el usuario puede
generar el contenido que desee, por ejemplo aadiendo una fotografa personal.
El 71% de los menores espaoles utiliza las RS. Las ms usadas en Espaa son Tuenti y
Facebook, sin embargo por edades Tuenti es preferida por los menores de 10 a 18 aos (60%
frente a 21% de Facebook). Ambas establecen un mnimo de 14 aos para ingresar en la RS, de
acuerdo con la Ley espaola 1720/2007, de 21 de diciembre, que aprueba el Reglamento de
desarrollo de la LOPD, en su artculo 13, pero es sabido que los menores de 14 aos pueden
conectarse fcilmente cambiando su edad.
Sin embargo al ingresar en una RS los menores, e incluso los adultos, rara vez leen los
trminos de uso del servicio. La normativa europea de proteccin de la privacidad es
bastante completa, pero puede plantear problemas de aplicacin. En el caso de Tuenti, al ser
una empresa espaola (adquirida en 2010 por Telefnica), estos problemas no existen pero
para aplicarla a Facebook, la Agencia Espaola de Proteccin de Datos interpreta que
deberamos entender que segn la LOPD el uso de cookies equivale al uso de un equipamiento
para procesar datos situado en territorio de la UE.
Por otro lado, la propia naturaleza de la RS hace que esto sea difcil de lograr si no es con el
apoyo de las propias RS a travs de sus polticas de uso ya que estas empresas son capaces de
desarrollar e implementar estas polticas de forma mucho ms rpida que el legislador, lo que
no significa que la autorregulacin sea un sustituto de la regulacin, sino un complemento en
el que todos los grupos de inters participen. En la UE, el EU Kids Online Project (2006-2010),
que pertenece al European Union Safer Internet Programme, consigui que desde 2009 las
principales RS que operan en la Unin Europea firmasen voluntariamente el acuerdo The
Safer Social Networking Principles for EU. Se trata de siete principios generales que las RS
deben intentar aplicar y que el propio programa evala, debiendo utilizarse como una base
para compartir buenas prcticas entre las 25 RS participantes.
Primer Principio: Suscitar la sensibilizacin sobre los mensajes orientados a la formacin en
materia de seguridad y las polticas de usos admitidos en usuarios, padres, docentes y otros

5
Un estudio ms completo en De Miguel, Oltra y Sarabdeen (2010).

20

responsables de la tutela de menores de manera que figuren de forma destacada, clara y
adaptada a la edad del destinatario.
Segundo Principio: Procurar garantizar que los servicios ofrecidos son adecuados a la edad del
usuario a quien se dirigen.
Tercer Principio: Capacitar a los usuarios mediante herramientas y aplicaciones tecnolgicas.
Cuarto Principio: Facilitar procedimientos de utilizacin sencilla para informar sobre
conductas o contenidos que supongan una vulneracin de las condiciones de servicio.
Quinto Principio: Responder a las notificaciones relativas a conductas o contenidos ilcitos.
Sexto Principio: Dotar de recursos y promover que los usuarios utilicen procedimientos
seguros en el tratamiento de la informacin personal y la privacidad.
Sptimo Principio: Evaluar los medios disponibles para la investigacin de conductas o
contenidos ilcitos o prohibidos.
Crees que estos principios son completos? Qu otras medidas aadiras?
6.3. Preguntas test
1. La directiva europea de proteccin de datos:
Extendi su aplicacin al tratamiento manual
No supuso ningn cambio en la legislacin espaola
Oblig a todos los pases miembros a una regulacin en forma de ley orgnica
2. Los datos especialmente protegidos:
No tienen un rgimen especial en la LOPD
No existe la obligacin de advertir al interesado su derecho a no prestar su consentimiento
Slo podrn recabarse por razones de inters general o que el afectado consienta expresamente
3. El derecho de acceso puede solicitarse a la empresa:
Cada mes
Cada da
Cada ao
4. En cuanto a los ficheros de titularidad pblica de la Comunidad Valenciana:
Podrn darse de alta en la AEPD espaola
Podrn darse de alta en la agencia autonmica
Es opcional publicarlos en un Diario Oficial
5. El silencio de la AEPD tras un mes de solicitar la inscripcin de un fichero se entiende:
Negativo
Positivo
Positivo pero tras dos meses
6. En cuanto al censo promocional:
No es considerado una fuente de acceso pblico

21

Nunca se puede exigir un pago por su adquisicin
La exclusin del mismo es gratuita y se realiza a peticin del interesado
7. Ante fuentes de acceso pblico:
La consulta puede ser realizada por cualquiera
Es preciso el consentimiento del afectado
El padrn municipal de habitantes es un ejemplo
8. Sistemas como Echelon o Carnivore:
Van contra la normativa europea de proteccin de datos
Son aceptados en la Unin Europea
Son aceptados a nivel mundial
9. La intervencin de las comunicaciones:
Puede realizarse por cualquier administracin pblica
Slo puede realizarse por orden judicial o en caso de terrorismo
No puede realizarse en ningn caso
10. En cuanto al movimiento internacional de datos:
EEUU cumple en todo caso los requisitos de puerto seguro
Supone una infraccin leve en caso de incumplimiento de las condiciones
La transferencia slo puede realizarse si existe un nivel de proteccin equiparable
11. Los ficheros de nivel medio deben tener una auditoria:
Anual
Trienal
Bienal
12. El reglamento de desarrollo de la LOPD:
No permite a los menores de edad dar sus datos en ningn caso
Permite a los menores que tengan menos de 14 aos dar sus datos sin consentimiento de sus
padres
Permite dar sus datos, en algunos casos, a los menores a partir de los 14 aos
13. Los datos de solvencia econmica necesitan un nivel de seguridad:
Alto
Medio
Bajo
14. Es obligatorio un documento de seguridad para todas las empresas?
S, en cuanto traten datos de carcter personal
Slo si tienen que cumplir el nivel de seguridad alto
No
15. Si se ha cometido una infraccin, se reclama a la AEPD:
Obligatoriamente

22

Potestativamente
Como nico recurso
16. El Servicio de Listas Robinson:
No ofrece la posibilidad a los consumidores de ser eliminados de las listas
Vela por la tica y la buena imagen pblica del sector del marketing directo
Est desaconsejado por la AEPD
17. La inscripcin de ficheros en el registro de la AEPD:
Es gratuita
No puede hacerse electrnicamente
Se hace previo pago de una tasa
18. El empresario puede acceder al contenido del email del trabajador:
En todo caso
Nunca
Cuando sea un email genrico de la empresa
19. Los informes del auditor:
Pueden imponer sanciones
Pueden ser prueba en juicio
Pueden proponer mejoras
20. Gracias a la auditora informtica:
Se pueden evitar prdidas econmicas
Se puede relajar el cumplimiento de normas
Se pueden evitar inversiones importantes

7. ndice
1. La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (LOPD)............................................................................................................................. 1
1.1. Objeto y sujeto de la proteccin de datos .................................................................... 1
1.2. Conceptos esenciales .................................................................................................... 3
1.3. Seguridad en la recogida y el tratamiento de datos ..................................................... 4
1.4. Derechos de los particulares ......................................................................................... 6
1.4.1. Derecho de informacin (art. 13) .......................................................................... 6
1.4.2. Derecho de acceso (art. 14) .................................................................................. 6
1.4.3. Derechos de rectificacin y cancelacin (arts. 15 y 16) ........................................ 7
1.4.4. Infracciones (arts. 43-49) ...................................................................................... 8
1.4.5. Movimiento transnacional de datos ..................................................................... 8

23

1.5. Cesin de datos versus tratamiento de datos por cuenta de terceros ......................... 9
2. Gua para el profesional ...................................................................................................... 10
2.1. Las listas Robinson ...................................................................................................... 10
2.2. Especial atencin a los trabajadores en la organizacin ............................................. 11
3. La Agencia Espaola de Proteccin de Datos (AEPD) ......................................................... 11
3.1. Infracciones (arts. 43-49 LOPD) ................................................................................... 14
3.1.1. Leves: ................................................................................................................... 14
3.1.2. Graves: ................................................................................................................. 15
3.1.3. Muy graves: ......................................................................................................... 16
4. Medidas de seguridad ......................................................................................................... 16
4.1. Nivel bsico (arts. 89-94) del RMSDP .......................................................................... 17
6.1. Nivel medio (arts. 95-100) del RMSDP ........................................................................ 17
6.3. Nivel alto (arts. 101-104) del RMSDP .......................................................................... 18
5. Conclusiones........................................................................................................................ 18
6. Ejercicios propuestos .......................................................................................................... 18
6.1. La intervencin de las comunicaciones ....................................................................... 18
6.2. Menores y Redes Sociales ........................................................................................... 19
6.3. Preguntas test ............................................................................................................. 20
7. ndice ................................................................................................................................... 22
8. Bibliografa .......................................................................................................................... 23

8. Bibliografa
Agencia Espaola de Proteccin de Datos (2011). www.agpd.es. 06/10/2011
De Miguel Molina, M. y Oltra Gutirrez, J.V. (2007). Deontologa y Aspectos Legales de la
Informtica: cuestiones jurdicas, tcnicas y ticas bsicas. Servicio de Publicaciones de la
Universidad Politcnica de Valencia, Valencia.
De Miguel Molina, M.; Oltra Gutirrez, J.V.; Sarabdeen, J. (2010). An exploratory study on the
privacy of children's images in Spain's most widely used social network sites (Tuenti and
Facebook). International Review of Law, Computers & Technology, 3(24), 277-285.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
BOE n. 298, de 14 de diciembre de 1999. Modificada por artculo 79 de la Ley 62/2003, de 30
de diciembre, de medidas fiscales, administrativas y del orden social.
Negroponte, N. (2003). Cmo vencer en la revolucin digital. Conferencia ExpoManagement
2003, Madrid.

24

Oltra Gutirrez, J.V. (2001). Echelon hoy. Novtica: Revista de la Asociacin de Tcnicos de
Informtica, 153, 52-55.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD. BOE n. 17, de 19 de enero de 2008.

Para saber mslibros en el catlogo UPV.
Arenas Ramiro, M. (2006). El derecho fundamental a la proteccin de datos personales en
Europa. Valencia: Tirant lo Blanch.
Ballesteros Moffa, L.A. (2006). La privacidad electrnica: Internet en el centro de proteccin.
Valencia: Tirant lo Blanch.
Bataller i Ruiz, E. (2009). El derecho sui generis sobre bases de datos: gnesis, evolucin y
perspectivas. Cizur Menor, Navarra: Aranzadi.
Castillo Vzquez, I.C. (2007). Proteccin de datos: cuestiones constitucionales y
administrativas: (el derecho a saber y la obligacin de callar). Madrid: Thomson Civitas.
Cotino Hueso, L. (coord.) (2008). Consumidores y usuarios ante las nuevas tecnologas.
Valencia: Tirant lo Blanch.
Cotino Hueso, L. (coord.) (2011). Libertades de expresin e informacin en Internet y las
redes sociales: ejercicio, amenazas y garantas. Valencia: Universitat de Valncia.
Daz-Arias, J.M. (2008). Gua prctica sobre normativa de proteccin de datos y publicidad
comercial. Barcelona: Deusto.
Lpez-Vidriero Tejedor, I. (2005). Proteccin de datos personales: manual prctico para
empresas. Madrid: FC Editorial.
Marzo Portera, A. (2009). Gua prctica para la proteccin de datos de carcter personal.
Barcelona: Experiencia.
Veleiro, B. (2008). Proteccin de datos de carcter personal y sociedad de la informacin.
Madrid: Boletn Oficial del Estado.
Y en general: Red Derecho TICs, http://www.derechotics.com/