Protección de datos

Normativa

El marco normativo en materia de protección de datos se recoge en las siguientes normas:

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (BOE núm. 298, Martes 14 diciembre 1999).
• Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (B.O.E. núm. 17, 19 de enero 2008).

Principios transversales

Como toda materia contiene una serie de principios generales que son transversales y que sirven de hilo conductor de la normativa. Así, la Ley orgánica 15/1999, de 13 de diciembre y el RDLOPD 1720/2007, regulan dentro de su título II los principios rectores que deben regir la protección de datos en España. La regulación gira sobre los siguientes principios básicos que han de ser respetados en todas las fases del tratamiento de los datos, cuando resulten aplicables. Estos principios son:

DERECHOS DE LAS PERSONAS: DERECHOS ARCO

Los derechos ARCO son:

• Derecho de acceso: Este derecho se identifica con la posibilidad que tiene el interesado de dirigirse al titular del fichero para solicitar y obtener información sobre sus datos de carácter personal sometidos a tratamiento, sobre su origen y las comunicaciones realizadas o que se prevean realizar de los mismos.
• Derecho de Rectificación y Cancelación: La LOPD establece en su artículo 16 LOPD y 32.2. del RDLOPD, que “el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días”.El titular de los datos puede ejercitar estos derechos cuando los datos sean inexactos, incompletos o que el tratamiento que se está realizando no se ajuste a la LOPD.

  Por otro lado, en base al artículo 4 (Principio de Calidad de los Datos), el responsable del fichero podrá modificar por propia iniciativa los datos que resulten incompletos o inexactos.

• Derecho de Oposición: Es el derecho del interesado a que sus datos no lleguen a ser tratados o introducidos en un fichero. En la legislación sobre protección de datos puede distinguir dos clases de derecho de oposición:
  • La primera es la posibilidad de los titulares para oponerse a que sus datos sean tratados con una finalidad de marketing y prospección comercial.
  • La segunda es que el interesado se podrá oponer al tratamiento de sus datos cuando existan motivos fundados y legítimos relativos a una concreta situación personal, siempre que la Ley no disponga lo contrario.
  • Derecho de impugnación: En el artículo 13 de la LOPD se indica que Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.
  • Derecho de indemnización: Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

    En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

  • Derecho de consulta al Registro General: Además de los derechos anteriormente indicados, se reconoce en el artículo 14 de la LOPD el derecho de consulta al Registro General de Protección de Datos. Este derecho consiste en poder acudir a dicho registro para obtener información sobre los ficheros tanto de naturaleza pública como privada inscritos en él (el nombre del responsable del fichero y la finalidad del mismo), y el de impugnación de valoraciones, que permite impugnar las decisiones que tengan efectos jurídicos, basadas únicamente en una evaluación de sus características o personalidad resultado de un tratamiento de datos de carácter personal.

FICHEROS DE TITULARIDAD PRIVADA

Los ficheros de titularidad privada pueden ser creados cuando resulte necesario para la actividad u objeto legítimo de la persona, empresa o entidad.

Los ficheros de titularidad privada deben tener unas finalidades determinadas, acordes con los fines institucionales o con el objeto social de la persona, entidad o empresa.

Será necesaria su notificación ante la Agencia Española de Protección de Datos (Registro General de Protección de Datos) tanto la creación como la modificación o supresión del fichero. En esta notificación deberá comunicarse como contenido, según nos indica el artículo 26.2 de la LOPD: “el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar”.

Asimismo, deberá comunicarse cualquier cambio en la finalidad, el responsable o la dirección de ubicación del fichero.

Los ficheros de datos de carácter personal de titularidad privada serán notificados a la AEPD por le persona, empresa o entidad que pretenda crearlos con carácter previo a su creación.

Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. En este caso, se cuenta con silencio positivo de la AEPD.

El procedimiento para la inscripción de ficheros consiste en la presentación de los modelos o formularios, bien en soporte electrónico o en soporte papel, de notificación de creación, modificación o supresión de ficheros, de conformidad con lo establecido en los artículos 55 a 59 del RDLOPD.

Los pasos a seguir para la inscripción de los ficheros son los siguientes:

PASO 1-Responder a las preguntas iniciales del asistente dependiendo del tipo de solicitud y forma de presentación elegido.

Inicialmente, y con el fin de preparar el formulario electrónico específicamente al tipo de solicitud y forma de envío que tiene previsto realizar, el asistente le formulará varias preguntas sobre:

• Tipo de solicitud de inscripción: Se debe señalar la casilla que corresponda, en función de si va a notificar una nueva inscripción, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Tanto para notificar una modificación como una supresión, deberá conocer determinados datos de la inscripción del fichero (código de inscripción y CIF del responsable con el que el fichero figura inscrito en el RGPD).
• Modelo de declaración: Puedes optar por utilizar una de las notificaciones tipo precumplimentadas que aparecen en el formulario o bien por utilizar el formulario electrónico vacío para ser cumplimentado de forma completa por Vd.
• Forma de presentación: Por último, debes señalar la casilla correspondiente a la forma de envío que vas a utilizar:
  • A través de Internet con certificado digital de firma electrónica.
  • A través de Internet con presentación convencional de la Hoja de solicitud.
  • Mediante formulario en soporte papel con código de barras bidimensional PDF 417.

PASO 2-Cumplimentar los apartados de la notificación. Se recomienda guardar la notificación antes de pasar a la siguiente fase de cumplimentación, ya que una vez que se haya optado por cumplimentar la Hoja de solicitud no se podrán realizar nuevos cambios en la notificación.

Tanto si ha elegido utilizar una notificación tipo como un formulario vacío, deberá cumplimentar los apartados del formulario que describan el fichero que va a ser notificado.

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) de titularidad privada se compone de 2 páginas de detalle y la correspondiente Hoja de solicitud. En este formulario son de cumplimentación obligatoria distintos apartados.

En todos los apartados se encuentra disponible la ayuda contextual y una opción que nos permite verificar si el mismo ha sido cumplimentado correctamente.

Se recomienda guardar la notificación antes de pasar a la siguiente fase de cumplimentación, ya que una vez que se hayamos optado por cumplimentar la Hoja de solicitud no se podrán realizar nuevos cambios en la notificación.

Puede imprimir un borrador de la notificación teniendo en cuenta que esta impresión no podrá ser presentada para su inscripción en la Agencia. Tenemos que tener en cuenta que cualquier cambio que necesitemos hacer en la notificación deberá realizarse mediante el formulario electrónico, ya que en cualquiera de las formas de presentación la información consignada mediante dicho formulario electrónico prevalece sobre cualquier anotación realizada de forma manual.

PASO 3-Cumplimentar la Hoja de solicitud. Una vez que se ha comprobado que los distintos apartados han sido cumplimentados correctamente, deberá cumplimentar la Hoja de solicitud. Para ello debemos pulsar el botón «Cumplimentar hoja de solicitud» que se encuentra al final del formulario.

Debemos indicar los datos identificativos de la persona que firma la solicitud y el cargo o la condición del firmante de esta solicitud en relación con el responsable del fichero.

Señalamos también la dirección completa a efectos de notificaciones (esta dirección debe cumplimentarse en todos los casos).

Si optamos por presentar la notificación a través de Internet con certificado digital de firma y disponemos de una dirección electrónica a efectos de notificaciones del Servicio de Notificaciones Electrónicas (http://notificaciones.060.es) podemos indicar esto en el apartado de Dirección electrónica servicio de notificaciones, donde se notificará la inscripción del fichero. En cualquier otro caso, la notificación será realizada a la dirección que a estos efectos se haga constar en el apartado correspondiente de la Hoja de solicitud.

Antes de realizar el envío de la notificación debemos leer y aceptar la información relativa a la LOPD.

Por último, si hemos optado por presentar la notificación a través de Internet con certificado digital de firma debemos proceder a firmar la notificación mediante el certificado de firma.

PASO 4-Generar/Enviar la notificación: En el caso de presentación a través de Internet con certificado de firma electrónica, deberá antes «Finalizar y Firmar» la notificación con su certificado de firma electrónica reconocido. En el caso de presentación en formulario en papel, deberá pulsar el botón «Finalizar formulario» que se encuentra al final de la Hoja de solicitud generándose el código de barras bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío que establece la correspondencia entre el contenido que figura en cada una de las páginas que componen el modelo de notificación y la nube de puntos generada.

Dependiendo de la forma de presentación elegida, la notificación podrá ser presentada a través de los siguientes medios:

Presentación a través de Internet con certificado de firma reconocido: Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será necesario indicar al formulario que no se van a realizar más cambios mediante el botón «Finalizar formulario» para proceder a la firma de la notificación.

En este momento aparecerá un icono en el lugar previsto para la firma de la persona que efectúa la notificación.

Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocido correspondiente a la persona que, con representación suficiente del responsable del fichero, formula la notificación. Su sistema le informará de los certificados de firma de los que dispone y una vez firmada, se enviará la notificación al Registro Telemático de la AEPD.

Una vez recibida se emite un mensaje de confirmación de la solicitud, en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. El mensaje de confirmación puede ser impreso o archivado informáticamente por el interesado y tendrá el valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999.

La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje de indicación de error implica que no se ha producido la recepción del mismo, debiendo realizarse la presentación en otro momento o utilizando otros medios.

La presentación de solicitudes, escritos y comunicaciones al Registro Telemático podrá realizarse durante las 24 horas de todos los días del año.

A través de Internet sin certificado de firma electrónica reconocido: Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, hay que enviar la notificación mediante el formulario electrónico pulsando el botón «Enviar a través de Internet» que se encuentra en la Hoja de solicitud. El formulario indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema enviará la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD.

Cuando la notificación se envíe a través de Internet sin certificado de firma reconocido, no se considera recibida la notificación hasta la entrada en la Agencia Española de Protección de Datos de la hoja de solicitud firmada de forma manual. La dirección de la AEPD es:

Agencia Española de Protección de Datos
Calle Jorge Juan, 6
28001- Madrid

Presentación en papel con código de barras bidimensional PDF 417: Una vez que hayamos cumplimentado la Hoja de solicitud, para obtener el modelo que puede ser presentado en la AEPD, debemos pulsar el botón «Finalizar formulario» que se encuentra al final de la Hoja de solicitud. En el caso de la presentación en papel, se genera el código de barras bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío que establece la correspondencia entre el contenido que figura en cada una de las páginas que componen el modelo de notificación y la nube de puntos generada. En el caso de que tengamos que realizar cambios en la notificación, debemos cumplimentar una nueva notificación y generar la correspondiente nube de puntos y código de envío. A continuación se muestra el aspecto que debe tener la Hoja de solicitud después de haber sido generada correctamente.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, imprimimos la correspondiente notificación en la que figura el código de barras bidimensional PDF 417 (nube de puntos). Una vez firmada la Hoja de solicitud por la persona que, con representación suficiente del responsable del fichero, formula la notificación, se presentará en la AEPD o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992. La dirección de la AEPD es:

Agencia Española de Protección de Datos
Calle Jorge Juan, 6
28001- Madrid