Preguntas Frecuentes – LOPD FAQs

  1. ¿Quién tiene obligación de realizar la adaptación a la LOPD (Ley de Protección de Datos)?
  2. ¿Qué infracciones y sanciones están previstas si no cumplo con la LOPD?
  3. ¿Los datos relativos a personas jurídicas son también objeto de aplicación de la LOPD?
  4. ¿Qué sucede si no notifico la existencia de ficheros en mi empresa?
  5. ¿Qué finalidad tiene la inscripción de los ficheros en la AEPD?
  6. ¿Quién es el responsable del fichero?
  7. ¿Quién es el encargado del tratamiento?
  8. ¿Qué se entiende por tratamiento de datos?
  9. ¿Qué es la cesión o comunicación de datos?
  10. ¿En qué supuestos no es necesario el consentimiento del interesado para realizar una cesión o comunicación de datos?
  11. ¿Qué es un fichero no automatizado?
  12. ¿Qué nivel de seguridad deberé adoptar si mis ficheros contienen datos relativos a menores de edad?
  13. ¿Qué nivel de seguridad deberé adoptar si tengo un fichero que contiene curriculum vitae?
  14. ¿Cuándo se aplica el nivel de seguridad básico a los datos relativos a la salud?
  15. ¿Cuándo podré aplicar el nivel de seguridad básico a un fichero que contenga datos relativos a la afiliación sindical?
  16. ¿Qué es el derecho de acceso?
  17. ¿Qué es el derecho de rectificación?
  18. ¿Qué es el derecho de cancelación?
  19. ¿Qué es el derecho de oposición?

  1. ¿Quién tiene obligación de realizar la adaptación a la LOPD (Ley de Protección de Datos)?

Las personas físicas o jurídicas, públicas o privadas u órganos administrativos que, en el ámbito de su actividad, someten a tratamiento datos de carácter personal, se encuentran obligadas a garantizar su protección. Siendo este tratamiento, tanto informático como en formato documental o papel.

 

  1.  ¿Qué infracciones y sanciones están previstas si no cumplo con la LOPD?

La Agencia Española de Protección de Datos (AEPD) es el ente con plena capacidad, que vela por el cumplimiento y ejerce la potestad sancionadora, y aplica las siguientes infracciones y sanciones:

 

–        Infracciones Leves: Multas entre 900,00 € y 40.000,00 €

–        Infracciones Graves: Multas entre 40.001,00 € y 300.000,00 €

–        Infracciones Muy Graves: Multas desde 300.001,00 € y 600.000,00 €

 

  1. ¿Los datos relativos a personas jurídicas son también objeto de aplicación de la LOPD?

No, dado que la Ley de Protección de Datos (LOPD) sólo se aplica a los datos que se refieren a las personas físicas, con el objeto de garantizar y proteger los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar.

 

  1. ¿Qué sucede si no notifico la existencia de ficheros en mi empresa?

El responsable del fichero está obligado a notificar a la AEPD la existencia de ficheros, para su inscripción en el Registro General de Protección de Datos. La no notificación de la existencia de un fichero supondría una infracción leve o grave, tal y como señala el art. 44 de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley.

 

  1. ¿Qué finalidad tiene la inscripción de los ficheros en la AEPD?

La inscripción de los ficheros en la Agencia Española de Protección de Datos, además de ser una obligación impuesta por la LOPD, tiene la finalidad de permitir que los titulares de los datos puedan conocer quiénes son los responsables de los ficheros que contienen sus datos, y de este modo, poder ejercitar directamente los derechos denominados ARCO, es decir, los derechos de acceso, rectificación, cancelación y oposición.

 

  1. ¿Quién es el responsable del fichero?

La LOPD determinar que el responsable del fichero es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

 

  1. ¿Quién es el encargado del tratamiento?

La LOPD determina que el encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

 

  1. ¿Qué se entiende por tratamiento de datos?

Los datos personales permiten identificar a una persona siempre que contengan el nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, la huella digital, el ADN, una fotografía, el número de seguridad social, etc.

 

Cuando se trata este tipo de datos, se entiende que se están tratando datos personales y en consecuencia, se deben cumplir las obligaciones que impone la LOPD, salvo que sea en el ejercicio de actividades exclusivamente personales o domésticas.

 

La definición exacta de tratamiento de datos es la siguiente: aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 

  1. ¿Qué es la cesión o comunicación de datos?

Se entiende por cesión o comunicación de datos, toda revelación de datos realizada a una persona distinta del interesado. La LOPD establece en su artículo 11, que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

 

  1. ¿En qué supuestos no es necesario el consentimiento del interesado para realizar una cesión o comunicación de datos?

No será preciso el consentimiento del interesado:

 

–        Cuando la cesión está autorizada en una ley.

–        Cuando se trata de datos recogidos de fuentes accesibles al público.

–        Cuanto el tratamiento responda a la librey legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

–        Cuando la comunicación tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

–        Cuando la comunicación tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

–        Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

–        Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

–        Cuando los datos han sufrido un procedimiento de disociación, dejando, por tanto, de ser datos de carácter personal.

 

  1. ¿Qué es un fichero no automatizado?

El artículo 5.1 n) del RDLOPD define los ficheros no automatizados como “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a su datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica”.

 

  1. ¿Qué nivel de seguridad deberé adoptar si mis ficheros contienen datos relativos a menores de edad?

La condición de la minoría de edad a la hora de adoptar un nivel de medidas de seguridad de la LOPD determinado no es relevante, por lo tanto, éste será básico, medio o alto, independientemente de este criterio.

 

 

  1. ¿Qué nivel de seguridad deberé adoptar si tengo un fichero que contiene curriculum vitae?

Tal y como señala el art. 81 del RD 1720/2007, los ficheros que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar aspectos de su personalidad o de su comportamiento deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

 

Los curriculum vitae permiten fácilmente determinar las características laborales de los titulares de los datos, por lo que el nivel de seguridad LOPD deberá ser MEDIO.

 

  1. ¿Cuándo se aplica el nivel de seguridad básico a los datos relativos a la salud?

Para poder aplicar el nivel de seguridad básico a los datos concernientes a la salud, se deben cumplir dos requisitos:

a)     La existencia de una ley que imponga un deber cuyo cumplimiento obligue a tratar ciertos datos de salud.

b)     Que dichos datos respondan a unas características concretas.

Por lo tanto, únicamente se podrán implantar las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, cuando se refieran exclusivamente al grado de discapacidad o la simple declaración de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Fuera de estos casos, como por ejemplo, si en un fichero se incluye voluntariamente un dato del tipo “porcentaje de discapacidad” sin que exista obligación legal, el nivel aplicable a dicho fichero será siempre ALTO.

 

  1. ¿Cuándo podré aplicar el nivel de seguridad básico a un fichero que contenga datos relativos a la afiliación sindical?

La ley permite aplicar el nivel de seguridad básico en caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual siempre que los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o cuando se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan  aquellos datos sin guardar relación con su finalidad.

 

La segunda excepción se refiere a cuando los datos especialmente protegidos sean incluidos por el propio afectado a la hora al presentar documentación en la que por propia iniciativa desee aportar este tipo de datos, sin que su tratamiento tenga relación con la finalidad establecida por el responsable del fichero.

 

  1. ¿Qué es el derecho de acceso?

Es el derecho que permite al ciudadano poder controlar por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a obtener información sobre si éstos están siendo objeto de tratamiento y, en su caso, la finalidad del mismo, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

 

  1. ¿Qué es el derecho de rectificación?

El derecho de rectificación permite a los ciudadanos defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a que éstos se modifiquen cuando resulten inexactos o incompletos.

 

  1. ¿Qué es el derecho de cancelación?

El derecho de cancelación permite a los ciudadanos defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a que éstos se supriman cuando resulten inadecuados o excesivos.

 

  1. ¿Qué es el derecho de oposición?

El derecho de oposición permite a los ciudadanos defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a que no se lleve a cabo el tratamiento de éstos o se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento, por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario.