Auditoria de seguridad informática lopd

UNIVERSIDAD DE CASTILLA-LA MANCHA
ESCUELA SUPERIOR DE INFORMÁTICA
AUDITORÍA Y SEGURIDAD INFORMÁTICA
2001/2002
ESTUDIO DE LA LOPD Y SU
REGLAMENTO
AUTORES:
Javier Crespo Reyero
Luis M. De La Gándara Rey
PROFESOR:
Antonio Martínez

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio de sus derechos”
Artículo 18.4 de la Constitución Española

Auditoría y Seguridad Informática ESTUDIO DE LA LOPD Y SU REGLAMENTO
Luis Manuel de la Gándara Rey, Javier Crespo Reyero 3
0 ÍNDICE
1. INTRODUCCIÓN..............................................................................................................5
2. LOPD VS LORTAD..........................................................................................................6
2.1. AMBITO DE APLICACIÓN..........................................................................................6
2.2. LOS PRINCIPIOS DE LA LEY ....................................................................................7
2.3. DERECHOS DE LAS PERSONAS..............................................................................8
2.4. OTRAS DIFERENCIAS .............................................................................................8
3. PRINCIPIOS DE LA PROTECCIÓN DE DATOS ...............................................................9
3.1. CALIDAD DE LOS DATOS ........................................................................................9
3.2. INFORMACIÓN EN LA RECOGIDA DE DATOS .........................................................9
3.3. CONSENTIMIENTO DEL INTERESADO ....................................................................10
3.4. DATOS ESPECIALMENTE PROTEGIDOS .................................................................10
3.5. SEGURIDAD DE LOS DATOS ...................................................................................10
3.6. COMUNICACIÓN O CESIÓN DE DATOS ..................................................................11
4. DERECHOS DE LAS PERSONAS ...................................................................................12
4.1. DERECHO DE CONSULTA AL REGISTRO
GENERAL DE PROTECCIÓN DE DATOS .................................................................12
4.2. DERECHO DE ACCESO ...........................................................................................13
4.3. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN .................................................13
4.4. DERECHO DE OPOSICIÓN ......................................................................................13
4.5. DERECHO DE IMPUGNACIÓN DE VALORES ...........................................................14
5. DISPOSICIONES SECTORIALES ....................................................................................15
5.1. FICHEROS DE TITULARIDAD PÚBLICA ...................................................................15
5.1.1. Creación, modificación o supresión .................................................................15
5.1.2. Comunicación de datos entre administraciones públicas ..................................15
5.1.3. Ficheros de las Fuerzas Armadas y Cuerpos de Seguridad ..............................15
5.1.4. Excepciones a los derechos de los afectados ..................................................16
5.2. FICHEROS DE TITULARIDAD PRIVADA ...................................................................16
5.2.1. Creación, notificación e inscripción registral ....................................................16
5.2.2. Censo promocional y datos de acceso público .................................................17
5.2.3. Publicidad y prospección comercial .................................................................17
6. MOVIMIENTO INTERNACIONAL DE DATOS ..................................................................18
7. AGENCIA DE PROTECCIÓN DE DATOS ........................................................................19
8. INFRACCIONES Y SANCIONES .....................................................................................21
8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES ...........21
8.1.1. Leves ............................................................................................................21
8.1.2. Graves ..........................................................................................................21
8.1.3. Muy graves ...................................................................................................22
9. REGLAMENTO DE MEDIDAS DE SEGURIDAD ...............................................................24
9.1. NIVELES DE SEGURIDAD ........................................................................................24
9.2. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO .........................................................25
9.2.1. Documento de seguridad ...............................................................................25
9.2.2. Funciones y obligaciones del personal ............................................................25
9.2.3. Registro de incidencias ..................................................................................25
9.2.4. Identificación y autenticación ..........................................................................26
9.2.5. Control de acceso ..........................................................................................26
9.2.6. Gestión de soportes .......................................................................................26
9.2.7. Copias de respaldo y recuperación .................................................................26
9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO ...........................................................27
9.3.1. Documento de seguridad ...............................................................................27
9.3.2. Responsable de seguridad .............................................................................27
9.3.3. Auditoria .......................................................................................................27
9.3.4. Identificación y autenticación ..........................................................................28
9.3.5. Control de acceso físico .................................................................................28
9.3.6. Gestión de soportes .......................................................................................28
9.3.7. Registro de incidencias ..................................................................................28
9.3.8. Pruebas con datos reales ...............................................................................28

9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO .............................................................29
9.4.1. Distribución de soportes .................................................................................29
9.4.2. Registro de accesos ......................................................................................29
9.4.3. Copias de respaldo y recuperación .................................................................29
9.4.4. Telecomunicaciones ......................................................................................29
10. RECOMENDACIONES FINALES .....................................................................................30
10.1. INFORMACIÓN EN LA RECOGIDA DE DATOS ......................................................30
10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS ..........................................30
10.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS .....................................................30
10.4. PARA TERMINAR ..................................................................................................31
11. EJEMPLO DE APLICACIÓN ...........................................................................................32
12. ANEXOS .........................................................................................................................35
12.1. ANEXO I ................................................................................................................35
12.2. ANEXIO II ..............................................................................................................53
12.3. ANEXO III ..............................................................................................................59
13. BIBLIOGRAFÍA Y WEB ..................................................................................................63

1 INTRODUCCIÓN
El Artículo 18.4 de la Constitución dice que “la ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de
sus derechos”.
Con la intención de hacer realidad este artículo nació el 29 de octubre del año 1992 la
Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de Datos de Carácter
Personal conocida como LORTAD. Esta polémica ley tan solo tuvo una vigencia de siete años
en el régimen jurídico español.
El 13 de diciembre de 1999 se procedió a la transposición a nuestro ordenamiento de la
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos, viendo la luz de este modo la vigente Ley Orgánica 15/1999
de Protección de Datos de Carácter Personal, conocida como LOPD.
La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) tiene un ámbito
de aplicación mas amplio que la LORTAD, ya que no se limita al soporte digital exclusivamente,
sino a todo tipo de soportes físicos en los que se puedan almacenar ficheros de datos. La
LOPD se divide en siete títulos y una parte final compuesta por: seis disposiciones adicionales,
tres disposiciones transitorias, una disposición derogatoria y tres disposiciones finales.
La estructura general de la Ley es la siguiente:
TÍTULO I : Disposiciones Generales.
TÍTULO II : Principios de la protección de datos.
TÍTULO III : Derechos de las personas.
TÍTULO IV : Disposiciones sectoriales.
CAPÍTULO I : Ficheros de titularidad pública.
CAPÍTULO II : Ficheros de titularidad privada.
TÍTULO V : Movimiento internacional de datos.
TÍTULO VI : Agencia de Protección de Datos.
TÍTULO VII: Infracciones y sanciones.
Parte final.
En total, la Ley se compone de 49 artículos que se verán en detalle en los siguientes
capítulos de este trabajo.
El artículo 1º de la LOPD expone sus objetivos de esta manera:
“La presente Ley orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de
las personas físicas, y especialmente de su honor e intimidad personal y familiar.”
Esperemos que esta nueva Ley logre cumplir con sus objetivos y levante menos
polémica en su aplicación que su precursora, manteniéndose, de este modo, vigente por un
mayor espacio de tiempo y con un mayor consenso en su interpretación y subsiguiente
aplicación.
Este trabajo pretende dar una visión general sobre la LOPD y su Reglamento de
Medidas de Seguridad, evitando, en la medida de lo posible, el lenguaje jurídico que podría
resultar demasiado denso y centrándose, especialmente, en los aspectos más interesantes
para los profesionales dedicados al mundo de la informática.

2 LOPD Vs LORTAD
Como se ha comentado en la introducción la LORTAD fue la precursora de la actual
LOPD, pero desde su aceptación ha sido perseguida por la polémica y el desacuerdo. Para
entender mejor la nueva ley que la sustituye es importante hacer una comparación entre ambas
e intentar encontrar los puntos que difieren para poder observar la evolución que ha sufrido el
tratamiento de datos de carácter personal desde 1992 hasta la actualidad en el ámbito jurídico
español.
Las diferencias comienzan ya en el nombre. La eliminación de una palabra en el objeto
de la nueva ley: ”automatizados”, tiene una enorme trascendencia a la hora de analizar ambas
leyes. Se ha cambiado el fin último de la LORTAD y sin embargo permanece vigente gran parte
de su articulado.
La LORTAD, según se expone, de una forma que no deja lugar a ninguna duda, en su
artículo primero tenía por objeto el desarrollo del artículo 18.4 de la Constitución, como ya se
ha comentado en la introducción. Por lo tanto el fin de la LORTAD era poner freno a lo que
entendían los redactores de la Constitución era un peligro para la defensa de la intimidad de los
ciudadanos: la implantación cada día mayor en nuestra sociedad de la nuevas tecnologías de
la información, especialmente a partir del enorme avance experimentado por las
comunicaciones.
En la LORTAD no tenían en cuenta otro tipo de datos que los de carácter personal y
siempre que fuesen tratados de forma automatizada, la posesión de este tipo de datos, pero en
otro soporte, no era objeto de la misma. Se establecía, por decirlo así, una categoría de datos:
los automatizados, algo que en la LOPD ha dejado de existir.
La LORTAD se refería sólo a los datos organizados automatizados aunque posponía
para fecha posterior, a juicio del Gobierno, la posible incorporación al ámbito de la Ley los no
automatizados.
La desaparición de esa distinción de automatizados englobando a todos los datos de
carácter personal en una misma categoría cambia el panorama y en la práctica plantea la
necesidad de estudiar la nueva situación creada.
El objeto de la LOPD pretende ser mucho más amplio que el de la LORTAD, en esta
finalidad estaba clara y era muy específica: cumplir el mandato constitucional de desarrollar el
artículo 18.4 de la Constitución para limitar el uso de algo que se consideraba pernicioso. En el
caso de la LOPD ya no se trata de un artículo sino de la sección 1ª de la Constitución: “De los
derechos fundamentales y las libertades públicas.”
2.1. ÁMBITO DE APLICACIÓN
El ámbito de aplicación de la LOPD se mueve en torno a tres parámetros: de contenido,
territorial y temporal.
Entran dentro de su ámbito todos los tratamientos de datos automatizados o no de
carácter personal concernientes a personas físicas.
En el aspecto territorial abarca a los ficheros no sólo cuando el responsable del
tratamiento esté establecido en territorio español sino cuando no lo está pero utiliza medios
situados en el mismo o le sean de aplicación las normas internacionales.
Por último, en principio, la temporalidad le viene impuesta por la necesidad de disponer
de los datos para el fin para el que se creó el fichero o bien para una finalidad posterior no
compatible con aquella.

La LOPD, siendo consecuente con la filosofía seguida por la LORTAD de que haya
siempre un responsable cuando hay que hacer frente al daño producido por una posible
infracción, establece que la ley alcanza al responsable del tratamiento aunque no resida en
territorio español y obliga a que cuando el responsable del tratamiento no está establecido en
territorio de la U.E. deba designar un representante en España.
Conocer en la antigua ley si un tipo de registro era una fuente accesible al público
algunas veces no era tarea fácil.
La LORTAD definía las fuentes accesibles al público como aquellos ficheros
automatizados de titularidad pública cuyo objeto legalmente establecido fuese el
almacenamiento de datos para su publicidad con carácter general.
En la LOPD se consideran fuentes accesibles al público las siguientes:
- Censo promocional.
- Repertorios telefónicos (normativa específica).
- Listas de personas pertenecientes a grupos profesionales.
- Diarios oficiales.
- Boletines oficiales.
- Medios de comunicación.
De esta forma las dudas que se planteaban sobre si un fichero determinado contenía o
no datos accesibles al público ahora con la nueva normativa no se presentan.
2.2. LOS PRINCIPIOS DE LA LEY
No se han producido muchas modificaciones en los principios que inspiran la Ley. En
las líneas que vienen a continuación, siguiendo el articulado de la LOPD vamos a ir
examinando las diferencias que se han producido entre una y otra ley.
En el artículo 4 punto 2 se produce en la LOPD el cambio de una palabra que puede
tener gran importancia a la hora de la aplicación práctica de la Ley.
La LORTAD decía: “no podrán usarse para finalidades distintas”, sin embargo la LOPD
no habla de finalidades distintas sino incompatibles.
Con la nueva redacción muchas organizaciones que poseen grandes bases de datos y
cuya finalidad en el momento de la recogida de los datos era simplemente, por ejemplo, la
facturación de un servicio, ahora podrán utilizarlas para otros fines distintos de éste siempre
que no sean incompatibles con el mismo algo que hasta ahora legalmente no podían hacer.
El artículo 9 relativo a la seguridad de los datos no sufre prácticamente transformación
alguna; sin embargo su desarrollo reglamentario sí que las debe sufrir, ya que el reglamento,
que también se trata en este trabajo, fue desarrollado para regular ficheros automatizados y a
ellos va dirigido todo su articulado por lo que el cambio que hay que realizar tiene que ser
sustancioso. Probablemente se presentarán problemas a la hora de adaptar dicho reglamento.
A la prestación de servicios por un tercero, el outsourcing, la LOPD le dedica mayor
atención incluyéndola bajo el epígrafe: “Acceso a los datos por cuenta de terceros” en el
artículo 12 que figura en el Título referido a los principios de la protección de datos.
Una vez cumplida la prestación de servicios los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documento en que conste algún dato de carácter personal objeto del tratamiento.

La LORTAD le dedicaba el artículo 27 dentro de los ficheros de titularidad privada y se
limitaba a cinco años el tiempo en que el prestador del servicio podía almacenar los datos
mediante autorización del responsable del fichero.
La LOPD no especifica tiempo alguno por lo que se presuma que podrán almacenarse
en tanto sean necesarios para la prestación periódica del servicio.
2.3. DERECHOS DE LAS PERSONAS
Los derechos de las personas que se configuran en la LOPD son: impugnación de
valoraciones, consulta, acceso, rectificación y cancelación, oposición, tutela e indemnización.
El derecho de impugnación de valoraciones que en la LORTAD se refería a las
producidas por un tratamiento automatizado, en la LOPD es más general refiriéndose a
cualquier tipo de tratamiento.
El derecho de acceso se regula como un derecho gratuito, cosa que no se hacía en la
LORTAD y entre la información que se tiene que facilitar aparte de los datos de carácter
personal y el origen de los mismos se debe informar de las cesiones realizadas y de las que se
tenga previsto realizar.
En los derechos de rectificación y cancelación se introduce en el artículo el plazo de
diez días para hacer efectivos los mismos, que es superior al plazo de cinco días que
establecía la LORTAD.
El derecho de oposición se configura como el derecho que tienen los interesados, en
determinadas circunstancias, a oponerse al tratamiento de los datos que les conciernen, en
cuyo caso, previa petición y de forma gratuita serán dados de baja del tratamiento,
cancelándose las informaciones que sobre ellos figuren.
2.4. OTRAS DIFERENCIAS
Con la LOPD nace el llamado Censo Promocional, se trata de una copia de datos de:
nombre, apellidos y domicilio que constan en el censo electoral. Este se podrá usar durante un
año para fines publicitarios.
En los artículos correspondientes al movimiento internacional de datos se enumeran las
circunstancias que debe evaluar la Agencia de Protección de Datos para que el nivel de
protección que ofrece el país se considere adecuado, asimismo se amplían las excepciones a
la Ley en esta área, siguiendo la Directiva comunitaria.
Los tipos de infracciones siguen dividiéndose en leves, graves y muy graves
habiéndose modificado en algunos aspectos.
El carácter de muy grave se reserva para los datos especialmente protegidos y los
recabados con fines policiales.
Se incluyen entre los graves algunos casos mas como: no inscribir el fichero cuando
haya sido requerido para ello e incumplir el deber de información cuando los datos se recaben
de persona distinta del afectado.
Las infracciones muy graves también han visto incrementados sus casos: no atender u
obstaculizar de forma sistemática el ejercicio de los derechos de los interesados y no atender
de igual forma la notificación de inclusión en un fichero.

3 PRINCIPIOS DE LA PROTECCIÓN DE DATOS
Este apartado de la LOPD (artículos 4 a 12) constituye la base en el tratamiento de
datos de carácter personal, ya que se centra en los aspectos relacionados con la manipulación
y gestión de la información de un modo general. Expone una serie de principios básicos que
deberán ser contemplados por cualquier ente, público o privado, que desee manipular
información de carácter personal. Estos principios serán matizados, aumentados o modificados
en los siguientes títulos de esta ley en función de su uso o manipulación, atendiendo a los fines
y titularidad de la empresa que los trate.
3.1. CALIDAD DE LOS DATOS
El artículo 4 proporciona unas directrices fundamentales sobre la calidad de los datos.
Es fundamental que los datos sean pertinentes, adecuados y no excesivos en relación
con el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
De un modo resumido se pueden destacar los siguientes puntos:
- Los datos de carácter personal se podrán recoger para un uso adecuado, y
siempre que no sobrepasen la información necesaria para la finalidad a la que
sirven, además, no se podrán usar para un fin distinto al inicialmente propuesto y
serán eliminados cuando este fin haya sido alcanzado y no sea necesario su
mantenimiento.
Poniendo como ejemplo una empresa interesada en promocionar una línea de
muebles en pino macizo esta no podrá recabar información entre sus clientes
potenciales sobre su raza, creencias o ideología, ya que no tienen ningún tipo de
relación con su propósito, que es el de vender muebles.
- Todos los datos almacenados deberán ser exactos, y en caso de que no lo fueran
podrán ser cancelados y sustituidos por los datos rectificados sin perjuicio del
afectado.
- Por último, destacar el último punto de este articulo, en el que se dice,
textualmente: “Se prohibe la recogida de datos por medios fraudulentos, desleales
o ilícitos”.
Este es un punto a tener en cuenta, ya que este tipo de actos están
tipificados como faltas muy graves con multas que oscilan entre los 50 y 100
millones de pesetas, como mas adelante veremos.
3.2. INFORMACIÓN EN LA RECOGIDA DE DATOS
El titular del fichero tiene la obligación de informar al afectado cuando se recaban los
datos, de manera que el interesado pueda conocer esencialmente quién, cómo y para qué se
tratan sus datos; ello supone que el interesado debe ser informado con carácter previo al
tratamiento de sus datos y de modo expreso, preciso e inequívoco de lo siguiente :
- La existencia del fichero de tratamiento de datos, de la obligatoriedad de contestar
a las preguntas del formulario, de las consecuencias de no suministrarlos, de la
posibilidad que tiene de cancelar y modificar estos datos y de la identidad del
responsable de este fichero de datos.
- En el caso de que los datos no hayan sido directamente pedidos al interesado la
empresa tiene el deber de comunicárselo al usuario en un plazo máximo de 3
meses desde su inclusión en el registro de datos. Esto no se contempla cuando los

datos sirvan para fines históricos, científicos o estadísticos. Tampoco se contempla
en el caso de datos públicos, como el nombre y la dirección, que puedan ser
usados para publicidad. En este último caso tan solo se le informará al interesado
de sus derechos y del origen de los datos cuando reciba dicha publicidad.
3.3. CONSENTIMIENTO DEL INTERESADO
Es el consentimiento el principio fundamental para cualquier tratamiento de datos de
carácter personal, pudiendo afirmarse que constituye una condición de licitud del mismo.
Mediante el consentimiento otorgado por el interesado para que se recojan sus datos éste
puede controlar cuándo, dónde y cómo se pueden tratar sus datos, bien por aquella persona o
entidad que los recaba o bien para su comunicación a terceros. Si bien el consentimiento no es
necesario en ciertos casos que se reflejan en el primer guión de este apartado.
- El afectado debe dar su consentimiento inequívoco al tratamiento de sus datos
salvo que la ley revoque estos derechos. De cualquier modo, el consentimiento no
será necesario cuando sean necesarios para las funciones de las Administraciones
públicas; sean datos de carácter público; sean necesarios en una relación negocial,
laboral o administrativa o cuando estos datos tengan como objeto proteger un
interés del afectado.
- El interesado podrá revocar el consentimiento que ha otorgado sobre sus datos si
tiene causa justificada para ello. Además, en el caso de que no sea necesario su
consentimiento podrá oponerse a su tratamiento si puede justificar alguna causa
que lo excluya.
3.4. DATOS ESPECIALMENTE PROTEGIDOS
Existe una categoría de datos que la LOPD denomina “especialmente protegidos” y que
son aquellos datos a los que la norma otorga un mayor grado de protección, imponiendo
especiales obligaciones respecto de los mismos, tales como la necesidad de obtener el
consentimiento expreso, y en su caso por escrito.
El artículo 7 proporciona las directrices para tratar los datos especialmente protegidos
que pueden vulnerar los derechos fundamentales del individuo. Según el art.16 apartado 2 de
la constitución nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
Esto es lo que intenta proteger este artículo basándose en los siguientes puntos:
- Solo se podrán tratar los datos de carácter personal que revelen la ideología,
afiliación sindical, religión y creencias con el consentimiento expreso y por escrito
del afectado. Las entidades sin animo de lucro cuyo fin sea político, religioso,
filosófico o sindical están exentas de este requisito.
- Con respecto a los datos sobre salud, raza o vida sexual solo podrán ser tratados
cuando el afectado consienta expresamente, cuando la ley así lo disponga o
cuando sean datos necesarios para el tratamiento médico.
- De cualquier modo, queda expresamente prohibido por la ley crear ficheros cuya
única finalidad sea la de recabar información sobre ideologías, afiliaciones
sindicales, religión, creencias, origen racial, o vida sexual.
3.5. SEGURIDAD DE LOS DATOS
En el artículo 9 se proporcionan una serie de líneas guía, muy básicas, sobre la
seguridad de los datos almacenados en ficheros. El Real Decreto 994/1999 del 11 de junio
aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan
datos de carácter personal. Este reglamento se tratará en profundidad en este trabajo dada la
importancia que tiene para la práctica de la auditoria informática.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de
los datos tienen la obligación de guardar el secreto profesional incluso después de finalizar su
tratamiento.
3.6. COMUNICACIÓN O CESIÓN DE DATOS
Existe la posibilidad de ceder a un tercero los datos personales siempre que sea para
fines directamente relacionados con el propietario de los datos y el responsable del archivo, y
siempre con el consentimiento previo del primero. Existen una serie de casos en los que no
será necesario ese consentimiento:
- En general, cualquier cesión de datos a entes públicos de la Administración o de
ámbito jurídico están exentos de pedir consentimiento al interesado, tampoco será
necesario cuando la cesión esté autorizada por la ley o en el caso de una
emergencia médica.
- Destacar, por último, que cualquiera que reciba datos de carácter personal
valiéndose de este artículo debe atenerse a todas las disposiciones de la LOPD
que estamos viendo.
En ocasiones, los responsables de los datos se ven obligados a dar acceso a un
tercero para que realice algún tipo de tratamiento con los datos del fichero. El artículo 12 trata
sobre este hecho, pero en este caso no se considerará comunicación de datos, como se ha
visto en el artículo 11.
Este servicio estará regulado por un contrato por escrito que garantiza que los datos
tan solo se usarán del modo estipulado en dicho contrato. Cumplida la prestación los datos
serán destruidos o devueltos al responsable.
En el caso de que se usen los datos para otros fines distintos a los pactados será
considerado también responsable del tratamiento, respondiendo de las infracciones en las que
hubiera incurrido.

4 DERECHO DE LAS PERSONAS
Será obligatorio que todo aquel encargado de recoger, tratar y ceder datos de carácter
personal inscriba los ficheros, creados para el almacenamiento de estos datos, en el Registro
General de la Agencia de Protección de Datos, haciendo figurar un responsable de fichero o
tratamiento.
El tratamiento de datos de carácter personal puede suponer una acumulación de
información que permita crear un perfil de la persona fuera de su control. Por eso, para evitar
este riesgo, se conceden al ciudadano una serie de derechos que le otorguen la facultad de
poder ejercer un control sobre el uso de sus datos por parte de quienes los traten. Estos
derechos se convierten en un mecanismo, por el cual, se garantiza que los ciudadanos puedan
acceder, rectificar y cancelar aquellos datos que no sean exactos o relacionados con las
finalidades para las que fueron recogidos. De esta forma, cada interesado podrá conocer en
todo momento, y con la mayor información posible, los datos recogidos sobre su persona.
Cada uno de los derechos será independiente, lo que supone que el ejercicio de alguno
no es requisito previo para el ejercicio de otro.
Para ejercitar correctamente los derechos de los interesados cuyos datos son objeto de
tratamiento por parte del responsable del fichero, es necesario el cumplimiento de unos
requisitos formales, tales como el envío de una solicitud a dicho responsable (esta contendrá el
nombre y apellidos del interesado o de su representante, fotocopia de su DNI, la petición en
que se concreta la solicitud, etc.). Además, el ejercicio de estos derechos será, en principio,
gratuito y sin suponer ningún gasto para el interesado. Por su parte, el responsable del
tratamiento deberá contestar al interesado, tanto si constan datos del solicitante en el fichero
como sino, y subsanar aquellos en caso de inexactitud.
Los interesados podrán reclamar, de forma reglamentaria, ante la Agencia de
Protección de Datos las actuaciones contrarias a lo dispuesto en la ley, pudiendo dar a conocer
a ésta (o en su caso al organismo competente de cada Comunidad Autónoma) la denegación,
total o parcial, del ejercicio de los derechos de oposición, acceso, rectificación o cancelación.
Dichos organismos deberán asegurarse de la procedencia o improcedencia de la denegación,
teniendo un plazo máximo de 6 meses para dictar la resolución de la tutela de derechos.
Contra estas resoluciones procederá recurso contencioso-administrativo. Así mismo, los
interesados que sufran daño o lesión en sus bienes o derechos, como consecuencia del
incumplimiento de esta ley por parte del responsable del tratamiento, tendrán derecho a ser
indemnizados y, dependiendo de sí los ficheros son de titularidad pública o privada, podrá
ejercitar las correspondientes acciones ante las Administraciones públicas o ante la jurisdicción
ordinaria respectivamente.
A continuación se concretan los derechos que el interesado puede ejercitar ante el
responsable del fichero respecto a los datos objeto de tratamiento.
4.1. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE
DATOS
Con objeto de conocer la existencia de tratamientos de datos de carácter personal, sus
finalidades y la identidad del responsable del tratamiento, cualquier persona podrá consultar,
pública y gratuitamente, el Registro General de Protección de Datos para obtener información a
tal fin.
De esta forma, el interesado podrá estar al tanto del uso de sus datos y controlar el
perfil creado con éstos, pudiendo así ejercitar, ante el responsable del tratamiento, otros
derechos que crea oportunos.

4.2. DERECHO DE ACCESO
Se refiere a la facultad reconocida a todo interesado, cuyos datos personales son
sometidos a tratamiento, para solicitar y obtener información gratuita sobre que datos están
siendo tratados, el origen de éstos y las cesiones o comunicaciones realizadas o que se prevén
realizar.
Esto garantiza que el individuo pueda conocer qué datos se están tratando y qué
información puede llegar a obtenerse de los mismos.
Este derecho sólo podrá ser ejercitado gratuitamente por el interesado a intervalos no
inferiores a 12 meses, o antes si se acredita un interés legitimo al efecto. Ante este ejercicio, el
responsable del fichero dispondrá de un plazo de 30 días para resolver la petición efectuada,
comunicando al interesado la decisión sobre la procedencia o no del ejercicio de este derecho,
independientemente de que figuren o no datos del mismo en el fichero cuestionado. Tendrá
otros 10 días más para proporcionarle los datos siempre y cuando la petición de acceso fuera
estimatoria, en cuyo caso la información que obtenga el interesado será mediante la mera
consulta de los datos por medio de su visualización o mediante escrito, copia, telecopia o
fotocopia, certificada o no, en forma legible e inteligible, y siempre sin utilizar claves o códigos
que requieran el uso de dispositivos mecánicos específicos que obstaculicen el ejercicio.
Cuando el interesado sea menor de edad o incapacitado se comprobará que el derecho
se ejerce a través de un representante legal.
4.3. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN
Otorgan la posibilidad al interesado de exigir al responsable del fichero que cumpla con
el principio de calidad de datos, pudiendo solicitarle que rectifique aquellos datos de carácter
personal cuyo tratamiento no se ajuste a lo dispuesto en la ley y, en particular, cuando éstos
resulten inexactos o incompletos, y que los cancele cuando dejen de ser necesarios para el fin
en el que hubieran sido registrados. Con esto se asegura que los datos se mantengan de forma
adecuada y no excesiva en relación con el ámbito y finalidades legítimas para las que se
recogieron.
Siempre que no exista una disposición legal contraria, los datos, totales o parciales,
sobre los que se ejerciten los derechos de rectificación y cancelación podrán ser excluidos de
un determinado fichero de datos personales, bien por ser erróneos o bien por negarse el titular
a su tratamiento.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las
posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
Cumplido este plazo se procederá a la supresión definitiva.
Como los anteriores, estos dos derechos, personales e independientes, exigen las
mismas formalidades de identificación y representación. Se ejercerán gratuitamente por el
interesado mediante una solicitud al responsable del fichero, teniendo este último la obligación
de hacerlos efectivos en un plazo de 10 días. Pero cuando existan causas para ello, cabe la
posibilidad de que el responsable del tratamiento se oponga a la solicitud de rectificación o
cancelación. Estas causas se pueden deber al amparo legal del tratamiento o a la relación
contractual entre el interesado y el responsable.
4.4. DERECHO DE OPOSICIÓN
Este derecho, a pesar de su falta de definición en la ley, se perfila como toda negativa
a la continuación del tratamiento de los datos personales por parte del interesado. Supone que
en los casos en los que no se requiera el consentimiento de éste para el tratamiento de sus
datos, y siempre que una ley no disponga lo contrario, pueda oponerse al tratamiento de los
mismos cuando existan motivos fundados y legítimos.

El ejercicio de este derecho será gratuito.
4.5. DERECHO DE IMPUGNACIÓN DE VALORACIONES
Consiste en la facultad que se concede a las personas para no verse sometidas a las
decisiones con efectos jurídicos basadas exclusivamente en un tratamiento de datos destinado
a evaluar determinados aspectos de su personalidad o definición de sus características. Así, el
afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una
valoración de su comportamiento fundamentada en dicho tratamiento de datos, pues ésta
únicamente podrá tener valor probatorio y siempre a petición del mismo.
El afectado tendrá derecho a obtener información del responsable del fichero sobre los
criterios de valoración y el programa utilizado en el tratamiento que sirvió para adoptar dicha
decisión.

5 DISPOSICIONES SECTORIALES
Los ficheros de titularidad pública se rigen por un marco legal distinto al de los ficheros
de titularidad privada, por este motivo el TITULO IV de LOPD se divide en dos capítulos que
muestran la normativa para cada uno de estos dos tipos de ficheros.
5.1. FICHEROS DE TITULARIDAD PÚBLICA
Este capítulo abarca los artículos del 20 al 24 y regula el uso de los ficheros en la
Administraciones Públicas y en las Fuerzas y Cuerpos de Seguridad.
5.1.1. Creación, modificación o supresión
El Registro General de Protección de Datos (RGPD) es el órgano de la Agencia de
Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros
de datos de carácter personal como veremos más adelante.
La creación, modificación o supresión de un fichero de titularidad pública solo podrá
crearse cuando aparezca publicado en el Boletín Oficial del Estado y deberá ser comunicado al
Registro General de Protección de Datos detallando los siguientes puntos:
- Cual es su finalidad y para que se va a emplear.
- Las personas a las que se las va a pedir sus datos y el procedimiento de recogida
de estos.
- La estructura que tendrá el fichero y los tipos de datos, así como la seguridad que
deberán tener; básica, media o alta.
- La Administración responsable del fichero. Como va a manipular los datos, o en su
caso, la transferencia de estos a países terceros.
En el caso de que se desee destruir un fichero deberá especificarse cual es el destino
de los mismos y como serán destruidos.
5.1.2. Comunicación de datos entre Administraciones públicas
El artículo 21 especifica como se realizará la comunicación de datos entre las
Administraciones Públicas, este artículo dispone que los ficheros realizados por una
Administración no serán comunicados a otras Administraciones Públicas, salvo que, al ser
creado el fichero, se haya establecido de ese modo o cuando sea para fines científicos,
estadísticos o históricos.
Una Administración que elabore un fichero con destino a otra si podrá comunicar datos
de carácter personal.
Por supuesto, queda excluida la posibilidad de transferir los ficheros de titularidad
pública a uno de carácter privado, salvo cuando la ley prevea otra cosa.
5.1.3. Ficheros de las fuerzas armadas y cuerpos de seguridad.
En el artículo 22 se tratan los ficheros recogidos y tratados por las Fuerzas y Cuerpos
de Seguridad. Lo primero que advierte la ley es que, todos los ficheros recogidos para fines
administrativos estarán sujetos a la ley para la protección de los datos.

Tan solo podrán recoger información sin el consentimiento de las personas afectadas
cuando resulten necesarios para la prevención de un peligro real para la seguridad pública o
para la prevención de infracciones penales.
También se dispone la cancelación de los datos personales registrados con fines
policiales cuando ya no sean necesarios para la investigación que justificó su almacenamiento.
5.1.4. Excepciones a los derechos de los afectados
Los derechos de los afectados a acceder, rectificar y cancelar un fichero de titularidad
pública son los resueltos en el TITULO III de la LOPD, sin embargo, existen una serie de
excepciones que son las siguientes:
- Los responsables de los cuerpos de seguridad podrán denegar el acceso al
afectado cuando entienden que pone en peligro la seguridad pública o la defensa
del estado.
- La Hacienda Pública también podrá negar el acceso o modificación de datos si se
obstaculiza las actualizaciones destinadas a hacer cumplir las obligaciones
tributarias.
En cualquier caso, el afectado podrá recurrir al Director de la Agencia de Protección de
Datos o al organismo competente de su Comunidad Autónoma en el caso de que no esté de
acuerdo con esta denegación.
5.2. FICHEROS DE TITULARIDAD PRIVADA
El resto de los artículos del Titulo IV (del 25 al 32) tratan los ficheros de titularidad
privada del mismo modo que en el capítulo anterior pero adaptándose a la diferente naturaleza
de estos.
5.2.1. Creación, notificación e inscripción registral
Para la creación de un fichero con datos de carácter personal la persona o entidad
interesada en promoverlo deberá respetar las garantías que establece la LOPD para la
protección de las personas.
Además de observar la Ley debe dar los siguientes pasos para poder inscribir en el
RGPD el fichero creado.
- Notificación previa a la Agencia de Protección de Datos.
- Proporcionar los siguientes datos:
o Responsable del fichero.
o La finalidad del mismo.
o Su ubicación.
o El tipo de datos de carácter personal que contiene.
o Las medidas de seguridad (Alta, media, baja)
o Las cesiones y transferencias de datos que se prevean realizar.
- Cualquier cambio en estos datos deberá ser comunicado a la Agencia de
protección de Datos.
- Si transcurrido un mes desde que se presenta la solicitud la Agencia no ha resuelto
nada sobre la misma se considera que el fichero ha sido inscrito en el RGPD.
La primera vez que se efectúe una cesión de datos deberá ser comunicada a los
afectados, indicando todos los datos relevantes de dicha cesión.

5.2.2. Censo promocional y datos de acceso público
El Censo promocional es un servicio que se brinda a quienes se dediquen a la
recopilación de direcciones, reparto de documentos, publicidad, venta a distancia o actividades
análogas. Este tipo de empresas tienen la posibilidad de pedir, a cambio de una
contraprestación, al Instituto Nacional de Estadística o a los órganos equivalentes de la
Comunidades Autónomas una copia del censo promocional con validez para un año.
Este censo promocional facilitado contiene el nombre, apellidos y domicilio de los
individuos que constan en el censo promocional. Estos individuos podrán solicitar no aparecer
en dicho censo promocional si lo consideran oportuno.
Otra fuente de datos públicos son los listados de los Colegios profesionales, aunque
también tienen la posibilidad de indicar que sus datos personales no pueden utilizarse para
fines de publicidad o prospección comercial.
5.2.3. Publicidad y prospección comercial
Cualquier empresa dedicada a la publicidad y otras actividades análogas que usen
datos de carácter personal deberán atenerse a los siguientes puntos:
- Los datos siempre serán de fuentes accesibles al público o facilitados por los
propios interesados con su consentimiento.
- Los afectados tendrá derecho a conocer el origen de los datos así como el resto de
información al que se refiere el artículo 15.
- Se debe brindar la posibilidad a los afectados de oponerse al tratamiento de sus
datos, en cuyo caso la entidad estará obligada a darles de baja en su fichero.
Por último, comentar la existencia de Códigos Tipo, realizados mediante acuerdos
entre empresas o convenios administrativos que establecen las condiciones de utilización de
los ficheros de carácter personal en su entorno. En general, estos códigos tienen carácter
deontológico o de buena práctica profesional y deberán ser depositados en el RGPD.

6 MOVIMIENTO INTERNACIONAL DE DATOS
El trasiego de información de un país a otro (pensemos por ejemplo en el uso comercial
de Internet) supone un traslado de grandes cantidades de datos de carácter personal, el cuál
puede provocar perjuicios en la privacidad de las personas. Es por esto que la LOPD se
encarga de regular este movimiento internacional de datos.
Como norma general establece que no se pueden efectuar transferencias de datos de
carácter personal, que hayan o vayan a ser sometidos a tratamiento, a países que no
proporcionen un nivel de protección equiparable al nuestro, salvo previa autorización del
Director de la Agencia de Protección de Datos.
La evaluación del nivel de protección será realizada por la Agencia de Protección de
Datos considerando todas las circunstancias que concurran en la transferencia, en especial a la
naturaleza de los datos, a la finalidad del tratamiento, a la duración de éste, al país de origen y
al de destino final, a las normas de derecho vigentes en el tercer país, al contenido de los
informes de la Comisión de la Unión Europea, a las normas profesionales y a las medidas de
seguridad en vigor.
No obstante, existen una serie de excepciones en las que no será de aplicación la
norma general:
- Cuando la transferencia internacional de datos de carácter personal resulte de la
aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial
internacional.
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico
médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de
servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado y el responsable del fichero o para la adopción de medidas
precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del afectado, por el responsable del
fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de
un interés público. Tendrá esta consideración la transferencia solicitada por una
Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de
un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo,
desde un Registro público y aquélla sea acorde con la finalidad del mismo.
- Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un
nivel de protección adecuado.

7 AGENCIA DE PROTECCIÓN DE DATOS
Los artículos del 35 al 42 establecen la organización, el régimen jurídico y las
competencias del organismo que vela por el cumplimiento de la LOPD, este organismo se
llama Agencia de Protección de Datos y tiene carácter de ente de derecho público.
La Agencia de Protección de Datos se estructura del siguiente modo:
- El director tiene consideración de alto cargo y será nombrado por el Consejo
Consultivo para un periodo de cuatro años. Tiene potestad para ejercer sus
funciones de manera independiente y objetiva y, tan solo, deberá atender al
Consejo Consultivo en la toma de decisiones.
- El Consejo Consultivo está compuesto por los siguientes miembros:
Un Diputado, Propuesto por el Congreso de los Diputados.
Un Senador, propuesto por el Senado.
Un representante de la Administración Central, propuesto por el Gobierno.
Un representante de la Administración Local, propuesto por la Federación Española
de Municipios y Provincias.
Un miembro de la Real Academia de la Historia.
Un experto en la materia, propuesto por el Consejo Superior de Universidades.
Un representante de los usuarios y consumidores.
Un representante de cada Comunidad Autónoma.
Un representante del sector de ficheros privados.
- El Registro General de Protección de Datos (RGPD) es un órgano integrado en la
Agencia de Protección de Datos.
Es el encargado del procedimiento de inscripción de los ficheros, tanto de
titularidad pública como privada. Además de ocuparse de su inscripción lo hará de
su modificación, cancelación, reclamaciones y recursos contra las resoluciones
correspondientes por vía reglamentaria.
- Las autoridades de control serán las encargadas de la inspección de los ficheros
que trata esta Ley, pudiendo solicitar la información que necesiten para llevar
acabo su cometido. Los funcionarios que realicen esta función están obligados a
guardar secreto sobre las informaciones que manipulen y serán considerados como
autoridad pública.
Las funciones que ejerce la Agencia de Protección de Datos son las siguientes:
Director
Registro General Inspección
Consejo Consultivo

- Velará por el cumplimiento de la legislación sobre protección de datos y controlará
su aplicación. Velará por el cumplimiento de las disposiciones que la Ley de la
Función Estadística Pública establece respecto a la recogida de datos estadísticos.
- Sancionará en los términos previstos en el Titulo VII que se estudiará en el
siguiente punto de este trabajo. Además atenderá las reclamaciones realizadas por
personas afectadas.
- Informará a las personas acerca de sus derechos en materia de tratamiento de los
datos de carácter personal, así como de los proyectos de disposiciones generales
que desarrollen esta Ley. Redactará una memoria anual que será remitida al
Ministerio de Justicia.
- Emitirá la autorizaciones previstas en la Ley y dictará las instrucciones precisas
para adecuar los tratamientos a los principios de la LOPD
- Desempeñará las funciones necesarias para el movimiento internacional de los
datos realizando una labor unificadora en el ámbito internacional.
Además de la Agencia de Protección de Datos cada Comunidad Autónoma tendrá
órganos correspondientes con la consideración de autoridades de control que gestionarán los
ficheros de datos de carácter personal creados o gestionados por las Comunidades
Autónomas.
De cualquier modo, el director de la Agencia de Protección de Datos tiene la última
palabra en la aplicación de la LOPD. En el caso de que constate que el mantenimiento o uso
de un determinado fichero de las Comunidades Autónomas no está siendo tratado conforme a
lo expuesto en la Ley podrá pedir a la Administración correspondiente que se adopten medidas
correctoras en un plazo determinado.
Agencia de Protección de Datos
Inspectora Sancionadora Informativa Reguladora Unificadora

8 INFRACCIONES Y SANCIONES
La LOPD establece un régimen sancionador al que se encuentran sujetos tanto los
responsables de los ficheros como los encargados de los tratamientos.
Este régimen fija tres niveles de infracción, clasificados en leves, graves y muy graves,
los cuáles llevan asociadas la imposición de las correspondientes sanciones económicas.
La cuantía de las sanciones, actualizada periódicamente, dependerá de la naturaleza
de los derechos personales afectados, del volumen de los tratamientos realizados, de los
beneficios obtenidos, del grado de intencionalidad, de la reincidencia, de los daños y perjuicios
causados a las personas interesadas y a terceras personas, y de cualquier otra circunstancia
relevante para determinar el grado de antijuridicidad y culpabilidad presentes en la concreta
actuación infractora.
8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES
8.1.1. Leves
Son infracciones leves:
- No atender la solicitud del interesado de rectificación o cancelación de los datos
sujetos a tratamiento cuando proceda legalmente.
- No proporcionar la información que solicite la Agencia de Protección de Datos en el
ejercicio de las competencias que tiene legalmente atribuidas, en relación con
aspectos no sustantivos de la protección de datos.
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos, cuando no sea constitutivo de infracción grave.
- Proceder a la recogida de datos de carácter personal de los propios afectados sin
proporcionarles la información que señala el artículo 5 de la LOPD (ver anexo I).
- Incumplir el deber de secreto establecido en el artículo 10 de la LOPD (ver anexo
I), salvo que constituya infracción grave.
Estas infracciones serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.
Tanto infracciones como sanciones prescribirán al año (ver plazos e interrupciones de
las prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD en el anexo I).
8.1.2. Graves:
Son infracciones graves:
- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos, sin autorización de disposición
general.
- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de
datos de carácter personal para los mismos con finalidades distintas de las que
constituyen el objeto legítimo de la empresa o entidad.
- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento
expreso de las personas afectadas, en los casos de que éste sea exigible.

- Tratar los datos de carácter personal o usarlos posteriormente infringiendo los
principios y garantías establecidos en la LOPD o con el incumplimiento de los
mandatos de protección que impongan las disposiciones reglamentarias de
desarrollo, cuando no constituye infracción muy grave.
- El impedimento o la obstaculización del ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea solicitada.
- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o
cancelaciones de los mismos que legalmente procedan cuando resulten afectados
los derechos de las personas que la LOPD ampara.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal
incorporados a ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda pública, servicios financieros, prestación de
servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que
contengan un conjunto de datos de carácter personal suficientes para obtener una
evaluación de la personalidad del individuo.
- Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen.
- No remitir a la Agencia de Protección de Datos las notificaciones previstas en la
LOPD o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la
misma cuantos documentos e informaciones deba recibir o sean requeridos por
aquél a tales efectos.
- La obstrucción al ejercicio de la función inspectora.
- No inscribir el fichero de datos de carácter personal en el Registro General de
Protección de Datos, cuando haya sido requerido para ello por el Director de la
Agencia de Protección de Datos.
- Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la
LOPD (ver anexo I), cuando los datos hayan sido recabados de persona distinta del
afectado.
Estas infracciones serán sancionadas con multa de 10.000.000 a 50.000.000 de
pesetas.
Tanto infracciones como sanciones prescribirán a los dos años (ver plazos e
interrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD en
el anexo I).
8.1.3. Muy graves:
Son infracciones muy graves:
- La recogida de datos en forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera de los casos en
que estén permitidas.
- Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2
del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y
tratar los datos referidos en el apartado 3 del articulo 7 cuando no lo disponga una
ley o el afectado no haya consentido expresamente, o violentar la prohibición
contenida en el apartado 4 del artículo 7 (ver anexo I).

- No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal
cuando sea requerido para ello por el Director de la Agencia de Protección de
Datos o por las personas titulares del derecho de acceso.
- La transferencia temporal o definitiva de datos de carácter personal que hayan sido
objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento,
con destino a países que no proporcionen un nivel de protección equiparable sin
autorización del Director de la Agencia de Protección de Datos.
- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los
principios y garantías que les sean de aplicación, cuando con ello se impida o se
atente contra el ejercicio de los derechos fundamentales.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal a
que hacen referencia los apartados 2 y 3 del artículo 7 (ver anexo I), así como los
que hayan sido recabados para fines policiales sin consentimiento de las personas
afectadas.
- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición.
- No atender de forma sistemática el deber legal de notificación de la inclusión de
datos de carácter personal en un fichero.
Estas infracciones serán sancionadas con multa de 50.000.000 a 100.000.000 de
pesetas.
Tanto infracciones como sanciones prescribirán a los tres años (ver plazos e
interrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD en
el anexo I).
Cuando cualquiera de las infracciones de estos tres niveles se cometan en ficheros
cuyos responsables son las Administraciones públicas, el Director de la Agencia de Protección
de Datos tomará las medidas oportunas para que cesen o se corrijan los efectos de la
infracción, notificándolo al responsable del fichero, al órgano del que depende y a los
afectados. Las sanciones aplicadas en este caso, serán las establecidas en la legislación sobre
régimen disciplinario de las Administraciones públicas.
En el caso de utilización o cesión ilícita de datos que atenten contra los derechos
fundamentales de las personas, el director de la Agencia de Protección de Datos podrá exigir a
los responsables de los ficheros que cesen en este uso o cesión. Si el infractor desatiende este
requerimiento, se podrán inmovilizar tales ficheros con el objeto de restaurar los derechos de
las personas afectadas.

9 REGLAMENTO DE MEDIDAS DE SEGURIDAD
El objeto de este reglamento es el desarrollo de lo dispuesto en la LORTAD referente a
la seguridad de los ficheros automatizados que contienen datos de carácter personal, y hasta
que no sea modificado para aplicación y desarrollo de la LOPD continuará en vigor siempre
que no se oponga a esta última. Se deduce pues, que sólo será de aplicación para aquellos
tratamientos de datos automatizados citados de forma común tanto en la LORTAD como en la
LOPD.
Según su artículo primero, establece medidas de naturaleza técnica y organizativa
necesarias para garantizar la seguridad que deben reunir:
- Los ficheros automatizados.
- Los centros de tratamiento y locales.
- Los equipos, sistemas y programas.
- Las personas que intervengan en el tratamiento automatizado de los datos de
carácter personal.
de modo que se pueda asegurar la confidencialidad e integridad de la información, la intimidad
personal y el pleno ejercicio de los derechos personales frente a su alteración, pérdida,
tratamiento o acceso no autorizado.
9.1. NIVELES DE SEGURIDAD
Dependiendo de la naturaleza de la información y del grado de necesidad de garantizar
su confidencialidad e integridad, las medidas de seguridad se pueden clasificar en tres niveles,
que son: básico, medio y alto. Estas medidas pueden ser técnicas u organizativas, pudiendo
ser las técnicas de tipo físico o lógico.
Como veremos a continuación de forma gráfica, todos los ficheros que contengan datos
de carácter personal han de cumplir unas medidas de seguridad básicas, estableciéndose otras
adicionales para aquellos que, por la naturaleza de sus datos, exigen un grado de protección
más alto.
NIVEL BASICO:
- Todos los ficheros que contengan datos de carácter personal.
-
NIVEL MEDIO: Ficheros que contengan datos relativos a
- Comisión de infracciones administrativas o penales.
- Hacienda pública.
- Servicios financieros.
- Solvencia patrimonial y crédito.
-
NIVEL ALTO: Ficheros que contengan datos sobre
- Ideología.
- Religión.
- Creencias.
- Origen racial.
- Salud.
- Vida sexual.
- Y recabados para fines policiales sin consentimiento
de las personas afectadas.

Cuando el acceso a los datos de carácter personal se haga a través de una red de
comunicaciones, o el tratamiento se haga fuera de los locales de ubicación del fichero, o
trabajemos con ficheros temporales, se garantizará el nivel de seguridad correspondiente al
tipo de fichero con arreglo a los criterios establecidos anteriormente.
9.2. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO
9.2.1. Documento de seguridad
Se trata de un documento elaborado por el responsable del fichero que contiene la
normativa de seguridad, cuyo cumplimiento es obligatorio para todo el personal con acceso a
los datos automatizados de carácter personal y a los sistemas de información.
Englobado dentro de las medidas organizativas de seguridad, donde se ponen de
manifiesto las políticas, los planes de seguridad y los planes de contingencia que se deben
adoptar. Su contenido debe adecuarse a las disposiciones vigentes en materia de seguridad de
datos de carácter personal, y básicamente se centra en:
- El ámbito de aplicación y especificación detallada de los recursos protegidos (plan
de seguridad). Por ejemplo, se indicarán las bases de datos a las que se refiere.
- Las medidas, normas, procedimientos, reglas y estándares que garanticen el nivel
de seguridad exigido (política). Por ejemplo, explicación de las normas de
seguridad (sistema de contraseña, ordenadores en locales protegidos, etc.) que
impiden el acceso no autorizado a la base de datos.
- Las funciones y obligaciones del personal (política). Por ejemplo, explicación de los
límites que el personal tiene para acceder a la información de la base de datos.
- La estructura de los ficheros con datos de carácter personal y la descripción de los
sistemas de información que los tratan (plan de seguridad). Por ejemplo, el
contenido de la base de datos (tipo de datos que contiene) y descripción de los
programas utilizados para su acceso.
- Los procedimientos de notificación, gestión y respuesta ante las incidencias (plan
de seguridad). Por ejemplo, tiene que existir un procedimiento por el cual se
notifica al responsable de la base de datos cualquier incidencia detectada y como
se procesa.
- Los procedimientos de realización de copias de respaldo y recuperación de datos
(plan de contingencia).
Se mantendrá actualizado en todo momento y deberá ser revisado en caso de que se
produzcan cambios relevantes en el sistema de información o en la organización.
9.2.2. Funciones y obligaciones del personal
Deben estar claramente definidas y documentadas.
El responsable del fichero dará a conocer al personal con acceso a los datos y al
sistema de información las normas de seguridad que afecten al desarrollo de sus funciones así
como las consecuencias de su incumplimiento.
9.2.3. Registro de incidencias
El procedimiento de notificación y gestión de incidencias contendrá, como medida
organizativa, un registro (en formato papel o electrónico) en el que conste:
- El tipo de incidencia.

- El momento en que se ha producido.
- La persona que realiza la notificación.
- A quién se le comunica.
- Los efectos derivados de la misma.
9.2.4. Identificación y autenticación
Medida lógica en la que el responsable del fichero se encarga de que exista una
relación actualizada de usuarios con acceso autorizado al sistema de información y de
implantar procedimientos de identificación y autenticación para dicho acceso.
En la relación de usuarios se reflejan los derechos de acceso autorizados para cada
uno de ellos (lectura, acceso parcial a datos, etc.).
El mecanismo de autenticación puede basarse en la existencia de contraseñas, en
cuyo caso habrá un procedimiento de asignación, distribución y almacenamiento ininteligible
que garantice su confidencialidad e integridad. Estas se cambiarán de forma periódica según
determine el documento de seguridad.
Es evidente que las contraseñas deben ser fáciles de recordar y difíciles de imaginar,
con una longitud mínima que garantice un número elevado de posibilidades de forma que no
puedan ser descubiertas por intentos, nunca serán cedidas y se distribuirán por canales
seguros.
9.2.5. Control de acceso
Se trata de una medida lógica en la que el responsable del fichero creará mecanismos
para evitar que los usuarios puedan acceder a datos o recursos con derechos distintos de los
autorizados. Con esto se consigue que los usuarios tengan solamente acceso a aquello que
necesiten para el desarrollo de sus funciones.
Unicamente el personal autorizado, el cuál aparece en el documento de seguridad,
podrá conceder, alterar o anular dicho acceso.
9.2.6. Gestión de soportes
Los soportes informáticos que contengan datos de carácter personal (disquetes, cintas,
etc.) deberán estar inventariados e identificados de forma expresa y estarán almacenados en
un lugar restringido al personal autorizado.
El responsable del fichero será el único que autorice la salida de dichos soportes fuera
de los locales en que esté ubicado el fichero.
Se trata, por tanto, de una medida de seguridad física.
9.2.7. Copias de respaldo y recuperación
Medida de seguridad física a cargo del responsable del fichero, el cual verificará la
definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de
recuperación de datos.
Estos procedimientos deben garantizar la reconstrucción de los datos en el estado en
que se encontraban cuando se produjo la pérdida o destrucción.
Las copias de respaldo se realizarán al menos semanalmente, excepto en el caso de
que no exista ninguna variación en los datos.

9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Las medidas a implementar en ficheros que contengan datos de carácter personal y
sea aplicable el nivel medio de seguridad son las correspondientes al nivel básico más las que
se citan a continuación.
9.3.1. Documento de seguridad
Además de lo contenido en el documento de nivel básico, éste incluirá:
- La identificación del responsable o responsables de seguridad.
- Los controles periódicos a realizar para verificar el cumplimiento de lo dispuesto en
el propio documento (plan de auditoria interna).
- Las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado
o reutilizado.
Como en el nivel básico, se trata de una medida organizativa.
9.3.2. Responsable de seguridad
Será el responsable del fichero el que, como medida organizativa, designe uno o varios
responsables de seguridad encargados de coordinar y controlar las medidas establecidas en el
documento de seguridad. Esto no supone la delegación de la responsabilidad que corresponde
al responsable del fichero.
En términos generales y como veremos más adelante, el responsable o responsables
de seguridad deben:
- Analizar los informes de auditoria y transmitir las conclusiones al responsable del
fichero para que adopte las medidas correctoras adecuadas.
- Controlar los mecanismos que permiten el registro de acceso.
- Revisar periódicamente la información de control registrada y elaborar, al menos
una vez al mes, un informe de las revisiones realizadas y los problemas
detectados.
9.3.3. Auditoría
Al menos cada dos años, y como medida de seguridad organizativa, los sistemas de
información e instalaciones de tratamiento de datos se verán sometidos a una auditoría, interna
o externa, de los procedimientos e instrucciones vigentes en materia de seguridad de datos,
con el fin de verificar el cumplimiento del reglamento.
El informe de auditoria, que será analizado por el responsable de seguridad y que
quedará a disposición de la Agencia de Protección de Datos, deberá:
- Dictaminar sobre la adecuación de las medidas y controles al reglamento.
- Identificar sus deficiencias.
- Proponer las medidas correctoras o complementarias necesarias.
- Incluir los datos, hechos y observaciones en que se basen los dictámenes
alcanzados y recomendaciones propuestas.
Toda esta documentación deberá estar archivada y disponible en todo momento.

9.3.4. Identificación y autenticación
Medida lógica en la que el responsable del fichero establecerá mecanismos que
permitan la identificación inequívoca y personalizada de todo aquel usuario que intente acceder
al sistema de información, así como la verificación de que está autorizado.
Se limitará el número de intentos de acceso no autorizados.
9.3.5. Control de acceso físico
Se trata de una medida de seguridad física en la que se establece que sólo el personal
autorizado (el indicado en el documento de seguridad) tendrá acceso a los locales dónde se
encuentren los sistemas de información con datos de carácter personal.
9.3.6. Gestión de soportes
Consiste en establecer sistemas de registro de entrada y salida de soportes
informáticos que permitan, directa o indirectamente, conocer:
- El tipo de soporte.
- La fecha y la hora.
- El emisor y el destinatario, respectivamente.
- El número de soportes.
- El tipo de información que contienen.
- La forma de envío.
- La persona autorizada responsable de la recepción y entrega, respectivamente.
En definitiva se trata de realizar un inventario de soportes.
Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas
necesarias para garantizar la destrucción real y segura de la información que contiene, con
objeto de impedir cualquier posible recuperación posterior.
También se adoptarán medidas, para evitar la recuperación indebida de la información
almacenada en los soportes cuando vayan a salir fuera de los locales como consecuencia de
operaciones de mantenimiento.
9.3.7. Registro de incidencias
Además de lo comentado para el nivel de seguridad básico, en este nivel el registro de
incidencias contendrá los procedimientos realizados para la recuperación de los datos. Se
indicará la persona que ejecutó el proceso, bajo autorización por escrito del responsable del
fichero, los datos restaurados y, cuando corresponda, que datos se han tenido que grabar
manualmente.
9.3.8. Pruebas con datos reales
Las pruebas anteriores a la implantación o modificación de los sistemas de información
que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que
se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.
Se trata de una medida de seguridad lógica.

9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Las medidas a implementar en ficheros que contengan datos de carácter personal y
sea aplicable el nivel alto de seguridad son las correspondientes al nivel básico, más las
correspondientes al nivel medio, más las de tipo lógico y físico que se citan a continuación.
9.4.1. Distribución de soportes
La distribución de soportes que contengan datos de carácter personal se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha
información no sea inteligible ni manipulada durante su transporte.
9.4.2. Registro de accesos
Se trata de un registro de las entradas a los ficheros donde, por cada acceso, se
guarda básicamente:
- La identificación del usuario.
- La fecha y la hora en que se realizó.
- El fichero accedido.
- El tipo de acceso.
- Si ha sido autorizado o denegado.
Cuando el acceso haya sido autorizado, se guardará además la información que
permita identificar el registro accedido.
Todos estos datos serán conservados, al menos, durante dos años.
Como se dijo en un apartado anterior, los mecanismos que permiten el registro de los
datos estarán controlados por el responsable de seguridad y nunca se debe permitir la
desactivación de los mismos.
También se citó que otras obligaciones de dicho responsable serán revisar la
información de control registrada y elaborar un informe periódico de estas revisiones y de los
problemas detectados, el cuál se archivará junto con los de las auditorias realizadas.
9.4.3. Copias de respaldo y recuperación
Además de lo dispuesto para el nivel básico, se deberá conservar una copia de
respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél
en que se efectúa el tratamiento de éstos. Por tanto, las copias de seguridad no pueden estar
en el mismo local que los ordenadores.
9.4.4. Telecomunicaciones
La transmisión de datos de carácter personal a través de redes de telecomunicaciones
se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que
la información no sea inteligible ni manipulada por terceros.

10 RECOMENDACIONES FINALES
A continuación presentamos un resumen a modo de recomendación con todo lo que se
deduce a lo largo del documento y orientado, como no, hacia Internet.
10.1. INFORMACIÓN EN LA RECOGIDA DE DATOS
- Cuando suministre datos personales a cualquier organización (proveedores de
acceso, proveedores de contenido, vendedores a través de comercio electrónico,
etc.) sea consciente de a quién se los facilita y con qué finalidad.
- Procure averiguar la política de sus proveedores y administradores de listas y
directorios en lo que se refiere a venta, intercambio o alquiler de los datos que les
suministra. Solicite que sus datos personales no vayan unidos a su
identificación de acceso a Internet.
10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS
- Desconfíe si los datos que le solicitan son excesivos para la finalidad con la que se
recogen o innecesarios para el servicio que se le presta.
- Tenga en cuenta que cuando introduce su dirección de correo electrónico en un
directorio, lista de distribución o grupo de noticias, dicha dirección puede ser
recogida por terceros para ser utilizada con una finalidad diferente, como por
ejemplo, remitirle publicidad no deseada.
- Cuando navegue por Internet, sea consciente de que los servidores Web que visita
pueden registrar tanto las páginas a las que accede como la frecuencia y los temas
o materias por las que busca, aunque no le informen de ello.
Asimismo, su pertenencia a determinados grupos de noticias y listas de
distribución puede contribuir a la elaboración de perfiles más o menos detallados
sobre su persona.
En el caso de que no desee dejar constancia de sus actividades en la red,
utilice los mecanismos para preservar el anonimato.
10.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS
- Utilice, siempre que sea posible, las últimas versiones de los programas
navegadores, ya que cada vez suelen incorporar mejores medidas de seguridad.
Considere la posibilidad de activar en dichos programas las opciones que alerten
sobre los intercambios de datos no deseados y no rellene aquellos datos que no
desee hacer públicos (por ejemplo, dirección de correo electrónico, nombre,
apellidos, etc.).
- No realice transacciones comerciales electrónicas a través de proveedores con
sistemas "inseguros" o no fiables. Consulte el manual de su navegador para
averiguar cómo informa de que se ha establecido una conexión con un
servidor seguro.
- Recuerde que existen sistemas de dinero electrónico que preservan el anonimato
de sus compras en Internet.
- Utilice los mecanismos de seguridad que tenga a su alcance para proteger sus
datos de accesos no deseados. El medio más fiable para conseguirlo es el cifrado
de los mismos.

- Salvo que se utilicen mecanismos de integridad, autenticación y certificación (firma
digital, notarios electrónicos, etc.) no confíe ciegamente en que la persona u
organización que le remite un mensaje es quien dice ser y en que el contenido del
mismo no se ha modificado, aunque esto sea así en la inmensa mayoría de las
ocasiones.
10.4. PARA TERMINAR
- Siempre que se le soliciten datos personales que no esté obligado legalmente a
suministrar, sopese los beneficios que va a recibir de la organización que los
recoge frente a los posibles riesgos de utilización irregular de los mismos.
- Ante cualquier duda sobre la legalidad de la utilización de sus datos de carácter
personal, póngase en contacto con la Agencia de Protección de Datos.

11 EJEMPLO DE APLICACIÓN
Veamos como una conocida empresa de telecomunicaciones española es criticada a
causa de su mal proceder a la hora de tratar los datos de carácter personal de los ciudadanos
en lo que se refiere al ejercicio de los derechos personales citados en la LOPD.
Este artículo crítico y denunciante ha sido extraído, tal cual, de la web de dirección
http://www.aui.es/biblio/documentos/proteccion_datos/datos_personales.htm, por lo que no nos
hacemos responsables de su veracidad y de los efectos que pueda causar a quienes los lean.
Millones de españoles autorizarán a Telefónica para utilizar sus datos privados
Sergio García Blanco
Millones de españoles habrán recibido junto con la factura habitual de Telefónica una hoja
como la siguiente:
Millones de españoles habrán almacenado directamente la factura sin leer esta hoja, o bien
habrán tirado sin leer la “publicidad de Telefónica”.
De los restantes, pocos habrán resistido la farragosa presentación, ‘pasando’ de leer el resto.
De los que lo hayan leído, pocos habrán reparado en el siguiente párrafo.
que junto con el anterior.

Significa ni mas ni menos que Telefónica está dispuesta a someter a los datos de nuestra
facturación a “Tratamiento informático”. Esto implica, en cristiano, explotar, analizar, copiar,
exportar, ceder a entidades vinculadas, etc.
Tampoco muchos de los pocos lectores restantes habrán caído en que en estos datos figura,
de forma detallada, a que teléfonos hemos llamado, cuando, y a que hora, por ejemplo.
Esto implica, así por encima y sin descartar posibles alardes imaginativos del explotador (de los
datos) que Telefónica puede saber si usted llama a números de teléfono eróticos o no, si llama
a determinados partidos o no, si utiliza servicios de entidades bancarias distintas de aquellas
en las que tiene su domiciliación, si tiene acciones (Si llama a brokers de bolsa, por ejemplo), y
todo lo que se pueda deducir cruzando los datos que ellos tienen con las llamadas que usted
ha hecho.
También puede saber sus hábitos de vida: A que horas está en casa (Llamadas salientes) o a
las que no hay nadie en su casa (Llamadas entrantes no respondidas), si usa proveedores de
Internet distintos de los suyos o incluso si aquellos a los que usted llama más frecuentemente
viven en su localidad o fuera, si usan teléfonos de la competencia o si todos aquellos a los que
usted llama más asiduamente coincide que también llaman a determinada organización….
Para tener este tipo de control, Telefónica nos pide delicadamente nuestro consentimiento:
Pero resulta que ya se lo hemos dado sin nosotros saberlo:
Y ahora resulta que somos nosotros los que tenemos que pedir que se respete un derecho
que ya tenemos.
En primer lugar: ¿Por qué en el plazo de un mes?. ¿A partir de la recepción de la factura?.
¿Dónde consta en qué fecha hemos recibido la factura?. ¿A partir de la emisión?. ¿Cuánto
tarda en llegarnos?.
En segundo lugar: ¿Cómo nos consta que Telefónica recibe nuestra solicitud de que se respete
nuestro derecho a la privacidad?. ¿No puede ser que Telefónica no los reciba ‘accidentalmente’
en ese apartado de correos?. ¿Quiere decir que para tener constancia fehaciente tenemos que
enviarlo por correo certificado?.
¿Cuántos españoles van a contestar a Telefónica?. ¿Cuántos van a acercarse a Correos para
certificar que piden a una empresa privada que respete sus derechos a la intimidad y
privacidad de los datos?. ¿Tiene cada ciudadano que pedir individualmente a cada empresa
que respete la ley para su caso particular?.

En resumen:
Nos encontramos ante una ‘adaptación’ magistral de los hechos encaminada a reducir al
máximo el número de ciudadanos que NO AUTORIZAN A TELEFÓNICA A MANIPULAR SUS
DATOS PRIVADOS. Entiéndase TELEFÓNICA como multinacional con conexiones en
Sudamérica, Miami, y cantidad de empresas vinculadas.
La posibilidad de conocimiento de la vida privada de los ciudadanos que han otorgado, por
defecto y sin saberlo, su permiso a la multinacional otorga a esta un capacidad indudable de
conocimiento del mercado, diseño de la oferta, análisis de la demanda y en definitiva
direccionamiento de la vida pública. Esto moviéndonos en el terreno comercial sin contar con
posibles vinculaciones con otros grupos de poder.
Por otra parte, como de forma insistente se nos recuerda cuando interesa, al tratarse de una
empresa privada escapa su gestión a los mecanismos de control propios de un estado
democrático de derecho.
Siguiendo el mismo razonamiento, no sería imposible que los ciudadanos recibieran en su casa
misivas del tipo “Nuestra empresa va a proceder a la venta de su casa y a la subasta en el
mercado de esclavos de los miembros de su familia. Si no está de acuerdo tiene una semana
para decírnoslos al buzón de correos….”
En este caso de Telefónica, si el interesado tuviera conocimiento de que la empresa, a pesar
de su denegación expresa, ha utilizado inconvenientemente sus datos, debería iniciar acciones
de forma individual ante la autoridad competente (¿Cuántos españoles conocen cual es, y
cómo se accede a ella?), y aun demostrando fehacientemente dicha denegación expresa
(Tendría que haber certificado la misma, dentro del plazo marcado por Telefónica) podría
paralizar los procesos y rectificar los realizados. Cuales y como han sido esos procesos,
evidentemente, lo podría decir Telefónica.
Urge, por tanto, una pronta y contundente reacción. Como ciudadanos, es nuestra obligación
dar la máxima difusión a estos hechos, para que mediante su conocimiento adecuado cada
afectado tenga libertad para reaccionar a su libre entender. Las organizaciones sindicales,
partidos políticos y demás entidades que realmente entiendan como fundamental la defensa de
los derechos democráticos deben denunciar estas actuaciones y exigir que, al menos, la opción
por defecto sea que EL CIUDADANO NO AUTORIZA EL TRATAMIENTO DE SUS DATOS, y
que la empresa interesada en la autorización corra con los gastos, en su caso, de la
certificación fehaciente de la existencia de dicha autorización.
Es obvio que esto es solo el principio de un nuevo terreno de lucha por las libertades
individuales. Solo mediante la verdad y el conocimiento podremos defendernos como
ciudadanos de a pie. Por favor, difunde esto.

12 ANEXOS
12.1. ANEXO I
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
13-12-1999
TITULO I
Disposiciones generales
Artículo 1. Objeto.
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de
las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Artículo 2. Ambito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en
soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior
de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de
un establecimiento del responsable del tratamiento.
b) Cuando el responsable del tratamiento no establecido en territorio español, le sea de
aplicación la legislación española en aplicación de normas de Derecho internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea
y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales
medios se utilicen únicamente con fines de tránsito.
2. El régimen de protección de los datos de carácter personal que se establece en la presente
Ley Orgánica no será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente
personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero
comunicará previamente la existencia del mismo, sus características generales y su finalidad a
la Agencia de Protección de Datos.
3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso,
por esta Ley Orgánica los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación
estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes
personales de calificación a que se refiere la legislación del régimen del personal de las
Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras
por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
a) Datos de carácter personal: cualquier información concerniente a personas físicas
identificadas o identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no,
que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y

cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o
privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a
que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la
información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica
e informada, mediante la que el interesado consienta el tratamiento de datos personales que le
conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta
del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por
cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso,
el abono de una contraprestación. Tienen consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por
su normativa específica y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.
TITULO II
Principios de la protección de datos
Artículo 4. Calidad de los datos.
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como
someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se
hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará
incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan
como veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o
incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos
rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el
artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período
superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los
valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida
el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del
derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.
Artículo 5. Derecho a información en la recogida de datos.
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados
de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de
la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea
y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo
que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de
las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos,
en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el
contenido de ella se deduce claramente de la naturaleza de los datos personales que se
solicitan o de las circunstancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá
ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su
representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo
que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del
presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo
prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la
información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la
Agencia de Protección de Datos o de organismo autonómico equivalente, en consideración al
número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de
fuentes accesibles al público y se destinen a la actividad de publicidad o prospección
comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del
origen de los datos y de la identidad del responsable del tratamiento así como de los derechos
que le asisten.
Artículo 6. Consentimiento del afectado.
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el
ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en
los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en
fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés
legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen
los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa
justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá
oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una
concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento
los datos relativos al afectado.
Artículo 7. Datos especialmente protegidos.
1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie
podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con
estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se
advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de
tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y
creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,

Auditoria de seguridad informática lopd

Auditoria de seguridad informática lopd

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Auditoria de seguridad informática lopd

Ähnlich wie Auditoria de seguridad informática lopd (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (10)

Auditoria de seguridad informática lopd