Resumen LOPD 15/1999

Mi Resumen L.O.P.D 15/1999, de 13 de Diciembre Página 1 de 22
Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter
Personal.
En 1992 aparece la L.O.R.T.A.D
LOPD ha entrado en vigor el 14 de Enero de 2000, 1 mes a partir de su publicación en el BOE.
R.D. 994/1999, de 11 de Junio → Reglamento de medidas de seguridad de los ficheros automatizados que
contengan datos de carácter personal.
Real Decreto 1720/2007, de 21 de Diciembre → por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
La diferencia fundamental entre la LOPD y la LORTAD es que el ámbito de la LORTAD únicamente
abarcaba los ficheros que contuviesen datos de carácter personal que se almacenasen en soporte
electrónico. La LOPD amplia este ámbito a cualquier tipo de soporte, es decir, los ficheros en formato
papel también están sujetos a esta reglamentación.
Así mismo en la LOPD se incluye la figura del encargado del fichero además de la figura del responsable del
fichero, en la LORTAD sólo se incluía la figura del responsable del fichero:
En la LORTAD se establecía que los datos de carácter personal objeto de tratamiento automatizado no
podrán utilizarse para finalidades distintas de aquellas para las que los datos hubieran sido recogidos. En la
LOPD se establece que los datos de carácter personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, no se considerará
incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
La LOPD no será de aplicación a:
 Ficheros sometidos a la normativa sobre protección de materias clasificadas (tienen su propia legislación).
 Los ficheros sobre investigación del terrorismo y de delincuencia organizada.
 Los ficheros sobre actividades exclusivamente personales o domésticas (mientras no se comercie con
dichos datos).
Los datos no podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos,
estadísticos o científicos.

Se entiende por:
 Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o
identificables.
 Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso. Antes de recabar datos de personas
físicas con la intención de crear un fichero de titularidad privada o pública, se deberá pedir por regla
general, el consentimiento de los titulares (las personas físicas).
En la LORTAD solo eran ficheros automatizados, y en la LOPD cualquier tipo de fichero.
 Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona.
Exclusivamente, el censo promocional, y los repertorios telefónicos.
 Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u
órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
 Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
 La Agencia de Protección de Datos, es un ente de Derecho Público y ejerce la potestad sancionadora. La
Agencia de Protección de Datos puede sancionar tanto al responsable del fichero como al encargado
del tratamiento.
Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la
situación actual del afectado, y serán cancelados cuando hayan dejado de ser necesarios.
No serán conservados en forma que permita la identificación del interesado durante un período superior
al necesario para los fines.
Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Los interesados a los que se soliciten datos personales deberán ser informados expresa e inequívocamente de
- De la existencia de un fichero o tratamiento de datos de carácter personal
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea, deberá
designar un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el
propio responsable del tratamiento.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de
forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres
meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con
anterioridad.

El Consentimiento:
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo
que la ley disponga otra cosa.
En el consentimiento se debe especificar claramente la finalidad y el uso que se les va a dar a los datos
personales pedidos, e informar que se van a grabar sus datos en un fichero y además los derechos de
acceso, rectificación y anulación que toda persona física tiene sobre los datos personales cedidos.
El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y
no se le atribuyan efectos retroactivos.
[Por ejemplo en un control de acceso a un edificio público. La recogida de datos por el personal de
seguridad de los edificios. Para poder acceder las visitas al interior de los edificios de los organismos
públicos y empresas, el personal de seguridad les solicita sus datos personales y profesionales. Sin estos
datos no se permite la entrada al edificio. Debe aparecer un aviso en el punto de recogida de datos que
informe de que: Se va a introducir los datos en un fichero, Que es obligatorio proporcionar estos datos,
Que no se utilizarán para ningún otro fin, y que se cumplen las medidas de seguridad que dicta la Ley
(LOPD) y que los datos se mantendrán solamente durante x tiempo y pueden ser rectificados en
cualquier momento. También se debe especificar la identidad del responsable del fichero que contiene
los datos].

No será preciso el consentimiento:
 Cuando los datos se recojan para el ejercicio de las funciones de las Administraciones Públicas.
 Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa. Es decir si van a ser tratados para gestión de nóminas, o prevención de riesgos
laborales, por parte de una Asesoría Fiscal, no haría falta mi consentimiento.
[Cuando existe un contrato entre dos partes, se entiende que para el tratamiento de todos aquellos datos
de carácter personal relacionados con el objeto del cumplimiento de dicho contrato, no se precisa
consentimiento explícito por parte del afectado o titular de dichos datos, es importante subrayar que
si precisaría de consentimiento por parte del afectado cuando se utilizasen para otro fin distinto al
recogido en el objeto del contrato].
 Cuando dicho tratamiento de los datos resulte necesario para la prevención o para el diagnóstico de
personal sanitario, siempre que el tratamiento de los datos se realice por un profesional sanitario sujeto
al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
 Cuando los datos sean obtenidos por las autoridades pertinentes por un asunto de seguridad nacional.
 Mención especial para los datos en fuentes accesibles a públicos:
o La guía telefónica.
o El censo electoral (antes si pero desde el 2003 deja de ser considerada fuente de acceso público
siendo ahora necesario el consentimiento expreso de las personas).
o Ficheros o listas de personas físicas pertenecientes a grupos profesionales, incluyendo su titulo,
dedicación, dirección
o Diarios y boletines oficiales del estado.
o Los medios de comunicación, todos los datos obtenidos por ellos pueden ser usados por terceras
personas.
Los datos aparecidos en dichas fuentes de acceso público pueden ser utilizados por personas o entes
dedicados a la publicidad o venta directa durante determinado plazo, de darse el caso, simplemente
abonando una contraprestación económica.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento, y
el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Los datos podrán ser comunicados a un tercero, siempre que sean para fines directamente
relacionados con el motivo de recogida de los mismos y contando con el consentimiento del afectado, que
debe ser informado de la cesión de dichos datos.
Se regulará por un contrato escrito en el que se expone el consentimiento de la empresa afectada a realizar
dicha cesión. Si el tercero incumple dicho contrato, será considerado responsable del tratamiento y/o del
fichero y responderá ante la Ley como tal.
[1 mes creo, es el plazo para que el interesado de su consentimiento desde que es informado de la cesión de
sus datos a una tercera empresa según una carta de Telefónica; aunque según la profesora del curso, sí
que debe ser un plazo razonable, pero vendrá determinado por la política de privacidad de la empresa en
concreto].
[No es lo mismo la comunicación de datos a otros, que cuando otros accedan al fichero para un servicio del
responsable del fichero].
Éste consentimiento no será preciso:
 Cuando la cesión está autorizada en una ley.
 Cuando se trate de datos recogidos de fuentes accesibles al público.
 Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene
atribuidas.
 Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior
de los datos con fines históricos, estadísticos o científicos.
 Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una
urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos
establecidos en la legislación sobre sanidad estatal o autonómica.
 Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la
información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos
 El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de
revocable.
 (No se podrán hacer transferencias de datos a países que no ofrezcan un nivel de protección que sea
equiparable al nuestro, salvo autorización del director de la Agencia de Protección de Datos, por
ejemplo los EE.UU., pq el cifrado de estos ficheros es más débil que en España).
 [El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar
de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han
sido cedidos y el nombre y dirección del cesionario. A no ser que sea entre Administraciones o en el
caso de cesión de datos a la justicia o si la comunicación se efectúa previo procedimiento de
disociación].

No se considerará comunicación de datos cuando un tercero (= encargado de tratamiento) acceda al fichero
para un servicio del responsable del fichero. Con lo cual no es necesario informar a la persona titular de
esa acción.
El responsable del fichero debe garantizar la seguridad de los datos personales y evitar la alteración, la
pérdida y el tratamiento o el acceso no autorizado. Toda persona que tiene acceso a los datos está obligada
al secreto profesional y al deber de guardarlos. Así cualquier persona contratada por un responsable de un
fichero o del tratamiento para llevar a cabo una obligación laboral que implique el tratamiento de datos
personales, estará obligada por el deber de secreto.
Estará regulada en un contrato, estableciéndose expresamente que el encargado del tratamiento únicamente
tratará los datos conforme a las instrucciones del responsable del tratamiento.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o
devueltos al responsable del tratamiento.
El encargado del tratamiento puede ser también responsable de las infracciones.
El hecho de tener un encargado del tratamiento no supone que el responsable del tratamiento se exima del
cumplimiento de las obligaciones de la ley. Sobre el responsable del tratamiento recaen todas las
obligaciones impuestas por la legislación. El responsable tiene un robusto instrumento que asegura el
tratamiento de sus datos y permite una exención de responsabilidad por parte del responsable del
tratamiento en caso de mal uso de los datos por parte del Encargado
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de
índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos están
obligados al secreto profesional respecto de los mismos y al deber de guardarlos, aun después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Los datos especialmente protegidos son por ejemplo, la ideología, religión o creencias, y la ley
recomienda no recabar, salvo en el caso de algunos supuestos como pueden ser de peligro vital del
afectado o asuntos de seguridad nacional. Como por ejemplo, datos referentes a inclinaciones sexuales,
origen racial o étnico, sobre la salud, ideología política, afiliación sindical, religión o creencias.
Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de
carácter personal especialmente protegidos.
[Consentimiento tácito → como aquel consentimiento no expreso, pero que se manifiesta una voluntad a
través de algún acto que se haya realizado. Puede se decir también que el consentimiento tácito es
aquel resultante de una inactividad o del silencio, o por la simple falta de oposición. Resulta que este
tipo de consentimiento tiene un carácter probatorio muy escaso].
[Consentimiento presunto o implícito → es aquel que deriva de nuestros propios actos, aunque no
pronunciados de manera expresa. En este consentimiento se deduce por intermedio de la conducta que
la persona otorga su consentimiento. La legislación de protección de datos es silente sobre este tipo de
consentimiento.
La Agencia Española de Protección de Datos ya se ha pronunciado admitiendo el consentimiento tácito
como regla general de otorga de consentimiento para datos no protegidos].
[Consentimiento expreso → es por escrito].
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o
comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros,
sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados,
tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual (es
falta muy grave).
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo
podrán ser incluidos en ficheros de las Administraciones públicas.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal
que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Derechos de las personas físicas titulares de los datos personales:
- El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o
que se prevén hacer de los mismos.
El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a
12 meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán
ejercitarlo antes.
- El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de 10 días.
- A la cancelación de los datos a petición del afectado, o cuando la actividad para la que eran necesarios
esos datos haya finalizado (salvo que dichos datos sean usados en adelante únicamente para fines
científicos, históricos o estadísticos), y deberán ser destruidos, salvo que existan un marco legal o una
relación contractual que impida dicha cancelación. Por ejemplo, no será de aplicación si, ponderados
los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado
hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste
a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o
incompletos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades
nacidas del tratamiento, durante el plazo de prescripción de éstas.
- Oposición. El particular se podrá oponer a que sus datos sean recabados para el fin que se le comunicó, y
oponerse al envío de publicidad.
[En la agrupación de empresas de marketing existe una lista, la Lista Robinson, en la que están
recogidos los datos de todas las personas que no desean recibir ningún tipo de publicidad. Toda
empresa u organismo debe conocer esta información, solicitando esta lista mediante una suscripción.]
- No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso,
rectificación o cancelación.

- El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos (oposición, acceso,
rectificación o cancelación) podrá ponerlo en conocimiento de la Agencia de Protección de Datos. El
plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.
Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-
administrativo (= es cuando el ciudadano demanda judicialmente a la Administración).
- El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración
de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que
ofrezca una definición de sus características o personalidad. Esta valoración sobre el comportamiento
únicamente podrá tener valor probatorio a petición del afectado.
- El Registro General De Protección de Datos será de consulta pública y gratuita.
[Del Chat de la profesora → El Registro GPD, nos dice sobre el Nombre o razón social del responsable
del fichero, el Nombre del fichero, la finalidad y usos declarados, la dirección en la que el interesado
puede ejercitar los derechos de oposición, acceso, rectificación y cancelación de la información
contenida en el fichero, es decir, proporciona la dirección de la empresa. Pero hay que dirigirse
directamente a la empresa para acceder a la información contenida en el fichero].
- A ser indemnizados, los interesados que sufran daño o lesión en sus bienes o derechos tendrán derecho.

Ficheros de titularidad pública:
La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse
por medio de disposición general publicada en el «BOE» o Diario oficial correspondiente.
Las disposiciones de creación o de modificación de ficheros deberán indicar: La finalidad y usos del
fichero; Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal; El
procedimiento de recogida de los datos; La estructura básica del fichero y la descripción de los tipos de
datos; Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean
a países terceros.; Los órganos de las Administraciones responsables del fichero; Los servicios o
unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición;
Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
Los datos de carácter personal recogidos por las Administraciones públicas no serán comunicados a otras
Administraciones para el ejercicio de competencias diferentes, salvo cuando la comunicación hubiere
sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule
su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines
históricos, estadísticos o científicos.
Los ficheros creados por las Fuerzas y Cuerpos de Seguridad, estarán sujetos al régimen general de la
presente Ley.
La recogida y tratamiento para fines policiales de datos sin consentimiento de las personas afectadas están
limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un
peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser
almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en
función de su grado de fiabilidad.
Se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
Los responsables de los ficheros podrán denegar el acceso, la rectificación o cancelación en función de los
peligros que pudieran derivarse para la defensa del Estado o la seguridad pública.
Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los
derechos cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el
cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de
actuaciones inspectoras.

Ficheros de titularidad privada:
Antes de crear el fichero y empezar a recabar datos personales de los afectados se debe:
- Elaborar un estudio acerca de la seguridad con la que deberán ser tratados dichos ficheros según el tipo de
datos que contenga.
- Comunicar a la Agencia de Protección de Datos la intención de crear en el fichero ciertos datos, con el fin
que la información sobre el mismo, sea inscrita en el Registro General de Protección de Datos, se
deberá comunicar:
o El nombre del responsable del fichero y del encargado del tratamiento del mismo.
o La finalidad del fichero y su ubicación.
o El tipo de datos que contiene dicho fichero.
o Las medidas y nivel de seguridad exigibles que va a tener dicho fichero.
o Las cesiones a terceros y transferencias a países previstas.
o Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la
finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
- El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos
exigibles, o podrá pedir que se completen los datos que falten.
- Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección
de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los
efectos.
- El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar
de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han
sido cedidos y el nombre y dirección del cesionario. A no ser que sea entre Administraciones o en el
caso de cesión de datos a la justicia o si la comunicación se efectúa previo procedimiento de
disociación.
- Para los datos incluidos en las fuentes de acceso público, como los colegios profesionales, los interesados
tendrán derecho a que la entidad responsable del mantenimiento de los listados indique gratuitamente
que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial, y
tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales. La atención
a la solicitud deberá realizarse en el plazo de 10 días.
- Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el
carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga
telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de
acceso público en el plazo de un año.

- Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el
crédito sólo podrán tratar datos de fuentes accesibles al público o procedentes de informaciones
facilitadas por el interesado o con su consentimiento.
Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de
obligaciones dinerarias facilitados por el acreedor.
En estos casos se notificará a los interesados en el plazo de 30 días desde dicho registro, una referencia
de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la
totalidad de ellos, en los términos establecidos por la presente Ley.
Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la
solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de 6 años,
siempre que respondan con veracidad a la situación actual de aquéllos.
Cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las
evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis
meses y el nombre y dirección
- En el tratamiento con fines de publicidad y de prospección comercial, se utilizaran los datos cuando los
mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios
interesados u obtenidos con su consentimiento. Los interesados tendrán derecho a oponerse, previa
petición y sin gastos, al tratamiento de los datos que les conciernan.
- Los datos del censo promocional, podrán ser solicitados al Instituto Nacional de Estadística u órganos
equivalentes de las Comunidades Autónomas, formado con los datos de nombre, apellidos y domicilio
que constan en el censo electoral.
El uso de cada lista de censo promociona1 tendrá un plazo de vigencia de 1 año. Transcurrido el plazo
la lista perderá su carácter de fuente de acceso público.
El interesado puede solicitar no aparecer en el censo promocional, trimestralmente se editará una lista
actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan
solicitado.

- Los responsables de tratamientos de titularidad pública y privada, podrán formular códigos tipo que
establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables,
normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el
tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de
los derechos.
Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional,
debiendo ser depositados o inscritos en el Registro General de Protección de Datos.
El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se
ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el
Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las
correcciones oportunas.

MOVIMIENTO INTERNACIONAL DE DATOS:
- No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal, con destino a
países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo
que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de
la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
- El país de destino se evaluará por la Agencia de Protección de Datos.
- [Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea, deberá
designar un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el
propio responsable del tratamiento].
No será de aplicación:
- Para los tratados o convenios en los que sea parte España.
- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, que haya
declarado que garantiza un nivel de protección adecuado.
- En el auxilio judicial internacional.
- Para un proceso judicial
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de
asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando haya un contrato de por medio entre el afectado y el responsable del fichero, (sería el supuesto
de que hubiésemos contratado con una compañía de telefonía nuestra línea de teléfono móvil y que
ésta, para dar soporte al servicio de atención al cliente de la compañía, tenga un call center en un país
fuera de la Unión Europea (Argentina, Chile, etc.). La compañía, aunque sea española, realiza una
transferencia de datos a otro país para poder dar cumplimiento del servicio contratado con el cliente.),
- O el contrato sea entre el afectado, el responsable del fichero y un tercero, (podríamos aplicar el ejemplo
anterior pero considerando que el call center fuera propiedad de un tercero, ajeno a la compañía de
telefonía, con la que ésta hubiese contratado la prestación del servicio de atención al cliente).
- Para la salvaguarda de un interés público, como por ejemplo: la transferencia solicitada por una
Administración fiscal o aduanera para el cumplimiento de sus competencias.
- En las transferencias dinerarias conforme a la legislación específica.
- [Es falta muy grave, La transferencia temporal o definitiva de datos de carácter personal que hayan sido
objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países
que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de
Protección de Datos].

AGENCIA DE PROTECCIÓN DE DATOS:
- La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y
plena capacidad pública y privada, que actúa con plena independencia de las Administraciones
públicas en el ejercicio de sus funciones.
- Actúa de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones
patrimoniales y contratación estará sujeta al derecho privado.
- Para el cumplimiento de sus fines contará con: lo que se establezca en los presupuestos generales del
Estado (previamente habrá elaborado el correspondiente ante-proyecto) + Bienes, valores, y rentas de
su patrimonio + Otros que legalmente pueden serle atribuidos.
- El Director de la Agencia dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes
componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.
No estará sujeto a instrucción alguna en sus funciones pero deberá oír al Consejo Consultivo en las
propuestas que realice.
- El Director de la Agencia estará asesorado por un Consejo Consultivo compuesto por: 1 Diputado, 1
senador, 1 representante de la Administración Central designado por el Gobierno, 1 representante de la
Administración Local propuesto por la Federación Española de Municipios y Provincias, 1
representante del sector de ficheros privados, 1 experto en la materia propuesto por el Consejo
Superior de Universidades, 1 representante de los usuarios y consumidores, 1 representante de cada
Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, 1
miembro de la Real Academia de la Historia.
- La Agencia tiene potestad de inspección, pudiendo solicitar la exhibición o el envío de documentos y
datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos
físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen
instalados.
Los funcionarios que ejerzan la inspección tendrán la consideración de autoridad pública en el
desempeño de sus cometidos, estando obligados a guardar secreto incluso después de haber cesado
en las mismas.
- [En los supuestos, constitutivos de infracción muy grave, el Director de la Agencia de PD podrá, además
de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter
personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los
datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante
resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las
personas afectadas].

Funciones de la Agencia:
- Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.
- Velar por la publicidad de la existencia de los ficheros de datos con carácter personal.
- Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece
respecto a la recogida de datos estadísticos y al secreto estadístico.
- Atender las peticiones y reclamaciones formuladas por las personas afectadas.
- Proporcionar información a las personas acerca de sus derechos.
- Ejercer la potestad sancionadora.
- Redactar una memoria anual y remitirla al Ministerio de Justicia.
El Registro General de Protección de Datos:
Es un órgano integrado en la Agencia de Protección, inspecciona los ficheros de las Administraciones
públicas, los ficheros de titularidad privada, las autorizaciones a que se refiere la presente Ley, los códigos
tipo, los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información,
acceso, rectificación, cancelación y oposición.
Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública
como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción,
su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás
extremos pertinentes.
Las Comunidades Autónomas, en ficheros de datos creados o gestionados por las Comunidades Autónomas
y por la Administración Local de su ámbito territorial, tendrán la consideración de autoridades de control,
a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.
Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio
de las competencias que se les reconoce sobre los mismos.
El Director de la Agencia podrá convocar regularmente a los órganos correspondientes de las
Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o
procedimientos de actuación.
El Director de la Agencia podrá requerir a la Administración correspondiente de la Comunidad Autónoma,
que se adopten las medidas correctoras respecto a un fichero de datos que determine en el plazo.
Si la Administración pública correspondiente no cumpliera el requerimiento formulado, el Director de la
Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración

INFRACCIONES Y SANCIONES:
Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador.
Para las Administraciones Públicas, el Director de la Agencia de Protección dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. La
resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los
afectados si los hubiera.
Podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran.
El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las
resoluciones que dicte.
Las infracciones pueden ser leves, graves o muy graves.
Infracciones leves:
- No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos
personales objeto de tratamiento cuando legalmente proceda.
- No proporcionar la información que solicite la APD en el ejercicio de las competencias que tiene
legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
- No solicitar la inscripción del fichero de datos en el Registro General de Protección de Datos, cuando no
sea constitutivo de infracción grave.
- Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la
información que señala el artículo 5 de la presente Ley (Derecho de información en la recogida de los
datos).
- Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que sea infracción grave.
[El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de
carácter personal están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo].
- La prescripción de una infracción leve se produce en 1 año a partir de la fecha de comisión de la misma.

Infracciones graves:
- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los
mismos, sin autorización de disposición general, publicada en el «BOE» o Diario oficial correspondiente.
- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los
mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
[Es muy grave, la recogida de datos en forma engañosa y fraudulenta].
- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas
afectadas, en los casos en que éste sea exigible.
[Es leve, incumplir el derecho a la información en la recogida de los datos por parte del usuario].
- Tratar los datos de carácter personal o usarlos posteriormente con conculcación (=vulnerando) de los principios y
garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las
disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
- El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la
información que sea solicitada.
[Es leve, No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos
personales objeto de tratamiento cuando legalmente proceda].
- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que
legalmente procedan.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que
contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios
financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que
contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad
del individuo.
- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas
condiciones de seguridad que por vía reglamentaria se determinen.
- No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de
desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o
sean requeridos por aquél a tales efectos.
[Es leve, No proporcionar la información que solicite la APD en el ejercicio de las competencias que tiene
legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos].
- La obstrucción al ejercicio de la función inspectora.
- No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido
requerido para ello por el Director de la Agencia de Protección de Datos.
[Es leve, No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de
Protección de Datos, cuando no sea constitutivo de infracción grave].
- Incumplir el deber de información que se establece en los artículos 5, 28 (datos incluidos en las fuentes de acceso al
público) y 29 (servicios de solvencia patrimonial y crédito) de esta Ley, cuando los datos hayan sido recabados
de persona distinta del afectado.

Infracciones muy graves:
- La recogida de datos en forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
- Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 (datos
especialmente protegidos) cuando no medie el consentimiento expreso del afectado; recabar y tratar
los datos referidos en el apartado 3 del artículo 7 (origen racial, a la salud y a la vida sexual) cuando
no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición
contenida en el apartado 4 del artículo 7 (= ‘Quedan prohibidos los ficheros creados con la finalidad
exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical,
religión, creencias, origen racial o étnico, o vida sexual’).
- La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia
los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin
consentimiento de las personas afectadas.
- No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido para ello por el Director
de la APD o por las personas titulares del derecho de acceso.
- La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento
o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen
un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías
que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos
fundamentales.
- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación,
cancelación u oposición.
[Es leve, No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación
de los datos personales objeto de tratamiento cuando legalmente proceda].
[Es grave, El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la
negativa a facilitar la información que sea solicitada].
- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter
personal en un fichero.

Tipos de sanciones:
Las leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.
Las graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas.
Las muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.
Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año ,
comenzará a contarse desde el día en que la infracción se hubiera cometido.
Las sanciones prescribirán de igual modo que las infracciones en 3, 2 ó 1 años desde el momento en que
han sido dictadas.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de
ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa
no imputable al infractor.
La cuantía de las sanciones dependen de: La naturaleza de los derechos personales afectados; El volumen de
los tratamientos realizados; Los beneficios obtenidos con esa infracción; El grado de intencionalidad; La
reincidencia en la infracción o conducta ilegal; Los daños y perjuicios causados; Cualquier otra
circunstancia relevante para determinar el grado de antijuridicidad y culpabilidad presentes en la actuación
infractora.
Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la
imposición de las sanciones a que hace referencia el presente Título. Las resoluciones de la Agencia de
Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la vía administrativa.
En los supuestos, constitutivos de infracción muy grave, el Director de la APD podrá, además de ejercer la
potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de
titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el
requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada,
inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.
En las infracciones de las Administraciones públicas, el Director de la Agencia de PD dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción.
Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los
afectados si los hubiera.
El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si
procedieran, que serán las establecidas en la legislación sobre régimen disciplinario de las
Administraciones públicas.
El Director de la Agencia puede exigir a los responsables de los ficheros que cesen en el uso o cesión
ilícita de datos, cuando se atente contra los derechos de los sujetos.
El Director de la Agencia, comunicará al Defensor del Pueblo las actuaciones que efectúe y las
resoluciones que dicte al amparo de los apartados anteriores.

DISPOSICIONES ADICIONALES:
La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán
solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del
fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en
los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde
ejerzan sus competencias, para la creación de ficheros o registros de población.

Resumen LOPD 15/1999

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Resumen LOPD 15/1999

Ähnlich wie Resumen LOPD 15/1999 (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Resumen LOPD 15/1999