Preguntas frecuentes sobre la Ley Orgánica de Protección de Datos
Seguro que habéis oído hablar de la famosa Ley Orgánica de Protección de Datos, conocida también como LOPD . Sabemos que es muy posible que os surjan dudas de todo tipo al respecto. A continuación respondemos a las dudas que nos suelen plantear nuestros clientes con mayor frecuencia:
1. ¿Qué es el tratamiento de datos personales?
La ley define tratamiento como cualquier operación y/o procedimiento técnico de carácter automatizado o no que permita recoger, grabar, conservar, elaborar, modificar, bloquear o cancelar datos de carácter personal, así como las cesiones de datos derivadas de comunicaciones, consultas, interconexiones y transferencias (art. 3.c de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
Por lo tanto, cualquier procedimiento de recogida, gestión o comunicación de información que contenga datos de carácter personal queda sujeto al régimen de protección de datos personales previsto en la Ley Orgánica de Protección de Datos de Carácter Personal.
2. ¿Qué es un fichero? Ejemplos de ficheros:
Conjunto de datos personales organizado.
- Físicos, siendo el soporte de papel, lo más habitual, como unas fichas de clientes ordenadas alfabéticamente.
- Informatizados, por ejemplo, un programa informático con los datos de clientes con una base de datos.
3. ¿Qué es el derecho a ser informado?
El derecho de información comporta que la persona afectada tiene que poder saber los aspectos siguientes en relación con sus datos:
- La existencia de un fichero o tratamiento de sus datos de carácter personal;
- La finalidad de la recogida de los datos;
- Los destinatarios de la información de carácter personal;
- La identidad y la dirección del responsable del tratamiento;
- La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, y ante quién y dónde los puede ejercer.
- Es decir, tiene que poder saber qué datos se tienen, quién los trata y con qué finalidad.
En el momento de la recogida o la obtención de los datos personales, hay que dar toda esta información a la persona afectada, ya sea mediante una leyenda en el impreso o el escrito que contiene los datos, ya sea mediante letreros, avisos, etc.
4. ¿Cuándo es necesario mi consentimiento, como persona afectada, para tratar mis datos personales?
El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco de la persona afectada, salvo que la ley disponga otra cosa (art. 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal-LOPD).
No es necesario el consentimiento (art. 6.2 de la LOPD):
- Cuando los datos de carácter personal se recogen para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias;
- Cuando los datos se refieren a las partes de un contrato o negocio, y son necesarios para su mantenimiento o cumplimiento;
- Cuando el tratamiento tiene por finalidad proteger un interés vital de la persona interesada;
- Cuando los datos figuran en fuentes accesibles al público.
5. ¿Quién es el responsable de un fichero?
Aquel que tomas las decisiones sobre qué hacer con los ficheros, vamos que es el “dueño” o titular y por tanto, el responsable de realizar el tratamiento de los datos.
Puede ser una persona física o jurídica, pública o privada, que dictaminará sobre la finalidad, contenido y uso.
6. ¿Quién es el encargado del tratamiento?
Aquel que trate los datos personales por cuenta del dueño (responsable del tratamiento).
Por ejemplo, una empresa de informática que nos gestione la base de datos ouna asesoría que nos confeccione las nóminas de los trabajadores.
7. ¿Qué es la cesión de datos?
Se produce cuando se muestran datos a una persona diferente del interesado.
8. ¿Qué derechos tiene toda persona física en el ámbito de la protección de datos personales?
Toda persona física puede hacer valer sus derechos ante la persona, la entidad o el organismo que tiene y trata sus datos. En cualquier caso, toda persona tiene los derechos siguientes:
- Derecho de información.
- Derecho de consulta al Registro de Protección de Datos.
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de cancelación.
- Derecho de oposición.
- Derecho de indemnización por daños consecuencia del incumplimiento de la legislación sobre protección de datos.
9. ¿Quién tiene obligación de realizar la adaptación a la Ley de Protección de Datos (LOPD)?
Las personas físicas o jurídicas, públicas o privadas u órganos administrativos que, en el ámbito de su actividad, someten a tratamiento datos de carácter personal, se encuentran obligadas a garantizar su protección. Siendo este tratamiento, tanto informático como en formato documental (papel).
10. ¿Debe mi negocio, empresa, asociación u organización que adaptarme a la Ley de Protección de Datos (LOPD)?
Si tenemos o manejamos datos personales de cualquier tipo, estamos obligados. Como ejemplo: Si tenemos empleados, un listado de socios, un fichero de clientes o proveedores, un registro de alumnos, de vecinos, etc., tanto en formato papel como informatizado.
11. ¿Qué infracciones y Sanciones hay?
La Ley Orgánica de Protección de Datos (LOPD) es una de las más severas en cuanto a la imposición de sanciones, a las que se pueden sumar las de la Ley de Servicios de la Sociedad de la Información (LSSI). La Agencia Española de Protección de Datos (AEPD) es el ente con plena capacidad, que vela por el cumplimiento y ejerce la potestad sancionadora.
Infracciones Leves: Multas entre 900,00 € y 40.000,00 €
Infracciones Graves: Multas entre 40.001,00 € y 300.000,00 €
Infracciones Muy Graves: Multas desde 300.001,00 € y 600.000,00 €
12. Tengo subcontratada la gestión contable, laboral o fiscal. ¿Estoy obligado a adaptarme a la LOPD?
Aunque la gestión de datos no la realicemos nosotros, estamos obligados. Además tenemos que adaptar nuestros contratos de outsourcing o prestación de servicios de terceros, que han de realizarse por escrito obligatoriamente.
13. ¿Existen diferencias si tengo ficheros en formato papel o tengo la información en ficheros informáticos?
Existen diferencias en el tratamiento y en las obligaciones, tanto formales como de procedimientos, pero estoy obligado a cumplir la ley de cualquiera de las formas.
14. ¿Qué obligaciones principales exige la Ley de Protección de Datos (LOPD)?
Esta ley exige un gran número de obligaciones, que han de ser adaptadas a las peculiaridades de su organización. Podemos destacar las siguientes:
- Dar de Alta los ficheros en el Registro de la Agencia Española de Protección de Datos.
- Nombrar un Responsable de Fichero y Seguridad.
- Deber de información
- Obtención del consentimiento del titular de los datos.
- Atender los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) de los titulares.
- Implantar las medidas de seguridad, técnicas, jurídicas y organizativas, para el manejo de los datos personales.
15. ¿Qué nivel de seguridad tienen los datos de mis ficheros?
Existen tres niveles de Seguridad, acumulativos, dependiendo de la naturaleza de los datos que contengan nuestros ficheros. Aunque existen peculiaridades para algunos datos, su uso y el tipo de soporte.
Nivel Básico: Todo dato de Carácter Personal.
Nivel Medio: Datos de infracciones administrativas o penales, Hacienda Pública, servicios financieros y de información sobre solvencia patrimonial o crédito. Los que permitan obtener una evaluación de la personalidad del individuo.
Nivel Alto: Datos de ideología, religión, creencias, origen racial, salud o vida sexual. Así como los obtenidos con fines policiales sin el consentimiento del afectado.
16. ¿Qué es el Documento de Seguridad?
Es un documento que recoge todas las medidas de índoles técnicas y organizativas, con las medidas adoptadas en materia de seguridad que nos marca la LOPD.
Es un documento complejo y único para cada empresa, que se ha de conocer y aplicar en nuestra organización y estar a disposición de los inspectores de la AEPD.
17. ¿Tengo que realizar una auditoría de seguridad?
La correcta adaptación a la LOPD implica la realización de una primera Auditoría (Llamada adecuación o implantación), para poder implementar todas las medidas necesarias, únicas y especificas en cada caso.
Para ficheros con nivel de seguridad Medio y Alto, es obligatoria una auditoria cada dos años.
18. ¿Hay que hacer modificaciones en la documentación o Pagina Web?
Entre las medidas a adoptar, están la modificación de formularios y contratos adaptados a la LOPD. Siendo necesario un estudio para cada caso concreto.
Las Páginas Web, han de cumplir con la LSSICE, por lo tanto, también es necesario modificaciones en muchos casos.
19. ¿A cuánto ascienden las multas por incumplimiento de la LOPD?
Se estipulan infracciones leves, graves y muy graves.
- Leves: de 900 a 40.000€
- Graves: de 40.001 a 300.000 €.
- Muy Graves: de 300.001 a 600.000 €.
20. ¿Cómo actúa la Agencia de Protección de Datos (APD)?
Previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados. En caso de determinar que se ha cometido una infracción, puede multar de acuerd
Sobre el autor
Me gustaría saber si hay alguna ley que proteja al alumno de que sus notas sean mencionadas en alto delante del resto de sus compañeros o sean expuestas en la pizarra
Buenos días,
Lo primero agradecerla la confianza depositada en nuestra firma.
Con respecto a su pregunta anterior, nuestra auditora de protección de datos nos informa de que la lopd protege el derecho al Honor y la Intimidad de las personas físicas. Por tanto, a menos que se demuestre un interés general (o lo hayan aceptado todos los alumnos/as) no podrá facilitarse dicha información públicamente.
Si tiene cualquier otra consulta, no dude en ponerse en contacto con nosotros y le daremos una cita para atender sus cuestiones detenidamente.
Atentamente,
Reciba un cordial saludo,
Equipo de Bujarrabal Asesores.
This is a most useful cointibutron to the debate
Hola buenos días. Soy profesor de un colegio y la duda es la siguiente.
Con todo esto de la protección de datos, cuando se hace un evento se suele grabar y crear un CD o DVD para entregar a los padres. La pregunta es la siguiente:
¿Se debería añadir a esa grabación alguna coletilla para que los padres sepan que no puede distribuir esa información y que el colegio no se hace responsable?
Gracias.
Estimado Antonio,
Lo primero que debe hacer el colegio es obtener el consentimiento de los padres/tutores para poder captar imágenes de los menores. Sin este documento, que no capten mas imágenes y mucho menos las difundan, ya que van a ser sancionados si o si en cualquier momento.
Todos los colegios/guarderías a inicio de curso o en las matriculaciones piden el consentimiento a este efecto.
Esperamos haberle servido de ayuda, si tiene más preguntas por favor, llámenos al 941 54 51 54 y estaremos encantados de darle una cita en nuestras oficinas.
Reciba un cordial Saludo,
Atentamente,
Equipo de Bujarrabal Asesores.
Buenas noches.
Soy trabajador autónomo, me incluyeron en una lista de morosos sin comunicármelo antes, enterándome por una entidad financiera que estaba incluido en ella y a la que estaba solicitando crédito.
Que puedo hacer? Ahora no puedo acceder a él por haber estado en la lista.
Denunció? A quien? Como?
No sé qué hacer.
Gracias
Buenos días Oscar,
Lo primero que debe hacer es solicitar el derecho de acceso a la entidad en la que figuran sus datos para de este modo saber quien los incorporó y poder preparar el escrito de denuncia. Es un proceso complejo, nuestra recomendación es que lo deje en manos de expertos.
Si necesita ayuda con este tema, no dude en llamarnos al 941 54 51 54 y estaremos encantados de darle una cita en nuestras oficinas.
Reciba un cordial saludo,
Atentamente,
Equipo de Bujarrabal Asesores.
Buenas tardes. Soy autónoma y me dedico a dar clases particulares como profesional independiente. No sé si debo cumplir esta ley al no hacer matrícula a mis alumnos ya que en el recibo que les doy mensualmente sólo aparecen su nombre y apellidos y su teléfono, o estoy obligada a ello. Muchas gracias.
Buenos días.
En el momento en el que para realizar una actividad, tanto autónomo como empresa, recojas, almacenes y tratas datos de carácter personal como nombre, apellidos, direcciones, mail, teléfono, número de cuenta corriente…deberás cumplir la LOPD.
Es decir, están obligados a cumplir la LOPD toda persona, empresa o entidad (tanto pública como privada) que en el ejercicio de su actividad tenga que utilizar datos de carácter personal (de clientes, empleados, pacientes, alumnos, etc…) por lo que debe tratar dicho datos aplicando las garantías que la ley establece para proteger la intimidad y demás derechos fundamentales de los ciudadanos.
Como descripción de datos de carácter personal, el artículo 5 del Reglamento de desarrollo, establece que ” son datos de carácter personal cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Si necesita más información no dude en pedir una cita con nuestros expertos en LOPD en el 941 54 51 54. Un saludo
Hola muy buenas. Soy profesor tutor de un centro de secundaria y un miembro del equipo docente de mis alumnos, se niega a facilitarme un correo electrónico para realizar las comunicaciones pertinentes para realizar mi función como tutor. No quiere que utilice el correo que facilitó a principio de curso al centro para uso interno porque dice que es de uso personal y que solo ha autorizado su uso a la directiva por lo que vulnera la ley de protección de datos si lo usara, ¿eso es así, aún necesitando el mismo para el desarrollo de mi función como tutor? Si se acuerda su uso en consejo escolar, ¿se podría utilizar?
Un saludo.
Buenas tardes. Lo primero es ver el alcance de la autorización. Si el reglamento del centro advierte a los alumnos al matricularse que deben facilitar una dirección email para recibir comunicaciones y que en el caso de no hacerlo no podrán cursar la formación, el alumno no puede negarse sopena de ser apartado del curso. Si esto no es así, en realidad no pueden obligarle a facilitar dicho email y deberán buscar otra forma de comunicación alternativa.
Para más información no dude en ponerse en contacto con nosotros en el 941 54 51 54.
Un saludo
Hola!
Voy a crear una web de encuestas que va a hacer preguntas sobre asuntos personales (salud y vida sexual). Sin embargo las respuestas no van a guardarse enlazadas a las personas que las dieron. Es decir, habrá un lugar con los datos básico del usuario (nombre y email) y, por otro, una base de datos con las respuestas. Si alguien ver esta base de datos (incluido yo), no se puede saber quien dio cada respuesta. En este caso ¿solo habría que declarar el fichero como nivel básico o como nivel alto (aunque los datos intimos no se guarden relacionados con cada persona)?
Gracias!
Estimado Silvio,
Este asunto es tratado por el Informe 327/2003 de la Agencia Española de Protección de Datos.
Dicho informe considera que, aunque determinados datos no se relacionen con personas físicas concretas, dado que existe la posibilidad de identificar (aún cuando a veces debido a los protocolos informáticos utilizados pueda ser remota) a los usuarios por su dirección IP, es preferible que los datos que éstos aporten sean tratados en este caso como de Nivel Alto (para cubrir la posibilidad de que se sepa quién da la respuesta a través de métodos de hacking por extraño e improbable que ello nos pueda parecer).
Si desea más información, no dude en llamarnos al 941 54 51 54 y estaremos encantados de darle una cita.
Atentamente,
Reciba un cordial saludo,
Equipo Bujarrabal Asesores.
Buenas tardes. Tengo una página web que genera ingresos en Portugal (soy autónomo en dicho país). Si pido el email a los visitantes para una newsletter, sé que tengo que crear un fichero, pero ¿es obligatorio hacerlo en Portugal o lo puedo hacer en cualquier país de Europa (por ejemplo, España que es donde me interesa)?
Un saludo,
Felipe Faros
Estimado Felipe,
En el caso que Vd. nos comenta, el fichero debe crearse en aquel lugar donde la empresa (Vd. como autónomo) tenga su centro de actividad principal. Si no existe dicho centro porque el trabajo es online, en el lugar del domicilio de dicho autónomo.
Así pues, tendrá que crear dicho fichero en Portugal.
No obstante lo anterior, como Portugal es Estado Miembro de la Unión Europea y por tanto se somete a la misma normativa marco de Protección de Datos que España, por lo que las medidas a acometer son muy similares.
La propia Agencia Española de Protección de Datos cierra convenios de colaboración con los organismos análogos de otros estados miembros, por lo que es posible que se le permita crear ficheros en Portugal con la asistencia de la AEPD.
Si desea mas información puede llamarnos al 941 54 51 54 y estaremos encantados de darle una cita.
Atentamente,
Reciba un cordial saludo,
Equipo Bujarrabal Asesores.