auditoria de seguridad informática lopd

UNIVERSIDAD DE CASTILLA-LA MANCHA

ESCUELA SUPERIOR DE INFORMÁTICA

AUDITORÍA Y SEGURIDAD INFORMÁTICA2001/2002

ESTUDIO DE LA LOPD Y SUREGLAMENTO

AUTORES: Javier Crespo Reyero Luis M. De La Gándara Rey

PROFESOR: Antonio Martínez

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiarde los ciudadanos y el pleno ejercicio de sus derechos”

Artículo 18.4 de la Constitución Española

Auditoría y Seguridad Informática ESTUDIO DE LA LOPD Y SU REGLAMENTO

Luis Manuel de la Gándara Rey, Javier Crespo Reyero 3

0 ÍNDICE

1. INTRODUCCIÓN..............................................................................................................52. LOPD VS LORTAD ..........................................................................................................6

2.1. AMBITO DE APLICACIÓN..........................................................................................62.2. LOS PRINCIPIOS DE LA LEY ....................................................................................72.3. DERECHOS DE LAS PERSONAS..............................................................................82.4. OTRAS DIFERENCIAS .............................................................................................8

3. PRINCIPIOS DE LA PROTECCIÓN DE DATOS ...............................................................93.1. CALIDAD DE LOS DATOS ........................................................................................93.2. INFORMACIÓN EN LA RECOGIDA DE DATOS .........................................................93.3. CONSENTIMIENTO DEL INTERESADO ....................................................................103.4. DATOS ESPECIALMENTE PROTEGIDOS .................................................................103.5. SEGURIDAD DE LOS DATOS ...................................................................................103.6. COMUNICACIÓN O CESIÓN DE DATOS ..................................................................11

4. DERECHOS DE LAS PERSONAS ...................................................................................124.1. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS .................................................................124.2. DERECHO DE ACCESO ...........................................................................................134.3. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN .................................................134.4. DERECHO DE OPOSICIÓN ......................................................................................134.5. DERECHO DE IMPUGNACIÓN DE VALORES ...........................................................14

5. DISPOSICIONES SECTORIALES ....................................................................................155.1. FICHEROS DE TITULARIDAD PÚBLICA ...................................................................15

5.1.1. Creación, modificación o supresión .................................................................155.1.2. Comunicación de datos entre administraciones públicas ..................................155.1.3. Ficheros de las Fuerzas Armadas y Cuerpos de Seguridad ..............................155.1.4. Excepciones a los derechos de los afectados ..................................................16

5.2. FICHEROS DE TITULARIDAD PRIVADA ...................................................................165.2.1. Creación, notificación e inscripción registral ....................................................165.2.2. Censo promocional y datos de acceso público .................................................175.2.3. Publicidad y prospección comercial .................................................................17

6. MOVIMIENTO INTERNACIONAL DE DATOS ..................................................................187. AGENCIA DE PROTECCIÓN DE DATOS ........................................................................198. INFRACCIONES Y SANCIONES .....................................................................................21

8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES ...........218.1.1. Leves ............................................................................................................218.1.2. Graves ..........................................................................................................218.1.3. Muy graves ...................................................................................................22

9. REGLAMENTO DE MEDIDAS DE SEGURIDAD ...............................................................249.1. NIVELES DE SEGURIDAD ........................................................................................249.2. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO .........................................................25

9.2.1. Documento de seguridad ...............................................................................259.2.2. Funciones y obligaciones del personal ............................................................259.2.3. Registro de incidencias ..................................................................................259.2.4. Identificación y autenticación ..........................................................................269.2.5. Control de acceso ..........................................................................................269.2.6. Gestión de soportes .......................................................................................269.2.7. Copias de respaldo y recuperación .................................................................26

9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO ...........................................................279.3.1. Documento de seguridad ...............................................................................279.3.2. Responsable de seguridad .............................................................................279.3.3. Auditoria .......................................................................................................279.3.4. Identificación y autenticación ..........................................................................289.3.5. Control de acceso físico .................................................................................289.3.6. Gestión de soportes .......................................................................................289.3.7. Registro de incidencias ..................................................................................289.3.8. Pruebas con datos reales ...............................................................................28



9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO .............................................................299.4.1. Distribución de soportes .................................................................................299.4.2. Registro de accesos ......................................................................................299.4.3. Copias de respaldo y recuperación .................................................................299.4.4. Telecomunicaciones ......................................................................................29

10. RECOMENDACIONES FINALES .....................................................................................30 10.1. INFORMACIÓN EN LA RECOGIDA DE DATOS ......................................................30

10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS ..........................................3010.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS .....................................................3010.4. PARA TERMINAR ..................................................................................................31

11. EJEMPLO DE APLICACIÓN ...........................................................................................3212. ANEXOS .........................................................................................................................35

12.1. ANEXO I ................................................................................................................3512.2. ANEXIO II ..............................................................................................................5312.3. ANEXO III ..............................................................................................................59

13. BIBLIOGRAFÍA Y WEB ..................................................................................................63



1 INTRODUCCIÓN

El Artículo 18.4 de la Constitución dice que “la ley limitará el uso de la informática paragarantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio desus derechos”.

Con la intención de hacer realidad este artículo nació el 29 de octubre del año 1992 laLey Orgánica 5/1992 de Regulación del Tratamiento Automatizado de Datos de CarácterPersonal conocida como LORTAD. Esta polémica ley tan solo tuvo una vigencia de siete añosen el régimen jurídico español.

El 13 de diciembre de 1999 se procedió a la transposición a nuestro ordenamiento de laDirectiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa ala protección de las personas físicas en lo que respecta al tratamiento de datos personales y ala libre circulación de estos datos, viendo la luz de este modo la vigente Ley Orgánica 15/1999de Protección de Datos de Carácter Personal, conocida como LOPD.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) tiene un ámbitode aplicación mas amplio que la LORTAD, ya que no se limita al soporte digital exclusivamente,sino a todo tipo de soportes físicos en los que se puedan almacenar ficheros de datos. LaLOPD se divide en siete títulos y una parte final compuesta por: seis disposiciones adicionales,tres disposiciones transitorias, una disposición derogatoria y tres disposiciones finales.

La estructura general de la Ley es la siguiente:

TÍTULO I : Disposiciones Generales.TÍTULO II : Principios de la protección de datos.TÍTULO III : Derechos de las personas.TÍTULO IV : Disposiciones sectoriales.

CAPÍTULO I : Ficheros de titularidad pública.CAPÍTULO II : Ficheros de titularidad privada.

TÍTULO V : Movimiento internacional de datos.TÍTULO VI : Agencia de Protección de Datos.TÍTULO VII: Infracciones y sanciones.Parte final.

En total, la Ley se compone de 49 artículos que se verán en detalle en los siguientescapítulos de este trabajo.

El artículo 1º de la LOPD expone sus objetivos de esta manera:

“La presente Ley orgánica tiene por objeto garantizar y proteger, en lo que concierne altratamiento de los datos personales, las libertades públicas y los derechos fundamentales delas personas físicas, y especialmente de su honor e intimidad personal y familiar.”

Esperemos que esta nueva Ley logre cumplir con sus objetivos y levante menospolémica en su aplicación que su precursora, manteniéndose, de este modo, vigente por unmayor espacio de tiempo y con un mayor consenso en su interpretación y subsiguienteaplicación.

Este trabajo pretende dar una visión general sobre la LOPD y su Reglamento deMedidas de Seguridad, evitando, en la medida de lo posible, el lenguaje jurídico que podríaresultar demasiado denso y centrándose, especialmente, en los aspectos más interesantespara los profesionales dedicados al mundo de la informática.



2 LOPD Vs LORTAD

Como se ha comentado en la introducción la LORTAD fue la precursora de la actualLOPD, pero desde su aceptación ha sido perseguida por la polémica y el desacuerdo. Paraentender mejor la nueva ley que la sustituye es importante hacer una comparación entre ambase intentar encontrar los puntos que difieren para poder observar la evolución que ha sufrido eltratamiento de datos de carácter personal desde 1992 hasta la actualidad en el ámbito jurídicoespañol.

Las diferencias comienzan ya en el nombre. La eliminación de una palabra en el objetode la nueva ley: ”automatizados”, tiene una enorme trascendencia a la hora de analizar ambasleyes. Se ha cambiado el fin último de la LORTAD y sin embargo permanece vigente gran partede su articulado.

La LORTAD, según se expone, de una forma que no deja lugar a ninguna duda, en suartículo primero tenía por objeto el desarrollo del artículo 18.4 de la Constitución, como ya seha comentado en la introducción. Por lo tanto el fin de la LORTAD era poner freno a lo queentendían los redactores de la Constitución era un peligro para la defensa de la intimidad de losciudadanos: la implantación cada día mayor en nuestra sociedad de la nuevas tecnologías dela información, especialmente a partir del enorme avance experimentado por lascomunicaciones.

En la LORTAD no tenían en cuenta otro tipo de datos que los de carácter personal ysiempre que fuesen tratados de forma automatizada, la posesión de este tipo de datos, pero enotro soporte, no era objeto de la misma. Se establecía, por decirlo así, una categoría de datos:los automatizados, algo que en la LOPD ha dejado de existir.

La LORTAD se refería sólo a los datos organizados automatizados aunque posponíapara fecha posterior, a juicio del Gobierno, la posible incorporación al ámbito de la Ley los noautomatizados.

La desaparición de esa distinción de automatizados englobando a todos los datos decarácter personal en una misma categoría cambia el panorama y en la práctica plantea lanecesidad de estudiar la nueva situación creada.

El objeto de la LOPD pretende ser mucho más amplio que el de la LORTAD, en estafinalidad estaba clara y era muy específica: cumplir el mandato constitucional de desarrollar elartículo 18.4 de la Constitución para limitar el uso de algo que se consideraba pernicioso. En elcaso de la LOPD ya no se trata de un artículo sino de la sección 1ª de la Constitución: “De losderechos fundamentales y las libertades públicas.”

2.1. ÁMBITO DE APLICACIÓN

El ámbito de aplicación de la LOPD se mueve en torno a tres parámetros: de contenido,territorial y temporal.

Entran dentro de su ámbito todos los tratamientos de datos automatizados o no decarácter personal concernientes a personas físicas.

En el aspecto territorial abarca a los ficheros no sólo cuando el responsable deltratamiento esté establecido en territorio español sino cuando no lo está pero utiliza mediossituados en el mismo o le sean de aplicación las normas internacionales.

Por último, en principio, la temporalidad le viene impuesta por la necesidad de disponerde los datos para el fin para el que se creó el fichero o bien para una finalidad posterior nocompatible con aquella.



La LOPD, siendo consecuente con la filosofía seguida por la LORTAD de que hayasiempre un responsable cuando hay que hacer frente al daño producido por una posibleinfracción, establece que la ley alcanza al responsable del tratamiento aunque no resida enterritorio español y obliga a que cuando el responsable del tratamiento no está establecido enterritorio de la U.E. deba designar un representante en España.

Conocer en la antigua ley si un tipo de registro era una fuente accesible al públicoalgunas veces no era tarea fácil.

La LORTAD definía las fuentes accesibles al público como aquellos ficherosautomatizados de titularidad pública cuyo objeto legalmente establecido fuese elalmacenamiento de datos para su publicidad con carácter general.

En la LOPD se consideran fuentes accesibles al público las siguientes:

- Censo promocional.

- Repertorios telefónicos (normativa específica).

- Listas de personas pertenecientes a grupos profesionales.

- Diarios oficiales.

- Boletines oficiales.

- Medios de comunicación.

De esta forma las dudas que se planteaban sobre si un fichero determinado contenía ono datos accesibles al público ahora con la nueva normativa no se presentan.

2.2. LOS PRINCIPIOS DE LA LEY

No se han producido muchas modificaciones en los principios que inspiran la Ley. Enlas líneas que vienen a continuación, siguiendo el articulado de la LOPD vamos a irexaminando las diferencias que se han producido entre una y otra ley.

En el artículo 4 punto 2 se produce en la LOPD el cambio de una palabra que puedetener gran importancia a la hora de la aplicación práctica de la Ley.

La LORTAD decía: “no podrán usarse para finalidades distintas”, sin embargo la LOPDno habla de finalidades distintas sino incompatibles.

Con la nueva redacción muchas organizaciones que poseen grandes bases de datos ycuya finalidad en el momento de la recogida de los datos era simplemente, por ejemplo, lafacturación de un servicio, ahora podrán utilizarlas para otros fines distintos de éste siempreque no sean incompatibles con el mismo algo que hasta ahora legalmente no podían hacer.

El artículo 9 relativo a la seguridad de los datos no sufre prácticamente transformaciónalguna; sin embargo su desarrollo reglamentario sí que las debe sufrir, ya que el reglamento,que también se trata en este trabajo, fue desarrollado para regular ficheros automatizados y aellos va dirigido todo su articulado por lo que el cambio que hay que realizar tiene que sersustancioso. Probablemente se presentarán problemas a la hora de adaptar dicho reglamento.

A la prestación de servicios por un tercero, el outsourcing, la LOPD le dedica mayoratención incluyéndola bajo el epígrafe: “Acceso a los datos por cuenta de terceros” en elartículo 12 que figura en el Título referido a los principios de la protección de datos.

Una vez cumplida la prestación de servicios los datos de carácter personal deberán serdestruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte odocumento en que conste algún dato de carácter personal objeto del tratamiento.



La LORTAD le dedicaba el artículo 27 dentro de los ficheros de titularidad privada y selimitaba a cinco años el tiempo en que el prestador del servicio podía almacenar los datosmediante autorización del responsable del fichero.

La LOPD no especifica tiempo alguno por lo que se presuma que podrán almacenarseen tanto sean necesarios para la prestación periódica del servicio.

2.3. DERECHOS DE LAS PERSONAS

Los derechos de las personas que se configuran en la LOPD son: impugnación devaloraciones, consulta, acceso, rectificación y cancelación, oposición, tutela e indemnización.

El derecho de impugnación de valoraciones que en la LORTAD se refería a lasproducidas por un tratamiento automatizado, en la LOPD es más general refiriéndose acualquier tipo de tratamiento.

El derecho de acceso se regula como un derecho gratuito, cosa que no se hacía en laLORTAD y entre la información que se tiene que facilitar aparte de los datos de carácterpersonal y el origen de los mismos se debe informar de las cesiones realizadas y de las que setenga previsto realizar.

En los derechos de rectificación y cancelación se introduce en el artículo el plazo dediez días para hacer efectivos los mismos, que es superior al plazo de cinco días queestablecía la LORTAD.

El derecho de oposición se configura como el derecho que tienen los interesados, endeterminadas circunstancias, a oponerse al tratamiento de los datos que les conciernen, encuyo caso, previa petición y de forma gratuita serán dados de baja del tratamiento,cancelándose las informaciones que sobre ellos figuren.

2.4. OTRAS DIFERENCIAS

Con la LOPD nace el llamado Censo Promocional, se trata de una copia de datos de:nombre, apellidos y domicilio que constan en el censo electoral. Este se podrá usar durante unaño para fines publicitarios.

En los artículos correspondientes al movimiento internacional de datos se enumeran lascircunstancias que debe evaluar la Agencia de Protección de Datos para que el nivel deprotección que ofrece el país se considere adecuado, asimismo se amplían las excepciones ala Ley en esta área, siguiendo la Directiva comunitaria.

Los tipos de infracciones siguen dividiéndose en leves, graves y muy graveshabiéndose modificado en algunos aspectos.

El carácter de muy grave se reserva para los datos especialmente protegidos y losrecabados con fines policiales.

Se incluyen entre los graves algunos casos mas como: no inscribir el fichero cuandohaya sido requerido para ello e incumplir el deber de información cuando los datos se recabende persona distinta del afectado.

Las infracciones muy graves también han visto incrementados sus casos: no atender uobstaculizar de forma sistemática el ejercicio de los derechos de los interesados y no atenderde igual forma la notificación de inclusión en un fichero.



3 PRINCIPIOS DE LA PROTECCIÓN DE DATOS

Este apartado de la LOPD (artículos 4 a 12) constituye la base en el tratamiento dedatos de carácter personal, ya que se centra en los aspectos relacionados con la manipulacióny gestión de la información de un modo general. Expone una serie de principios básicos quedeberán ser contemplados por cualquier ente, público o privado, que desee manipularinformación de carácter personal. Estos principios serán matizados, aumentados o modificadosen los siguientes títulos de esta ley en función de su uso o manipulación, atendiendo a los finesy titularidad de la empresa que los trate.

3.1. CALIDAD DE LOS DATOS

El artículo 4 proporciona unas directrices fundamentales sobre la calidad de los datos.

Es fundamental que los datos sean pertinentes, adecuados y no excesivos en relacióncon el ámbito y finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

De un modo resumido se pueden destacar los siguientes puntos:

- Los datos de carácter personal se podrán recoger para un uso adecuado, ysiempre que no sobrepasen la información necesaria para la finalidad a la quesirven, además, no se podrán usar para un fin distinto al inicialmente propuesto yserán eliminados cuando este fin haya sido alcanzado y no sea necesario sumantenimiento.

Poniendo como ejemplo una empresa interesada en promocionar una línea demuebles en pino macizo esta no podrá recabar información entre sus clientespotenciales sobre su raza, creencias o ideología, ya que no tienen ningún tipo derelación con su propósito, que es el de vender muebles.

- Todos los datos almacenados deberán ser exactos, y en caso de que no lo fueranpodrán ser cancelados y sustituidos por los datos rectificados sin perjuicio delafectado.

- Por último, destacar el último punto de este articulo, en el que se dice,textualmente: “Se prohibe la recogida de datos por medios fraudulentos, deslealeso ilícitos”.

Este es un punto a tener en cuenta, ya que este tipo de actos estántipificados como faltas muy graves con multas que oscilan entre los 50 y 100millones de pesetas, como mas adelante veremos.

3.2. INFORMACIÓN EN LA RECOGIDA DE DATOS

El titular del fichero tiene la obligación de informar al afectado cuando se recaban losdatos, de manera que el interesado pueda conocer esencialmente quién, cómo y para qué setratan sus datos; ello supone que el interesado debe ser informado con carácter previo altratamiento de sus datos y de modo expreso, preciso e inequívoco de lo siguiente :

- La existencia del fichero de tratamiento de datos, de la obligatoriedad de contestara las preguntas del formulario, de las consecuencias de no suministrarlos, de laposibilidad que tiene de cancelar y modificar estos datos y de la identidad delresponsable de este fichero de datos.

- En el caso de que los datos no hayan sido directamente pedidos al interesado laempresa tiene el deber de comunicárselo al usuario en un plazo máximo de 3meses desde su inclusión en el registro de datos. Esto no se contempla cuando los



datos sirvan para fines históricos, científicos o estadísticos. Tampoco se contemplaen el caso de datos públicos, como el nombre y la dirección, que puedan serusados para publicidad. En este último caso tan solo se le informará al interesadode sus derechos y del origen de los datos cuando reciba dicha publicidad.

3.3. CONSENTIMIENTO DEL INTERESADO

Es el consentimiento el principio fundamental para cualquier tratamiento de datos decarácter personal, pudiendo afirmarse que constituye una condición de licitud del mismo.Mediante el consentimiento otorgado por el interesado para que se recojan sus datos éstepuede controlar cuándo, dónde y cómo se pueden tratar sus datos, bien por aquella persona oentidad que los recaba o bien para su comunicación a terceros. Si bien el consentimiento no esnecesario en ciertos casos que se reflejan en el primer guión de este apartado.

- El afectado debe dar su consentimiento inequívoco al tratamiento de sus datossalvo que la ley revoque estos derechos. De cualquier modo, el consentimiento noserá necesario cuando sean necesarios para las funciones de las Administracionespúblicas; sean datos de carácter público; sean necesarios en una relación negocial,laboral o administrativa o cuando estos datos tengan como objeto proteger uninterés del afectado.

- El interesado podrá revocar el consentimiento que ha otorgado sobre sus datos sitiene causa justificada para ello. Además, en el caso de que no sea necesario suconsentimiento podrá oponerse a su tratamiento si puede justificar alguna causaque lo excluya.

3.4. DATOS ESPECIALMENTE PROTEGIDOS

Existe una categoría de datos que la LOPD denomina “especialmente protegidos” y queson aquellos datos a los que la norma otorga un mayor grado de protección, imponiendoespeciales obligaciones respecto de los mismos, tales como la necesidad de obtener elconsentimiento expreso, y en su caso por escrito.

El artículo 7 proporciona las directrices para tratar los datos especialmente protegidosque pueden vulnerar los derechos fundamentales del individuo. Según el art.16 apartado 2 dela constitución nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.Esto es lo que intenta proteger este artículo basándose en los siguientes puntos:

- Solo se podrán tratar los datos de carácter personal que revelen la ideología,afiliación sindical, religión y creencias con el consentimiento expreso y por escritodel afectado. Las entidades sin animo de lucro cuyo fin sea político, religioso,filosófico o sindical están exentas de este requisito.

- Con respecto a los datos sobre salud, raza o vida sexual solo podrán ser tratadoscuando el afectado consienta expresamente, cuando la ley así lo disponga ocuando sean datos necesarios para el tratamiento médico.

- De cualquier modo, queda expresamente prohibido por la ley crear ficheros cuyaúnica finalidad sea la de recabar información sobre ideologías, afiliacionessindicales, religión, creencias, origen racial, o vida sexual.

3.5. SEGURIDAD DE LOS DATOS

En el artículo 9 se proporcionan una serie de líneas guía, muy básicas, sobre laseguridad de los datos almacenados en ficheros. El Real Decreto 994/1999 del 11 de junioaprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengandatos de carácter personal. Este reglamento se tratará en profundidad en este trabajo dada laimportancia que tiene para la práctica de la auditoria informática.



El responsable del fichero y quienes intervengan en cualquier fase del tratamiento delos datos tienen la obligación de guardar el secreto profesional incluso después de finalizar sutratamiento.

3.6. COMUNICACIÓN O CESIÓN DE DATOS

Existe la posibilidad de ceder a un tercero los datos personales siempre que sea parafines directamente relacionados con el propietario de los datos y el responsable del archivo, ysiempre con el consentimiento previo del primero. Existen una serie de casos en los que noserá necesario ese consentimiento:

- En general, cualquier cesión de datos a entes públicos de la Administración o deámbito jurídico están exentos de pedir consentimiento al interesado, tampoco seránecesario cuando la cesión esté autorizada por la ley o en el caso de unaemergencia médica.

- Destacar, por último, que cualquiera que reciba datos de carácter personalvaliéndose de este artículo debe atenerse a todas las disposiciones de la LOPDque estamos viendo.

En ocasiones, los responsables de los datos se ven obligados a dar acceso a untercero para que realice algún tipo de tratamiento con los datos del fichero. El artículo 12 tratasobre este hecho, pero en este caso no se considerará comunicación de datos, como se havisto en el artículo 11.

Este servicio estará regulado por un contrato por escrito que garantiza que los datostan solo se usarán del modo estipulado en dicho contrato. Cumplida la prestación los datosserán destruidos o devueltos al responsable.

En el caso de que se usen los datos para otros fines distintos a los pactados seráconsiderado también responsable del tratamiento, respondiendo de las infracciones en las quehubiera incurrido.



4 DERECHO DE LAS PERSONAS

Será obligatorio que todo aquel encargado de recoger, tratar y ceder datos de carácterpersonal inscriba los ficheros, creados para el almacenamiento de estos datos, en el RegistroGeneral de la Agencia de Protección de Datos, haciendo figurar un responsable de fichero otratamiento.

El tratamiento de datos de carácter personal puede suponer una acumulación deinformación que permita crear un perfil de la persona fuera de su control. Por eso, para evitareste riesgo, se conceden al ciudadano una serie de derechos que le otorguen la facultad depoder ejercer un control sobre el uso de sus datos por parte de quienes los traten. Estosderechos se convierten en un mecanismo, por el cual, se garantiza que los ciudadanos puedanacceder, rectificar y cancelar aquellos datos que no sean exactos o relacionados con lasfinalidades para las que fueron recogidos. De esta forma, cada interesado podrá conocer entodo momento, y con la mayor información posible, los datos recogidos sobre su persona.

Cada uno de los derechos será independiente, lo que supone que el ejercicio de algunono es requisito previo para el ejercicio de otro.

Para ejercitar correctamente los derechos de los interesados cuyos datos son objeto detratamiento por parte del responsable del fichero, es necesario el cumplimiento de unosrequisitos formales, tales como el envío de una solicitud a dicho responsable (esta contendrá elnombre y apellidos del interesado o de su representante, fotocopia de su DNI, la petición enque se concreta la solicitud, etc.). Además, el ejercicio de estos derechos será, en principio,gratuito y sin suponer ningún gasto para el interesado. Por su parte, el responsable deltratamiento deberá contestar al interesado, tanto si constan datos del solicitante en el ficherocomo sino, y subsanar aquellos en caso de inexactitud.

Los interesados podrán reclamar, de forma reglamentaria, ante la Agencia deProtección de Datos las actuaciones contrarias a lo dispuesto en la ley, pudiendo dar a conocera ésta (o en su caso al organismo competente de cada Comunidad Autónoma) la denegación,total o parcial, del ejercicio de los derechos de oposición, acceso, rectificación o cancelación.Dichos organismos deberán asegurarse de la procedencia o improcedencia de la denegación,teniendo un plazo máximo de 6 meses para dictar la resolución de la tutela de derechos.Contra estas resoluciones procederá recurso contencioso-administrativo. Así mismo, losinteresados que sufran daño o lesión en sus bienes o derechos, como consecuencia delincumplimiento de esta ley por parte del responsable del tratamiento, tendrán derecho a serindemnizados y, dependiendo de sí los ficheros son de titularidad pública o privada, podráejercitar las correspondientes acciones ante las Administraciones públicas o ante la jurisdicciónordinaria respectivamente.

A continuación se concretan los derechos que el interesado puede ejercitar ante elresponsable del fichero respecto a los datos objeto de tratamiento.

4.1. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DEDATOS

Con objeto de conocer la existencia de tratamientos de datos de carácter personal, susfinalidades y la identidad del responsable del tratamiento, cualquier persona podrá consultar,pública y gratuitamente, el Registro General de Protección de Datos para obtener información atal fin.

De esta forma, el interesado podrá estar al tanto del uso de sus datos y controlar elperfil creado con éstos, pudiendo así ejercitar, ante el responsable del tratamiento, otrosderechos que crea oportunos.



4.2. DERECHO DE ACCESO

Se refiere a la facultad reconocida a todo interesado, cuyos datos personales sonsometidos a tratamiento, para solicitar y obtener información gratuita sobre que datos estánsiendo tratados, el origen de éstos y las cesiones o comunicaciones realizadas o que se prevénrealizar.

Esto garantiza que el individuo pueda conocer qué datos se están tratando y quéinformación puede llegar a obtenerse de los mismos.

Este derecho sólo podrá ser ejercitado gratuitamente por el interesado a intervalos noinferiores a 12 meses, o antes si se acredita un interés legitimo al efecto. Ante este ejercicio, elresponsable del fichero dispondrá de un plazo de 30 días para resolver la petición efectuada,comunicando al interesado la decisión sobre la procedencia o no del ejercicio de este derecho,independientemente de que figuren o no datos del mismo en el fichero cuestionado. Tendráotros 10 días más para proporcionarle los datos siempre y cuando la petición de acceso fueraestimatoria, en cuyo caso la información que obtenga el interesado será mediante la meraconsulta de los datos por medio de su visualización o mediante escrito, copia, telecopia ofotocopia, certificada o no, en forma legible e inteligible, y siempre sin utilizar claves o códigosque requieran el uso de dispositivos mecánicos específicos que obstaculicen el ejercicio.

Cuando el interesado sea menor de edad o incapacitado se comprobará que el derechose ejerce a través de un representante legal.

4.3. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN

Otorgan la posibilidad al interesado de exigir al responsable del fichero que cumpla conel principio de calidad de datos, pudiendo solicitarle que rectifique aquellos datos de carácterpersonal cuyo tratamiento no se ajuste a lo dispuesto en la ley y, en particular, cuando éstosresulten inexactos o incompletos, y que los cancele cuando dejen de ser necesarios para el finen el que hubieran sido registrados. Con esto se asegura que los datos se mantengan de formaadecuada y no excesiva en relación con el ámbito y finalidades legítimas para las que serecogieron.

Siempre que no exista una disposición legal contraria, los datos, totales o parciales,sobre los que se ejerciten los derechos de rectificación y cancelación podrán ser excluidos deun determinado fichero de datos personales, bien por ser erróneos o bien por negarse el titulara su tratamiento.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente adisposición de las Administraciones públicas, Jueces y Tribunales, para la atención de lasposibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.Cumplido este plazo se procederá a la supresión definitiva.

Como los anteriores, estos dos derechos, personales e independientes, exigen lasmismas formalidades de identificación y representación. Se ejercerán gratuitamente por elinteresado mediante una solicitud al responsable del fichero, teniendo este último la obligaciónde hacerlos efectivos en un plazo de 10 días. Pero cuando existan causas para ello, cabe laposibilidad de que el responsable del tratamiento se oponga a la solicitud de rectificación ocancelación. Estas causas se pueden deber al amparo legal del tratamiento o a la relacióncontractual entre el interesado y el responsable.

4.4. DERECHO DE OPOSICIÓN

Este derecho, a pesar de su falta de definición en la ley, se perfila como toda negativaa la continuación del tratamiento de los datos personales por parte del interesado. Supone queen los casos en los que no se requiera el consentimiento de éste para el tratamiento de susdatos, y siempre que una ley no disponga lo contrario, pueda oponerse al tratamiento de losmismos cuando existan motivos fundados y legítimos.



El ejercicio de este derecho será gratuito.

4.5. DERECHO DE IMPUGNACIÓN DE VALORACIONES

Consiste en la facultad que se concede a las personas para no verse sometidas a lasdecisiones con efectos jurídicos basadas exclusivamente en un tratamiento de datos destinadoa evaluar determinados aspectos de su personalidad o definición de sus características. Así, elafectado podrá impugnar los actos administrativos o decisiones privadas que impliquen unavaloración de su comportamiento fundamentada en dicho tratamiento de datos, pues éstaúnicamente podrá tener valor probatorio y siempre a petición del mismo.

El afectado tendrá derecho a obtener información del responsable del fichero sobre loscriterios de valoración y el programa utilizado en el tratamiento que sirvió para adoptar dichadecisión.



5 DISPOSICIONES SECTORIALES

Los ficheros de titularidad pública se rigen por un marco legal distinto al de los ficherosde titularidad privada, por este motivo el TITULO IV de LOPD se divide en dos capítulos quemuestran la normativa para cada uno de estos dos tipos de ficheros.

5.1. FICHEROS DE TITULARIDAD PÚBLICA

Este capítulo abarca los artículos del 20 al 24 y regula el uso de los ficheros en laAdministraciones Públicas y en las Fuerzas y Cuerpos de Seguridad.

5.1.1. Creación, modificación o supresión

El Registro General de Protección de Datos (RGPD) es el órgano de la Agencia deProtección de Datos al que corresponde velar por la publicidad de la existencia de los ficherosde datos de carácter personal como veremos más adelante.

La creación, modificación o supresión de un fichero de titularidad pública solo podrácrearse cuando aparezca publicado en el Boletín Oficial del Estado y deberá ser comunicado alRegistro General de Protección de Datos detallando los siguientes puntos:

- Cual es su finalidad y para que se va a emplear.

- Las personas a las que se las va a pedir sus datos y el procedimiento de recogidade estos.

- La estructura que tendrá el fichero y los tipos de datos, así como la seguridad quedeberán tener; básica, media o alta.

- La Administración responsable del fichero. Como va a manipular los datos, o en sucaso, la transferencia de estos a países terceros.

En el caso de que se desee destruir un fichero deberá especificarse cual es el destinode los mismos y como serán destruidos.

5.1.2. Comunicación de datos entre Administraciones públicas

El artículo 21 especifica como se realizará la comunicación de datos entre lasAdministraciones Públicas, este artículo dispone que los ficheros realizados por unaAdministración no serán comunicados a otras Administraciones Públicas, salvo que, al sercreado el fichero, se haya establecido de ese modo o cuando sea para fines científicos,estadísticos o históricos.

Una Administración que elabore un fichero con destino a otra si podrá comunicar datosde carácter personal.

Por supuesto, queda excluida la posibilidad de transferir los ficheros de titularidadpública a uno de carácter privado, salvo cuando la ley prevea otra cosa.

5.1.3. Ficheros de las fuerzas armadas y cuerpos de seguridad.

En el artículo 22 se tratan los ficheros recogidos y tratados por las Fuerzas y Cuerposde Seguridad. Lo primero que advierte la ley es que, todos los ficheros recogidos para finesadministrativos estarán sujetos a la ley para la protección de los datos.



Tan solo podrán recoger información sin el consentimiento de las personas afectadascuando resulten necesarios para la prevención de un peligro real para la seguridad pública opara la prevención de infracciones penales.

También se dispone la cancelación de los datos personales registrados con finespoliciales cuando ya no sean necesarios para la investigación que justificó su almacenamiento.

5.1.4. Excepciones a los derechos de los afectados

Los derechos de los afectados a acceder, rectificar y cancelar un fichero de titularidadpública son los resueltos en el TITULO III de la LOPD, sin embargo, existen una serie deexcepciones que son las siguientes:

- Los responsables de los cuerpos de seguridad podrán denegar el acceso alafectado cuando entienden que pone en peligro la seguridad pública o la defensadel estado.

- La Hacienda Pública también podrá negar el acceso o modificación de datos si seobstaculiza las actualizaciones destinadas a hacer cumplir las obligacionestributarias.

En cualquier caso, el afectado podrá recurrir al Director de la Agencia de Protección deDatos o al organismo competente de su Comunidad Autónoma en el caso de que no esté deacuerdo con esta denegación.

5.2. FICHEROS DE TITULARIDAD PRIVADA

El resto de los artículos del Titulo IV (del 25 al 32) tratan los ficheros de titularidadprivada del mismo modo que en el capítulo anterior pero adaptándose a la diferente naturalezade estos.

5.2.1. Creación, notificación e inscripción registral

Para la creación de un fichero con datos de carácter personal la persona o entidadinteresada en promoverlo deberá respetar las garantías que establece la LOPD para laprotección de las personas.

Además de observar la Ley debe dar los siguientes pasos para poder inscribir en elRGPD el fichero creado.

- Notificación previa a la Agencia de Protección de Datos.

- Proporcionar los siguientes datos:o Responsable del fichero.o La finalidad del mismo.o Su ubicación.o El tipo de datos de carácter personal que contiene.o Las medidas de seguridad (Alta, media, baja)o Las cesiones y transferencias de datos que se prevean realizar.

- Cualquier cambio en estos datos deberá ser comunicado a la Agencia deprotección de Datos.

- Si transcurrido un mes desde que se presenta la solicitud la Agencia no ha resueltonada sobre la misma se considera que el fichero ha sido inscrito en el RGPD.

La primera vez que se efectúe una cesión de datos deberá ser comunicada a losafectados, indicando todos los datos relevantes de dicha cesión.



5.2.2. Censo promocional y datos de acceso público

El Censo promocional es un servicio que se brinda a quienes se dediquen a larecopilación de direcciones, reparto de documentos, publicidad, venta a distancia o actividadesanálogas. Este tipo de empresas tienen la posibilidad de pedir, a cambio de unacontraprestación, al Instituto Nacional de Estadística o a los órganos equivalentes de laComunidades Autónomas una copia del censo promocional con validez para un año.

Este censo promocional facilitado contiene el nombre, apellidos y domicilio de losindividuos que constan en el censo promocional. Estos individuos podrán solicitar no apareceren dicho censo promocional si lo consideran oportuno.

Otra fuente de datos públicos son los listados de los Colegios profesionales, aunquetambién tienen la posibilidad de indicar que sus datos personales no pueden utilizarse parafines de publicidad o prospección comercial.

5.2.3. Publicidad y prospección comercial

Cualquier empresa dedicada a la publicidad y otras actividades análogas que usendatos de carácter personal deberán atenerse a los siguientes puntos:

- Los datos siempre serán de fuentes accesibles al público o facilitados por lospropios interesados con su consentimiento.

- Los afectados tendrá derecho a conocer el origen de los datos así como el resto deinformación al que se refiere el artículo 15.

- Se debe brindar la posibilidad a los afectados de oponerse al tratamiento de susdatos, en cuyo caso la entidad estará obligada a darles de baja en su fichero.

Por último, comentar la existencia de Códigos Tipo, realizados mediante acuerdosentre empresas o convenios administrativos que establecen las condiciones de utilización delos ficheros de carácter personal en su entorno. En general, estos códigos tienen carácterdeontológico o de buena práctica profesional y deberán ser depositados en el RGPD.



6 MOVIMIENTO INTERNACIONAL DE DATOS

El trasiego de información de un país a otro (pensemos por ejemplo en el uso comercialde Internet) supone un traslado de grandes cantidades de datos de carácter personal, el cuálpuede provocar perjuicios en la privacidad de las personas. Es por esto que la LOPD seencarga de regular este movimiento internacional de datos.

Como norma general establece que no se pueden efectuar transferencias de datos decarácter personal, que hayan o vayan a ser sometidos a tratamiento, a países que noproporcionen un nivel de protección equiparable al nuestro, salvo previa autorización delDirector de la Agencia de Protección de Datos.

La evaluación del nivel de protección será realizada por la Agencia de Protección deDatos considerando todas las circunstancias que concurran en la transferencia, en especial a lanaturaleza de los datos, a la finalidad del tratamiento, a la duración de éste, al país de origen yal de destino final, a las normas de derecho vigentes en el tercer país, al contenido de losinformes de la Comisión de la Unión Europea, a las normas profesionales y a las medidas deseguridad en vigor.

No obstante, existen una serie de excepciones en las que no será de aplicación lanorma general:

- Cuando la transferencia internacional de datos de carácter personal resulte de laaplicación de tratados o convenios en los que sea parte España.

- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicialinternacional.

- Cuando la transferencia sea necesaria para la prevención o para el diagnósticomédico, la prestación de asistencia sanitaria o tratamiento médico o la gestión deservicios sanitarios.

- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

- Cuando el afectado haya dado su consentimiento inequívoco a la transferenciaprevista.

- Cuando la transferencia sea necesaria para la ejecución de un contrato entre elafectado y el responsable del fichero o para la adopción de medidasprecontractuales adoptadas a petición del afectado.

- Cuando la transferencia sea necesaria para la celebración o ejecución de uncontrato celebrado o por celebrar, en interés del afectado, por el responsable delfichero y un tercero.

- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda deun interés público. Tendrá esta consideración la transferencia solicitada por unaAdministración fiscal o aduanera para el cumplimiento de sus competencias.

- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa deun derecho en un proceso judicial.

- Cuando la transferencia se efectúe, a petición de persona con interés legítimo,desde un Registro público y aquélla sea acorde con la finalidad del mismo.

- Cuando la transferencia tenga como destino un Estado miembro de la UniónEuropea, o un Estado respecto del cual la Comisión de las ComunidadesEuropeas, en el ejercicio de sus competencias, haya declarado que garantiza unnivel de protección adecuado.



7 AGENCIA DE PROTECCIÓN DE DATOS

Los artículos del 35 al 42 establecen la organización, el régimen jurídico y lascompetencias del organismo que vela por el cumplimiento de la LOPD, este organismo sellama Agencia de Protección de Datos y tiene carácter de ente de derecho público.

La Agencia de Protección de Datos se estructura del siguiente modo:

- El director tiene consideración de alto cargo y será nombrado por el ConsejoConsultivo para un periodo de cuatro años. Tiene potestad para ejercer susfunciones de manera independiente y objetiva y, tan solo, deberá atender alConsejo Consultivo en la toma de decisiones.

- El Consejo Consultivo está compuesto por los siguientes miembros:

Un Diputado, Propuesto por el Congreso de los Diputados.Un Senador, propuesto por el Senado.Un representante de la Administración Central, propuesto por el Gobierno.Un representante de la Administración Local, propuesto por la Federación Españolade Municipios y Provincias.Un miembro de la Real Academia de la Historia.Un experto en la materia, propuesto por el Consejo Superior de Universidades.Un representante de los usuarios y consumidores.Un representante de cada Comunidad Autónoma.Un representante del sector de ficheros privados.

- El Registro General de Protección de Datos (RGPD) es un órgano integrado en laAgencia de Protección de Datos.

Es el encargado del procedimiento de inscripción de los ficheros, tanto detitularidad pública como privada. Además de ocuparse de su inscripción lo hará desu modificación, cancelación, reclamaciones y recursos contra las resolucionescorrespondientes por vía reglamentaria.

- Las autoridades de control serán las encargadas de la inspección de los ficherosque trata esta Ley, pudiendo solicitar la información que necesiten para llevaracabo su cometido. Los funcionarios que realicen esta función están obligados aguardar secreto sobre las informaciones que manipulen y serán considerados comoautoridad pública.

Las funciones que ejerce la Agencia de Protección de Datos son las siguientes:

Director

Registro General Inspección

Consejo Consultivo



- Velará por el cumplimiento de la legislación sobre protección de datos y controlarásu aplicación. Velará por el cumplimiento de las disposiciones que la Ley de laFunción Estadística Pública establece respecto a la recogida de datos estadísticos.

- Sancionará en los términos previstos en el Titulo VII que se estudiará en elsiguiente punto de este trabajo. Además atenderá las reclamaciones realizadas porpersonas afectadas.

- Informará a las personas acerca de sus derechos en materia de tratamiento de losdatos de carácter personal, así como de los proyectos de disposiciones generalesque desarrollen esta Ley. Redactará una memoria anual que será remitida alMinisterio de Justicia.

- Emitirá la autorizaciones previstas en la Ley y dictará las instrucciones precisaspara adecuar los tratamientos a los principios de la LOPD

- Desempeñará las funciones necesarias para el movimiento internacional de losdatos realizando una labor unificadora en el ámbito internacional.

Además de la Agencia de Protección de Datos cada Comunidad Autónoma tendráórganos correspondientes con la consideración de autoridades de control que gestionarán losficheros de datos de carácter personal creados o gestionados por las ComunidadesAutónomas.

De cualquier modo, el director de la Agencia de Protección de Datos tiene la últimapalabra en la aplicación de la LOPD. En el caso de que constate que el mantenimiento o usode un determinado fichero de las Comunidades Autónomas no está siendo tratado conforme alo expuesto en la Ley podrá pedir a la Administración correspondiente que se adopten medidascorrectoras en un plazo determinado.

Agencia de Protección de Datos

Inspectora Sancionadora Informativa Reguladora Unificadora



8 INFRACCIONES Y SANCIONES

La LOPD establece un régimen sancionador al que se encuentran sujetos tanto losresponsables de los ficheros como los encargados de los tratamientos.

Este régimen fija tres niveles de infracción, clasificados en leves, graves y muy graves,los cuáles llevan asociadas la imposición de las correspondientes sanciones económicas.

La cuantía de las sanciones, actualizada periódicamente, dependerá de la naturalezade los derechos personales afectados, del volumen de los tratamientos realizados, de losbeneficios obtenidos, del grado de intencionalidad, de la reincidencia, de los daños y perjuicioscausados a las personas interesadas y a terceras personas, y de cualquier otra circunstanciarelevante para determinar el grado de antijuridicidad y culpabilidad presentes en la concretaactuación infractora.

8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES 8.1.1. Leves

Son infracciones leves:

- No atender la solicitud del interesado de rectificación o cancelación de los datossujetos a tratamiento cuando proceda legalmente.

- No proporcionar la información que solicite la Agencia de Protección de Datos en elejercicio de las competencias que tiene legalmente atribuidas, en relación conaspectos no sustantivos de la protección de datos.

- No solicitar la inscripción del fichero de datos de carácter personal en el RegistroGeneral de Protección de Datos, cuando no sea constitutivo de infracción grave.

- Proceder a la recogida de datos de carácter personal de los propios afectados sinproporcionarles la información que señala el artículo 5 de la LOPD (ver anexo I).

- Incumplir el deber de secreto establecido en el artículo 10 de la LOPD (ver anexoI), salvo que constituya infracción grave.

Estas infracciones serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.

Tanto infracciones como sanciones prescribirán al año (ver plazos e interrupciones delas prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD en el anexo I).

8.1.2. Graves:

Son infracciones graves:

- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida dedatos de carácter personal para los mismos, sin autorización de disposicióngeneral.

- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida dedatos de carácter personal para los mismos con finalidades distintas de las queconstituyen el objeto legítimo de la empresa o entidad.

- Proceder a la recogida de datos de carácter personal sin recabar el consentimientoexpreso de las personas afectadas, en los casos de que éste sea exigible.



- Tratar los datos de carácter personal o usarlos posteriormente infringiendo losprincipios y garantías establecidos en la LOPD o con el incumplimiento de losmandatos de protección que impongan las disposiciones reglamentarias dedesarrollo, cuando no constituye infracción muy grave.

- El impedimento o la obstaculización del ejercicio de los derechos de acceso yoposición y la negativa a facilitar la información que sea solicitada.

- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones ocancelaciones de los mismos que legalmente procedan cuando resulten afectadoslos derechos de las personas que la LOPD ampara.

- La vulneración del deber de guardar secreto sobre los datos de carácter personalincorporados a ficheros que contengan datos relativos a la comisión de infraccionesadministrativas o penales, Hacienda pública, servicios financieros, prestación deservicios de solvencia patrimonial y crédito, así como aquellos otros ficheros quecontengan un conjunto de datos de carácter personal suficientes para obtener unaevaluación de la personalidad del individuo.

- Mantener los ficheros, locales, programas o equipos que contengan datos decarácter personal sin las debidas condiciones de seguridad que por víareglamentaria se determinen.

- No remitir a la Agencia de Protección de Datos las notificaciones previstas en laLOPD o en sus disposiciones de desarrollo, así como no proporcionar en plazo a lamisma cuantos documentos e informaciones deba recibir o sean requeridos poraquél a tales efectos.

- La obstrucción al ejercicio de la función inspectora.

- No inscribir el fichero de datos de carácter personal en el Registro General deProtección de Datos, cuando haya sido requerido para ello por el Director de laAgencia de Protección de Datos.

- Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de laLOPD (ver anexo I), cuando los datos hayan sido recabados de persona distinta delafectado.

Estas infracciones serán sancionadas con multa de 10.000.000 a 50.000.000 depesetas.

Tanto infracciones como sanciones prescribirán a los dos años (ver plazos einterrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD enel anexo I).

8.1.3. Muy graves:

Son infracciones muy graves:

- La recogida de datos en forma engañosa y fraudulenta.

- La comunicación o cesión de los datos de carácter personal, fuera de los casos enque estén permitidas.

- Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar ytratar los datos referidos en el apartado 3 del articulo 7 cuando no lo disponga unaley o el afectado no haya consentido expresamente, o violentar la prohibicióncontenida en el apartado 4 del artículo 7 (ver anexo I).



- No cesar en el uso ilegítimo de los tratamientos de datos de carácter personalcuando sea requerido para ello por el Director de la Agencia de Protección deDatos o por las personas titulares del derecho de acceso.

- La transferencia temporal o definitiva de datos de carácter personal que hayan sidoobjeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento,con destino a países que no proporcionen un nivel de protección equiparable sinautorización del Director de la Agencia de Protección de Datos.

- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de losprincipios y garantías que les sean de aplicación, cuando con ello se impida o seatente contra el ejercicio de los derechos fundamentales.

- La vulneración del deber de guardar secreto sobre los datos de carácter personal aque hacen referencia los apartados 2 y 3 del artículo 7 (ver anexo I), así como losque hayan sido recabados para fines policiales sin consentimiento de las personasafectadas.

- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos deacceso, rectificación, cancelación u oposición.

- No atender de forma sistemática el deber legal de notificación de la inclusión dedatos de carácter personal en un fichero.

Estas infracciones serán sancionadas con multa de 50.000.000 a 100.000.000 depesetas.

Tanto infracciones como sanciones prescribirán a los tres años (ver plazos einterrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artículo 47 de la LOPD enel anexo I).

Cuando cualquiera de las infracciones de estos tres niveles se cometan en ficheroscuyos responsables son las Administraciones públicas, el Director de la Agencia de Protecciónde Datos tomará las medidas oportunas para que cesen o se corrijan los efectos de lainfracción, notificándolo al responsable del fichero, al órgano del que depende y a losafectados. Las sanciones aplicadas en este caso, serán las establecidas en la legislación sobrerégimen disciplinario de las Administraciones públicas.

En el caso de utilización o cesión ilícita de datos que atenten contra los derechosfundamentales de las personas, el director de la Agencia de Protección de Datos podrá exigir alos responsables de los ficheros que cesen en este uso o cesión. Si el infractor desatiende esterequerimiento, se podrán inmovilizar tales ficheros con el objeto de restaurar los derechos delas personas afectadas.



9 REGLAMENTO DE MEDIDAS DE SEGURIDAD

El objeto de este reglamento es el desarrollo de lo dispuesto en la LORTAD referente ala seguridad de los ficheros automatizados que contienen datos de carácter personal, y hastaque no sea modificado para aplicación y desarrollo de la LOPD continuará en vigor siempreque no se oponga a esta última. Se deduce pues, que sólo será de aplicación para aquellostratamientos de datos automatizados citados de forma común tanto en la LORTAD como en laLOPD.

Según su artículo primero, establece medidas de naturaleza técnica y organizativanecesarias para garantizar la seguridad que deben reunir:

- Los ficheros automatizados.

- Los centros de tratamiento y locales.

- Los equipos, sistemas y programas.

- Las personas que intervengan en el tratamiento automatizado de los datos decarácter personal.

de modo que se pueda asegurar la confidencialidad e integridad de la información, la intimidadpersonal y el pleno ejercicio de los derechos personales frente a su alteración, pérdida,tratamiento o acceso no autorizado.

9.1. NIVELES DE SEGURIDAD

Dependiendo de la naturaleza de la información y del grado de necesidad de garantizarsu confidencialidad e integridad, las medidas de seguridad se pueden clasificar en tres niveles,que son: básico, medio y alto. Estas medidas pueden ser técnicas u organizativas, pudiendoser las técnicas de tipo físico o lógico.

Como veremos a continuación de forma gráfica, todos los ficheros que contengan datosde carácter personal han de cumplir unas medidas de seguridad básicas, estableciéndose otrasadicionales para aquellos que, por la naturaleza de sus datos, exigen un grado de protecciónmás alto.

NIVEL BASICO:- Todos los ficheros que contengan datos de carácter personal.-

NIVEL MEDIO: Ficheros que contengan datos relativos a- Comisión de infracciones administrativas o penales.- Hacienda pública.- Servicios financieros.- Solvencia patrimonial y crédito.-

NIVEL ALTO: Ficheros que contengan datos sobre- Ideología.- Religión.- Creencias.- Origen racial.- Salud.- Vida sexual.- Y recabados para fines policiales sin consentimiento

de las personas afectadas.



Cuando el acceso a los datos de carácter personal se haga a través de una red decomunicaciones, o el tratamiento se haga fuera de los locales de ubicación del fichero, otrabajemos con ficheros temporales, se garantizará el nivel de seguridad correspondiente altipo de fichero con arreglo a los criterios establecidos anteriormente.

9.2. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

9.2.1. Documento de seguridad

Se trata de un documento elaborado por el responsable del fichero que contiene lanormativa de seguridad, cuyo cumplimiento es obligatorio para todo el personal con acceso alos datos automatizados de carácter personal y a los sistemas de información.

Englobado dentro de las medidas organizativas de seguridad, donde se ponen demanifiesto las políticas, los planes de seguridad y los planes de contingencia que se debenadoptar. Su contenido debe adecuarse a las disposiciones vigentes en materia de seguridad dedatos de carácter personal, y básicamente se centra en:

- El ámbito de aplicación y especificación detallada de los recursos protegidos (plande seguridad). Por ejemplo, se indicarán las bases de datos a las que se refiere.

- Las medidas, normas, procedimientos, reglas y estándares que garanticen el nivelde seguridad exigido (política). Por ejemplo, explicación de las normas deseguridad (sistema de contraseña, ordenadores en locales protegidos, etc.) queimpiden el acceso no autorizado a la base de datos.

- Las funciones y obligaciones del personal (política). Por ejemplo, explicación de loslímites que el personal tiene para acceder a la información de la base de datos.

- La estructura de los ficheros con datos de carácter personal y la descripción de lossistemas de información que los tratan (plan de seguridad). Por ejemplo, elcontenido de la base de datos (tipo de datos que contiene) y descripción de losprogramas utilizados para su acceso.

- Los procedimientos de notificación, gestión y respuesta ante las incidencias (plande seguridad). Por ejemplo, tiene que existir un procedimiento por el cual senotifica al responsable de la base de datos cualquier incidencia detectada y comose procesa.

- Los procedimientos de realización de copias de respaldo y recuperación de datos(plan de contingencia).

Se mantendrá actualizado en todo momento y deberá ser revisado en caso de que seproduzcan cambios relevantes en el sistema de información o en la organización.

9.2.2. Funciones y obligaciones del personal

Deben estar claramente definidas y documentadas.

El responsable del fichero dará a conocer al personal con acceso a los datos y alsistema de información las normas de seguridad que afecten al desarrollo de sus funciones asícomo las consecuencias de su incumplimiento.

9.2.3. Registro de incidencias

El procedimiento de notificación y gestión de incidencias contendrá, como medidaorganizativa, un registro (en formato papel o electrónico) en el que conste:

- El tipo de incidencia.



- El momento en que se ha producido.

- La persona que realiza la notificación.

- A quién se le comunica.

- Los efectos derivados de la misma.

9.2.4. Identificación y autenticación

Medida lógica en la que el responsable del fichero se encarga de que exista unarelación actualizada de usuarios con acceso autorizado al sistema de información y deimplantar procedimientos de identificación y autenticación para dicho acceso.

En la relación de usuarios se reflejan los derechos de acceso autorizados para cadauno de ellos (lectura, acceso parcial a datos, etc.).

El mecanismo de autenticación puede basarse en la existencia de contraseñas, encuyo caso habrá un procedimiento de asignación, distribución y almacenamiento ininteligibleque garantice su confidencialidad e integridad. Estas se cambiarán de forma periódica segúndetermine el documento de seguridad.

Es evidente que las contraseñas deben ser fáciles de recordar y difíciles de imaginar,con una longitud mínima que garantice un número elevado de posibilidades de forma que nopuedan ser descubiertas por intentos, nunca serán cedidas y se distribuirán por canalesseguros.

9.2.5. Control de acceso

Se trata de una medida lógica en la que el responsable del fichero creará mecanismospara evitar que los usuarios puedan acceder a datos o recursos con derechos distintos de losautorizados. Con esto se consigue que los usuarios tengan solamente acceso a aquello quenecesiten para el desarrollo de sus funciones.

Unicamente el personal autorizado, el cuál aparece en el documento de seguridad,podrá conceder, alterar o anular dicho acceso.

9.2.6. Gestión de soportes

Los soportes informáticos que contengan datos de carácter personal (disquetes, cintas,etc.) deberán estar inventariados e identificados de forma expresa y estarán almacenados enun lugar restringido al personal autorizado.

El responsable del fichero será el único que autorice la salida de dichos soportes fuerade los locales en que esté ubicado el fichero.

Se trata, por tanto, de una medida de seguridad física.

9.2.7. Copias de respaldo y recuperación

Medida de seguridad física a cargo del responsable del fichero, el cual verificará ladefinición y correcta aplicación de los procedimientos de realización de copias de respaldo y derecuperación de datos.

Estos procedimientos deben garantizar la reconstrucción de los datos en el estado enque se encontraban cuando se produjo la pérdida o destrucción.

Las copias de respaldo se realizarán al menos semanalmente, excepto en el caso deque no exista ninguna variación en los datos.



9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Las medidas a implementar en ficheros que contengan datos de carácter personal ysea aplicable el nivel medio de seguridad son las correspondientes al nivel básico más las quese citan a continuación.

9.3.1. Documento de seguridad

Además de lo contenido en el documento de nivel básico, éste incluirá:

- La identificación del responsable o responsables de seguridad.

- Los controles periódicos a realizar para verificar el cumplimiento de lo dispuesto enel propio documento (plan de auditoria interna).

- Las medidas que sea necesario adoptar cuando un soporte vaya a ser desechadoo reutilizado.

Como en el nivel básico, se trata de una medida organizativa.

9.3.2. Responsable de seguridad

Será el responsable del fichero el que, como medida organizativa, designe uno o variosresponsables de seguridad encargados de coordinar y controlar las medidas establecidas en eldocumento de seguridad. Esto no supone la delegación de la responsabilidad que correspondeal responsable del fichero.

En términos generales y como veremos más adelante, el responsable o responsablesde seguridad deben:

- Analizar los informes de auditoria y transmitir las conclusiones al responsable delfichero para que adopte las medidas correctoras adecuadas.

- Controlar los mecanismos que permiten el registro de acceso.

- Revisar periódicamente la información de control registrada y elaborar, al menosuna vez al mes, un informe de las revisiones realizadas y los problemasdetectados.

9.3.3. Auditoría

Al menos cada dos años, y como medida de seguridad organizativa, los sistemas deinformación e instalaciones de tratamiento de datos se verán sometidos a una auditoría, internao externa, de los procedimientos e instrucciones vigentes en materia de seguridad de datos,con el fin de verificar el cumplimiento del reglamento.

El informe de auditoria, que será analizado por el responsable de seguridad y quequedará a disposición de la Agencia de Protección de Datos, deberá:

- Dictaminar sobre la adecuación de las medidas y controles al reglamento.

- Identificar sus deficiencias.

- Proponer las medidas correctoras o complementarias necesarias.

- Incluir los datos, hechos y observaciones en que se basen los dictámenesalcanzados y recomendaciones propuestas.

Toda esta documentación deberá estar archivada y disponible en todo momento.



9.3.4. Identificación y autenticación

Medida lógica en la que el responsable del fichero establecerá mecanismos quepermitan la identificación inequívoca y personalizada de todo aquel usuario que intente accederal sistema de información, así como la verificación de que está autorizado.

Se limitará el número de intentos de acceso no autorizados.

9.3.5. Control de acceso físico

Se trata de una medida de seguridad física en la que se establece que sólo el personalautorizado (el indicado en el documento de seguridad) tendrá acceso a los locales dónde seencuentren los sistemas de información con datos de carácter personal.

9.3.6. Gestión de soportes

Consiste en establecer sistemas de registro de entrada y salida de soportesinformáticos que permitan, directa o indirectamente, conocer:

- El tipo de soporte.

- La fecha y la hora.

- El emisor y el destinatario, respectivamente.

- El número de soportes.

- El tipo de información que contienen.

- La forma de envío.

- La persona autorizada responsable de la recepción y entrega, respectivamente.

En definitiva se trata de realizar un inventario de soportes.

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidasnecesarias para garantizar la destrucción real y segura de la información que contiene, conobjeto de impedir cualquier posible recuperación posterior.

También se adoptarán medidas, para evitar la recuperación indebida de la informaciónalmacenada en los soportes cuando vayan a salir fuera de los locales como consecuencia deoperaciones de mantenimiento.

9.3.7. Registro de incidencias

Además de lo comentado para el nivel de seguridad básico, en este nivel el registro deincidencias contendrá los procedimientos realizados para la recuperación de los datos. Seindicará la persona que ejecutó el proceso, bajo autorización por escrito del responsable delfichero, los datos restaurados y, cuando corresponda, que datos se han tenido que grabarmanualmente.

9.3.8. Pruebas con datos reales

Las pruebas anteriores a la implantación o modificación de los sistemas de informaciónque traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo quese asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Se trata de una medida de seguridad lógica.



9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Las medidas a implementar en ficheros que contengan datos de carácter personal ysea aplicable el nivel alto de seguridad son las correspondientes al nivel básico, más lascorrespondientes al nivel medio, más las de tipo lógico y físico que se citan a continuación.

9.4.1. Distribución de soportes

La distribución de soportes que contengan datos de carácter personal se realizarácifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dichainformación no sea inteligible ni manipulada durante su transporte.

9.4.2. Registro de accesos

Se trata de un registro de las entradas a los ficheros donde, por cada acceso, seguarda básicamente:

- La identificación del usuario.

- La fecha y la hora en que se realizó.

- El fichero accedido.

- El tipo de acceso.

- Si ha sido autorizado o denegado.

Cuando el acceso haya sido autorizado, se guardará además la información quepermita identificar el registro accedido.

Todos estos datos serán conservados, al menos, durante dos años.

Como se dijo en un apartado anterior, los mecanismos que permiten el registro de losdatos estarán controlados por el responsable de seguridad y nunca se debe permitir ladesactivación de los mismos.

También se citó que otras obligaciones de dicho responsable serán revisar lainformación de control registrada y elaborar un informe periódico de estas revisiones y de losproblemas detectados, el cuál se archivará junto con los de las auditorias realizadas.

9.4.3. Copias de respaldo y recuperación

Además de lo dispuesto para el nivel básico, se deberá conservar una copia derespaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquélen que se efectúa el tratamiento de éstos. Por tanto, las copias de seguridad no pueden estaren el mismo local que los ordenadores.

9.4.4. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicacionesse realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice quela información no sea inteligible ni manipulada por terceros.



10 RECOMENDACIONES FINALES

A continuación presentamos un resumen a modo de recomendación con todo lo que sededuce a lo largo del documento y orientado, como no, hacia Internet.

10.1. INFORMACIÓN EN LA RECOGIDA DE DATOS

- Cuando suministre datos personales a cualquier organización (proveedores deacceso, proveedores de contenido, vendedores a través de comercio electrónico,etc.) sea consciente de a quién se los facilita y con qué finalidad.

- Procure averiguar la política de sus proveedores y administradores de listas ydirectorios en lo que se refiere a venta, intercambio o alquiler de los datos que lessuministra. Solicite que sus datos personales no vayan unidos a suidentificación de acceso a Internet.

10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS

- Desconfíe si los datos que le solicitan son excesivos para la finalidad con la que serecogen o innecesarios para el servicio que se le presta.

- Tenga en cuenta que cuando introduce su dirección de correo electrónico en undirectorio, lista de distribución o grupo de noticias, dicha dirección puede serrecogida por terceros para ser utilizada con una finalidad diferente, como porejemplo, remitirle publicidad no deseada.

- Cuando navegue por Internet, sea consciente de que los servidores Web que visitapueden registrar tanto las páginas a las que accede como la frecuencia y los temaso materias por las que busca, aunque no le informen de ello.

Asimismo, su pertenencia a determinados grupos de noticias y listas dedistribución puede contribuir a la elaboración de perfiles más o menos detalladossobre su persona.

En el caso de que no desee dejar constancia de sus actividades en la red,utilice los mecanismos para preservar el anonimato.

10.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS

- Utilice, siempre que sea posible, las últimas versiones de los programasnavegadores, ya que cada vez suelen incorporar mejores medidas de seguridad.Considere la posibilidad de activar en dichos programas las opciones que alertensobre los intercambios de datos no deseados y no rellene aquellos datos que nodesee hacer públicos (por ejemplo, dirección de correo electrónico, nombre,apellidos, etc.).

- No realice transacciones comerciales electrónicas a través de proveedores consistemas "inseguros" o no fiables. Consulte el manual de su navegador paraaveriguar cómo informa de que se ha establecido una conexión con unservidor seguro.

- Recuerde que existen sistemas de dinero electrónico que preservan el anonimatode sus compras en Internet.

- Utilice los mecanismos de seguridad que tenga a su alcance para proteger susdatos de accesos no deseados. El medio más fiable para conseguirlo es el cifradode los mismos.



- Salvo que se utilicen mecanismos de integridad, autenticación y certificación (firmadigital, notarios electrónicos, etc.) no confíe ciegamente en que la persona uorganización que le remite un mensaje es quien dice ser y en que el contenido delmismo no se ha modificado, aunque esto sea así en la inmensa mayoría de lasocasiones.

10.4. PARA TERMINAR

- Siempre que se le soliciten datos personales que no esté obligado legalmente asuministrar, sopese los beneficios que va a recibir de la organización que losrecoge frente a los posibles riesgos de utilización irregular de los mismos.

- Ante cualquier duda sobre la legalidad de la utilización de sus datos de carácterpersonal, póngase en contacto con la Agencia de Protección de Datos.



11 EJEMPLO DE APLICACIÓN

Veamos como una conocida empresa de telecomunicaciones española es criticada acausa de su mal proceder a la hora de tratar los datos de carácter personal de los ciudadanosen lo que se refiere al ejercicio de los derechos personales citados en la LOPD.

Este artículo crítico y denunciante ha sido extraído, tal cual, de la web de direcciónhttp://www.aui.es/biblio/documentos/proteccion_datos/datos_personales.htm, por lo que no noshacemos responsables de su veracidad y de los efectos que pueda causar a quienes los lean.

Millones de españoles autorizarán a Telefónica para utilizar sus datos privadosSergio García Blanco

Millones de españoles habrán recibido junto con la factura habitual de Telefónica una hojacomo la siguiente:

Millones de españoles habrán almacenado directamente la factura sin leer esta hoja, o bienhabrán tirado sin leer la “publicidad de Telefónica”.

De los restantes, pocos habrán resistido la farragosa presentación, ‘pasando’ de leer el resto.

De los que lo hayan leído, pocos habrán reparado en el siguiente párrafo.

que junto con el anterior.



Significa ni mas ni menos que Telefónica está dispuesta a someter a los datos de nuestrafacturación a “Tratamiento informático”. Esto implica, en cristiano, explotar, analizar, copiar,exportar, ceder a entidades vinculadas, etc.

Tampoco muchos de los pocos lectores restantes habrán caído en que en estos datos figura,de forma detallada, a que teléfonos hemos llamado, cuando, y a que hora, por ejemplo.

Esto implica, así por encima y sin descartar posibles alardes imaginativos del explotador (de losdatos) que Telefónica puede saber si usted llama a números de teléfono eróticos o no, si llamaa determinados partidos o no, si utiliza servicios de entidades bancarias distintas de aquellasen las que tiene su domiciliación, si tiene acciones (Si llama a brokers de bolsa, por ejemplo), ytodo lo que se pueda deducir cruzando los datos que ellos tienen con las llamadas que ustedha hecho.

También puede saber sus hábitos de vida: A que horas está en casa (Llamadas salientes) o alas que no hay nadie en su casa (Llamadas entrantes no respondidas), si usa proveedores deInternet distintos de los suyos o incluso si aquellos a los que usted llama más frecuentementeviven en su localidad o fuera, si usan teléfonos de la competencia o si todos aquellos a los queusted llama más asiduamente coincide que también llaman a determinada organización….

Para tener este tipo de control, Telefónica nos pide delicadamente nuestro consentimiento:

Pero resulta que ya se lo hemos dado sin nosotros saberlo:

Y ahora resulta que somos nosotros los que tenemos que pedir que se respete un derechoque ya tenemos.

En primer lugar: ¿Por qué en el plazo de un mes?. ¿A partir de la recepción de la factura?.¿Dónde consta en qué fecha hemos recibido la factura?. ¿A partir de la emisión?. ¿Cuántotarda en llegarnos?.

En segundo lugar: ¿Cómo nos consta que Telefónica recibe nuestra solicitud de que se respetenuestro derecho a la privacidad?. ¿No puede ser que Telefónica no los reciba ‘accidentalmente’en ese apartado de correos?. ¿Quiere decir que para tener constancia fehaciente tenemos queenviarlo por correo certificado?.

¿Cuántos españoles van a contestar a Telefónica?. ¿Cuántos van a acercarse a Correos paracertificar que piden a una empresa privada que respete sus derechos a la intimidad yprivacidad de los datos?. ¿Tiene cada ciudadano que pedir individualmente a cada empresaque respete la ley para su caso particular?.



En resumen:

Nos encontramos ante una ‘adaptación’ magistral de los hechos encaminada a reducir almáximo el número de ciudadanos que NO AUTORIZAN A TELEFÓNICA A MANIPULAR SUSDATOS PRIVADOS. Entiéndase TELEFÓNICA como multinacional con conexiones enSudamérica, Miami, y cantidad de empresas vinculadas.

La posibilidad de conocimiento de la vida privada de los ciudadanos que han otorgado, pordefecto y sin saberlo, su permiso a la multinacional otorga a esta un capacidad indudable deconocimiento del mercado, diseño de la oferta, análisis de la demanda y en definitivadireccionamiento de la vida pública. Esto moviéndonos en el terreno comercial sin contar conposibles vinculaciones con otros grupos de poder.

Por otra parte, como de forma insistente se nos recuerda cuando interesa, al tratarse de unaempresa privada escapa su gestión a los mecanismos de control propios de un estadodemocrático de derecho.

Siguiendo el mismo razonamiento, no sería imposible que los ciudadanos recibieran en su casamisivas del tipo “Nuestra empresa va a proceder a la venta de su casa y a la subasta en elmercado de esclavos de los miembros de su familia. Si no está de acuerdo tiene una semanapara decírnoslos al buzón de correos….”

En este caso de Telefónica, si el interesado tuviera conocimiento de que la empresa, a pesarde su denegación expresa, ha utilizado inconvenientemente sus datos, debería iniciar accionesde forma individual ante la autoridad competente (¿Cuántos españoles conocen cual es, ycómo se accede a ella?), y aun demostrando fehacientemente dicha denegación expresa(Tendría que haber certificado la misma, dentro del plazo marcado por Telefónica) podríaparalizar los procesos y rectificar los realizados. Cuales y como han sido esos procesos,evidentemente, lo podría decir Telefónica.

Urge, por tanto, una pronta y contundente reacción. Como ciudadanos, es nuestra obligacióndar la máxima difusión a estos hechos, para que mediante su conocimiento adecuado cadaafectado tenga libertad para reaccionar a su libre entender. Las organizaciones sindicales,partidos políticos y demás entidades que realmente entiendan como fundamental la defensa delos derechos democráticos deben denunciar estas actuaciones y exigir que, al menos, la opciónpor defecto sea que EL CIUDADANO NO AUTORIZA EL TRATAMIENTO DE SUS DATOS, yque la empresa interesada en la autorización corra con los gastos, en su caso, de lacertificación fehaciente de la existencia de dicha autorización.

Es obvio que esto es solo el principio de un nuevo terreno de lucha por las libertadesindividuales. Solo mediante la verdad y el conocimiento podremos defendernos comociudadanos de a pie. Por favor, difunde esto.



12 ANEXOS

12.1. ANEXO I

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL13-12-1999

TITULO I

Disposiciones generales

Artículo 1. Objeto.La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne altratamiento de los datos personales, las libertades públicas y los derechos fundamentales delas personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ambito de aplicación.1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados ensoporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posteriorde estos datos por los sectores público y privado.Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades deun establecimiento del responsable del tratamiento.b) Cuando el responsable del tratamiento no establecido en territorio español, le sea deaplicación la legislación española en aplicación de normas de Derecho internacional público.c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, salvo que talesmedios se utilicen únicamente con fines de tránsito.2. El régimen de protección de los datos de carácter personal que se establece en la presenteLey Orgánica no será de aplicación:a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamentepersonales o domésticas.b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.c) A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del ficherocomunicará previamente la existencia del mismo, sus características generales y su finalidad ala Agencia de Protección de Datos.3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso,por esta Ley Orgánica los siguientes tratamientos de datos personales:a) Los ficheros regulados por la legislación de régimen electoral.b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislaciónestatal o autonómica sobre la función estadística pública.c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informespersonales de calificación a que se refiere la legislación del régimen del personal de lasFuerzas Armadas.d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaraspor las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Artículo 3. Definiciones.A los efectos de la presente Ley Orgánica se entenderá por:a) Datos de carácter personal: cualquier información concerniente a personas físicasidentificadas o identificables.b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere laforma o modalidad de su creación, almacenamiento, organización y acceso.c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no,que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y



cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,interconexiones y transferencias.d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública oprivada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento aque se refiere el apartado c) del presente artículo.f) Procedimiento de disociación: todo tratamiento de datos personales de modo que lainformación que se obtenga no pueda asociarse a persona identificada o identificable.g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquierotro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta delresponsable del tratamiento.h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específicae informada, mediante la que el interesado consienta el tratamiento de datos personales que leconciernen.i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distintadel interesado.j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, porcualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso,el abono de una contraprestación. Tienen consideración de fuentes de acceso público,exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos porsu normativa específica y las listas de personas pertenecientes a grupos de profesionales quecontengan únicamente los datos de nombre, título, profesión, actividad, grado académico,dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes deacceso público los diarios y boletines oficiales y los medios de comunicación.

TITULO II

Principios de la protección de datos

Artículo 4. Calidad de los datos.1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así comosometerlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos enrelación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que sehayan obtenido.2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidadesincompatibles con aquellas para las que los datos hubieran sido recogidos. No se consideraráincompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.3. Los datos de carácter personal serán exactos y puestos al día de forma que respondancomo veracidad a la situación actual del afectado.4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, oincompletos, serán cancelados y sustituidos de oficio por los correspondientes datosrectificados o completados, sin perjuicio de las facultades que a los afectados reconoce elartículo 16.5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios opertinentes para la finalidad para la cual hubieran sido recabados o registrados.No serán conservados en forma que permita la identificación del interesado durante un períodosuperior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos losvalores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decidael mantenimiento íntegro de determinados datos.6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio delderecho de acceso, salvo que sean legalmente cancelados.7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Artículo 5. Derecho a información en la recogida de datos.1. Los interesados a los que se soliciten datos personales deberán ser previamente informadosde modo expreso, preciso e inequívoco:a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad dela recogida de éstos y de los destinatarios de la información.



b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les seanplanteadas.c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.e) De la identidad y dirección del responsable del tratamiento o, en su caso, de surepresentante.Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvoque tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio delas acciones que pudieran emprenderse contra el propio responsable del tratamiento.2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos,en forma claramente legible, las advertencias a que se refiere el apartado anterior.3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si elcontenido de ella se deduce claramente de la naturaleza de los datos personales que sesolicitan o de las circunstancias en que se recaban.4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberáser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o surepresentante, dentro de los tres meses siguientes al momento del registro de los datos, salvoque ya hubiera sido informado con anterioridad, del contenido del tratamiento, de laprocedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 delpresente artículo.5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley loprevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando lainformación al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de laAgencia de Protección de Datos o de organismo autonómico equivalente, en consideración alnúmero de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan defuentes accesibles al público y se destinen a la actividad de publicidad o prospeccióncomercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará delorigen de los datos y de la identidad del responsable del tratamiento así como de los derechosque le asisten.

Artículo 6. Consentimiento del afectado.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco delafectado, salvo que la ley disponga otra cosa.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para elejercicio de las funciones propias de las Administraciones públicas en el ámbito de suscompetencias; cuando se refieran a las partes de un contrato o precontrato de una relaciónnegocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado enlos términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren enfuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interéslegítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquenlos datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causajustificada para ello y no se le atribuyan efectos retroactivos.4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamientode los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podráoponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a unaconcreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamientolos datos relativos al afectado.

Artículo 7. Datos especialmente protegidos.1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadiepodrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación conestos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, seadvertirá al interesado acerca de su derecho a no prestarlo.2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto detratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión ycreencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,



confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimode lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datosrelativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisarásiempre el previo consentimiento del afectado.3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vidasexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general,así lo disponga una ley o el afectado consienta expresamente.4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos decarácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial oétnico, o vida sexual.5. Los datos de carácter personal relativos a la comisión de infracciones penales oadministrativas sólo podrán ser incluidos en ficheros de las Administraciones públicascompetentes en los supuestos previstos en las respectivas normas reguladoras.6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento losdatos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dichotratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestaciónde asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre quedicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional opor otra persona sujeta asimismo a una obligación equivalente de secreto.También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuandoel tratamiento sea necesario para salvaguadar el interés vital del afectado o de otra persona, enel supuesto de que el afectado esté física o jurídicamente incapacitado para dar suconsentimiento.

Artículo 8. Datos relativos a la salud.Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y loscentros sanitarios públicos y privados y los profesionales correspondientes podrán proceder altratamiento de los datos de carácter personal relativos a la salud de las personas que a ellosacudan o hayan de ser tratados en los mismos de acuerdo con lo dispuesto en la legislaciónestatal o autonómica sobre sanidad.

Artículo 9. Seguridad de los datos.1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar lasmedidas de índole técnica y organizativas necesarias que garantice la seguridad de los datosde carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habidacuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a queestán expuestos, ya provengan de la acción humana del medio físico o natural.2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones quese determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de loscentros de tratamiento, locales, equipos, sistemas y programas.3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir losficheros y las personas que intervengan en el tratamiento de los datos a que se refiere elartículo 7 de esta Ley.

Artículo 10. Deber de secreto.El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datosde carácter personal están obligados al secreto profesional respecto de los mismos y al deberde guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con eltitular del fichero o, en su caso, con el responsable del mismo.

Artículo 11. Comunicación de datos.1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a untercero para el cumplimiento de fines directamente relacionados con las funciones legítimas delcedente y del cesionario con el previo consentimiento del interesado.2. El consentimiento exigido en el apartado anterior no será preciso:a) Cuando la cesión está autorizada en una ley.b) Cuando se trate de datos recogidos de fuentes accesibles al público.c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyodesarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con



ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a lafinalidad que la justifique.d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo,el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de lasfunciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando lacomunicación tenga como destinatario a instituciones autonómicas con funciones análogas alDefensor del Pueblo o al Tribunal de Cuentas.e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto eltratamiento posterior de los datos con fines históricos, estadísticos y científicos.f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria parasolucionar una urgencia que requiera acceder a un fichero o para realizar los estudiosepidemiológicos en los términos establecidos en la legislación sobre sanidad estatal oautonómica.3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a untercero, cuando la información que se facilita al interesado no le permita conocer la finalidad aque destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quiense pretenden comunicar.4. El consentimiento para la comunicación de los datos de carácter personal tiene también uncarácter de revocable.5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho dela comunicación, a la observancia de las disposiciones de la presente Ley.6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable loestablecido en los apartados anteriores.

Artículo 12. Acceso a los datos por cuenta de terceros.1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dichoacceso sea necesario para la prestación de un servicio al responsable del tratamiento.2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contratoque deberá constar por escrito o en alguna otra forma que permita acreditar su celebración ycontenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratarálos datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará outilizará con el fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para suconservación, a otras personas.En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9de esta Ley que el encargado del tratamiento está obligado a implementar.3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán serdistribuidos o devueltos al responsable del tratamiento, al igual que cualquier soporte odocumentos en que conste algún dato de carácter personal objeto del tratamiento.4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, loscomunique o los utilice incumpliendo las estipulaciones del contrato, será considerado tambiénresponsable del tratamiento, respondiendo de las infracciones en que hubiera incurridopersonalmente.

TITULO III

Derechos de las personas

Artículo 13. Impugnación de valoraciones.1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos,sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamientode datos destinados a evaluar determinados aspectos de su personalidad.2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquenuna valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos decarácter personal que ofrezca una definición de sus características o personalidad.3. En este caso, el afectado tendrá derecho a obtener información del responsable del ficherosobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió paraadoptar la decisión en que consistió el acto.4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento dedatos, únicamente podrá tener valor probatorio a petición del afectado.



Artículo 14. Derecho de consulta al Registro General de Protección de Datos.Cualquier persona podrá conocer, recabando a tal fin la información oportuna del RegistroGeneral de Protección de Datos, la existencia de tratamientos de datos de carácter personal,sus finalidades y la identidad del responsable del tratamiento. El Registro General será deconsulta pública y gratuita.

Artículo 15. Derecho de acceso.1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos decarácter personal sometidos a tratamiento, el origen de dichos datos, así como lascomunicaciones realizadas o que se prevén hacer de los mismos.2. La información podrá obtenerse mediante la mera consulta de los datos por medio de suvisualización, o la indicación de los datos que son objeto de tratamiento mediante escrito,copia, telecopia o fotocopia, certificada o no, en forma legible o inteligible, sin utilizar claves ocódigos que requieran el uso de dispositivos mecánicos específicos.3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos noinferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyocaso podrán ejercitarlo antes.

Artículo 16. Derecho de rectificación y cancelación.1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho derectificación o cancelación del interesado en el plazo de diez días.2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamientono se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulteninexactos o incompletos.3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposiciónde las Administraciones públicas, Jueces y Tribunales, para la atención de las posiblesresponsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplidoel citado plazo deberá procederse a la supresión.4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, elresponsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien sehayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberátambién proceder a la cancelación.5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en ladisposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona oentidad responsable del tratamiento y el interesado.

Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación.1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los derectificación y cancelación serán establecidos reglamentariamente.2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso,rectificación o cancelación.

Artículo 18. Tutela de los derechos.1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto dereclamación por los interesados ante la Agencia de Protección de Datos, en la forma quereglamentariamente se determine.2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos deoposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia deProtección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma,que deberá asegurarse de la procedencia o improcedencia de la denegación.3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será deseis meses.4. Contra las resoluciones de la Agencia de Protección de Datos procederá recursocontencioso-administrativo.

Artículo 19. Derecho a indemnización.1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presenteLey por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes oderechos tendrán derecho a ser indemnizados.



2. Cuando se trata de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdocon la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de lajurisdicción ordinaria.

TITULO IV

Disposiciones sectoriales

CAPITULO I

Ficheros de titularidad pública

Artículo 20. Creación, modificación o supresión.1. La creación, modificación o supresión de los ficheros de las Administraciones públicas sólopodrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» oDiario Oficial correspondiente.2. Las disposiciones de creación o de modificación de ficheros deberán indicar:a) La finalidad del fichero y los usos previstos para el mismo.b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal oque resulten obligados a suministrarlos.c) El procedimiento de recogida de los datos de carácter personal.d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personalincluidos en el mismo.e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que seprevean a países terceros.f) Los órganos de las Administraciones responsables del fichero.g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso,rectificación, cancelación y oposición.h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.3. En las disposiciones que se dicten para la supresión de los ficheros, se establecerá eldestino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

Artículo 21. Comunicación de datos entre Administraciones públicas.1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicaspara el desempeño de sus atribuciones no serán comunicados a otras Administracionespúblicas para el ejercicio de competencias diferentes o de competencias que versen sobrematerias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones decreación del fichero o por disposición de superior rango que regule su uso, o cuando lacomunicación tenga por objeto el tratamiento posterior de los datos con fines históricos,estadísticos o científicos.2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que unaAdministración pública obtenga o elabore con destino a otra.3. No obstante lo establecido en el artículo 11.2 b), la comunicación de datos recogidos defuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con elconsentimiento del interesado o cuando una ley prevea otra cosa.4. En los supuestos previstos en los apartados 1 y 2 del presente artículo no será necesario elconsentimiento del afectado a que se refiere el artículo 11 de la presente Ley.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad.1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos decarácter personal que, por haberse recogido para fines administrativos, deban ser objeto deregistro permanente, estarán sujetos al régimen general de la presente Ley.2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzasy Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados aaquellos supuestos y categorías de datos que resulten necesarios para la prevención de unpeligro real para la seguridad pública o para la represión de infracciones penales, debiendo seralmacenados en ficheros específicos establecidos al efecto, que deberán clasificarse porcategorías en función de su grado de fiabilidad.



3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacenreferencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestosen que sea absolutamente necesario para los fines de una investigación concreta, sin perjuiciodel control de legalidad de la actuación administrativa o de la obligación de resolver laspretensiones formuladas en su caso por los interesados que corresponden a los órganosjurisdiccionales.4. Los datos personales registrados con fines policiales se cancelarán cuando no seannecesarios para las averiguaciones que motivaron su almacenamiento.A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datosalmacenados, la necesidad de mantener los datos hasta la conclusión de una investigación oprocedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, larehabilitación y la prescripción de responsabilidad.

Artículo 23. Excepciones a los derechos de acceso, rectificación y cancelación.1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2,3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o cancelación en función delos peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, laprotección de los derechos y libertades de terceros o las necesidades de las investigacionesque se estén realizando.2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar elejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice lasactuaciones administrativas tendentes a asegurar el cumplimiento de las obligacionestributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechosmencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de laAgencia de Protección de Datos o del organismo competente de cada Comunidad Autónomaen el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por lasAdministraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia oimprocedencia de la denegación.

Artículo 24. Otras excepciones a los derechos de los afectados.1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la recogida de datoscuando la información al afectado impida o dificulte gravemente el cumplimiento de lasfunciones de control y verificación de las Administraciones públicas o cuando afecte a laDefensa Nacional, a la seguridad pública o a la persecución de infracciones penales oadministrativas.2. Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será de aplicación si,ponderados los intereses en presencia, resultase que los derechos que dichos preceptosconceden al afectado hubieran de ceder ante razones de interés público o ante intereses deterceros más dignos de protección. Si el órgano administrativo responsable del fichero invocaselo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derechoque le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección deDatos o, en su caso, del órgano equivalente de las Comunidades Autónomas.

CAPITULO II

Ficheros de titularidad privada

Artículo 25. Creación.Podrán crearse ficheros de titularidad privada que contengan datos de carácter personalcuando resulte necesario para el logro de la actividad u objeto legítimos de la persona,empresa o entidad titular y se respeten las garantías que esta Ley establece para la protecciónde las personas.

Artículo 26. Notificación e inscripción registral.1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personallo notificará previamente a la Agencia de Protección de Datos.2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos quedeba contener la notificación, entre los cuales figurarán necesariamente el responsable delfichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene,



las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesionesde datos de carácter personal que se prevean realizar y, en su caso, las transferencias dedatos que se prevean a países terceros.3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcanen la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta alos requisitos exigibles.En caso contrario podrá pedir que se completen los datos que falten o se proceda a susubsanación.5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agenciade Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el ficheroautomatizado a todos los efectos.

Artículo 27. Comunicación de la cesión de datos.1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos,deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, lanaturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en losapartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por ley.

Artículo 28. Datos incluidos en las fuentes de acceso público.1. Los datos personales que figuren en el censo promocional, o las listas de personaspertenecientes a grupos de profesionales a que se refiere el artículo 3 j) de esta Ley deberánlimitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destinacada listado. La inclusión de datos adicionales por las entidades responsables delmantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá serrevocado en cualquier momento.2. Los interesados tendrán derecho a que la entidad responsable del mantenimiento de loslistados de los Colegios profesionales indique gratuitamente que sus datos personales nopueden utilizarse para fines de publicidad o prospección comercial.Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datospersonales que consten en el censo promocional por las entidades encargadas delmantenimiento de dichas fuentes.La atención a la solicitud de exclusión de la información innecesaria o de inclusión de laobjeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en elplazo de diez días respecto de las informaciones que se realicen mediante consulta ocomunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte enque se edite.3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico,perderán el carácter de fuente accesible con la nueva edición que se publique.En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico,ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde elmomento de su obtención.4. Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al públicose regirán por su normativa específica.

Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.1. Quienes se dediquen a la prestación de servicios de información sobre la solvenciapatrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registrosy las fuentes accesibles al público establecidos al efecto o procedentes de informacionesfacilitadas por el interesado o con su consentimiento.2. Podrán tratarse también datos de carácter personal relativos al cumplimiento oincumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por sucuenta o interés. En estos casos se notificará a los interesados respecto de los que hayanregistrado datos de carácter personal en ficheros, en el plazo de treinta días desde dichoregistro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho arecabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado losolicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y



apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y elnombre y dirección de la persona o entidad a quien se hayan revelado los datos.4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes paraenjuiciar la solvencia económica de los interesados y que no se refieran, cuando seanadversos, a más de seis años, siempre que respondan con veracidad a la situación actual deaquéllos.

Artículo 30. Tratamientos con fines de publicidad y de prospección comercial.1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad,venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres ydirecciones u otros datos de carácter personal cuando los mismos figuren en fuentesaccesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidoscon su consentimiento.2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con loestablecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que sedirija al interesado se informará del origen de los datos y de la identidad del responsable deltratamiento, así como de los derechos que le asisten.3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen desus datos de carácter personal, así como del resto de información a que se refiere el artículo15.4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento delos datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándoselas informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Artículo 31. Censo promocional.1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación dedirección, reparto de documentos, publicidad, venta a distancia, prospección comercial u otrasactividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganosequivalentes de las Comunidades Autónomas una copia del censo promocional, formado conlos datos de nombre, apellidos y domicilio que constan en el censo electoral.2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año.Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en elcenso promocional se regularán reglamentariamente. Entre estos procedimientos, que serángratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmentese editará una lista actualizada del censo promocional, excluyendo los nombres y domicilio delos que así lo hayan solicitado.4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporteinformático.

Artículo 32. Códigos tipo.1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, losresponsables de tratamientos de titularidad pública y privada, así como las organizaciones enque se agrupan, podrán formular códigos tipo que establezcan las condiciones de organización,régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno,programas o equipos, obligaciones de los implicados en el tratamiento y uso de la informaciónpersonal, así como las garantías, en su ámbito, para el ejercicio de los derechos de laspersonas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas dedesarrollo.2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistemaparticular y estándares técnicos de aplicación.En el supuesto de que tales reglas o estándares no se incorporen directamente al código, lasinstrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena prácticaprofesional, debiendo ser depositados o inscritos en el Registro General de Protección deDatos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas,de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar lainscripción cuando considere que no se ajusta a las disposiciones legales y reglamentariassobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datosrequerir a los solicitantes para que efectúen las correcciones oportunas.



TITULO V

Movimiento internacional de datos

Artículo 33. Norma general.1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personalque hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dichotratamiento con destino a países que no proporcionen un nivel de protección equiparable al quepresta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, seobtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podráotorgarla si se obtienen garantías adecuadas.2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por laAgencia de Protección de Datos atendiendo a todas las circunstancias que concurran en latransferencia o categoría de transferencia de datos. En particular, se tomará en consideraciónla naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientosprevistos, el país de origen y el país de destino final, las normas de derecho, generales osectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de laComisión de la Unión Europea, así como las normas profesionales y las medidas de seguridaden vigor en dichos países.

Artículo 34. Excepciones.Lo dispuesto en el artículo anterior no será de aplicación:a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicaciónde tratados o convenios en los que sea parte España.b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, laprestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y elresponsable del fichero o para la adopción de medidas precontractuales adoptadas a peticióndel afectado.g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contratocelebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de uninterés público. Tendrá esta consideración la transferencia solicitada por una Administraciónfiscal o aduanera para el cumplimiento de sus competencias.i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de underecho en un proceso judicial.j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde unRegistro público y aquélla sea acorde con la finalidad del mismo.k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o unEstado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de suscompetencias, haya declarado que garantiza un nivel de protección adecuado.

TITULO VI

Agencia de Protección de Datos

Artículo 35. Naturaleza y régimen jurídico.1. La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídicapropia y plena capacidad pública y privada, que actúa con plena independencia de lasAdministraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en lapresente Ley y en un Estatuto propio, que será aprobado por el Gobierno.2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley ysus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad conla Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas ydel Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contrataciónestará sujeta al derecho privado.



3. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección deDatos serán desempeñados por funcionarios de las Administraciones públicas y por personalcontratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.Este personal está obligado a guardar secreto de los datos de carácter personal de queconozca en el desarrollo de su función.4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con lossiguientes bienes y medios económicos:a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generalesdel Estado.b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas delmismo.c) Cualesquiera otros que legalmente puedan serle atribuidos.5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual elcorrespondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado,con la debida independencia, en los Presupuestos Generales del Estado.

Artículo 36. El Director.1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta surepresentación. Será nombrado, de entre quienes componen el Consejo Consultivo, medianteReal Decreto, por un período de cuatro años.2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto ainstrucción alguna en el desempeño de aquéllas.En todo caso, el Director deberá oír al Consejo Consultivo en aquella propuestas que éste lerealice en el ejercicio de sus funciones.3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración delperíodo a que se refiere el apartado 1, a petición propia o por separación acordada por elGobierno, previa instrucción de expediente, en el que necesariamente serán oídos losrestantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones,incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delitodoloso.4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo yquedará en la situación de servicios especiales si con anterioridad estuviera desempeñandouna función pública. En el supuesto de que sea nombrado para el cargo algún miembro de lacarrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

Artículo 37. Funciones.Son funciones de la Agencia de Protección de Datos:a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar suaplicación, en especial en lo relativo a los derechos de información, acceso, rectificación,oposición y cancelación de datos.b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instruccionesprecisas para adecuar los tratamientos a los principios de la presente Ley.d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.e) Proporcionar información a las personas acerca de sus derechos en materia de tratamientode los datos de carácter personal.f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos,la adopción de las medidas necesarias para la adecuación del tratamiento de datos a lasdisposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y lacancelación de los ficheros, cuando no se ajuste a sus disposiciones.g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presenteLey.h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollenesta Ley.i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesariapara el desempeño de sus funciones.j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyoefecto publicará periódicamente una relación de dichos ficheros con la información adicionalque el Director de la Agencia determine.k) Redactar una memoria anual y remitirla al Ministerio de Justicia.



l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientosinternacionales de datos, así como desempeñar las funciones de cooperación internacional enmateria de protección de datos personales.m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Públicaestablece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictarlas instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficherosconstituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere elartículo 46.n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artículo 38. Consejo Consultivo.El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivocompuesto por los siguientes miembros:Un Diputado, propuesto por el Congreso de los Diputados.Un Senador, propuesto por el Senado.Un representante de la Administración Central, designado por el Gobierno.Un representante de la Administración Local, propuesto por la Federación Española deMunicipios y Provincias.Un miembro de la Real Academia de la Historia, propuesto por la misma.Un experto en la materia, propuesto por el Consejo Superior de Universidades.Un representante de los usuarios y consumidores, seleccionado del modo que se preveareglamentariamente.Un representante de cada Comunidad Autónoma que haya creado una agencia de protecciónde datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca larespectiva Comunidad Autónoma.Un representante del sector de ficheros privados, para cuya propuesta se seguirá elprocedimiento que se regule reglamentariamente.El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efectose establezcan.

Artículo 39. El Registro General de Protección de Datos.1. El Registro General de Protección de Datos es un órgano integrado en la Agencia deProtección de Datos.2. Serán objeto de inscripción en el Registro General de Protección de Datos:a) Los ficheros de que sean titulares las Administraciones públicas.b) Los ficheros de titularidad privada.c) Las autorizaciones a que se refiere la presente Ley.d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos deinformación, acceso, rectificación, cancelación y oposición.3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto detitularidad pública como de titularidad privada, en el Registro General de Protección de Datos,el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contralas resoluciones correspondientes y demás extremos pertinentes.

Artículo 40. Potestad de inspección.1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia lapresente Ley, recabando cuantas informaciones precisen para el cumplimiento de suscometidos.A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en ellugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicosutilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán laconsideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio delas mencionadas funciones, incluso después de haber cesado en las mismas.

Artículo 41. Organos correspondientes de las Comunidades Autónomas.1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepciónde las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a



las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación consus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácterpersonal creados o gestionados por las Comunidades Autónomas y por la Administración Localde su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán laconsideración de autoridades de control, a los que garantizarán plena independencia yobjetividad en el ejercicio de su cometido.2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficherospara el ejercicio de las competencias que se les reconoce sobre los mismos.3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganoscorrespondientes de las Comunidades Autónomas a efectos de cooperación institucional ycoordinación de criterios o procedimientos de actuación. El Director de la Agencia deProtección de Datos y los órganos correspondientes de las Comunidades Autónomas podránsolicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

Artículo 42. Ficheros de las Comunidades Autónomas en materia de su exclusiva competencia.1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento ouso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto deesta Ley en materia de su exclusiva competencia podrá requerir a la Administracióncorrespondiente que se adopten las medidas correctoras que determine en el plazo queexpresamente se fije en el requerimiento.2. Si la Administración pública correspondiente no cumpliera el requerimiento formulado, elDirector de la Agencia de Protección de Datos podrá impugnar la resolución adoptada poraquella Administración.

TITULO VII

Infracciones y sanciones

Artículo 43. Responsables.1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos alrégimen sancionador establecido en la presente Ley.2. Cuando se trate de ficheros de los que sean responsables las Administraciones públicas seestará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado2.

Artículo 44. Tipos de infracciones.1. Las infracciones se calificarán como leves, graves o muy graves.2. Son infracciones leves:a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación delos datos personales objeto de tratamiento cuando legalmente proceda.b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejerciciode las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivosde la protección de datos.c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General deProtección de Datos, cuando no sea constitutivo de infracción grave.d) Proceder a la recogida de datos de carácter personal de los propios afectados sinproporcionarles la información que señala el artículo 5 de la presente Ley.e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituyainfracción grave.3. Son infracciones graves:a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos decarácter personal para los mismos, sin autorización de disposición general, publicada en el«Boletín Oficial del Estado» o Diario Oficial correspondiente.b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos decarácter personal para los mismos con finalidades distintas de las que constituyen el objetolegítimo de la empresa o entidad.c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expresode las personas afectadas, en los casos en que éste sea exigible.d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de losprincipios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de



protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituyeinfracción muy grave.e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y lanegativa a facilitar la información que sea solicitada.f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones ocancelaciones de los mismos que legalmente procedan cuando resulten afectados losderechos de las personas que la presente Ley ampara.g) La vulneración del deber de guardar secreto sobre los datos de carácter personalincorporados a ficheros que contengan datos relativos a la comisión de infraccionesadministrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios desolvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto dedatos de carácter personal suficientes para obtener una evaluación de la personalidad delindividuo.h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácterpersonal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o ensus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantosdocumentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.j) La obstrucción al ejercicio de la función inspectora.k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección deDatos, cuando haya sido requerido para ello por el Director de la Agencia de Protección deDatos.l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley,cuando los datos hayan sido recabados de persona distinta del afectado.4. Son infracciones muy graves:a) La recogida de datos en forma engañosa y fraudulenta.b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que esténpermitidas.c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidosen el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentidoexpresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando searequerido para ello por el Director de la Agencia de Protección de Datos o por las personastitulares del derecho de acceso.e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objetode tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino apaíses que no proporcionen un nivel de protección equiparable sin autorización del Director dela Agencia de Protección de Datos.f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios ygarantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejerciciode los derechos fundamentales.g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a quehacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabadospara fines policiales sin consentimiento de las personas afectadas.h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,rectificación, cancelación u oposición.i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos decarácter personal en un fichero.

Artículo 45. Tipo de sanciones.1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.2. Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 depesetas.3. Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 depesetas.4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechospersonales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, algrado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personasinteresadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para



determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuacióninfractora.5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución dela culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionadorestablecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones quepreceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso deque se trate.6. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clasede infracción en la que se integre la que se pretenda sancionar.7. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con lasvariaciones que experimenten los índices de precios.

Artículo 46. Infracciones de las Administraciones públicas.1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de losque sean responsables las Administraciones públicas, el Director de la Agencia de Protecciónde Datos dictará una resolución estableciendo las medidas que procede adoptar para quecesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable delfichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias,si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en lalegislación sobre régimen disciplinario de las Administraciones públicas.3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con lasmedidas y actuaciones a que se refieren los apartados anteriores.4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe ylas resoluciones que dicte al amparo de los apartados anteriores.

Artículo 47. Prescripción.1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y lasleves al año.2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubieracometido.3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimientosancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviereparalizado durante más de seis meses por causas no imputables al presunto infractor.4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestaspor faltas graves a los dos años y las impuestas por faltas leves al año.5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente aaquel en que adquiera firmeza la resolución por la que se impone la sanción.6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, delprocedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durantemás de seis meses por causa no imputable al infractor.

Artículo 48. Procedimiento sancionador.1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de lasinfracciones y la imposición de las sanciones a que hace referencia el presente Título.2. Las resoluciones de la Agencia de Protección de Datos u órgano correspondiente de laComunidad Autónoma agotan la vía administrativa.

Artículo 49. Potestad de inmovilización de ficheros.En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de losdatos de carácter personal en que se impida gravemente o se atente de igual modo contra elejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que laConstitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá,además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datosde carácter personal, tanto de titularidad pública como privada, la cesación en la utilización ocesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección deDatos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos derestaurar los derechos de las personas afectadas.



Disposición adicional primera. Ficheros preexistentes.Los ficheros y tratamientos automatizados inscritos o no en el Registro General de Protecciónde Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, acontar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberánser comunicados a la Agencia de Protección de Datos y las Administraciones públicas,responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición deregulación del fichero o adaptar la existente.En el supuesto de ficheros y tratamiento no automatizados, su adecuación a la presente LeyOrgánica, y la obligación prevista en el párrafo anterior deberán cumplimentarse en el plazo dedoce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechosde acceso, rectificación y cancelación por parte de los afectados.

Disposición adicional segunda. Ficheros y Registros de Población de las Administracionespúblicas.1. La Administración General del Estado y las Administraciones de las ComunidadesAutónomas podrán solicitar al Instituto Nacional de Estadística, sin consentimiento delinteresado, una copia actualizada del fichero formado con los datos del nombre, apellidos,domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes yen el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para lacreación de ficheros o registros de población.2. Los ficheros o registros de población tendrán como finalidad la comunicación de los distintosórganos de cada Administración pública con los interesados residentes en los respectivosterritorios, respecto a las relaciones jurídico-administrativas derivadas de las competenciasrespectivas de las Administraciones públicas.

Disposición adicional tercera. Tratamiento de los expedientes de las derogadas Leyes deVagos y Maleantes y de Peligrosidad y Rehabilitación Social.Los expedientes específicamente instruidos al amparo de las derogadas Leyes de Vagos yMaleantes, y de Peligrosidad y Rehabilitación Social, que contengan datos de cualquier índolesusceptibles de afectar a la seguridad, al honor, a la intimidad o a la imagen de las personas,no podrán ser consultados sin que medie consentimiento expreso de los afectados, o hayantranscurrido cincuenta años desde la fecha de aquéllos.En este último supuesto, la Administración General del Estado, salvo que haya constanciaexpresa del fallecimiento de los afectados, pondrá a disposición del solicitante ladocumentación, suprimiendo de la misma los datos aludidos en el párrafo anterior, mediante lautilización de los procedimientos técnicos pertinentes en cada caso.

Disposición adicional cuarta. Modificación del artículo 112.4 de la Ley General Tributaria.El apartado cuarto del artículo 112 de la Ley General Tributaria pasa a tener la siguienteredacción:«4. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que se debeefectuar a la Administración tributaria conforme a lo dispuesto en el artículo 111, en losapartados anteriores de este artículo o en otra norma de rango legal, no requerirá elconsentimiento del afectado. En este ámbito tampoco será de aplicación lo que respecto a lasAdministraciones públicas establece el apartado 1 del artículo 21 de la Ley Orgánica deProtección de Datos de Carácter Personal».

Disposición adicional quinta. Competencias del Defensor del Pueblo y órganos autonómicossemejantes.Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias delDefensor del Pueblo y de los órganos análogos de las Comunidades Autónomas.

Disposición adicional sexta. Modificación del artículo 24.3 de la Ley de Ordenación ySupervisión de los Seguros Privados.Se modifica el artículo 24.3, párrafo 2º de la Ley 30/1995, de 8 de noviembre, de Ordenación ySupervisión de los Seguros Privados, con la siguiente redacción:«Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos decarácter personal para la liquidación de siniestros y la colaboración estadístico-actuarial con lafinalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnicaaseguradora. La cesión de datos a los citados ficheros no requerirá el consentimiento previo



del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales aficheros comunes para los fines señalados con expresa indicación del responsable para que sepuedan ejercitar los derechos de acceso, rectificación y cancelación previstos en la ley.También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en elseguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria enestos casos la comunicación al efectado, en la primera introducción de sus datos, de quien seael responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificacióny cancelación.En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con elconsentimiento expreso del afectado».

Disposición transitoria primera. Tratamientos creados por Convenios internacionales.La Agencia de Protección de Datos será el organismo competente para la protección de laspersonas físicas en lo que respecta al tratamiento de datos de carácter personal respecto delos tratamientos establecidos en cualquier Convenio Internacional del que sea parte Españaque atribuya a una autoridad nacional de control esta competencia, mientras no se cree unaautoridad diferente para este cometido en desarrollo del Convenio.

Disposición transitoria segunda. Utilización del censo promocional.Reglamentariamente se desarrollarán los procedimientos de formación del censo promocional,de oposición a aparecer en el mismo, de puesta a disposición de sus solicitantes, y de controlde las listas difundidas. El Reglamento establecerá los plazos para la puesta en operación delcenso promocional.

Disposición transitoria tercera. Subsistencia de normas preexistentes.Hasta tanto se lleven a efecto las previsiones de la disposición final primera de esta Ley,continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial,los Reales Decretos 428/1983, de 26 de marzo; 1332/1994, de 20 de junio, y 994/1999, de 11de junio, en cuanto no se opongan a la presente Ley.

Disposición derogatoria única. Derogación normativa.Queda derogada la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del TratamientoAutomatizado de los Datos de Carácter Personal.

Disposición final primera. Habilitación para el desarrollo reglamentario.El Gobierno aprobará, o modificará, las disposiciones reglamentarias necesarias para laaplicación y desarrollo de la presente Ley.

Disposición final segunda. Preceptos con carácter de Ley ordinaria.Los Títulos IV, VI excepto el último inciso del párrafo 4 del artículo 36 y VII de la presente Ley,la disposición adicional cuarta, la disposición transitoria primera y la final primera tienen elcarácter de Ley ordinaria.

Disposición final tercera. Entrada en vigor.La presente Ley entrará en vigor en el plazo de un mes, contado desde su publicación en el«Boletín Oficial del Estado».



12.2. ANEXO II

MINISTERIO DE JUSTICIA

13967 REAL DECRETO 994/1999, DE 11 DE JUNIO POR EL QUE SE APRUEBA ELREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS

AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

El artículo 18.4 de la Constitución Española establece que "la ley limitará el uso de lainformática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y elpleno ejercicio de sus derechos".

La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado deDatos de carácter personal, prevé en su artículo 9, la obligación del responsable del fichero deadoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datosde carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habidacuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a queestén expuestos, ya provengan de la acción humana o del medio físico o natural,estableciéndose en el artículo 43.3.h) que mantener los ficheros, locales, programas o equiposque contengan datos de carácter personal sin las debidas condiciones de seguridad que porvía reglamentaria se determinen constituye infracción grave en los términos previstos en lapropia Ley.

Sin embargo, la falta de desarrollo reglamentario ha impedido disponer de un marco dereferencia para que los responsables promovieran las adecuadas medidas de seguridad y, enconsecuencia, ha determinado la imposibilidad de hacer cumplir uno de los más importantesprincipios de la Ley Orgánica.

El presente Reglamento tiene por objeto el desarrollo de lo dispuesto en los artículos 9 y43.3.h) de la Ley Orgánica 5/1992. El Reglamento determina las medidas de índole técnica yorganizativa que garanticen la confidencialidad e integridad de la información con la finalidadde preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechospersonales frente a su alteración, pérdida, tratamiento o acceso no autorizado.

Las medidas de seguridad que se establecen se configuran como las básicas de seguridad quehan de cumplir todos los ficheros que contengan datos de carácter personal, sin perjuicio deestablecer medidas especiales para aquellos ficheros que por la especial naturaleza de losdatos que contienen o por las propias características de los mismos exigen un grado deprotección mayor.

En su virtud, a propuesta de la Ministra de Justicia, de acuerdo con el Consejo de Estado, yprevia deliberación del Consejo de Ministros en su reunión del día 11 de junio de 1 999, D I S P O N G O :Artículo único. Aprobación del Reglamento.Se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados quecontengan datos de carácter personal, cuyo texto se inserta a continuación.

Disposición final única. Entrada en vigor.El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el «BoletínOficial del Estado».

Dado en Madrid a 11 de junio de 1999.JUAN CARLOS R. La Ministra de Justicia,MARGARITA MARISCAL DE GANTE Y MIRÓN



REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOSQUE CONTENGAN DATOS DE CARÁCTER PERSONAL

CAPÍTULO I

Disposiciones generales

Artículo 1. Ámbito de aplicación y fines.El presente Reglamento tiene por objeto establecer las medidas de índole técnica yorganizativas necesarias para garantizar la seguridad que deben reunir los ficherosautomatizados, los centros de tratamiento, locales, equipos, sistemas, programas y laspersonas que intervengan en el tratamiento automatizado de los datos de carácter personalsujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del TratamientoAutomatizado de los Datos de Carácter Personal. Artículo 2. Definiciones.A efectos de este Reglamento, se entenderá por:1. Sistemas de información: conjunto de ficheros automatizados, programas, soportes yequipos empleados para el almacenamiento y tratamiento de datos de carácter personal.2. Usuario: sujeto o proceso autorizado para acceder a datos o recursos.3. Recurso: cualquier parte componente de un sistema de información.4. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de losdiversos recursos.5. Identificación: procedimiento de reconocimiento de la identidad de un usuario.6. Autenticación: procedimiento de comprobación de la identidad de un usuario.7. Control de acceso: mecanismo que en función de la identificación ya autenticada permiteacceder a datos o recursos.8. Contraseña: información confidencial, frecuentemente constituida por una cadena decaracteres, que puede ser usada en la autenticación de un usuario.9. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.10. Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre elcual se pueden grabar o recuperar datos.11. Responsable de seguridad: persona o personas a las que el responsable del fichero haasignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.12. Copia de respaldo: copia de los datos de un fichero automatizado en un soporte queposibilite su recuperación. Artículo 3. Niveles de seguridad.1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.2. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, enrelación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de lainformación. Artículo 4. Aplicación de los niveles de seguridad.1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidasde seguridad calificadas como de nivel básico.2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas openales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rijapor el artículo 28 de la Ley Orgánica 5/1 992, deberán reunir, además de las medidas de nivelbásico, las calificadas como de nivel medio.3. Los ficheros que contengan datos de ideología religión, creencias, origen racial, salud o vidasexual así como los que contengan datos recabados para fines policiales sin consentimiento delas personas afectadas deberán reunir, además de las medidas de nivel básico y medio, lascalificadas de nivel alto.4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes quepermitan obtener una evaluación de la personalidad del individuo deberán garantizar lasmedidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles,sin perjuicio de las disposiciones legales o reglamentarias especificas vigentes.Artículo 5. Acceso a datos a través de redes de comunicaciones.



Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través deredes de comunicaciones deberán garantizar un nivel de seguridad equivalente alcorrespondiente a los accesos en modo local. Artículo 6. Régimen de trabajo fuera de los locales de la ubicación del fichero.La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicacióndel fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso,deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Artículo 7. Ficheros temporales.1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda conarreglo a los criterios establecidos en el presente Reglamento.2. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los finesque motivaron su creación.

CAPÍTULO II

Medidas de seguridad de nivel básico

Artículo 8. Documento de seguridad.1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante undocumento de obligado cumplimiento para el personal con acceso a los datos automatizadosde carácter personal y a los sistemas de información.2. El documento deberá contener, como mínimo, los siguientes aspectos:a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel deseguridad exigido en este Reglamento.c) Funciones y obligaciones del personal.d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas deinformación que los tratan.e) Procedimiento de notificación, gestión y respuesta ante las incidencias.f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisadosiempre que se produzcan cambios relevantes en el sistema de información o en laorganización del mismo.4. El contenido del documento deberá adecuarse, en todo momento, a las disposicionesvigentes en materia de seguridad de los datos de carácter personal. Artículo 9. Funciones y obligaciones del personal.1. Las funciones y obligaciones de cada una de las personas con acceso a los datos decarácter personal y a los sistemas de información estarán claramente definidas ydocumentadas, de acuerdo con lo previsto en el artículo 8.2.c).2. El responsable del fichero adoptará las medidas necesarias para que el personal conozcalas normas de seguridad que afecten al desarrollo de sus funciones así como lasconsecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 10. Registro de incidencias.El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registroen el que se haga constar el tipo de incidencia, el momento en que se ha producido, la personaque realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de lamisma. Artículo 11. Identificación y autenticación.1. El responsable del fichero se encargará de que exista una relación actualizada de usuariosque tengan acceso autorizado al sistema de información y de establecer procedimientos deidentificación y autenticación para dicho acceso.2. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá unprocedimiento de asignación, distribución y almacenamiento que garantice su confidencialidade integridad.



3. Las contraseñas se cambiarán con la periodicidad que se determine en el documento deseguridad y mientras estén vigentes se almacenarán de forma ininteligible. Artículo 12. Control de acceso.1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos queprecisen para el desarrollo de sus funciones.2. El responsable del fichero establecerá mecanismos para evitar que un usuario puedaacceder a datos o recursos con derechos distintos de los autorizados.3. La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá elacceso autorizado para cada uno de ellos.4. Exclusivamente el personal autorizado para ello en el documento de seguridad podráconceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a loscriterios establecidos por el responsable del fichero. Artículo 13. Gestión de soportes.1. Los soportes informáticos que contengan datos de carácter personal deberán permitiridentificar el tipo de información que contienen, ser inventariados y almacenarse en un lugarcon acceso restringido al personal autorizado para ello en el documento de seguridad.2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de loslocales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsabledel fichero. Artículo 14. Copias de respaldo y recuperación.1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de losprocedimientos de realización de copias de respaldo y de recuperación de los datos.2. Los procedimientos establecidos para la realización de copias de respaldo y para larecuperación de los datos deberá garantizar su reconstrucción en el estado en que seencontraban al tiempo de producirse la pérdida o destrucción.3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho períodono se hubiera producido ninguna actualización de los datos.

CAPÍTULO III

Medidas de seguridad de nivel medio

Artículo 15. Documento de seguridad.El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 delpresente Reglamento, la identificación del responsable o responsables de seguridad, loscontroles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en elpropio documento y las medidas que sea necesario adoptar cuando un soporte vaya a serdesechado o reutilizado. Artículo 16. Responsable de seguridad.El responsable del fichero designará uno o varios responsables de seguridad encargados decoordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso estadesignación supone una delegación de la responsabilidad que corresponde al responsable delfichero de acuerdo con este Reglamento. Artículo 17. Auditoría.1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a unaauditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de losprocedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dosaños.2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles alpresente Reglamento, identificar sus deficiencias y proponer las medidas correctoras ocomplementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones enque se basen los dictámenes alcanzados y recomendaciones propuestas.3. Los informes de auditoría serán analizados por el responsable de seguridad competente,que elevará las conclusiones al responsable del fichero para que adopte las medidascorrectoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.



Artículo 18. Identificación y autenticación.1. El responsable del fichero establecerá un mecanismo que permita la identificación de formainequívoca y personalizada de todo aquel usuario que intente acceder al sistema deinformación y la verificación de que está autorizado.2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema deinformación. Artículo 19. Control de acceso físico.Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a loslocales donde se encuentren ubicados los sistemas de información con datos de carácterpersonal. Artículo 20. Gestión de soportes.1. Deberá establecerse un sistema de registro de entrada de soportes informáticos quepermita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, elnúmero de soportes, el tipo de información que contienen, la forma de envío y la personaresponsable de la recepción que deberá estar debidamente autorizada.2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos quepermita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, elnúmero de soportes, el tipo de información que contienen, la forma de envío y la personaresponsable de la entrega que deberá estar debidamente autorizada.3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesariaspara impedir cualquier recuperación posterior de la información almacenada en él, previamentea que se proceda a su baja en el inventario.4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados losficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidasnecesarias para impedir cualquier recuperación indebida de la información almacenada enellos. Artículo 21. Registro de incidencias.1. En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientosrealizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datosrestaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso derecuperación.2. Será necesaria la autorización por escrito del responsable del fichero para la ejecución delos procedimientos de recuperación de los datos. Artículo 22. Pruebas con datos reales.Las pruebas anteriores a la implantación o modificación de los sistemas de información quetraten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que seasegure el nivel de seguridad correspondiente al tipo de fichero tratado.

CAPÍTULO IV

Medidas de seguridad de nivel alto

Artículo 23. Distribución de soportes.La distribución de los soportes que contengan datos de carácter personal se realizará cifrandodichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha informaciónno sea inteligible ni manipulada durante su transporte. Artículo 24. Registro de accesos.1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora enque se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.2. En el caso de que el acceso haya sido autorizado será preciso guardar la información quepermita identificar el registro accedido.3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anterioresestarán bajo el control directo del responsable de seguridad competente sin que se debapermitir, en ningún caso, la desactivación de los mismos.4. El período mínimo de conservación de los datos registrados será de dos años.



5. El responsable de seguridad competente se encargará de revisar periódicamente lainformación de control registrada y elaborará un informe de las revisiones realizadas y losproblemas detectados al menos una vez al mes. Artículo 25. Copias de respaldo y recuperación.Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de losdatos en un lugar diferente de aquél en que se encuentren los equipos informáticos que lostratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. Artículo 26. Telecomunicaciones.La transmisión de datos de carácter personal a través de redes de telecomunicaciones serealizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que lainformación no sea inteligible ni manipulada por terceros.

CAPÍTULO V

Infracciones y sanciones

Artículo 27. Infracciones y sanciones.1. El incumplimiento de las medidas de seguridad descritas en el presente Reglamento serásancionado de acuerdo con lo establecido en los artículos 43 y 44 de la Ley Orgánica 5/1 992,cuando se trate de ficheros de titularidad privada.El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anteriorserá el establecido en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollandeterminados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación delTratamiento Automatizado de los Datos de Carácter Personal.2. Cuando se trate de ficheros de los que sean responsables las Administraciones públicas seestará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 45 de la LeyOrgánica 5/1 992. Artículo 28. Responsables.Los responsables de los ficheros, sujetos al régimen sancionador de la Ley Orgánica 5/1992,deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen laseguridad de los datos de carácter personal en los términos establecidos en el presenteReglamento.

CAPÍTULO VI

Competencias del Director de la Agencia de Protección de Datos

Artículo 29. Competencias del Director de la Agencia de Protección de Datos.El Director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido enel artículo 36 de la Ley Orgánica 5/19921. Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instruccionesprecisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica5/1992.2. Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación delos ficheros cuando no se cumplan las medidas de seguridad previstas en el presenteReglamento. Disposición transitoria única. Plazos de implantación de las medidas.En el caso de sistemas de información que se encuentren en funcionamiento a la entrada envigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en elpresente Reglamento deberán implantarse en el plazo de seis meses desde su entrada envigor, las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años.Cuando los sistemas de información que se encuentren en funcionamiento no permitantecnológicamente la implantación de alguna de las medidas de seguridad previstas en elpresente Reglamento, la adecuación de dichos sistemas y la implantación de las medidas deseguridad deberán realizarse en el plazo máximo de tres años a contar desde la entrada envigor del presente Reglamento.



12.3. ANEXO III

GLOSARIO DE TÉRMINOS

A continuación figuran, por orden alfabético la definiciones aparecidas en el convenio108 del Consejo de Europa, la Ley Orgánica 15/1999, Real Decreto 1332/1994, Resolución de22 de junio, Directiva 95/46/CE, Reglamento 994/1999 de medidas de seguridad e Instrucción1/2000, a partir de ahora Convenio, Ley, Reglamento, Resolución, Directiva, Reglamento deSeguridad e Instrucción respectivamente.

Accesos autorizadosAutorizaciones concedidas a un usuario para la utilización de los diversos recursos(Reglamento de Seguridad 2.4)

AfectadoPersona física titular de los datos que sean objeto del tratamiento a que se refiere el apartadoc) de la presente LeyPersona física titular de los datos que sean objeto de un tratamiento automatizado (Resolución)

AutenticaciónProcedimiento de comprobación de la identidad de un usuario (Reglamento de Seguridad 2.6)

Autoridad controladora del ficheroSignifica la persona física o jurídica, la autoridad pública, el servicio o cualquier otro organismoque sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del ficheroautomatizado, cuáles categorías de datos de carácter personal deberán registrarse y cuálesoperaciones se les aplicarán (Convenio 2.d)

Bloqueo de datosLa identificación y reserva de datos con el fin de impedir su tratamiento (Reglamento 1.1)

Cesión de datosToda revelación de datos realizada a una persona distinta del interesado. (Ley 3.1)Toda obtención de datos resultante de la consulta de un fichero, la publicación de los datoscontenidos en el fichero, su interconexión con otros ficheros y la comunicación de datosrealizada por una persona distinta de la afectada ( Reglamento 1.2 y Resolución).

Cesionario o destinatario de la cesiónToda persona o entidad, de titularidad pública o privada, receptora de los datos cedidos.

Comunicación de datosToda revelación de datos realizada a una persona distinta del interesado (Ley 3.1)

Consentimiento del interesadoToda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que elinteresado consienta el tratamiento de datos personales que le conciernen (Ley 3.h)Toda manifestación de voluntad, libre, específica e informada, mediante la que el interesadoconsienta el tratamiento de datos personales que le conciernan (Directiva 2.h)

ContraseñaInformación confidencial frecuentemente constituida por una cadena de caracteres, que puedeser usada en la autentificación de un usuario (Reglamento de Seguridad 2.7)

Control de accesoMecanismo que en función de la identificación ya autentificada permite acceder a datos orecursos ( Reglamento de Seguridad 2.7)



Copia de respaldoCopia de los datos de un fichero automatizado en un soporte que posibilite su recuperación(Reglamento de seguridad 2.12)

Datos accesibles al públicoLos datos que se encuentran a disposición del público en general, no impedida por cualquiernorma limitativa, y que están recogidos en medios tales como censos, anuarios, bases dedatos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos oanálogos, así como los datos publicados en forma de listas de personas pertenecientes agrupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad,grados académicos, dirección e indicación de su pertenencia al grupo (Reglamento 1.3).Los datos que figuren en censos, anuarios, bases de datos públicas, repertorios telefónicos oanálogos, así como los datos publicados en forma de listas de personas pertenecientes agrupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad,grados académicos, dirección e indicación de su pertenencia al grupo (Resolución).

Datos de carácter personalCualquier información concerniente a personas físicas identificadas o identificables (Ley 3.a yResolución)Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo,susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona físicaidentificada o identificable (Reglamento 1.4).Significa cualquier información relativa a una persona física identificada o identificable(Convenio art. 2.a).

Datos personalesToda información sobre persona física identificada o identificable (el “interesado”); seconsiderará identificable toda persona cuya identidad pueda determinarse, directa oindirectamente, en particular mediante un número de identificación o uno o varios elementosespecíficos, característicos de su identidad física, fisiológica, psíquica, económica, cultural osocial (Directiva 2.a)

Derechos de accesoAutorizaciones concedidas a un usuario para la utilización de los diversos recursos informáticosde un sistema (Reglamento de Seguridad 2.3)

DestinatarioLa persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que recibacomunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedanrecibir una comunicación de datos en el marco de una investigación específica no seránconsiderados destinatarios (Directiva 2.g)Personas físicas o jurídica pública o privada, situada fuera del territorio español que recibe losdatos transferidos (Instrucción)

Encargado del tratamientoLa persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo oconjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento(Ley 3.g)La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo oconjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.(Directiva 2.e)

FicheroTodo conjunto organizado de datos de carácter personal que sean objeto de un tratamientoautomatizado cualquiera que fuera la forma o modalidad de su creación, almacenamiento,organización y acceso (Ley 3.b).



Fichero automatizadoTodo conjunto organizado de datos de carácter personal que sean objeto de un tratamientoautomatizado cualquiera que fuera la forma o modalidad de su creación, almacenamiento,organización y acceso (Resolución)Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado(Convenio 2.b)

Fichero de datos personales (fichero)Todo conjunto estructurado de datos personales, accesibles con arreglo a criteriosdeterminados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica(Directiva 2.c)

Fuentes accesibles al públicoAquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida poruna norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación(Ley 3.j)

IdentificaciónProcedimiento de reconocimiento de la identidad de un usuario (Reglamento de Seguridad 2.5)

Identificación del afectadoCualquier elemento que permita determinar directa o indirectamente la identidad física,fisiológica, psíquica, económica, cultural o social de la persona física afectada (Reglamento5.5)

IncidenciaCualquier anomalía que afecte o pudiera afectar a la seguridad de los datos (Reglamento deSeguridad 2.9)

InteresadoPersona física titular de los datos que sean objeto del tratamiento a que se refiere el apartadoc) del presente artículo (Ley 3.e)

Procedimiento de disociaciónTodo tratamiento de datos personales de modo que la información que se obtenga no puedaasociarse a persona identificada o identificable. (Ley 3.f)

RecursoCualquier parte componente de un sistema de información (Reglamento de seguridad 2.3).

Responsable del fichero o tratamientoPersona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decidasobre la finalidad, contenido y uso del tratamiento (Ley 3.d).

Responsable de seguridadPersona o personas a las que el responsable del fichero ha asignado formalmente la función decoordinar y controlar las medidas de seguridad aplicables (Reglamento de seguridad 2.11).

Responsable del tratamientoLa persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo oconjuntamente con otros determine los fines y los medios del tratamiento de datos personales;en caso de que los fines y los medios del tratamiento de datos personales; en caso de que losfines y los medios del tratamiento estén determinados por disposiciones legislativas oreglamentarias nacionales o comunitarias, el responsable del tratamiento o los criteriosespecíficos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario(Directiva 2.d).

Sistema de informaciónConjunto de ficheros automatizados, programas, soportes y equipos empleados para elalmacenamiento y tratamiento de datos de carácter personal (Reglamento de Seguridad 2.1).



SoporteObjeto físico susceptible de ser tratado en un sistema de información y sobre el cual se puedengrabar o recuperar datos (Reglamento de Seguridad 2.10)

TerceroLa persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto delinteresado, del responsables del tratamiento, del encargado del tratamiento y de las personasautorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento(Directiva 2.f)

Transferencia de datosEl transporte de datos entre sistemas informáticos por cualquier medio de transmisión así comoel transporte de soportes de datos por correo o por cualquier otro medio convencional(Reglamento 5.6)

Transferencia internacional de datosTransporte de datos entre sistemas informáticos por cualquier medio de transmisión así comoel transporte de soportes de datos por correo o por cualquier otro medio convencional(Resolución)Toda transmisión de los mismos fuera del territorio español. En particular se consideran comotales las que constituyan una cesión o comunicación de datos por cuenta del responsable delfichero (Instrucción)

TransmitentePersona física o jurídica, pública o privada, responsable del fichero o tratamiento de los datosde carácter personal que son objeto de transferencia internacional (Instrucción)

Tratamiento automatizadoSe entiende las operaciones que a continuación se indican efectuadas en su totalidad o enparte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datosde operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión (Convenio2.c)

Tratamiento de datosOperaciones y procedimientos técnicos de carácter automatizado o no, que permitan larecogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así comolas cesiones de datos que resulten de comunicaciones, consultas, interconexiones ytransferencias (Ley 3.c)

Tratamiento de datos personales (tratamiento)Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientosautomatizados y aplicables a datos personales, como la recogida, registro, organización,conservación, elaboración o modificación, extracción, consulta, utilización, comunicación portransmisión, difusión o cualquier otra forma que facilite al acceso a los mismos, cotejo ointerconexión, así como su bloqueo, supresión o destrucción (Directiva 2.b)

UsuarioSujeto o proceso autorizado para acceder a datos o recursos (Reglamento de Seguridad 2.2)



13 BIBLIOGRAFÍA Y WEB

- Documentación del Curso de Especialista en Economía y Derecho de laTecnología Digital. Seminario de Tratamiento de la transferencia de datos fuera delas fronteras. UCLM.Emilio del Peso Navarro

- Documentación del Curso de Especialista en Economía y Derecho de laTecnología Digital. Seminario de Protección de Datos de Carácter Personal. UCLM.Emilio del Peso Navarro

- Confidencialidad y seguridad de la información. La LORTAD y sus implicacionessocioeconómicas.Autores: Miguel Ángel Ramos González, Emilio del PesoEditorial Díaz Santos. Madrid. 1994

- LORTAD: Análisis de la Ley.Autores: Miguel Ángel Ramos González, Emilio del PesoEditorial Díaz Santos. Madrid. 1998

- Auditoría Informática: Un enfoque práctico.Coeditores: Mario G. Piattini, Emilio del Peso.RA-MA Madrid. 1998.

- LORTAD: Reglamento de seguridad.Autores: Miguel Ángel Ramos González, Emilio del PesoEditorial Díaz Santos. Madrid. 1999

- Ley de Protección de Datos : La nueva LORTAD.Editorial Díaz Santos. Madrid. 2000

- Ley Orgánica de Protección de Datos de Carácter Personal 13-12-1999, num.15/1999 BOE 14-12-1999, num. 298 [pag. 43088]

- 13967 Real Decreto 994/1999, de 11 de junio por el que se aprueba el Reglamentode Medidas de Seguridad de los Ficheros Automatizados que contengan Datos deCarácter Personal

- Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos deCarácter Personal. Ley 5/1992, de 29-10-1992, BOE 31-10-1992, num. 262

- Cuaderno sobre protección de datos.OtroSi, suplemento julio 2001.Miguel Ángel Davara Rodrígez

- http://www.agenciaprotecciondatos.orgAgencia de protección de datos.

- http://www.boe.esBoletín Oficial del Estado.

- http://www.comadrid.esAgencia de Protección de Datos de la Comunidad de Madrid.

- http://www.congreso.esCongreso de los Diputados.



- http://www.europa.eu.intSitio de la Comunidad Europea con noticias y enlaces.

- http://www.map.esMinisterio de Administraciones públicas.

- http://www.mju.esMinisterio de Justicia.

- http://www.senado.esPágina del Senado

- http://www.aui.es/biblio/documentos/proteccion_datos/datos_personales.htmCrítica a Telefónica

- http://www.adso.net/AdsoUnidosis/legal/index.htmReglamento de seguridad de ficheros automatizados

- http://www.aui.es/biblio/documentos/proteccion_datos/resumen/resumen.htmResumen de recomendaciones

auditoria de seguridad informática lopd

Technology