+34 902 877 192info@conversia.es
Servicio de adaptación a la LOPD

FAQ LOPD y RGPD

Preguntas Frecuentes sobre Protección de Datos de Carácter Personal

Para saber más en materia de protección de datos de carácter personal y adaptación LOPD.

¿Cuál es el ámbito de aplicación de la LOPD?

El objeto y ámbito de aplicación de la Ley está regulado en los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que expresamente establecen:

  • Artículo 1. Objeto
    La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
  • Artículo 2. Ámbito de aplicación
    La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
  • Asimismo, el artículo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, establece que el reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.

¿Qué se considera dato de carácter personal?

El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, comprende cualquier información concerniente a una persona física identificada o identificable. En este concepto se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

¿Qué es un fichero de “datos personales”?

El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

¿En qué consiste la inscripción de ficheros?

Las empresas que realicen tratamiento de datos de carácter personal deben obligatoriamente inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero de pacientes, fichero de informes, fichero de nóminas, fichero de clientes, etc.).

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda. Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.

Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que notifique la supresión de un fichero, se deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También se deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

En caso de error o falta de cumplimiento en el tratamiento de datos de carácter personal ¿la responsabilidad recae sobre la empresa o sobre el empleado?

La responsabilidad final no recae sobre la persona física sino sobre el Responsable del Fichero, es decir, sobre la empresa. Son múltiples los casos en los que, aún de forma inintencionada, se produce una vulneración por una mala actuación por parte del personal. De ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación de los empleados en materia de LOPD.

¿A qué sanciones se expone una empresa que no cumpla con la LOPD?

La cuantía de las sanciones impuestas por la Agencia de Protección de Datos varía en función a la naturaleza de los derechos personales afectados, así como a la cantidad de información tratada, los beneficios obtenidos por dicho trato o el perjuicio ocasionado a los afectados, entre otras características.

En relación a lo expresado anteriormente, existen tres tipos de infracciones:

  • Infracciones leves: Sanciones entre 900€ y 40.000€
    Se consideran objeto de sanciones leves, entre otros, la no solicitud de inscripción del fichero (o ficheros) de datos en la Agencia Española de Protección de datos, la recopilación de datos sin informar a los afectados o la transmisión de datos a un encargado de tratamiento sin haber suscrito un contrato de prestación de servicios.
  • Infracciones graves: Sanciones entre 40.001€ y 300.000€
    Por infracción grave se entiende, entre otros numerosos supuestos, por ejemplo, el uso de los datos tratados con una finalidad distinta a la original, no permitir el acceso a los ficheros a los afectados, mantener datos inexactos, no seguir los principios y garantías establecidas en la LOPD, mantener el tratamiento de datos sin las condiciones de seguridad exigida según la legislación vigente y tratar datos sin haber obtenido el consentimiento de sus titulares.
  • Infracciones muy graves: Sanciones entre 300.001€ y 600.000€
    Como infracciones muy graves, a título ilustrativo, se puede señalar, no cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos, o la transferencia internacional de datos a países de riesgo sin la autorización del Director de la AEPD.

¿Una dirección de email se considera dato de carácter personal?

Una dirección de e-mail se considera un dato personal, en tanto en cuanto puede identificar a su titular. Partiendo de la definición anterior, por tanto, la libreta de direcciones de Outlook es un fichero que contiene datos de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.

¿Es aplicable la legislación de protección de datos a una persona fallecida?

De conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación, cancelación y oposición son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.

En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de su Reglamento de desarrollo.

Asimismo, el Real Decreto 1720/2007, permite también, en algunos casos, que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

¿Qué es un dato especialmente protegido?

Existen una serie de datos a los que se les presta una mayor atención debido a su sensibilidad y su carácter relacionado con el aspecto más íntimo de las personas. Esta clase de datos reciben una protección legal más fuerte a través de toda una serie de medidas expresas. Son datos especialmente protegidos aquellos relativos a:

  • Salud
  • Antecedentes penales
  • Afiliación sindical
  • Opción religiosa
  • Orientación sexual
  • Ideología
  • Origen racial

¿Qué se entiende por “calidad de los datos”?

  • Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
  • Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
  • Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
  • Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
  • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
  • Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
  • Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
  • Está prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.
  • Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados.
  • Igualmente, en base a lo expuesto y a la finalidad del tratamiento, se fija la condición de que una vez desaparezca la necesidad de su tratamiento, y por tanto la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el Responsable del Fichero.

En un tratamiento de datos por parte de terceros ¿Qué diferencia hay entre “Responsable del Fichero” y “Encargado del Tratamiento”?

La LOPD establece que en estos supuestos existe un “Acceso a Datos por Cuenta de Terceros”, en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero y el Encargado del Tratamiento.

El Responsable del Fichero o Responsable de Tratamiento es el titular de los Ficheros de datos de carácter personal. Así la LOPD define al Responsable del Fichero como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento”.

Encargado del tratamiento, en cambio, será la empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento.”

La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del art. 12 LOPD:

  1. No se considerará comunicación de datos (cesión de datos) el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (Responsable del Fichero).
  2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
    1. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de la Ley que el encargado está obligado a implementar.
    2. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
    3. En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente.

¿Qué se entiende por “fuente accesible al público”?

Por fuente accesible al público hay que entender, de acuerdo con la definición contenida en el artículo 3 de la Ley Orgánica 15/1999, “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.”