¿Qué es la ley de protección de datos?

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una ley orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Fue aprobada por las Cortes Generales el 13 de diciembre de 1999. Esta ley se desarrolla fundamentándose en el artículo 18 de la Constitución española de 1978, sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

Esta ley afecta a todos los datos que hacen referencia a personas físicas registradas sobre cualquier soporte, informático o no. Quedan excluidas de esta normativa aquellos datos recogidos para uso doméstico, las materias clasificadas del estado y aquellos ficheros que recogen datos sobre Terrorismo y otras formas de delincuencia organizada(no simple delincuencia).

A partir de esta ley se creó la Agencia Española de Protección de Datos, de ámbito estatal que vela por el cumplimiento de esta normativa.

AMBITO DE APLICACION DE LA LOPD

¿A quién se aplica la normativa sobre protección de datos?
El objeto de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal está regulado en su artículo 1: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Su ámbito de aplicación se desarrolla en el artículo 2: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c. Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de transito.

¿La Ley de protección de datos ampara a los autónomos, a las empresas o a sus directivos?
El artículo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de la LOPD, señala que no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
Asimismo, en su artículo 2.3 dispone que los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

Por ello, no es de aplicación la Ley Orgánica 15/1999 al caso planteado relativo al tratamiento de datos de una empresa o persona jurídica o autónomo o a personal de contacto de la misma, entendiendo por tal, las personas que ostentan un cargo directivo que representa a la empresa (Director General, Administrador, Gerente, etc) y siempre que el dato se utilice en su condición de tal.

¿Es la dirección e-mail un dato de carácter personal?
El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.

¿Como afecta la LOPD a la libreta de direcciones de correo electrónico (Microsoft Outlook) que guardan datos en cada PC?
Un Fichero se define como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.
Partiendo de la definición anterior, la libreta de direcciones de Outlook – usada en su ámbito profesional o comercial – es un fichero que contiene datos de carácter personal, ya que el e-mail es tal si puede identificarse a su titular.
Debido a lo cual, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, así como a la implantación de las medidas de seguridad correspondientes.

He ido a comprar a un gran almacén y me han intentado captar mi firma, pero no en un papel normal, sino en una tablilla electrónica, en la que queda grabada mi firma de manera digital ¿Es legal?
El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:
• 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido
• 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el artículo 5 de la citada Ley Orgánica, según el cual:
• 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”
• 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
En consecuencia, cuando se recaban datos personales (entre ellos la firma) debe informarse de los expuesto anteriormente.
Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, informándose debidamente al titular de los datos, se cumpliría la normativa de protección de datos.
Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa.

¿Se pueden grabar voces?
Las voces a las que se refiere sólo podrán ser consideradas datos de carácter personal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas voces, no encontrándose amparadas en la Ley Orgánica en caso contrario.
De otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero
En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de llamadas estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las voces o, en caso de poderse identificar dichas voces no hayan sido incorporadas a un fichero, en los términos definidos.
Cuando se recaban voces asociadas a otros datos identificativos, se debe informar en los términos del artículo 5 de la LOPD.

DERECHOS DE LOS TITULARES DE LOS DATOS

DERECHO DE ACCESO

¿Deseo saber quién tiene mis datos personales y por qué?
Como consideración previa, se debe aclarar que la Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos, sino los responsables de los ficheros en los que se encuentren los mismos.
La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999-LOPD), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, (salvo en el caso de menores de edad o incapacitados o salvo representación por poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI) lo que significa que el titular de los datos puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, la cancelación de los datos en sus ficheros (derecho de cancelación) o la oposición a que traten sus datos para un uso o fin determinado (derecho de oposición).
Para el ejercicio del derecho de acceso, el ciudadano deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar. Puede sustituirse la presentación del D.N.I por el uso de la firma electrónica identificativa. En el caso de ficheros de video vigilancia, los afectados deberán remitir al responsable del tratamiento solicitud en la que harán constar su identidad junto con una imagen actualizada.
El derecho de acceso es gratuito y sólo puede ejercitarse a intervalos no inferiores a 12 meses, salvo que exista un interés legitimo al efecto (articulo 15.3 de la LOPD).
La información ofrecida por el responsable del fichero podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
Si en el plazo de un mes desde la recepción de la solicitud en la sede del responsable del fichero, ésta no ha sido atendida adecuadamente, el titular de los datos podrá dirigirse a la Agencia Española de Protección de Datos con copia de la solicitud cursada y de la contestación recibida (si existiera), para que ésta se dirija a la empresa designada con el objetivo de hacer efectivo el ejercicio de sus derechos.
Por su parte, el Reglamento que desarrolla la Ley Orgánica 15/1999, de protección de datos (Real Decreto 1720/2007, de 21 de diciembre) establece que la información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático (es decir, los perfiles), así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.
No debe confundirse el derecho de acceso de la LOPD con el acceso de los ciudadanos interesados a los archivos, registros y expedientes obrantes en poder de la Administración, regulado en el artículo 37 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común. Tampoco con la petición de devolución de documentos, contratos, carpetas, historiales o similares a empresas o particulares.

¿Busca saber cómo una empresa ha obtenido sus datos personales?
La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999-LOPD), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, (salvo en el caso de menores de edad o incapacitados o salvo representación por poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI) lo que significa que el titular de los datos puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, la cancelación de los datos en sus ficheros (derecho de cancelación) o la oposición a que traten sus datos para un uso o fin determinado (derecho de oposición). En este caso, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa.

La Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos.

En el caso de ficheros de video vigilancia, los afectados deberán remitir al responsable del tratamiento solicitud en la que hará constar su identidad junto con una imagen actualizada. El responsable podrá facilitar el derecho de acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento

Si en el plazo de un mes para el derecho de acceso (y diez días hábiles en el resto de los derechos) desde la recepción de la solicitud en la sede del responsable del fichero, ésta no ha sido atendida adecuadamente, el titular de los datos podrá dirigirse a la Agencia con copia de la solicitud cursada y de la contestación recibida (si existiera), para que ésta Agencia, a su vez, se dirija a la empresa designada con el objetivo de hacer efectivo el ejercicio de sus derechos.

Por su parte, el Reglamento que desarrolla la Ley Orgánica 15/1999, de protección de datos (Real Decreto 1720/2007, de 21 de diciembre) establece que la información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático (es decir, los perfiles), así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

No debe confundirse el derecho de acceso de la LOPD con el acceso de los ciudadanos interesados a los archivos, registros y expedientes obrantes en poder de la Administración, regulado en el artículo 37 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común. Tampoco con la petición de devolución de documentos, contratos, carpetas, historiales, grabaciones de voz o similares a empresas o particulares.

El derecho de acceso es gratuito y no puede ejercitarse a intervalos inferiores a 12 meses, salvo que exista un interés legítimo al efecto (artículo 15.3 de la LOPD).

¿Tengo derecho a que mi médico me dé los informes y documentos originales de mi tratamiento?
Como consideración previa, se debe aclarar que la Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos, sino los responsables de los ficheros en los que se encuentren los mismos.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, regula el contenido mínimo de la historia clínica de cada paciente de la siguiente manera:

Artículo 18. Derechos de acceso a la historia clínica.

1. El paciente tiene el derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.
2. El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada.
3. El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.

Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.

DERECHO DE RECTIFICACION

Quiero que una empresa rectifique mi DNI o mi número de teléfono de su base de datos
Como consideración previa, se debe aclarar que la Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos, sino los responsables de los ficheros en los que se encuentren los mismos.
El ciudadano puede ejercitar su derecho de rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate.
El ejercicio del derecho de rectificación es personalismo, lo que significa que la persona afectada deberá dirigirse personalmente a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa.
También deberá aportar los documentos que acrediten la veracidad de los nuevos datos que se pretenden actualizar
Si en el plazo de 10 días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la rectificación de datos ante la entidad que se trate.

Una empresa me factura en un domicilio que no es mío ¿Qué puedo hacer?
El titular de los datos puede ejercitar su derecho de rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate.
La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos y, por lo tanto, no puede acceder a ellos, cancelarlos ni rectificarlos.

El ejercicio del derecho de rectificación es personalismo, lo que significa que Vd. personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

También deberá aportar los documentos que acrediten la veracidad de los nuevos datos que se pretenden actualizar

Si en el plazo de 10 días hábiles o recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la rectificación de datos ante la entidad que se trate.

¿Cómo puedo conseguir que la Administración rectifique mi situación personal en sus ficheros?
El titular de los datos puede ejercitar su derecho de rectificación mediante escrito dirigido al responsable del fichero de la entidad pública de que se trate.
El ejercicio del derecho de rectificación es personalismo, lo que significa que Vd. personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

También deberá aportar los documentos que acrediten la veracidad de los nuevos datos que se pretenden actualizar

Si en el plazo de 10 días hábiles o recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la rectificación de datos ante la entidad que se trate.

¿Puedo rectificar datos personales que no son mios, sino de un familiar?
No. El derecho de rectificación es personalisimo, lo que significa que el titular de los datos es quien debe solicita la rectificación de los mismos.
No obstante, si se realiza un poder de representación de una persona en favor de otra, es valido siempre que conste la identidad de representante y representado. No es necesario que dicha representación sea notarial. Basta un documento privado en el que conste la voluntad del titular de los datos en ser representado.

DERECHO DE CANCELACION

¿Cómo puedo conseguir que cancelen mis datos de una empresa?
Como consideración previa, se debe aclarar que la Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos, sino los responsables de los ficheros en los que se encuentren los mismos.

El titular de los datos puede ejercitar su derecho de cancelación o rectificación de sus datos personales mediante escrito dirigido al responsable del fichero de la entidad de que se trate.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….),, para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa.

En el caso de datos de menores, pueden ejercitar el derecho en su nombre, los padres, tutores o representantes legales, aportando documentos de la filiación

Si en el plazo de 10 días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

La cancelación de datos no debe confundirse con la solicitud de baja de un servicio previamente contratado o con la devolución de copias de documentos o contratos o con la supresión de comentarios en foros, que no es materia de protección de datos.

¿Puedo pedir a una Administración Publica que cancele mis datos?
El titular de los datos puede ejercitar su derecho de cancelación o rectificación de sus datos personales mediante escrito dirigido al responsable del fichero de la entidad de que se trate. Este responsable de fichero puede ser un Organismo de la Administración Publica

La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos ni sabe qué empresas los manejan.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicho Organismo, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….),, para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

En el caso de datos de menores, pueden ejercitar el derecho en su nombre, los padres, tutores o representantes legales, aportando documentos de la filiación

Si en el plazo de 10 días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante el Organismo que se trate.

La cancelación de datos no debe confundirse con la solicitud de baja de un servicio contratado o con la devolución de copias de documentos, historiales o contratos, que no es materia de protección de datos

Debe aportar los documentos que acrediten haber solicitado la cancelación previamente a efectuar la reclamación frente a este Organismo. En consecuencia, el titular de los datos deberá dirigirse al Organismo responsable solicitándole el derecho de cancelación.

Quiero que la Agencia Española de Protección de Datos cancele mis datos de todos los ficheros
La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos ni sabe qué empresas u Organismos los manejan. Por lo tanto, es el titular de los datos el que puede ejercitar su derecho de cancelación o rectificación de sus datos personales mediante escrito dirigido al responsable del fichero de la entidad de que se trate.
El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos personalmente deberá dirigirse por escrito a dicha entidad u Organismo, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….),, para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa
En el caso de datos de menores, pueden ejercitar el derecho en su nombre, los padres, tutores o representantes legales, aportando documentos de la filiación
Si en el plazo de 10 días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.
La cancelación de datos no debe confundirse con la solicitud de baja de un servicio contratado o con la devolución de copias de documentos, historiales o contratos, que no es materia de protección de datos En consecuencia, el titular de los datos deberá dirigirse a la empresa u Organismo responsable solicitándole el derecho de cancelación antes de reclamar ante esta Agencia.

¿Puedo cancelar mis datos personales de los libros de bautismo?
Siguiendo el criterio marcado por la jurisprudencia del Tribunal Supremo (STS), los Libros de Bautismo no constituyen ficheros en los términos en que se consideran por la Ley Orgánica 15/1999 y además, tampoco cabe estimar aplicable el art. 4.3 de la citada Ley, relativo a la exactitud y veracidad en cada momento de los datos, motivo por el que se instaba la anotación marginal en los Libros de la Iglesia.
Esta jurisprudencia ha sido ya recogida en la sentencia de la Audiencia Nacional, de 22 de octubre de 2008
Por todo ello, cabe concluir que la Agencia no es competente para resolver la cuestión planteada, al no resultar de aplicación la Ley Orgánica 15/1999, de protección de datos de carácter personal, en los términos y con los argumentos contenidos en la sentencia del Tribunal Supremo de 19 de septiembre de 2008.

La Agencia Española de Protección de Datos presentó recurso de amparo ante el Tribunal Constitucional, que también ha sido rechazado, por lo que el criterio interpretativo del Tribunal Supremo sigue hoy vigente.

DERECHO DE OPOSICION

¿Tengo derecho a pedir que mis datos no aparezcan en un listado de becarios expuesto al público?
Los titulares de los datos personales pueden instar de forma gratuita la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.

El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa. El titular dato deberá justificar el motivo legítimo y fundado, referido a su situación personal, que justifique el ejercicio del derecho de oposición.

En el caso de los menores de edad, los padres o tutores pueden ejercitar el derecho en su nombre, aportando el DNI del adulto y documentos de la filiación o la tutela

Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

No quiero recibir más publicidad en mi domicilio ni por teléfono ¿Qué debo hacer?
De conformidad con el articulo 49 del RD1720/2007, de 21 de diciembre, por el que se aprueba la Ley Orgánica de Protección de Datos (LO15/1999), será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.

En este articulo se establecen los instrumentos necesarios y eficaces para que los ciudadanos puedan evitar la publicidad no deseada, entre ellos, la creación de un fichero de exclusión publicitaria, del que es responsable la FECEMD, Federación Española de Comercio Electrónico y Marketing Directo, situado en C/ Balmes, 173 4º 1ª – 08006 Barcelona, en el que los ciudadanos interesados podrán inscribirse GRATUITAMENTE y seleccionar el medio o medios a través de los cuales no quieran recibir publicidad por parte de las entidades que, para el desarrollo de las campañas publicitarias, empleen datos de carácter personal obtenidos de las fuentes accesibles al público, como son las guías telefónicas, por ejemplo.
Se habilita para ello una página Web, www.listarobinson.es, como único medio válido, a través de la cual se podrán inscribir los ciudadanos que lo deseen, a efectos de no recibir publicidad a través del medio que hayan elegido en dicha inscripción, si bien es necesario antes haberse registrado, para obtener una contraseña con la que poder inscribirse en dicho fichero.
Los efectos de la inscripción en el fichero LISTA ROBINSON se notarán a partir del tercer mes desde que se produce la misma, que será válida hasta el 31 de diciembre del año en que se realiza. A partir de entonces, se prorroga por períodos anuales, salvo que el interesado muestre su deseo de darse de baja.
A los efectos de acreditar la identidad de los interesados, se les solicitará el número del DNI o documento de identificación análoga. Igualmente podrán inscribirse, a través de su representante o persona vinculada al mismo, las personas fallecidas, los incapacitados, y los menores de 14 años, si bien en este caso, cuando falten 3 meses para el cumplimiento de dicha edad, el responsable del fichero, esto es la FECEMD, se pondrá en contacto con ellos, a fin de que el menor manifieste su voluntad de permanecer en el fichero. En caso de silencio por su parte, se procederá a la cancelación de su inscripción.
Se informa, por último, que la consulta de este fichero es obligatoria por quienes pretendan efectuar un tratamiento de datos relacionado con actividades de publicidad o prospección comercial.
La obligación de consultar el fichero “lista Robinson” y de excluir de la acción de marketing que se pretenda realizar a las personas registradas en la citada lista, no existe en todo tipo de campañas publicitarias sino tan sólo en aquellas en que la acción publicitaria se dirija a personas que no sean clientes de la empresa que anuncia sus productos. Las empresas que deseen adherirse deberán hacerlo a través de la página Web www.listarobinson.es
Finalmente, si a pesar de todo recibe publicidad o llamadas al domicilio pude ejercitar el derecho de oposición.

¿Cómo puedo evitar que me sigan mandando a mi domicilio, a todas horas, mensajes de fax?
La utilización de las llamadas automáticas sin intervención humana y los mensajes de fax para envíos publicitarios o comerciales, reguladas en el articulo 38 de la Ley General de Telecomunicaciones, entran dentro del ámbito de actuación de la Agencia Española de Protección de Datos.

De conformidad con lo dispuesto en el articulo 69.1 del Real Decreto 424/2005, que desarrolla el referido texto legal, el consentimiento para el envío publicitario a través de estos sistemas debe ser previo, expreso e informado.

Los titulares de los datos personales (si son personas físicas) pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”.

El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.

Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate. (Dispone de un modelo en el ENLACE ASOCIADO)

Si los titulares de los datos son empresas o autónomos, pueden denunciarlo ante este Organismo, por posible vulneración de la Ley General de Telecomunicaciones, aportando las pruebas pertinentes de los hechos denunciados.

Haciendo una compra me obligaban a poner mi DNI en el tiket de compra o a firmar mi tarjeta de crédito ¿Es eso legal?
Los ticket de compra son unos indicativos o comprobantes de que se ha llevado a cabo una relación comercial inicialmente aceptada por ambas partes, la compradora y la vendedora.
En consecuencia, es un tratamiento de datos amparado en el propio artículo 6 de la citada Ley Orgánica, que permite el tratamiento de los datos cuando se lleva a cabo una relación negocial con el titular de los datos.
Por lo tanto, es perfectamente legal ese tratamiento siempre que el responsable del fichero informe al titular de los datos de los derechos que le asisten y no utilice esos datos para finalidades distintas para las que fueron recabados.
No obstante, los titulares de los datos personales pueden instar de forma gratuita la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:
“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.
El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa. El titular dato deberá justificar el motivo legítimo y fundado, referido a su situación personal, que justifique el ejercicio del derecho de oposición.
En el caso de los menores de edad, los padres o tutores pueden ejercitar el derecho en su nombre, aportando el DNI del adulto y documentos de la filiación o la tutela
Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

¿Puedo conseguir que no aparezca mi DNI ni mi cuenta corriente en las facturas que me mandan a casa?
Los titulares de los datos personales pueden instar de forma gratuita la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:
“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.
El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa. El titular dato deberá justificar el motivo legítimo y fundado, referido a su situación personal, que justifique el ejercicio del derecho de oposición.
En su caso, debe instar al responsable del fichero a que deje de utilizar esos datos concretos (DNI y Cuenta Corriente) en envíos que muestran esa información a terceros
Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

DERECHO DE INFORMACION

¿Se me debe informar de algo cuando recaban mis datos en un hospital, o en un taller o en una empresa de seguros?
El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/99 de Protección de Datos; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que utilice para la recogida, del contenido del artículo 5 que regula el derecho de información previo a la recogida de los datos:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

En consecuencia, cuando se recaban datos personales debe informarse de lo expuesto anteriormente. Si se trata de menores de edad, hay que informar a sus padres o tutores. El responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar, pudiendo utilizar para ello medios informáticos o telemáticos, como el escaneo de la documentación en soporte papel, siempre que se garantice la autenticidad del documento.

El titular de los datos es quien decide si da sus datos personales o no, una vez que haya sido debidamente informado en los términos expuestos. Las consecuencias que se deriven de no dar los datos deben hacerse constar también. No obstante, este Organismo no puede entrar a conocer sobre esas consecuencias.

En el banco, al hacer una operación, me escanean el DNI. ¿Puedo negarme a ello?
El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/99 de Protección de Datos; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que utilice para la recogida, del contenido del artículo 5 que regula el derecho de información previo a la recogida de los datos:
“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

En consecuencia, cuando se recaban datos personales debe informarse de lo expuesto anteriormente. Si se trata de menores de edad, hay que informar a sus padres o tutores. El responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar, pudiendo utilizar para ello medios informáticos o telemáticos, como el escaneo de la documentación en soporte papel, siempre que se garantice la autenticidad del documento.
El titular de los datos es quien decide si da sus datos personales o no, una vez que haya sido debidamente informado en los términos expuestos. Las consecuencias que se deriven de no dar los datos deben hacerse constar también. No obstante, este Organismo no puede entrar a conocer sobre esas consecuencias.

¿La empresa que nos hace la revisión medica está obligada, antes de incluir nuestros datos en un fichero informático, a informarnos de cómo ejercer nuestros derechos?
El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/99 de Protección de Datos; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que utilice para la recogida, del contenido del artículo 5 que regula el derecho de información previo a la recogida de los datos:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

En consecuencia, cuando se recaban datos personales debe informarse de lo expuesto anteriormente. Si se trata de menores de edad, hay que informar a sus padres o tutores. El responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar, pudiendo utilizar para ello medios informáticos o telemáticos, como el escaneo de la documentación en soporte papel, siempre que se garantice la autenticidad del documento.

El titular de los datos es quien decide si da sus datos personales o no, una vez que haya sido debidamente informado en los términos expuestos. Las consecuencias que se deriven de no dar los datos deben hacerse constar también. No obstante, este Organismo no puede entrar a conocer sobre esas consecuencias.

Al entrar en un centro publico me piden una serie de datos. Si no los doy no entro ¿Qué puedo hacer?
El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/99 de Protección de Datos; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que utilice para la recogida, del contenido del artículo 5 que regula el derecho de información previo a la recogida de los datos:
“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

En consecuencia, cuando se recaban datos personales debe informarse de lo expuesto anteriormente. Si se trata de menores de edad, hay que informar a sus padres o tutores. El responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar, pudiendo utilizar para ello medios informáticos o telemáticos, como el escaneo de la documentación en soporte papel, siempre que se garantice la autenticidad del documento.
El titular de los datos es quien decide si da sus datos personales o no, una vez que haya sido debidamente informado en los términos expuestos. Las consecuencias que se deriven de no dar los datos deben hacerse constar también. No obstante, este Organismo no puede entrar a conocer sobre esas consecuencias.

¿Qué derechos tengo cuando entrego un Curriculum vitae en una empresa?
El derecho de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales contenidos en la Ley Orgánica 15/99 de Protección de Datos; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que utilice para la recogida, del contenido del artículo 5 que regula el derecho de información previo a la recogida de los datos:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

En consecuencia, cuando se recaban datos personales (como puede ser el caso expuesto por Vd.) debe informarse de lo expuesto anteriormente. Si se trata de menores de edad, hay que informar a sus padres o tutores. El responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar, pudiendo utilizar para ello medios informáticos o telemáticos, como el escaneo de la documentación en soporte papel, siempre que se garantice la autenticidad del documento.

El titular de los datos es quien decide si da sus datos personales o no, una vez que haya sido debidamente informado en los términos expuestos. Las consecuencias que se deriven de no dar los datos deben hacerse constar también. No obstante, este Organismo no puede entrar a conocer sobre esas consecuencias

Finalmente, la legislación vigente en materia de protección de datos (Ley Orgánica 15/1999-LOPD), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, (salvo en el caso de menores de edad o incapacitados o salvo representación por poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI) lo que significa que el titular de los datos puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, la cancelación de los datos en sus ficheros (derecho de cancelación) o la oposición a que traten sus datos para un uso o fin determinado (derecho de oposición). En este caso, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa.

EXCLUSION DE GUIAS

Quiero la exclusión de la utilización de mis datos de todas las guías telefónicas
De conformidad con el artículo 3.j de la Ley Orgánica 15/99, de Protección de Datos de Carácter Personal, los datos telefónicos básicos que figuran en los repertorios telefónicos (tanto en papel como en soporte electrónico), constituyen una fuente que se considera como accesible al público, pudiéndose recabar tales datos sin el consentimiento expreso del interesado.
Concretamente, en los repertorios de abonados de servicios telefónicos, ya sean impresos en papel o disponibles por otros medios (Páginas blancas, CD-ROM, etc…) aparecen el nombre y apellidos así como la dirección y, salvo que Vd. se manifieste en sentido contrario exigiendo su exclusión, sus datos pueden ser consultados y utilizados por el público en general. La exclusión debe hacerse efectiva, en las guías formato papel, con la siguiente edición y, en las guías electrónicas, en el plazo de 10 días.

Las empresas que vayan a prestar servicio de información telefónica de números de abonado o que elaboren guías telefónicas, tienen derecho a disponer de ésa información, que les será facilitada a través de la Comisión del Mercado de las Telecomunicaciones. Los datos de las personas que hayan decidido no figurar en guías no se facilitarán, a menos que sean solicitados por entidades que atienden servicios de emergencias.

Frente a esta situación, y si no se quiere que los datos sean de dominio público, sería conveniente proceder a solicitar al operador telefónico de que se trate, con carácter preventivo, que se proceda gratuitamente a la exclusión total o parcial de los datos relativos a su persona que se encuentren en los repertorios telefónicos de abonados, de conformidad con lo establecido en el artículo 28 de la Ley Orgánica 15/1999 y en el artículo 67 del Reglamento por el que se aprueban las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (Real Decreto 424/2005), porque de otro modo sus datos seguirán utilizándose legalmente sin su consentimiento.

Se le indica que los modelos para ejercitar el derecho de exclusión de figurar en los repertorios telefónicos, así como toda la legislación vigente en materia de protección de datos, los tiene disponibles en el apartado modelos del menú principal de nuestra página Web.

Si Vd. ya ha solicitado la exclusión de las guías y el operador telefónico no ha atendido su petición, podrá reclamar ante la Agencia Española de Protección de Datos, con sede en la calle Jorge Juan, 6-28001, Madrid, acompañando la documentación que acredite la petición de exclusión realizada al operador y la aparición en las guías posterior a dicha petición.

¿Está permitida la existencia de guías telefónicas con búsqueda inversa de titulares?
La búsqueda inversa de datos personales contenidos en las guías telefónicas no esta permitida, por lo que la actuación de cualquier empresa en este sentido es contraria a la normativa española y europea de protección de datos. No obstante, si dicha empresa se encuentra fuera de territorio español, son las autoridades de su país las que tiene la potestad de impedir el tratamiento de los datos personales de manera irregular.

Actualmente, no se permite buscar por números telefónicos como resultado del Decreto 711/2002 de 26 de marzo del antiguo Ministerio de Ciencia y Tecnología, que prohíbe la búsqueda por números de teléfono.

La solución para no figurar en los repertorios telefónicos de abonados es solicitar la exclusión de los datos personales de las guías telefónicas editadas por los operadores de telefonía españoles.

OBLIGACIONES DE LOS RESPONSABLES DE FICHEROS

¿Cuáles son las principales obligaciones de un responsable de ficheros de datos personales?
Con carácter general, todo responsable de ficheros debe dar cumplimiento a los principios de la protección de datos recogidos en el Título II de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD):

Calidad de los datos: los datos sólo se podrán recoger y tratar, cuando sean adecuados, pertinentes y no excesivos, no pudiendo ser usados para finalidades incompatibles con aquellas para las que hubieran sido recabados. Asimismo, serán exactos y puestos al día, debiendo ser cancelados cuando hayan dejado de ser necesarios.

Deber de información: Los interesados a los que se soliciten datos personales deberán ser previamente informados de la existencia de un fichero de datos personales, de su finalidad y de los destinatarios de la información. Igualmente, se les deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.

Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Asimismo, y con carácter general, los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el consentimiento previo del interesado.

Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.

Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.

Los responsables de ficheros o tratamientos de datos personales están igualmente obligados a atender los derechos de acceso, rectificación, cancelación y oposición que la LOPD reconoce a los interesados.

Por otra parte, todo fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos. En el caso de los ficheros de titularidad pública, es preceptiva con carácter previo a la notificación la publicación de la disposición general o acuerdo de creación, modificación o supresión del fichero en el Boletín Oficial del Estado o diario oficial correspondiente.

Asimismo, los responsables de ficheros tienen el deber de colaborar con la Agencia Española de Protección de Datos en la forma que ésta estime necesaria para el desempeño de sus funciones.

¿Cuáles son las obligaciones del responsable en relación con la atención de los derechos de los ciudadanos?
Derecho de acceso

Con carácter general, en la Ley Orgánica 15/1999, se establece un derecho de acceso de los afectados de sus propios datos no sometido a ningún tipo de limitación. El derecho de acceso queda regulado en el artículo 15 de la LOPD:

“El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes”.

Derecho de rectificación y cancelación

El artículo 16 de la LOPD reconoce a los interesados el derecho de rectificación y cancelación de sus datos personales:

“El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.

Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado”.

Derecho de oposición

El derecho de oposición al que se refiere el artículo 17 de la Ley Orgánica 15/1999, trae su origen de lo dispuesto en el artículo 14 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual:

“Los Estados miembros reconocerán al interesado el derecho a:

oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

oponerse, previa petición y sin gastos, al tratamiento de los datos de carácter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospección; o ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de éstos a efectos de prospección, y a que se le ofrezca expresamente, el derecho de oponerse, sin gastos, a dicha comunicación o utilización”.

Este derecho se materializa en la vigente Ley Orgánica a través de dos preceptos: los artículos 6.4 y 30.4.

El primero de ellos reconoce el derecho del interesado al que asista un interés legítimo a oponerse al tratamiento de sus datos en aquellos supuestos en que, conforme a lo previsto en el artículo 6.2, no sea preciso recabar su consentimiento, indicando que “en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”

El segundo reconoce el denominado derecho de “opt-out”, o derecho a no ser incluido en los listados obtenidos de fuentes accesibles al público y empleados con fines de publicidad o prospección comercial, estableciendo que “los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”.

Excepciones a los derechos de acceso, rectificación y cancelación

La LOPD prevé en sus artículos 23 una serie de excepciones al ejercicio de los derechos de acceso, rectificación y cancelación:

“Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior (Nota: ficheros de las Fuerzas y Cuerpos de Seguridad del Estado no sometidos al régimen general de la LOPD) podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia Española de Protección de Datos o del Organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.”

Por otra parte en su artículo 24, la LOPD establece que “Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia Española de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas.”.

De acuerdo con lo previsto en el artículo 44.3.e) de la propia Ley Orgánica, constituye infracción grave, el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

También puede considerarse, a tenor del art. 44,4,h) de la misma Ley, como infracción muy grave la circunstancia de no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis trabajadores una encuesta sobre aficiones/hobbies?
El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:
· Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
· Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
· Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
· Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.”

Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados. Igualmente, en base a dicho principio y a la finalidad del tratamiento, se fija la condición de que una vez desaparezca la necesidad de su tratamiento y, por tanto, la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el responsable del fichero.
También se trata de evitar que los datos sean usados para finalidades incompatibles o distintas de las inicialmente previstas.

¿Puedo realizar envíos de propaganda electrónica a mis clientes?
Desde el punto de vista de la normativa vigente, se deben identificar como Spam todas aquellas comunicaciones electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS” ,etc) que el usuario recibe sin haber otorgado su consentimiento para ello, con las siguientes precisiones:
o Una comunicación electrónica no constituirá infracción en el caso de existir una relación contractual previa, y siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
o Toda comunicación electrónica recibida sin consentimiento ( y no existiendo una relación contractual previa ), independientemente de su carácter comercial o no, es Spam. Sin embargo, la LSSICE (Ley de Servicios de la Sociedad de Información de España) solo regula comunicaciones electrónicas comerciales.
o No obstante, cuando los destinatarios de las comunicaciones no comerciales son personas físicas, podría aplicarse la LOPD (tratamiento sin consentimiento).
o Queda, por tanto, una situación de Spam no recogida por la legislación española ( tampoco por la directiva ) : cuando los destinatarios sean personas jurídicas y la comunicación electrónica no sea comercial. Existe numeroso Spam que no tiene carácter comercial, como aquel cuyo contenido son chistes, bromas, cadenas de favores y virus informáticos, por ejemplo, si bien en los casos constitutivos de delito existe la jurisdicción ordinaria.
Se hace notar también que, en el caso en que los receptores de las comunicaciones comerciales sean personas jurídicas, la Agencia Española de Protección de Datos ostenta las competencias sancionadoras, ya que la LSSICE no hace distinción entre persona jurídica/física para los receptores de las comunicaciones electrónicas.

El envío de comunicaciones comerciales no deseadas por cualquier medio electrónico (e-mail. SMS, etc) es considerado Spam por la Ley de la Sociedad de los Servicios de Información (LSSI) y podría ser objeto de sanción.

VIDEOCAMARAS

¿Debo colocar cartel de aviso de videocámaras? ¿Dónde puedo conseguirlo?
Lo importante y obligatorio es colocar el cartel de información de los derechos en materia de vídeo vigilancia sin ser relevante su apariencia. Por lo tanto, seria conforme a la normativa si incluye la cámara e informa de los derechos que asisten a los ciudadanos y de la dirección del responsable del fichero para ejercitar esos derechos. (Artículo 3 de la Instrucción 1/2006 de vídeo vigilancia).

¿La empresa instaladora tiene que ser una empresa de seguridad homologada al igual que en lo que respecta a las cámaras de seguridad o puedo optar por otro proveedor?
Este Organismo únicamente tiene competencia para analizar si la recogida de imágenes a través de videocámaras puede ser contraria a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Para dicho fin se ha dictado la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Hasta la entrada en vigor de Ley 25/2009, el 27 de diciembre (conocida como ley ómnibus), sólo era conforme a la legislación de protección de datos personales la utilización de dispositivos de vídeo vigilancia si se había contratado con empresas de seguridad privada, debidamente autorizadas por el Ministerio del Interior.

La Ley 25/2009 reforma la Ley 23/1992, de Seguridad Privada, liberalizando esta actividad determinando que la venta, entrega, instalación o mantenimiento de estos sistemas podrá llevarse a cabo por particulares y empresas distintas de las de seguridad privada siempre que la instalación no implique una conexión con centrales de alarma.

¿Cuál es el tiempo mínimo/máximo para guardar las imágenes?
De conformidad con el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

Los datos serán cancelados (mediante bloqueo) en el plazo máximo de un mes desde su captación.

El responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá de observar la debida reserva, confidencialidad y sigilo en relación con las mismas. El responsable deberá informar del deber de secreto a las personas con acceso a los datos.

CLOUD COMPUTING
Aplicación de la normativa sobre protección de datos
Con carácter previo es necesario resaltar que el cumplimento de la legislación de protección de datos es un aspecto esencial a la hora de contratar servicios Cloud por parte de un responsable del tratamiento.

Debe considerarse que las modalidades de computación y las modalidades de servicios condicionan la aplicación de los preceptos correspondientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y de su Reglamento, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)1.

En cualquier caso, a los responsables del tratamiento que contraten servicios de Cloud Computing (art. 3.d) de la LOPD y art. 5.1.q) del RLOPD), les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por la computación en la nube y sobre su modalidad. Por su parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento (art. 3.g) de la LOPD y (art. 5.1.i) del RLOPD, pues en definitiva trata datos personales por cuenta del responsable.

En este marco, el contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

En cualquier caso, la dinámica del Cloud Computing exige buscar soluciones que, siendo plenamente respetuosas con la LOPD y su Reglamento, permitan que los responsables del tratamiento puedan contratar tales servicios con garantías jurídicas y de seguridad en el tratamiento de los datos de carácter personal.

En este sentido, y sin perjuicio del cumplimiento de las previsiones que contiene la legislación, y en particular las relativas al respeto a los principios de protección de datos y a la garantía de los derechos de los afectados (derechos de acceso, rectificación, cancelación y oposición), los artículos 20 a 22 del Reglamento, referentes al encargado del tratamiento, pueden ofrecer soluciones adaptadas a esta nueva realidad.

La seguridad y confidencialidad de los datos: el secreto profesional
Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

• Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.
• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.
• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.
• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.
Aspectos esenciales técnico-jurídicos del contrato de servicios
La LOPD establece en su art. 12.2 que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito. Por tanto, el contrato de prestación de servicios entre el responsable del tratamiento y su proveedor de servicios Cloud ha de incorporar las previsiones citadas.

En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata.

Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos, de modo que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD, en virtud de las cuales, el encargado del tratamiento pasa a asumir la condición de responsable del fichero.

Es importante destacar que el responsable del tratamiento es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 RLOPD).

Una fórmula que puede utilizarse a tal efecto es que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

Por otra parte, existen otros aspectos relevantes que van más allá de normativa de protección de datos de carácter personal y que conviene traer a colación. Son temas que encontrarán su mejor acomodo y resolución en el propio contrato de prestación de servicios entre el proveedor y el cliente.

Por la novedad de este tipo de contratos, resulta conveniente tratarlos a continuación.
En definitiva, para garantizar la seguridad jurídica del servicio Cloud contratado, el contrato de prestación de servicios suscrito entre el despacho y el proveedor ha de recoger, un conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

· Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el responsable del tratamiento (y cuente, en su caso, con el consentimiento del titular).
· Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube”, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.

· Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al responsable del tratamiento que contrata sus servicios, y a quienes éste determine con los perfiles de acceso correspondientes. En caso de que el responsable del tratamiento trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
· Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
· Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
· Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
· Consecuencias previstas para el caso de incumplimiento del proveedor de servicios Cloud de las obligaciones anteriormente recogidas.
¿Cuáles son los mecanismos para garantizar la confidencialidad?
Cifrado y fragmentación
Cifrado y fragmentación son dos técnicas para incrementar la confidencialidad de los datos almacenados en la nube, dificultando el acceso a los datos de carácter personal. En ningún caso, su aplicación supone que los datos pierden su naturaleza de datos personales y, por lo tanto, está sujeta a las garantías de la LOPD y su normativa de desarrollo.

El cifrado supone codificar la información utilizando una clave de forma que la información resulte ininteligible, a menos de que se disponga de dicha clave. Todo sistema de cifrado protege la información durante un tiempo limitado en función de los recursos empleados para romper el cifrado, la complejidad del algoritmo utilizado para cifrar y la fortaleza de la clave. La clave es el factor crítico para la protección de la información, ya que su revelación a terceros la compromete.

El cifrado de los datos de forma dinámica tiene un elevado coste computacional, que será mayor cuanto más eficaz sea. La fragmentación es un método alternativo utilizado para evitar dicha sobrecarga en los proveedores y supone dividir la información relativa a un mismo sujeto, que tomada como una unidad tiene sentido, en elementos lo suficientemente pequeños para que no sea inteligible, y almacenarlos físicamente de forma disjunta.

De esta forma, se pretende evitar que, si se compromete una de las localizaciones de almacenamiento de datos del proveedor, los datos de un sujeto queden desvelados. Por supuesto, el proveedor de servicios de cloud computing ha de guardar una relación entre todos los elementos y su distribución para poder reconstruir la información original cuando el usuario de los datos la reclame.

Fuente: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS – 20-04-2016