Usuario:
Contraseña:
Usuario Público
Bienvenidos a la página web de la Comisión de Libertades e Informática                        
Obligaciones de las empresas

La LOPD, además de establecer los derechos de los ciudadanos afectados por un tratamiento de datos de carácter personal, establece correlativamente las obligaciones necesarias para que el ejercicio de estos derechos no quede vacío de contenido, de ahí la importancia de conocerlas y cumplirlas.

  • Cumplir en todo momento con el principio de calidad de los datos y establecer medidas de seguridad.
  • Deber de informar al titular de los datos y recabar su consentimiento cuando sea necesario. Deber de guardar secreto del aquel que trate los datos.
  • Cumplir la normativa para la comunicación de los datos, y en especial para las transferencias internacionales.
  • Inscripción de los ficheros y deber de colaboración con la Agencia

CALIDAD DE LOS DATOS

Con este título, el artículo 4 de la LOPD se ocupa en líneas generales de las condiciones en que han de realizarse las operaciones con datos de carácter personal (recogida, tratamiento y posibles comunicaciones y cesiones de los mismos):

La recogida de datos para su tratamiento sólo se permite cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades que han de ser determinadas, explícitas y legítimas. Se deduce por tanto que el uso de los datos deberá ser compatible con las finalidades descritas, y si éstos pierden su finalidad originaria deberán ser cancelados. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. La LOPD, califica de grave, en el artículo 44.3.b) el hecho de crear ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

El artículo 4 sigue diciendo: "En el caso de que los datos sean inexactos, deberán ser rectificados o cancelados, reconociendo en todo caso la posibilidad de acceso por parte del interesado" (ver en relación con el artículo 6). La LOPD, califica como grave, en el artículo 44.3.f), “mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara".

Estas exigencias de la Ley, implican la estricta observancia del “principio de proporcionalidad”, junto con el de “calidad”, en la recogida o tratamiento posterior de los datos de carácter personal.

La Sentencia 292/2000, de 30 de noviembre, del Tribunal Constitucional, habla de “libre disponibilidad de los datos de carácter personal”, refiriéndose (estableciendo más bien) al poder de “control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado” que tiene cada individuo sobre sus datos personales, y que se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular”.

 

MEDIDAS DE SEGURIDAD

La información, y la gestión de la misma, son una parte importante de los activos empresariales o de la Administración Pública, por eso es necesario protegerlos de todo aquello que sea ajeno a la actividad de la entidad de que se trate, pública o privada. A lo que se suma la importancia de la protección del derecho fundamental que se trata en este sentido como “información”.

Un sistema de información seguro significa:

  • Confidencialidad, integridad y exactitud de los datos
  • Disponibilidad sobre el acceso a los mismos
  • Un adecuado funcionamiento para el logro de objetivos empresariales o profesionales.

En este sentido, la LOPD y el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio, establecen unos requisitos mínimos, que permiten un tratamiento seguro de los datos personales a través de sistemas informáticos.

El artículo 9 de la LOPD, establece lo siguiente:

  • El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  • No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  • Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

El artículo 44.3.h. de la LOPD, califica de infracción grave, el mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

En el Reglamento de Medidas de Seguridad, se establecen reglas específicas en materia de control de accesos, gestión de soportes, elaboración de copias de respaldo ...etc. en función del nivel de seguridad que se requiera para el tipo de datos que se van a tratar en los ficheros automatizados. La clasificación de los datos de carácter personal en niveles se hace atendiendo a las necesidades de confidencialidad y protección, que puedes ser altas, medias o básicas. Además estas medidas deberán recogerse detalladamente en un el “documento de seguridad”, (artículo 8 del Reglamento).

DEBER DE INFORMACIÓN

Este deber es de especial importancia, por ser uno de los principios básicos de la LOPD, y así se recoge en el artículo 5:

  • La existencia del fichero o tratamiento de datos, la finalidad de la recogida y los destinatarios de la información.
  • El carácter optativo u obligatorio de las preguntas.
  • Las consecuencias sobre la obtención de los datos, así como la negativa a suministrarlos.
  • La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y dirección del responsable del tratamiento o su representante
     

Existen algunas excepciones a estos deberes de información, entre las que cabe destacar:

  • Cuando los datos procedan de fuentes accesibles al público (según se definen éstas en el artículo 3) y se destinen a la actividad de publicidad o prospección comercial. En este caso, habrá de informarse en cada comunicación dirigida al interesado del origen de los datos, de la identidad del responsable del tratamiento y de los derechos que le asisten. Este párrafo es importante pues será al que queden sometidas las comunicaciones que se realicen con base en ficheros adquiridos legalmente de empresas con fines publicitarios.
  • La información de los apartados b, c y d anteriores no será necesaria si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o las circunstancias en que se recaban.
     

El momento de dar esa información es previo a la recogida de los datos, pero por otro lado, si los datos no han sido recabados directamente del interesado, éste deberá ser informado, de forma expresa, dentro de los tres meses siguientes al momento del registro de los datos, salvo que hubiera sido informado con anterioridad, salvo aquellos supuestos en que una ley expresamente así lo establezca, o cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de esta Agencia.

El artículo 44.2.d) de la LOPD señala que proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley, conlleva la calificación de infracción grave.


CONSENTIMIENTO DEL AFECTADO

El artículo 6 de la LOPD trata el alcance de la obligación de requerir el consentimiento del afectado, y se impone con carácter general para todos los procesos de recogida de datos personales. Exige que éste se obtenga de forma inequívoca, salvo que la Ley disponga otra cosa. El consentimiento deberá ser emitido de forma libre, inequívoca (por acción u omisión del afectado del afectado, pero siempre de manera informada), específica e informada (artículo 3 de la LOPD). Además se ha de tener en cuenta que este consentimiento podrá ser revocado en cualquier momento posterior.

No obstante, sin perjuicio de las normas más rigurosas para los datos especialmente protegidos, existen algunas excepciones al principio general, dado que, siempre que no se vulneren los derechos y libertades fundamentales del interesado, no será preciso el consentimiento en los siguientes supuestos:

  • Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.
  • Cuando se refieran a las partes en una relación negocial (un contrato de arrendamiento, por ejemplo), laboral (un contrato de trabajo) o administrativa, siempre que sea necesario para el cumplimiento de la relación de que se trate (por ejemplo pago de salarios).
  • Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
  • Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido.
     

En los casos en que no es necesario el consentimiento del afectado, se reconoce a éste el derecho a quedar excluido del tratamiento de los datos (derecho de oposición), siempre que una Ley no disponga lo contrario y existan motivos fundados y legítimos relativos a una concreta situación personal.

El tratamiento de datos sin haber obtenido consentimiento previo del afectado será causa de infracción grave según la redacción del artículo 44.3.c) de la LOPD, a salvo siempre de las excepciones previstas por la Ley.

Datos especialmente protegidos:

Para lo que sí será necesario un consentimiento emitido expresamente, además de ser libre, inequívoca (por acción u omisión del afectado, pero siempre de manera informada), específica e informada, es para la recogida y posterior tratamiento de datos de carácter personal calificados como “datos especialmente protegidos” en el artículo 7 de la LOPD, que se ocupa del régimen de los datos que, por su especial naturaleza, han de apartarse de la regulación general, y que son los siguientes:

a. Los relativos a ideología religión o creencias (art.16 de la Constitución). En este caso el afectado ha de ser informado sobre su derecho a no prestar los datos correspondientes.
b. Los anteriores y los que revelen la afiliación sindical, para ser objeto de tratamiento, el consentimiento al efecto ha de constar de forma expresa y por escrito, exceptuando únicamente, y sin perjuicio del necesario consentimiento para su cesión, los ficheros mantenidos por algunas organizaciones como los partidos políticos en lo referente a sus asociados.
c. Sobre los datos relativos al origen racial, salud y vida sexual se establece una prohibición general salvo que una ley lo disponga expresamente, por razones de interés general, o el afectado consienta expresamente tanto su recogida como tratamiento y cesión.
d. Los ficheros exclusivamente dedicados a datos relativos a la ideología, afiliación sindical, religión creencias, origen racial o vida sexual quedan totalmente prohibidos.
 

Para los apartados b y c este artículo establece además una importante excepción, dado que se autoriza su tratamiento cuando resulte necesario para la prevención o diagnóstico médicos, la prestación o gestión de servicios sanitarios, pero siempre que dicho tratamiento se realice por profesional sanitario sujeto al secreto profesional u otra persona sujeta a este secreto. También podrán ser objeto de tratamiento estos datos cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

En relación con los datos referidos a la salud, ha de destacarse el artículo 8 que establece que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan, o hayan de ser tratados en los mismos, de conformidad con lo dispuesto en la legislación estatal o autonómica sobre sanidad.


DEBER DE SECRETO

Debe hacerse mención especial a este requisito porque en general, afecta a todas las fases de un tratamiento de datos de carácter personal. Se trata del deber de secreto, regulado por el artículo 10 de la LOPD:

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo, ya que una revelación de datos personales que no se ajuste a la Ley, puede ocasionar graves perjuicios a su titular.

El incumplimiento de este deber puede ser calificado como sancionable de forma leve o grave, en función de si afecta o no a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. Si se revelan detalles sobre estos ficheros y/o los datos personales que contienen se incurrirá en una infracción grave. Y será constitutivo de infracción muy grave, si afecta a los datos sensibles regulados por los apartados 2 y 3 del artículo 7 de la LOPD, así como a aquellos datos que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas (artículo 44.4.g. de la LOPD).

COMUNICACIÓN DE LOS DATOS

Esta parte se tendrá en cuenta únicamente en el caso de que se prevea realizar cesiones o comunicaciones de datos.

Se considerará cesión de datos “toda revelación de datos realizada a una persona distinta del afectado o interesado”, y los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero, para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. No se trata de una cesión propiamente dicha, la transmisión de datos que se realice entre el encargado del tratamiento y, el responsable del fichero.

En relación con el consentimiento, existe una previsión general en el artículo 6.1 de la LOPD, que dice que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa, se admite tanto un consentimiento tácito como expreso, pero que no deje lugar a dudas de que existe.

Según el artículo 11 de la LOPD, el consentimiento no será preciso:

a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público, y éstas son las mencionadas en el artº 3.j) , como el censo promocional, los repertorios telefónicos, listados de personas pertenecientes a un grupo profesional, y los Diarios y Boletines oficiales.
c) Cuando el tratamiento responda a la “libre y legítima aceptación de una relación jurídica” cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique, es decir, cumplir los términos de esa relación laboral consentida por ambos implicados.

(*) El supuesto concreto de la cesión de datos personales de los empleados, o de currículums de candidatos de un proceso de selección, entre una empresa filial y una empresa matriz, no puede ampararse en este supuesto, bajo la excusa de que se trata de promocionar y beneficiar a los titulares de esos datos, y que tácitamente consienten a la cesión por el hecho de entregar un currículum vitae o de firmar un cotrato laboral. Este es el criterio de la A.E.P.D., y se puede consultar el la Memoria 2001.

d) “Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas”.
e) Cuando la cesión “se produzca entre” Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la “salud” sea necesaria para solucionar una “urgencia” que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar, es decir cuando no conste la finalidad a que se destinan los datos o el tipo de actividad de aquel a quien se pretendan comunicar.

Por otra parte, el consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable, de ahí que el responsable del fichero, en el momento en que efectúe la primera cesión de datos, deba informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario, para que si lo consideran oportuno puedan ejercitar los derechos de acceso, cancelación y/o rectificación.

La comunicación de datos de carácter personal, implica a su vez que aquél a quien se comuniquen los datos, se obliga, por el solo hecho de la comunicación, a tratar los datos con el grado de protección exigido por la ley, y a la observancia de las todas las disposiciones de la misma.

Habrá que tener en cuenta, que si la comunicación se efectúa previo procedimiento de “disociación”, lo antes dicho, no le será aplicable. Como aclaración podemos definir: “PROCEDIMIENTO DE DISOCIACIÓN”: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

(*) Cuando la comunicación de los datos se realice a través de redes de telecomunicaciones, se deberá cifrar dichos datos o bien utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulable por terceros.

El artículo 44 .4 .b) de la LOPD califica como muy grave la infracción cometida al realizar una la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

Acceso a los datos por cuenta de terceros.

Por su parte, el artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero y no se considerará comunicación de datos, cuando dicho acceso es requisito necesario para la prestación de un servicio al responsable del tratamiento, y por lo tanto, al ser un tema delicado, deberá estar regulado en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

Debe establecerse expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero en cuestión, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicará a otras personas, ni siquiera para su conservación. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la LOPD y que el encargado del tratamiento está obligado a implementar. Dicho contrato deberá incluir, entre otras, las siguientes menciones:

  • Indicación de que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero.
  • El fin del contrato y que los datos no serán utilizados o aplicados con un fin distinto al indicado.
  • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar. De ello se deduce que el encargado del tratamiento es responsable de las medidas de seguridad.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.


TRANSFERENCIAS INTERNACIONALES

Las transferencias Internacionales, vienen reguladas en la LOPD, en los artículos 33 y 34, y en la Instrucción 1/2000, de 1 de diciembre, de la APD, que define las transferencias internacionales de datos como “Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable de fichero”.

La regla general es que no se podrán hacer transferencias temporales, ni definitivas, de datos de carácter personal que hayan sido objeto de un tratamiento concreto, o hayan sido recogidos para someterlos a dicho tratamiento (finalidad) con destino a países que no proporcionen un nivel de protección equiparable al que presta la L.O.P.D., salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, quien sólo podrá otorgarla si se obtienen garantías adecuadas.

El artículo 44.4.e) de la LOPD califica de muy grave la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

El carácter adecuado del nivel de protección que ofrece el país de destino, se evaluará por la Agencia de Protección de Datos, atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Sólo si, una vez revisado todo esto, se puede garantizar un nivel de protección equivalente al de la LOPD en el país de destino, se concederá la autorización de movimiento internacional de datos.

Los supuestos en que lo dicho no será de aplicación, los recoge la Ley en el artículo 34 “excepciones”:

g) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
h) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
i) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
j) Cuando se refiera a transferencias dinerarias, conforme a su legislación específica.
k) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
l) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
m) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
n) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
o) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
p) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
q) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

En cualquier caso, las transferencias deben seguir el régimen general del artículo 11 de la LOPD, donde se exige que dicha cesión se efectúe para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y cesionario, y que es necesario el consentimiento informado y previo del afectado.

A esto hay que añadir, la previsión del artículo 6 del Real Decreto 1332/1994, de 20 de junio, que señala que transferencia internacional de datos debe comunicada a la APD en el momento de notificar la creación de los ficheros, si es que se prevé la posibilidad de realizar transferencias temporales o definitivas.

INSCRIPCIÓN DE FICHEROS

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal debe notificarlo a la Agencia de Protección de Datos, antes de empezar a tratar su contenido para la finalidad que se le asigne (artículo 3 de la LOPD).

Los distintos extremos que debe contener la notificación, (el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros), son la base de posibles futuras reclamaciones, y deberán comunicarse a la Agencia de Protección de Datos, así como los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación (artículo 26 LOPD).

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigidos, y, en caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

Artículo 25.5 L.O.P.D.”Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos”

Esta obligación corresponde al responsable del fichero, y se sostiene sobre la posibilidad de la APD de requerir tanto los responsables como a los encargados del tratamiento, que cumplan con la adopción de las medidas necesarias para la adecuación del tratamiento de los datos a las disposiciones de esta ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros cuando no se ajusten a éstas. (Sin perjuicio de las sanciones que correspondieran en cada caso).

El acto de notificación a la AEPD, y la inscripción en el Registro General de Protección de Datos, de la existencia de tales ficheros, es la fase final de la regularización del tratamiento de datos de carácter personal. Con ello, la AEPD dispondrá de pruebas fehacientes de que el responsable del fichero ha actuado la legislación vigente y, en caso de reclamación, los daños o perjuicios que se pudieran haber causado por un uso indebido de los ficheros, tendrán mejores mecanismos de reparación. El artículo 44.2.c de la LOPD califica como leve la no inscripción de estos ficheros.

En la actualidad, la notificación deberá verificarse mediante la presentación de los modelos normalizados contenidos en la Resolución de esta Agencia, de 30 de mayo de 2000 (BOE de 27 de junio), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático. (www.agpd.es).

 

DEBER DE COLABORACIÓN CON LA AGENCIA

La protección de los derechos fundamentales, necesita, además de un sistema de tratamiento de datos y de un régimen sancionador, el respaldo institucional de un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúe con plena independencia de las Administraciones Públicas, en el ejercicio de sus funciones de exigir respeto a la ley, y respeto a quienes ésta protege.

Esta entidad es la Agencia Española de Protección de Datos, y su régimen jurídico viene previsto en la L.O.P.D., en el título VI. Entre sus funciones (artº37 L.O.P.D.) está la de atender a las peticiones y reclamaciones formuladas por las personas afectadas, y proporcionarles información acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

Para que esto se realice eficazmente, se prevé además, que la A.P.D. deberá velar por la publicidad de la existencia de los ficheros que contengan datos de naturaleza personal, para lo cual publicará periódicamente (anual) una relación de dichos ficheros.

El artículo 37 de la LOPD detalla las funciones de la Agencia Española de Protección de Datos:

1. Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
2. Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
3. Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.
4. Atender las peticiones y reclamaciones formuladas por las personas afectadas.
5. Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
6. Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
7. Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.
8. Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
9. Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
10. Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.
11. Redactar una memoria anual y remitirla al Ministerio de Justicia.
12. Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
13. Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46.
14. Cuantas otras le sean atribuidas por normas legales o reglamentarias.

El artículo 40 de la LOPD recoge la potestad de inspección de la APD, diciendo que las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

El artículo 44.2. de la LOPD constituye infracción leve, “no proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.” Por su parte el artículo 44.3.de la LOPD establece como infracción grave practicar la obstrucción al ejercicio de la función inspectora, entre otras.