Upload
elearning2011
View
147
Download
0
Embed Size (px)
Citation preview
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
MÓDULO 3.
MARCO NORMATIVO.
INFRACCIONES Y SANCIONES.
DERECHOS RECONOCIDOS EN
LA LEY. ______________________________________________________ CONTENIDOS DEL MÓDULO 3:
1. Legislación vigente y antecedentes normativos.
2. LOPD: Objeto y Ámbito de aplicación.
3. Estructura y Novedades introducidas por el R.D. 1720/2007
4. La Agencia Española de Protección de Datos.
5. Infracciones y Sanciones.
6. Procedimiento de Denuncia.
7. Los Derechos de los afectados.
7.1 Derecho de Acceso.
7.2 Derecho de Rectificación.
7.3 Derecho de Cancelación.
7.4 Derecho de Oposición.
7.5 Derecho de Consulta al Registro General de Protección de Datos.
7.6 Derecho de Indemnización.
8 Ejercicios Prácticos.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
LEGISLACIÓN VIGENTE Y ANTECEDENTES NORMATIVOS
En la introducción de esta acción formativa y a lo largo de los módulos
desarrollados hasta ahora, se ha aludido a la normativa vigente que existe
en nuestro país en materia de Protección de Datos Personales.
Concretamente se ha citado:
- Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos
de Carácter Personal (LOPD).
- Real Decreto 1720/2007 de 21 de Diciembre, por el que se aprueba
el Reglamento de Desarrollo de la LOPD.
Esta es la legislación actualmente vigente en nuestro país, pero con
anterioridad a su aprobación, ya existían otros antecedentes normativos
en esta materia. Concretamente:
- Con la promulgación de la Constitución Española de 1978, ya se aborda
la protección de uno de los derechos más importantes de los ciudadanos,
el derecho al honor y a la intimidad. Concretamente, el artículo 10
reconoce el derecho a la dignidad de la persona y el artículo 18.4
establece que “La ley limitará el uso de la informática para garantizar el
honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos”
- Es en el año 1992 cuando nace la primera Ley española reguladora de
esta materia: la Ley Orgánica 5/1992 de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal (LORTAD). Su ámbito de
aplicación se circunscribe exclusivamente a los ficheros automatizados.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
- La Directiva Europea 95/46/CE del Parlamento Europeo y del Consejo,
relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos,
constituye el origen de la mayoría de las legislaciones de los Estados
miembros.
- En España, como transposición a nuestro ordenamiento jurídico de esta
Directiva Europea, se publica en 1999 la ya mencionada Ley Orgánica
15/1999 de Protección de Datos de Carácter Personal (LOPD).
La LOPD, que deroga la LORTAD, amplía su ámbito de aplicación a
cualquier tratamiento de los datos personales registrados en cualquier
soporte físico que los haga susceptibles de tratamiento. Esto supone un
avance de gran trascendencia, ya que a partir de su entrada en vigor, el
derecho a la protección de datos deja de referirse exclusivamente a la
informática para extenderse también al tratamiento de datos personales
no automatizados.
- El actualmente derogado Real Decreto 994/1999 de 11 de Junio por el
que se aprobó el Reglamento de Medidas de Seguridad (RMS) regulaba las
medidas técnicas y organizativas, aplicables a los sistemas de información
que traten de forma automatizada ficheros que contengan datos de
carácter personal.
- En el ámbito de la Sociedad de la Información, se publica en el año 2002
la Ley 34/2002 LSSI-CE de Servicios de la Sociedad de la Información y
Comercio Electrónico y un año más tarde la Ley 32/2003 Ley General de
Telecomunicaciones. Ambas atribuyen competencias en materia
sancionadora a la Agencia Española de Protección de Datos.
- Especial mención merece la publicación del Real Decreto 1720/2007 de
21 de Diciembre (RDLOPD) en fecha 19 de enero de 2008. Este Real
Decreto es el Reglamento de desarrollo de la Ley Orgánica 15/1999 y
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
pretende concretar aquellos preceptos recogidos en dicha ley que
precisan de un mayor desarrollo. Su entrada en vigor se produce en fecha
19/04/2008 y ha supuesto importantes novedades para las empresas que
tratan información de carácter personal. El Reglamento se aprueba
partiendo de la necesidad de dotar de coherencia a la regulación
reglamentaria en todo lo relacionado con la transposición de la Directiva y
de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999, junto
con aquellos en los que la experiencia había aconsejado un cierto de
grado de precisión que dotase de seguridad jurídica al sistema.
- Con posterioridad al Reglamento de Desarrollo de la LOPD, se ha
publicado el Real Decreto 3/2010 de 8 de enero por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica.
- Por último, con la publicación de la Ley de Economía Sostenible LES, se
han modificado las cuantías de las sanciones por el incumplimiento de la
normativa en Protección de Datos de Carácter Personal.
En los epígrafes siguientes de este módulo, nos detendremos en las dos normas
que fundamentalmente deben tener en cuenta las empresas de cara a
cumplir sus obligaciones en esta materia y evitar sanciones económicas,
analizando el ámbito de aplicación de la LOPD así como las novedades
introducidas por el RD 1720/2007.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
OBJETO Y ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS
El objeto de la LOPD (señalado en su artículo 1) es garantizar y proteger, en
lo que se refiere al tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas y
especialmente de su honor, intimidad personal y familiar.
Así mismo, el RD 1720/2007 señala en su artículo 2 que “el reglamento será
de aplicación a los datos de carácter personal registrados en soporte físico,
que los haga susceptibles de tratamiento y a toda modalidad de uso
posterior de estos datos por los sectores público y privado”.
Por lo tanto, en el ámbito que nos interesa, esto es, el ÁMBITO EMPRESARIAL,
están obligados a dar cumplimiento e implantar la Ley Orgánica de
Protección de Datos:
Los empresarios ya sean personas físicas o jurídicas, los autónomos y
profesionales en general y las entidades sin ánimo de lucro que en el
desarrollo de su actividad traten datos de carácter personal de PERSONAS
FÍSICAS registrados en CUALQUIER TIPO DE SOPORTE.
Así mismo, deben saber que ESTÁN EXCLUIDOS del ámbito de la ley:
- Los tratamientos de datos referidos a personas jurídicas.
- Los ficheros mantenidos por personas físicas en el ejercicio de sus
actividades personales o domésticas (por ejemplo el álbum de fotos o
la agenda de teléfono de familiares o amigos).
- Los datos relativos a empresarios individuales en lo que se refiere al
ejercicio de su actividad mercantil, aún cuando se identifique a una
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
persona física concreta. Se estable por tanto, una distinción entre el
ámbito empresarial y el ámbito de privacidad personal de autónomos
y empresarios individuales.
- Los datos referidos a personas fallecidas.
- Los ficheros establecidos para la investigación del terrorismo y formas
graves de delincuencia organizada.
- Los ficheros sometidos a la normativa sobre protección de materias
clasificadas.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
ESTRUCTURA DEL REAL DECRETO 1720/2007 DE 21 DE
DICIEMBRE.
NOVEDADES INTRODUCIDAS.
Como ya hemos visto, el RD 1720/2007 constituye el desarrollo
reglamentario de la LOPD. Dicho Real Decreto se estructura en nueve
títulos.
El título I contempla el objeto y ámbito de aplicación del reglamento y
aporta un conjunto de definiciones que ayudan al correcto
entendimiento de la norma.
El título II, se refiere a los principios de la protección de datos. Reviste
particular importancia la regulación del modo de captación del
consentimiento atendiendo a aspectos muy específicos como el caso
de los servicios de comunicaciones electrónicas y, muy particularmente,
la captación de datos de los menores. Asimismo, se ofrece lo que no
puede definirse sino como un estatuto del encargado del tratamiento,
que contribuye a clarificar todo lo relacionado con esta figura.
El título III se ocupa de una cuestión tan esencial como los derechos de
las personas (cuestión que se ha abordado en capítulos anteriores de
esta acción formativa).
Los títulos IV a VII establecen la aplicación de criterios específicos a los
ficheros relativos a la solvencia patrimonial y crédito y los utilizados en
actividades de publicidad y prospección comercial, señalan el conjunto
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
de obligaciones materiales y formales que deben conducir a los
responsables a la creación e inscripción de los ficheros, los criterios y
procedimientos para la realización de las transferencias internacionales
de datos, y, finalmente, la regulación de un instrumento, el código tipo,
llamado a jugar cada vez un papel más relevante como elemento
dinamizador del derecho fundamental a la protección de datos.
El Título VIII regula la atribución de los niveles de seguridad, en la fijación
de las medidas que corresponda adoptar en cada caso y en la revisión
de las mismas cuando ello resulte necesario. Por otra parte, ordena con
mayor precisión el contenido y las obligaciones vinculadas al
mantenimiento del documento de seguridad. Por último, se regula un
conjunto de medidas destinadas a los ficheros y tratamientos
automatizados y no automatizados que ofrezca a los responsables un
marco claro de actuación.
Finalmente el Título IX, es dedicado a los procedimientos tramitados por
la Agencia Española de Protección de Datos.
LA APROBACIÓN DEL RD 1720/2007 HA SUPUESTO LAS SIGUIENTES
NOVEDADES:
- Queda derogado el RD 994/1999.
- Se amplía el número de definiciones notablemente.
- Se determina la autoría del documento de seguridad y se amplía
su contenido.
- Se modifican las medidas y niveles de seguridad aplicables a
cada fichero.
- Se incorpora la obligación de cifrar los datos personales de nivel
alto cuando sean almacenados en dispositivos portátiles.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
- Se establecen nuevas especificaciones sobre los menores de
edad.
- Pasan de nivel BÁSICO de seguridad a nivel MEDIO los ficheros de
las Entidades Gestoras y Servicios Comunes de la Seguridad Social
y los de las Mutuas de Accidentes de Trabajo y Enfermedad
Profesional.
- Se clasifican como de nivel ALTO los datos derivados de la
violencia de género.
- Se degradan de Nivel Alto a Nivel Básico los siguientes datos y en
las siguientes circunstancias:
o Grado de discapacidad o la simple declaración de la
condición de discapacidad, para el cumplimiento de
deberes públicos.
o Ideología, afiliación sindical, creencias, origen racial, salud,
vida sexual, religión en los siguientes casos:
- Para transferencias dinerarias a las entidades de las
que el titular sea miembro o asociado
- En el tratamiento de datos no automatizados siempre
que sea de forma incidental o accesoria.*
*IMPORTANTE: este aspecto ha sido a su vez modificado por el Real
Decreto 3/2010 de 8 de enero, quedando redactado de la siguiente
forma: “Se trate de tratamientos o ficheros en los que de forma incidental o
accesoria se contengan aquellos datos sin guardar relación con su finalidad”
Por tanto se elimina la expresión “no automatizados” lo que implica que
SE APLICA A FICHEROS DE TODO TIPO (AUTOMATIZADOS, MIXTOS Y EN
PAPEL)
- Se regulan las actividades de publicidad y prospección comercial
estableciendo la obligatoriedad de solicitar el consentimiento del
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
afectado para que los responsables de distintos ficheros puedan
cruzar sus datos para promocionar productos o servicios.
- Se especifican las medidas de seguridad aplicables a los ficheros
y tratamientos no automatizados (en papel).
- Se regula un procedimiento que garantice a los interesados, tener
conocimiento pleno del uso y finalidad que sus datos vayan a
tener, antes de consentir que sus datos sean recogidos y tratados.
- Se exige al responsable del fichero que proporcione a los
interesados un medio sencillo y gratuito para ejercitar sus
derechos.
- Se fijan los requisitos necesarios para las transferencias
internacionales de datos de personas, dependiendo del país y del
receptor de esos datos.
Ahora que ya conocemos la normativa vigente en materia de
Protección de datos Personales, pasamos a exponer en las infracciones
recogidas en dicha normativa así como la potestad sancionadora del
órgano competente. Comenzaremos por conocer los distintos órganos
con competencia en el control de ficheros de datos personales.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS La Agencia Española de Protección de Datos es un ente
de derecho público, con personalidad jurídica propia y
plena capacidad pública y privada, que actúa con plena
independencia de las Administraciones Públicas en el
ejercicio de sus funciones.
La AGPD tiene potestad de inspección y control sobre los ficheros privados
que contengan datos personales y sobre los ficheros públicos cuyos
responsables estén en territorio español, salvo en las Comunidades
Autónomas que tienen su propia Agencia Autonómica de Protección de
Datos:
- Cataluña: Ley 5/2002 de 19 de abril de la Agencia Catalana de
Protección de Datos.
- Madrid: Ley 8/2001 de 13 de julio de protección de datos de
carácter personal de la C.A. de Madrid.
- País Vasco: Ley 2/2004 de creación de la Agencia Vasca de
Protección de Datos.
La función principal de la AGPD es velar por el cumplimiento de la
normativa en materia de protección de datos personales. De manera más
detallada, podemos concretar que en el ejercicio de sus competencias la
Agencia Española de Protección de Datos puede:
- Realizar inspecciones en los ficheros públicos y privados, obteniendo
la información necesaria para el cumplimiento de sus funciones.
- Acceder a los locales donde se hallen instalados los equipos físicos y
lógicos utilizados en el tratamiento de los datos y proceder a la
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
inspección de los mismos. En estos casos, la empresa debe permitir la
labor de inspección y no entorpecerla, ya que de lo contrario se
podría incurrir en la comisión de una infracción grave, sancionada
con multa de 60.000 euros a 300.000 euros.
- Requerir a las empresas la exhibición o el envío de documentación
así como examinar la misma en los lugares donde se encuentre
almacenada.
- Imponer sanciones a los titulares de los ficheros privados que
vulneren los derechos de las personas titulares de los datos o
incumplan la normativa en esta materia.
- Solicitar al responsable del fichero que cese en la utilización o cesión
ilícita de los datos de carácter personal que obren en los ficheros de
la organización, en tales supuestos.
- Inmovilizar los ficheros que contengan datos personales, en los casos
de infracciones muy graves y previo requerimiento al responsable
para que cese en el tratamiento ilícito, cuando tal requerimiento no
fuera atendido.
- Responder a las consultas formuladas por los ciudadanos en materia
de Protección de Datos personales.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
INFRACCIONES Y SANCIONES
La LOPD establece un régimen sancionador muy severo cuyas cuantías
pueden alcanzar los 601.000 €, dependiendo de la gravedad de la
infracción cometida. Sin embargo, el porcentaje de empresas que en
nuestro país se han adecuado a la legislación aún es minoritario.
Esta falta de adaptación es debida principalmente al desconocimiento por
parte de los empresarios de las exigencias legales en esta materia, así
como a la escasa sensibilización por parte de la sociedad sobre los riesgos
que conlleva un tratamiento y uso inadecuado de los datos de carácter
personal para la intimidad y confidencialidad de sus titulares.
Así pues, las entidades que incumplan las exigencias legales podrán ser
sancionadas. Para la imposición de una sanción se ha de tramitar un
procedimiento sancionador, tras el cual si la AGPD considera que el
responsable del fichero ha cometido alguna de las infracciones previstas
en la ley, procede a sancionarle.
IMPORTANTE: Como consecuencia de la entrada en vigor de la Ley de
Economía Sostenible en marzo de 2011, se introduce una nueva figura
jurídica como medida excepcional: EL APERCIBIMIENTO. Consiste en que
de forma excepcional, el órgano sancionador de la AGPD podrá no
acordar la apertura del procedimiento sancionador y sustituirlo por
apercibir al sujeto responsable para que en un plazo determinado acredite
la adopción de medidas correctoras, siempre y cuando se trate de
INFRACCIONES LEVES O GRAVES Y EL SUJETO NO HUBIERA SIDO
SANCIONADO O APERCIBIDO CON ANTERIORIDAD.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
Los responsables de las infracciones cometidas en materia de protección
de datos pueden ser:
- El responsable del fichero
- El encargado del tratamiento
- Los cesionarios de estos.
Los tipos de infracciones previstas en la LOPD son:
INFRACCIÓN LEVE:
- Recoger datos personales sin proporcionar a sus titulares la información
señalada en el artículo 5 de la LOPD.
- No solicitar la inscripción de los ficheros en el RGPD, cuando no sea
constitutivo de infracción grave.
- No proporcionar la información que solicite la AEPD en el ejercicio de
sus competencias
- No atender, por motivos formales, la solicitud del interesado de
rectificación o cancelación de los datos personales cuando legalmente
proceda.
- Incumplir el deber de secreto, salvo que constituya infracción grave.
INFRACCIÓN GRAVE:
- Recoger datos personales sin el consentimiento del afectado, en los
casos en que este sea exigible.
- Tratar o usar datos personales incumpliendo los preceptos de
protección impuestos por la legislación, cuando no constituya infracción
muy grave.
- Proceder a la creación de ficheros de titularidad privada o iniciar la
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
recogida de datos personales con finalidades distintas de las que
constituyen el objeto legítimo de la entidad.
- Impedir u obstaculizar el ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea solicitada.
- Mantener ficheros, locales, programas o equipos con datos
personales sin las debidas condiciones de seguridad.
- Mantener, no rectificar o no cancelar los datos personales
inexactos.
- No remitir a la AEPD las notificaciones previstas en la LOPD.
- La obstrucción al ejercicio de la función inspectora.
- No inscribir el fichero de datos personales en el RGPD, cuando haya
sido requerido para ello por el Director de la AEPD.
- Incumplir el deber de información cuando los datos hayan sido
recabados de persona distinta del interesado.
- La vulneración del deber de guardar secreto sobre datos
personales incorporados a ficheros de tipo medio.
INFRACCIÓN MUY GRAVE
- Comunicar o ceder datos personales fuera de los casos en que está
permitido
- No atender u obstaculizar sistemáticamente los derechos ARCO.
- No atender sistemáticamente el deber legal de notificación de la
inclusión de datos personales en un fichero.
- Recoger datos de forma engañosa y fraudulenta
- No cesar en el uso ilegítimo de los tratamientos de datos personales
cuando se requiera por el Director de la AEPD o por el titular del
derecho de acceso.
- La vulneración del deber de guardar secreto sobre los datos
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
personales incluidos en ficheros de nivel alto y los recabados para fines
policiales sin el consentimiento de la persona afectada.
Las CUANTÍAS de las sanciones oscilan entre 900,00 euros y 601.000 euros.
Con la entrada en vigor de La LEY DE ECONOMÍA SOSTENIBLE se
modificaron los intervalos de las sanciones. Veamos una comparativa:
INTERVALOS ANTERIORES A LA LEY
DE ECONOMÍA SOSTENIBLE
NUEVOS INTERVALOS
1) Las infracciones leves se
sancionaban con multa de 600
euros a 60.000 €.
2) Las infracciones graves se
sancionaban con multa de
60.001 a 300.000 €
3) Las infracciones muy graves se
sancionan con multa de
300.001 a 601.000 euros.
1) Las infracciones leves serán
sancionadas con multa de 900
euros a 40.000 €.
2) Las infracciones graves serán
sancionadas con multa de 40.001 a
300.000 €
3) No se produce modificación
en este intervalo.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
PROCEDIMIENTO DE DENUNCIA
El titular de los datos que tenga intención de interponer una
reclamación o denuncia, puede hacerlo directamente, sin necesidad
de abogado ni Procurador.
Para ello, presentará un escrito acompañado de los documentos que
acrediten los hechos denunciados, indicando al menos, los siguientes
datos:
� Nombre y apellidos del interesado y, en su caso, de la persona
que lo represente, así como la identificación del lugar señalado a
efectos de notificaciones.
� Hechos, razones y petición en que se concrete la solicitud.
� Lugar y fecha.
� Firma del solicitante o acreditación de la autenticidad de su
voluntad expresada por cualquier medio.
� Órgano, centro o unidad administrativa a la que se dirige.
Las principales características del procedimiento son:
� Es un procedimiento de carácter gratuito para el denunciante.
� Las pruebas, inspecciones y traslados que la AGPD determine
realizar en el proceso, correrán por cuenta de la Agencia.
� En ningún caso la procedencia o improcedencia de denuncia
conllevará reclamaciones contra el afectado que la interpuso.
� Se mantiene el anonimato de las personas físicas incursas en
reclamación o denuncia, a excepción del traslado de la
reclamación a la supuesta parte “infractora”.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
� El procedimiento de inspección no implica juicio entre las partes:
los inspectores actúan y el Director de la Agencia emite la
correspondiente resolución.
Ya conocemos la normativa que en la actualidad está vigente en
nuestro país, las infracciones que dicha normativa contempla, la
cuantía de las sanciones previstas en dicha legislación y el órgano con
potestad para sancionar los incumplimientos de la normativa, de
manera que a continuación nos detendremos en los Derechos que la
Legislación citada reconoce a los titulares de los datos personales.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
LOS DERECHOS DE LOS AFECTADOS:
ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN. DERECHO DE CONSULTA AL REGISTRO DE LA AGPD.
Tal y como hemos visto en los capítulos anteriores de esta acción formativa,
los ciudadanos proporcionamos de manera habitual nuestros datos
personales para llevar a cabo distintas actividades tanto en el ámbito de la
Administración Pública como de la empresa privada.
Para que todos nosotros como titulares de los datos podamos controlar el
uso que una determinada entidad hace de los mismos, e incluso adoptar
ciertas medidas en el caso de que detectemos que están siendo tratados
inadecuadamente, La Ley Orgánica 15/1999 de Protección de Datos
Personales nos reconoce una serie de DERECHOS.
Son los denominados DERECHOS ARCO: Acceso, Rectificación,
Cancelación y Oposición.
Su regulación viene recogida en el Título III de la LOPD (Derechos de las
Personas).
Consiste en que el titular de los datos puede ejercitar estos derechos ante
el RESPONSABLE DE UN FICHERO con el fin de conocer sus datos personales,
de solicitar que sean modificados o cancelados o bien oponerse a su
tratamiento.
Además del propio afectado, también pueden ejercitar estos derechos:
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
- Si se trata del ejercicio de los derechos por parte de un menor de
edad o persona incapacitada: la persona que ostente la
representación legal.
- Por el representante voluntario a quien previamente el interesado
haya designado para ejercitar sus derechos, siempre que acredite la
representación.
Los derechos ARCO pueden ejercitarse respecto de cualquier fichero o
tratamiento de datos personales, ya sea automatizado, manual o mixto y
tienen carácter gratuito. Por este motivo, no será medio adecuado para el
ejercicio de los mismos, aquel por el que el Responsable exija al interesado
el envío de cartas certificadas o la utilización de llamadas telefónicas de
tarificación adicional.
Toda empresa u organización deberá informar de la posibilidad del
ejercicio de estos derechos en la dirección que señale el responsable del
fichero, a través de los avisos legales informativos. En un epígrafe posterior
de esta acción formativa, se ofrecerán distintos ejemplos de cláusulas
informativas.
Si un afectado ejercita estos derechos y no recibe la respuesta adecuada
por parte del responsable del fichero, podrá dirigirse a la Agencia Española
de Protección de datos (AGPD), para solicitar la tutela de estos derechos,
instruyéndose el procedimiento correspondiente. En la página Web de la
AGPD se pueden obtener los formularios estandarizados para el ejercicio
de los derechos ARCO. Veamos en qué consiste cada uno de estos
derechos:
DERECHO DE ACCESO
Toda persona tiene derecho a dirigirse al responsable del fichero o
encargado de tratamiento para conocer sus datos personales y recibir una
copia inteligible de los mismos. Ejercitando este derecho, el titular de los
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
datos puede informarse del tipo de datos registrados, su origen, su
finalidad, los destinatarios de esos datos e incluso las posibles transferencias
de los mismos a otros países.
Sin embargo, este derecho no puede ejercitarse siempre que el ciudadano
lo desee, solamente podrá ejercitarse una vez cada doce meses.
Para ejercitar el derecho de acceso, el ciudadano tiene que dirigirse al
responsable del fichero mediante escrito fechado y firmado, aportando
fotocopia del DNI o documento que acredite su identidad.
El responsable del fichero tiene que resolver la solicitud de acceso en el
plazo máximo de un mes a contar desde la fecha en que ha recibido la
solicitud. Si la solicitud es estimada, el acceso debe hacerse efectivo en el
plazo de diez días contados desde la notificación.
DERECHO DE RECTIFICACIÓN
El titular de los datos tiene derecho a solicitar la rectificación de los mismos
ante el Responsable del fichero cuando verifique que son inexactos o
incompletos. La solicitud de rectificación debe indicar el dato que se
estima erróneo y la corrección que debe realizarse, para lo cual se
adjuntará la documentación justificativa de la rectificación que se solicita.
El responsable del fichero tiene el deber de atender el derecho de
rectificación en el plazo de diez días naturales. Obligatoriamente
contestará de forma motivada a la solicitud que se le dirija,
independientemente de que figuren o no datos personales del interesado
en sus ficheros.
Además si los datos rectificados hubiesen sido cedidos previamente a un
tercero, el responsable del fichero deberá notificar al cesionario la
rectificación realizada para que este a su vez, proceda a realizarla.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
DERECHO DE CANCELACIÓN
El derecho de cancelación puede ejercitarse cuando el tratamiento de los
datos personales no se ajusta a lo dispuesto en la LOPD o cuando los datos
resultan inexactos o incompletos, lo que permite al interesado solicitar al
responsable la supresión de los mismos.
En la solicitud de cancelación, el interesado indicará la existencia del dato
erróneo y acompañará la documentación justificativa.
El plazo para hacer efectivo el derecho de cancelación es de diez días
naturales. El responsable del fichero o tratamiento contestará de forma
motivada la solicitud que se le dirija, con independencia de que en sus
ficheros figuren o no datos personales del interesado.
La cancelación supone el bloqueo de los datos cuando sea necesario
conservarlos a disposición de la Administración, de cara a posibles
responsabilidades. Una vez transcurrido el plazo de dichas
responsabilidades, se procederá a la supresión total de los datos.
DERECHO DE OPOSICIÓN
El ciudadano tiene la facultad de decidir sobre los usos de sus datos de
carácter personal y por lo tanto puede oponerse a figurar en un fichero, al
tratamiento de los mismos o a que sean comunicados a terceros.
El derecho de oposición se ejercita mediante escrito dirigido al responsable
del fichero, en el que consten los motivos que justifican el ejercicio de este
derecho.
Recibido el requerimiento, la empresa tiene la obligación de cesar en el
tratamiento de los datos que obren en sus ficheros relativos a ese titular.
PROTECCION DE DATOS PERSONALES EN LA EMPRESA
C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es
DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCION DE
DATOS
No debe confundirse este derecho de consulta con el derecho de acceso,
aun cuando puede posibilitar el ejercicio de éste.
El derecho de consulta al Registro General de Protección de Datos,
permite a los interesados recabar información sobre la existencia de
ficheros de datos de carácter personal inscritos en dicho Registro.
Cualquier persona podrá conocer, recabando a tal fin la información
oportuna del Registro General de Protección de Datos, la existencia de
tratamientos de datos de carácter personal, sus finalidades y la identidad
del responsable del tratamiento. El Registro General es de consulta pública
y gratuita.
La información existente en el Registro se refiere a determinadas
características de los ficheros, sin recoger su contenido completo. Es decir,
podemos conocer la identificación del fichero, quién es su responsable,
dónde está ubicado…y otras características de los ficheros pero en ningún
caso el contenido completo de los mismos.
Podemos acceder al Registro General de Protección de Datos a través de
la página Web de la Agencia: www.agpd.es
Por último, cabe citar que además de los denominados DERECHOS ARCO,
la normativa también reconoce un derecho de INDEMNIZACIÓN a
aquellos ciudadanos que debido al tratamiento ilegal de sus datos puedan
ver sus bienes o intereses perjudicados.