Upload
olivo
View
15
Download
3
Embed Size (px)
DESCRIPTION
Curso del sas
Citation preview
Ley de Proteccin de Datos
Todos los nombres propios de
programas, sistemas operativos,
equipos hardware, etc. que aparecen en
este manual son marcas registradas de
sus respectivas compaas u
organizaciones.
Reservados todos los derechos. De
conformidad con lo dispuesto en el
Cdigo Penal vigente, podrn ser
castigados con penas de multa y
privacin de libertad quienes
reprodujeren o plagiaren, en todo o en
parte, una obra literaria, artstica o
cientfica fijada en cualquier tipo de
soporte, sin la preceptiva autorizacin
del editor.
CDIGO: F12_00075
Edita: Interconsulting Bureau S.L.
Imprime:
Depsito Legal:
PRLOGO
La profunda experiencia de profesionales dedicados a la enseanza ha
hecho posible la elaboracin de este manual. Se caracterizan por su
hondo conocimiento sobre las necesidades del alumnado, por el uso de
una innovadora metodologa de aprendizaje as como por aplicar
diferentes tcnicas de motivacin garantizando de este modo el xito de
la formacin que imparten.
El propsito de este manual es el de ser una gua til para el aprendizaje,
siendo eminentemente prctica y didctica.
La estructura del manual en mdulos, temas y epgrafes facilita la
comprensin de los contenidos, que pueden estar apoyados por
ilustraciones, esquemas, resmenes, bibliografa, glosario,
Adems, tambin puede incluir diferentes tests, cuestionarios de
evaluacin, actividades o casos prcticos con el objeto de que el alumno
asimile los conceptos terico-prcticos del curso.
Para lograr la calidad educativa se ha precisado del asesoramiento de
pedagogos, profesionales de la enseanza y expertos conocedores en
cada una de las disciplinas, con el objeto de que el resultado final sea
ptimo y el ms apropiado a las necesidades educativas.
Desde la humildad del formador, queremos aportar a este apasionante
mundo en el que vivimos, caracterizado por profundos cambios
tecnolgicos, de mentalidad y de actitud ante los acontecimientos,
herramientas que faciliten la adaptacin a un futuro condicionado por el
cambio continuo.
Por ltimo, agradecer la colaboracin de todos los compaeros en este
proyecto, sin la cual ste no habra sido una realidad.
prlogo
MDULO 1: Ley de Proteccin de Datos
TEMA 1. Introduccin a la Proteccin de Datos Introduccin
Definiciones y Conceptos Bsicos
Objeto y mbito de Aplicacin de la LOPD
La Agencia Espaola de Proteccin de Datos
Lo que hemos aprendido
Test
TEMA 2. Deber de Notificacin de Ficheros Introduccin
Creacin y Notificacin de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Cdigos Tipo
Los Ficheros de Titularidad Pblica
Lo que hemos aprendido
Test
TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos El Principio de Calidad de los Datos
El Derecho a la Informacin durante la Recogida de Datos
El Consentimiento del Afectado
Datos Especialmente Protegidos
Datos Relativos a la Salud
Seguridad de los Datos
Deber de Secreto
Movimiento de Datos
Lo que hemos aprendido
Test
TEMA 4. Ejercicio de Derechos Introduccin
Derecho de Informacin
Derecho a que le Sea Recabado su Consentimiento.
Derechos ARCO
Derecho a Indemnizacin
Derecho de Impugnacin de Valoraciones
Derecho de Exclusin de Guas Telefnicas
Derecho a No Recibir Publicidad No Deseada
Derechos de Abonados y Usuarios de Comunicaciones Electrnicas
Derechos de los Destinatarios de Servicios de Comunicaciones
Electrnicas
Tutela de los Derechos
Lo que hemos aprendido
Test
ndice
TEMA 5. Medidas de Seguridad Introduccin
El Documento de Seguridad
Niveles de Seguridad de los Datos
Contenido Mnimo del Documento de Seguridad
Medidas de Seguridad Aplicables a los Ficheros
Modelo de Documento de Seguridad de la AEPD
Lo que hemos aprendido
Test
TEMA 6. Rgimen Sancionador Infracciones y Sanciones
Prescripcin
Procedimiento Sancionador
Lo que hemos aprendido
Test
Anexos Glosario Bibliografa Cuestionarios de Evaluacin
Ley de Proteccin de Datos
mdulo 1
Ley de Proteccin de Datos
TEMA 1. Introduccin a la Proteccin de Datos
TEMA 2. Deber de Notificacin de Ficheros
TEMA 3. Principios de la Ley Orgnica de Proteccin de Datos
TEMA 4. Ejercicio de Derechos
TEMA 5. Medidas de Seguridad
TEMA 6. Rgimen Sancionador
1
2
Ley de Proteccin de Datos
tema 1
Introduccin a la Proteccin de Datos
Introduccin Definiciones y Conceptos Bsicos Objeto y mbito de Aplicacin de la LOPD La Agencia Espaola de Proteccin de Datos
Objetivos:
Familiarizarse con los diferentes conceptos utilizados en la normativa de proteccin de datos.
Conocer el mbito de aplicacin de la Ley Orgnica de Proteccin de Datos.
Conocer la naturaleza, rgimen jurdico, funciones y estructura de la Agencia Espaola de Proteccin de Datos.
3
4
Introduccin
El derecho a la intimidad de las personas fue reconocido por vez primera en la
Declaracin Universal de Derechos Humanos de 1944. Desde entonces, numerosas han
sido las leyes que han tratado la proteccin de datos, siendo pionera Alemania, que en
1970 ya promulg la primera ley europea. Pocos aos despus, en 1974, Estados
Unidos dict la conocida como Privacy Act.
Por su parte, en Espaa, se reconoce este derecho en la Constitucin, concretamente en
el Captulo Segundo Derechos y libertades, Seccin 1 De los derechos
fundamentales y de las libertades pblicas, artculo 18.1, cuya expresin literal es la
siguiente:
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
En 1992, se redacta la Ley Orgnica 5/92, de 29 de octubre, de regulacin del
tratamiento automatizado de datos de carcter personal (LORTAD), desarrollndose el
mandato constitucional recogido en el artculo 18.4 de nuestra Constitucin, que
dispona que La Ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Como desarrollo de la LORTAD se promulg el Real Decreto 1332/1994, de 20 de junio y el Real Decreto 994/1999 por el que se aprobaba el Reglamento de Medidas de
Seguridad de los ficheros automatizados que contienen datos de carcter personal.
En 1995, la Unin Europea aprob la Directiva 95/46/CE, de 24 de octubre, relativa a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales
y a la libre circulacin de los datos, establecindose de esa forma una serie de requisitos
mnimos comunes para todos los miembros de la Unin Europea.
En 1999 se dicta la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos
de carcter personal (LOPD), adaptando el sistema jurdico espaol a lo establecido en la
citada Directiva. Esta Ley mejora las carencias de la LORTAD, que nicamente se
aplicaba a los ficheros automatizados.
Por ltimo, en 2007 se aprueba el Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgnica de proteccin de datos
de carcter personal. Su finalidad, al igual que la de la LOPD es hacer frente a los riesgos
que para los derechos de la personalidad pueden suponer el acopio y tratamiento de
datos personales. Nos dice el prembulo del Reglamento que la norma nace con
vocacin de no reiterar los contenidos de la norma que desarrolla, dando mayor
contenido no slo a los mandatos de la misma, sino tambin a aquellos que en los aos
de vigencia de la Ley se ha demostrado que precisan un mayor desarrollo normativo.
5
Definiciones y Conceptos Bsicos
A continuacin podemos ver una serie de definiciones y conceptos que nos ayudarn a
comprender los diferentes trminos empleados en la LOPD y en su Reglamento:
Datos de carcter personal: cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas
identificadas o identificables.
Datos de carcter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, fsica o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su informacin
gentica.
Afectado o interesado: Persona fsica titular de los datos que sean objeto del tratamiento.
Fichero: todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la
forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos, as como los ficheros de los que sean responsables las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho pblico que a las
mismas atribuye su normativa especfica.
Ficheros de titularidad pblica: los ficheros de los que sean responsables los rganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonmicas con funciones anlogas a los mismos, las
Administraciones pblicas territoriales, as como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho pblico
siempre que su finalidad sea el ejercicio de potestades de derecho pblico.
Fichero no automatizado: todo conjunto de datos de carcter personal organizado de forma no automatizada y estructurado conforme a criterios especficos
relativos a personas fsicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aqul centralizado,
descentralizado o repartido de forma funcional o geogrfica.
Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la
realizacin de un tratamiento.
6
Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no automatizado, que permita la recogida, grabacin, conservacin, elaboracin,
modificacin, consulta, utilizacin, modificacin, cancelacin, bloqueo o
supresin, as como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Responsable del fichero o del tratamiento: Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente con otros
decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente. Podrn ser tambin responsables del fichero o del tratamiento los
entes sin personalidad jurdica que acten en el trfico como sujetos
diferenciados.
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas
de seguridad aplicables.
Encargado del tratamiento: La persona fsica o jurdica, pblica o privada, u rgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del
fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de su actuacin para la prestacin de
un servicio. Podrn ser tambin encargados del tratamiento los entes sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.
Cesin o comunicacin de datos: Tratamiento de datos que supone su revelacin a una persona distinta del interesado.
Destinatario o cesionario: la persona fsica o jurdica, pblica o privada u rgano administrativo, al que se revelen los datos. Podrn ser tambin destinatarios los
entes sin personalidad jurdica que acten en el trfico como sujetos
diferenciados.
Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin ms
exigencia que, en su caso, el abono de una contraprestacin.
Sistema de informacin: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carcter
personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de informacin. Atendiendo al sistema de tratamiento, los sistemas de informacin
podrn ser automatizados, no automatizados o parcialmente automatizados.
7
Soporte: objeto fsico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de informacin y sobre el cual se
pueden grabar y recuperar datos.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la consideracin de usuarios los procesos que permitan acceder a datos o recursos
sin identificacin de un usuario fsico.
Recurso: cualquier parte componente de un sistema de informacin.
Autenticacin: procedimiento de comprobacin de la identidad de un usuario.
Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticacin de un usuario o en el
acceso a un recurso.
Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos.
Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.
Identificacin: procedimiento de reconocimiento de la identidad de un usuario.
Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
Perfil de usuario: accesos autorizados a un grupo de usuarios.
Documento: todo escrito, grfico, sonido, imagen o cualquier otra clase de informacin que puede ser tratada en un sistema de informacin como una
unidad diferenciada.
Cancelacin: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelacin implicar el bloqueo de los datos, consistente en la
identificacin y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y
Tribunales, para la atencin de las posibles responsabilidades nacidas del
tratamiento y slo durante el plazo de prescripcin de dichas responsabilidades.
Transcurrido ese plazo deber procederse a la supresin de los datos.
Consentimiento del interesado: Toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
Exportador de datos personales: la persona fsica o jurdica, pblica o privada, u rgano administrativo situado en territorio espaol que realice, conforme a lo
dispuesto en el Reglamento, una transferencia de datos de carcter personal a un
pas tercero.
8
Importador de datos personales: la persona fsica o jurdica, pblica o privada, u rgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer pas, ya sea responsable del tratamiento,
encargada del tratamiento o tercero.
Tercero: la persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del
responsable del fichero, del encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la autoridad directa del responsable del
tratamiento o del encargado del tratamiento. Podrn ser tambin terceros los
entes sin personalidad jurdica que acten en el trfico como sujetos
diferenciados.
Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a su identidad fsica,
fisiolgica, psquica, econmica, cultural o social. Una persona fsica no se
considerar identificable si dicha identificacin requiere plazos o actividades
desproporcionados.
Procedimiento de disociacin: Todo tratamiento de datos personales que permita la obtencin de datos disociados.
Dato disociado: aqul que no permite la identificacin de un afectado o interesado
Objeto y mbito de Aplicacin de la LOPD
El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los
datos personales, las libertades pblicas y los derechos fundamentales de las personas
fsicas, y especialmente a su honor e intimidad personal y familiar.
La LOPD es de aplicacin a los datos de carcter personal registrados en soporte fsico,
que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los sectores pblico y privado.
Como hemos visto con anterioridad, el artculo 5.1.f) del Reglamento considera datos de
carcter personales a cualquier informacin numrica, alfabtica, grfica, fotogrfica,
acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o
identificables.
Segn la Directiva Comunitaria 95/46/CE, una persona ser identificable cuando pueda
determinarse su identidad, directa o indirectamente, en particular mediante un nmero
de identificacin o uno o varios elementos caractersticos de su identidad fsica,
fisiolgica, psquica, econmica, cultural o social.
9
Por otra parte, para la aplicacin de la norma, no se requiere nicamente la simple
posibilidad de utilizacin de datos de carcter personal, sino que se precisa que estos
datos estn registrados en un soporte fsico que permita realizar operaciones con ellos.
Es decir, debe existir un soporte fsico organizado o estructurado conforme a
determinados criterios que permita el tratamiento de estos datos, o lo que es lo mismo,
deber existir un fichero.
En resumen, para que sea de aplicacin la normativa sobre proteccin de datos hay que
cumplir las siguientes premisas:
Deben existir datos de carcter personal que permitan identificar a una persona fsica.
De existir un tratamiento de esos datos (almacenamiento, conservacin, etc.), entendiendo como tratamiento de datos a aquellas operaciones y procedimientos
tcnicos de carcter automatizado o no, que permita la recogida, grabacin,
conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las
cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Debe existir una organizacin de los datos en un fichero. Entendiendo como fichero a todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geogrfica.
Respecto al mbito de aplicacin territorial la normativa de proteccin de datos se aplica:
Cuando el tratamiento sea efectuado en territorio espaol en el marco de las actividades de un establecimiento del responsable del tratamiento.
Cuando al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la legislacin espaola en aplicacin de normas de Derecho
Internacional pblico.
Cuando el responsable del tratamiento no est establecido en territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio
espaol, salvo que tales medios se utilicen nicamente con fines de trnsito. En
este supuesto, el responsable del tratamiento deber designar un representante
establecido en territorio espaol.
Sin embargo, la LOPD no se aplicar en los siguientes casos:
A los ficheros realizados o mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domsticas, es decir, aquellos
tratamientos relativos a las actividades que se inscriben en el marco de la vida
privada o familiar de los particulares.
10
A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas.
A los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada.
No obstante, en este caso, el responsable del fichero comunicar previamente la
existencia del mismo, sus caractersticas generales y su finalidad a la Agencia
Espaola de Proteccin de Datos (AEPD).
A su vez, el Reglamento especifica, dentro de su mbito subjetivo de aplicacin que:
No ser aplicable a los tratamientos de datos referidos a personas jurdicas, ni a los ficheros que se limiten a incorporar los datos de las personas fsicas que
presten sus servicios en aqullas, consistentes nicamente en su nombre y
apellidos, las funciones o puestos desempeados, as como la direccin postal o
electrnica, telfono y nmero de fax profesionales.
No ser aplicable a los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
No ser de aplicacin a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o anlogas, podrn
dirigirse a los responsables de los ficheros o tratamientos que contengan datos
de ste con la finalidad de notificar el bito, aportando acreditacin suficiente del
mismo, y solicitar, cuando hubiere lugar a ello, la cancelacin de los datos.
Por ltimo conviene destacar que existen una serie de ficheros no regulados por la LOPD
y que se regirn por sus disposiciones especficas, y por lo especialmente previsto, en su
caso, por la LOPD, siendo estos:
Los ficheros regulados por la legislacin de rgimen electoral.
Los ficheros que sirvan a fines exclusivamente estadsticos, y estn amparados por la legislacin estatal o autonmica sobre la funcin estadstica pblica.
Los ficheros que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificacin a que se refiere la legislacin del rgimen
del personal de las Fuerzas Armadas.
Los ficheros derivados del Registro Civil y del Registro Central de penados y rebeldes.
Los ficheros procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislacin sobre la materia.
11
La Agencia Espaola de Proteccin de Datos
La Agencia Espaola de Proteccin de Datos (AEPD) se trata de un Ente de Derecho
Pblico con personalidad jurdica propia y plena capacidad pblica y privada que acta
con independencia de las Administraciones Pblicas en el ejercicio de sus funciones.
La AEPD se presenta en la normativa espaola como el rgano de control y fiscalizacin
del cumplimiento de la LOPD, si bien, de cara al exterior se percibe como un rgano
meramente sancionador.
Las funciones de la AEPD son las siguientes (art. 37 LOPD):
Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso,
rectificacin, oposicin y cancelacin de datos.
Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
Dictar, en su caso, y sin perjuicio de las competencias de otros rganos, las instrucciones precisas para adecuar los tratamientos a los principios de la
presente Ley.
Atender las peticiones y reclamaciones formuladas por las personas afectadas.
Proporcionar informacin a las personas acerca de sus derechos en materia de tratamiento de los datos de carcter personal.
Requerir a los responsables y los encargados de los tratamientos, previa audiencia de stos, la adopcin de las medidas necesarias para la adecuacin del
tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la
cesacin de los tratamientos y la cancelacin de los ficheros, cuando no se ajuste
a sus disposiciones.
Ejercer la potestad sancionadora.
Informar, con carcter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
Recabar de los responsables de los ficheros cuanta ayuda e informacin estime necesaria para el desempeo de sus funciones.
Velar por la publicidad de la existencia de los ficheros de datos con carcter personal, a cuyo efecto publicar peridicamente una relacin de dichos ficheros
con la informacin adicional que el Director de la Agencia determine.
Redactar una memoria anual y remitirla al Ministerio de Justicia.
12
Ejercer el control y adoptar las autorizaciones que procedan en relacin con los movimientos internacionales de datos, as como desempear las funciones de
cooperacin internacional en materia de proteccin de datos personales.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Al artculo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y de orden social, le aadi el apartado 2 que
establece que se harn pblicas las resoluciones de la Agencia, una vez hayan sido
notificadas a los interesados. Dicha publicacin se llevar a cabo preferentemente a
travs de medios informticos o telemticos.
La composicin de la AEPD es la siguiente:
El Director: ostenta la representacin de la Agencia y la dirige. Es nombrado de entre los componentes del Consejo Consultivo por un periodo de 4 aos.
El Consejo Consultivo: asesora al Director, emite informes sobre todas las cuestiones que solicite el Director y formula propuestas en materia de proteccin
de datos. Se rene como mnimo semestralmente.
El Registro General de Proteccin de Datos: se encarga de velar por la publicidad de los tratamientos de datos, mediante la inscripcin de los ficheros de titularidad
pblico y privada.
La Inspeccin de datos: se encarga de la comprobacin de la legalidad de los tratamientos.
La Secretara General de la Agencia: apoya en el funcionamiento de la Agencia.
Una herramienta fundamental de la Agencia de Proteccin de Datos es su pgina web:
www.agpd.es que permite entre otras cosas:
Consulta de dudas en materia de proteccin de datos.
Conocer los derechos de los afectados.
Consulta del Registro General de la Agencia Espaola de Proteccin de Datos, en el cual se encuentran inscritos los ficheros de las empresas de todo el territorio
espaol.
Conocer las ltimas novedades sobre proteccin de datos, etc.
13
LO QUE HEMOS APRENDIDO
El derecho a la intimidad de las personas fue reconocido por vez primera en la Declaracin Universal de Derechos Humanos de 1944.
La Constitucin espaola garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
En 1999 se dicta la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.
Un dato de carcter personal es cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas
fsicas identificadas o identificables.
Un fichero es todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que
fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente a su honor e intimidad personal y familiar.
La LOPD es de aplicacin a los datos de carcter personal registrados en soporte fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores pblico y privado.
La Agencia Espaola de Proteccin de Datos (AEPD) se trata de un Ente de Derecho Pblico con personalidad jurdica propia y plena capacidad pblica y
privada que acta con independencia de las Administraciones Pblicas en el
ejercicio de sus funciones.
La pgina web de la Agencia de Proteccin de Datos es www.agpd.es.
14
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
..................................................................................................................................... .....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
15
TEST
Marcar la respuesta correcta.
1. En qu ao se redact la primera ley sobre datos de carcter personal en Espaa?
En 1978 En 1992. En 1999.
2. La LOPD entiende por dato de carcter personal:
Toda manifestacin de una persona que permita de alguna forma conocer su carcter.
Toda manifestacin intelectual que permita conocer la personalidad de alguien. Cualquier informacin concerniente a personas fsicas identificadas o
identificables.
3. Define la LOPD (Ley Orgnica de proteccin de datos) el trmino tratamiento como:
Todo tipo de operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin,
bloqueo y cancelacin.
Las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Ambas respuestas son correctas.
4. Quin es el responsable del fichero?
La persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o con otros, trate datos personales.
Persona o personas a las que se les asigna formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables.
5. A quin o qu protege la Ley Orgnica de Proteccin de Datos Personales?
Los datos de carcter personal registrados en soporte fsico, informatizado o no, que sean susceptibles de tratamiento.
nicamente los datos de carcter personal registrados en soporte informtico. A los responsables del tratamiento.
6. La representacin de la Agencia Espaola de Proteccin de Datos le corresponde:
Al Director. Al Secretario General. Al Consejo Consultivo.
16
Ley de Proteccin de Datos
tema 2
Deber de Notificacin de Ficheros
Introduccin Creacin y Notificacin de Ficheros El Responsable del Fichero El Encargado del Tratamiento Tipos de Ficheros Los Cdigos Tipo Los Ficheros de Titularidad Pblica
Objetivos:
Conocer cmo se realiza la notificacin para la inscripcin de la creacin, modificacin o supresin de ficheros.
Familiarizarse con las figuras del responsable del fichero y del encargado del tratamiento.
Conocer las particularidades de la creacin de los ficheros de titularidad pblica.
17
18
Introduccin
Se entiende por fichero todo conjunto organizado de datos de carcter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Los ficheros pueden clasificarse de dos formas:
1. Atendiendo a su titularidad:
Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
econmicos, as como los ficheros de los que sean responsables las
corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho pblico que a las
mismas atribuye su normativa especfica. (Ej. datos de proveedores, personal,
etc.).
Ficheros de titularidad pblica: los ficheros de los que sean responsables los rganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonmicas con funciones anlogas a los mismos, las
Administraciones pblicas territoriales, as como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho pblico
siempre que su finalidad sea el ejercicio de potestades de derecho pblico.
2. Atendiendo al soporte:
Ficheros no automatizados: todo conjunto de datos de carcter personal organizado de forma no automatizada y estructurado conforme a criterios
especficos relativos a personas fsicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aqul centralizado,
descentralizado o repartido de forma funcional o geogrfica.
Ficheros automatizados: todo conjunto de datos de carcter personal organizado de forma automatizado mediante cualquier soporte informtico o electrnico que
permita un acceso sin esfuerzo desproporcionado.
Creacin y Notificacin de Ficheros
Estn obligados a notificar la creacin, modificacin o supresin de ficheros para su
inscripcin en el Registro General de Proteccin de Datos, de conformidad con lo
establecido en la Ley Orgnica de Proteccin de Datos, aquellas personas fsicas o
jurdicas, de naturaleza pblica o privada, u rgano administrativo, que procedan a la
creacin de ficheros que contengan datos de carcter personal.
Indica el Reglamento que esta obligacin se cumplimentar a travs de un medio que
permita acreditar su cumplimiento.
19
El soporte en el que conste el cumplimiento del deber de informar ser conservado por el
responsable del fichero o tratamiento. Estos soportes se podrn almacenar por medios
informticos o telemticos; en todo caso, si su soporte fuera papel se permite su
escaneado siempre que quede garantizado que con dicha automatizacin no se altera el
soporte original.
Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter
personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. El
Registro General de Proteccin de Datos inscribir el fichero si la notificacin se ajusta a
los requisitos exigibles. La inscripcin del fichero es previa a su creacin.
Todos los ficheros automatizados preexistentes deberan haberse notificado a la Agencia
Espaola de Proteccin de Datos antes del 14 de enero de 2003.
Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor
de la Ley Orgnica de Proteccin de Datos (14 de enero de 2000) debern ser notificados
para su inscripcin en el Registro. Para los ficheros manuales que ya existieran antes de
la entrada en vigor de la LOPD, no se estableci como necesaria la notificacin para su
inscripcin hasta el 24 de octubre de 2007, de conformidad con lo establecido en el
ltimo prrafo de la Disposicin Adicional Primera.
En el caso de no notificarse la existencia de un fichero podra incurrirse en falta leve o
grave, como se establece en el artculo 44 de la Ley Orgnica 15/1999 de Proteccin de
Datos, quedando sujeto al rgimen sancionador previsto en esta misma Ley.
Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos
personales, se deber notificar la existencia del fichero para su inscripcin en el Registro.
Cualquier modificacin posterior en el contenido de la inscripcin de un fichero en el
Registro deber comunicarse a la Agencia Espaola de Proteccin de Datos mediante la
solicitud de modificacin o de supresin de la inscripcin, segn corresponda.
El Registro General de Proteccin de Datos inscribe el fichero si la notificacin se ajusta a
los requisitos exigibles. En caso contrario podr pedir que se completen los datos que
falten o se proceda a su subsanacin.
Una vez inscrito el fichero en el Registro, la Agencia Espaola de Proteccin de Datos
notificar la resolucin de inscripcin del Director en la que se comunicar el cdigo de
inscripcin asignado a la direccin que a tales efectos se ha hecho constar en el
apartado correspondiente de la Hoja de solicitud.
Igualmente, cuando los interesados as lo manifiesten expresamente en el formulario de
notificacin, podrn recibir por medios telemticos la notificacin de la resolucin de
inscripcin, la comunicacin de subsanar su solicitud, o cualquier otro escrito
relacionado con la solicitud de inscripcin de ficheros en el Registro, para lo que deber
disponer de una direccin electrnica a efectos de notificaciones del Servicio de
Notificaciones Telemticas Seguras.
20
A travs de este Servicio:
https://www.notificaciones.administracion.es/portalciudadano/inicio.asp), el Ministerio
de las Administraciones Pblicas en colaboracin con Correos pone a disposicin de
cualquier persona fsica o jurdica que lo solicite la posibilidad de recibir de forma
alternativa por va telemtica las notificaciones que actualmente reciben en soporte
papel. La suscripcin a este servicio es voluntaria y tiene carcter gratuito.
En todo caso, la inscripcin de un fichero en el Registro General de Proteccin de Datos,
nicamente acredita que se ha cumplido con la obligacin de notificacin dispuesta en la
LO 15/1999, sin que de esta inscripcin se pueda desprender el cumplimiento por parte
del responsable del fichero del resto de las obligaciones previstas en la Ley y dems
disposiciones reglamentarias.
La existencia de un fichero se notifica al Registro mediante formulario electrnico de
Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos (NOTA), que
puede obtenerse de forma gratuita en la pgina Web de la Agencia.
Se puede optar por utilizar una de las notificaciones tipo precumplimentadas o bien por
utilizar el formulario electrnico vaco para ser cumplimentado de forma completa.
Continuarn siendo vlidas las notificaciones cumplimentadas con arreglo al programa
de generacin de notificaciones de ficheros de titularidad pblica y privada aprobado
mediante resolucin de la Agencia Espaola de Proteccin de Datos 30 de mayo de
2000.
Las notificaciones efectuadas mediante los formularios de notificacin en soporte papel
de ficheros de titularidad pblica y privada, aprobados mediante la resolucin
mencionada, continuaban siendo vlidas siempre que las mismas tuvieran entrada en la
Agencia Espaola de Proteccin de Datos con anterioridad al 1 de diciembre de 2006.
El Registro General de Proteccin de Datos adecuar de oficio las notificaciones
efectuadas mediante los modelos establecidos en la resolucin de la Agencia Espaola
de Proteccin de Datos 30 de mayo de 2000.
La notificacin de un fichero se puede presentar mediante el formulario NOTA:
A travs de Internet con certificado de firma electrnica reconocido.
A travs de Internet sin certificado de firma electrnica reconocido.
Mediante soporte electrnico (disquete, CDROM).
En soporte papel impreso con cdigo de barras bidimensional PDF 417.
21
Para modificar la inscripcin de un fichero, previamente inscrito en el Registro, deber
cumplimentarse el formulario electrnico, la hoja de solicitud, el apartado de
Modificacin de la inscripcin del fichero, indicando el cdigo de inscripcin asignado
por la Agencia y sealando aquellos apartados que se modifican respecto a la
notificacin anterior, segn las instrucciones que acompaan al modelo.
Los apartados sealados que se pretendan modificar deben cumplimentarse por
completo, indicando todos los datos y no slo los modificados respecto a notificaciones
previas, ya que esta notificacin es sustitutiva a efectos de inscripcin en el Registro. As
mismo, nicamente se cumplimentarn los apartados que hayan sido sealados para su
modificacin en el apartado Modificacin de la inscripcin del fichero.
En el caso de que se notifique la supresin de un fichero, se deber cumplimentar, del
modelo de notificacin, la hoja de solicitud y el apartado de Supresin, indicando el
cdigo de inscripcin del fichero que fue asignado por la Agencia. Tambin deber
indicar el motivo de la supresin en el texto correspondiente, y el destino de la
informacin en el siguiente campo. Si se va a proceder a destruir el fichero, se debern
indicar las previsiones adoptadas para ello.
La notificacin de un nuevo fichero o tratamiento nunca invalida o sustituye a una
inscripcin previa. Si no se notifica una solicitud de supresin de la inscripcin anterior
se producira un duplicado de la inscripcin.
El formulario electrnico ha de cumplimentarse conforme a las instrucciones que lo
acompaan, no pudiendo hacer constar los datos que se solicitan en un lugar distinto
del previsto en el modelo.
No obstante, si el responsable desea hacer alguna aclaracin adicional a la declaracin,
puede acompaar junto al modelo de notificacin, correctamente cumplimentado, un
escrito en el que se incluyan las aclaraciones que considere necesarias a su declaracin.
El formulario electrnico no permite suprimir apartados no obligatorios que fueron
declarados en anteriores inscripciones o modificaciones del fichero en el Registro
General de Proteccin de Datos. Para realizar este tipo de modificacin, deber enviar a
la Agencia Espaola de Proteccin de Datos un escrito firmado por persona con
representacin suficiente del responsable del fichero indicando la subsanacin
correspondiente.
Para notificar un cambio de responsable se deber indicar en el apartado Modificacin
de la inscripcin de los datos correspondientes al responsable del fichero (Razn social y
CIF) que figuran en la inscripcin del fichero.
Los datos correspondientes a la nueva denominacin del responsable del fichero (Razn
social y NIF o CIF) se introducirn en el apartado 1. Responsable del fichero. Adems de
la notificacin se deber adjuntar la documentacin que justifique el cambio del titular.
22
No obstante, dispone el artculo 19 del Reglamento que, en los supuestos en los que se
produzca una modificacin en el responsable del fichero como consecuencia de una
fusin, escisin, cesin global de activos y pasivos, aportacin o transmisin de negocio
o rama de actividad, o cualquier operacin que implique una reestructuracin societaria
que contemple la normativa mercantil se ha de entender que no se ha producido cesin
de datos.
Cuando se notifique la supresin de la inscripcin de un fichero por responsable distinto
del que figura inscrito en el RGPD (con la salvedad que acabamos de ver), deber
acompaarse documentacin que justifique el cambio de titular.
Si el cambio se debe a un error en la consignacin de los datos del responsable durante
la inscripcin inicial del fichero, ser suficiente con enviar un escrito firmado por persona
con representacin suficiente del responsable del fichero indicando la subsanacin
correspondiente.
Si se trata de notificar una supresin de la inscripcin por responsable distinto del que
figura inscrito en el Registro General de Proteccin de Datos, se deber indicar en el
apartado de Supresin de la inscripcin los datos correspondientes al responsable del
fichero (Razn social y CIF) que figuran en la inscripcin del fichero.
El Responsable del Fichero
Se entiende por responsable del fichero o tratamiento aquella persona fsica o jurdica,
de naturaleza pblica o privada, u rgano administrativo, que slo o conjuntamente con
otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
materialmente.
Tambin pueden ser responsables del fichero o del tratamiento los entes sin
personalidad jurdica que acten en el trfico como sujetos diferenciados.
A modo de ejemplo podemos encontrarnos un amplio espectro de responsables del
fichero que tratan con datos de carcter personal:
Administraciones Pblicas (Ayuntamientos, Comunidades Autnomas, etc.): son responsables de numerosos ficheros de distinta ndole.
Empresas y sociedades.
Autnomos: ficheros de proveedores, clientes, etc.
Entes sin personalidad jurdica, tales como comunidades de propietarios o UTEs (Unin temporal de empresas).
23
El Encargado del Tratamiento
Como ya se dijo al hablar de las definiciones que establece la LOPD, dispone en su
artculo 3 g) que se entender por encargado del tratamiento: La persona fsica o
jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento.
Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.
As, se establecen y regulan las relaciones de ste con el responsable del fichero: el
acceso a los datos por parte del encargado del tratamiento, cuando suponga una
prestacin de servicios al responsable, no se considera comunicacin de datos.
Esta realizacin de tratamiento por cuanta de terceros deber estar regulada en un
contrato que deber constar por escrito o en alguna otra forma que permita acreditar su
celebracin y contenido, establecindose expresamente que el encargado del
tratamiento tratar los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho
contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas.
No se considera encargado del tratamiento a la persona fsica que tenga acceso a los
datos personales en su condicin de empleado dentro de la relacin laboral que
mantiene con el responsable del fichero.
En aquellos supuestos en los que el responsable del tratamiento encargue la prestacin
de un servicio que comporte un tratamiento de datos personales debe velar por que el
encargado de ste rena las garantas que exige el Reglamento.
En cuanto a su responsabilidad, toda utilizacin del tratamiento para finalidad diferente
de aqulla para la que fue concebido, la comunicacin o uso de datos incumpliendo las
estipulaciones del contrato al que alude el artculo 12 de la LOPD, ser as mismo
responsabilidad del encargado del tratamiento. Esta responsabilidad no le ser
achacable cuando, previa indicacin expresa del responsable, comunique los datos a un
tercero designado por ste, al que se hubiese encargado la prestacin del servicio tal y
como seala el Reglamento.
Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar
con un tercero la prestacin de tratamiento alguno encomendado por el responsable del
tratamiento; para poder realizar esta subcontrata necesita de autorizacin para ello, de
forma que cuando se cuente con ella, la subcontratacin se har siempre en nombre y
por cuenta del responsable del tratamiento.
A pesar de lo anterior, el artculo 21.2 del Reglamento nos indica qu subcontrataciones
pueden realizarse sin que sea necesaria la autorizacin; sern las que cumplan con estos
requisitos:
24
Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratacin y, si ello fuera posible, la empresa con la que se vaya a
subcontratar. Cuando no se identificase en el contrato la empresa con la que se
vaya a subcontratar, ser preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratacin.
Que el tratamiento de datos de carcter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los trminos previstos en el artculo anterior. En este caso, el
subcontratista ser considerado encargado del tratamiento, sindole de
aplicacin lo previsto en el artculo 20.3 de este reglamento.
Las previsiones anteriores sern de aplicacin cuando durante la prestacin del servicio
fuere necesario subcontratar una parte de ste, sin que la misma haya sido prevista en
el contrato.
Al finalizar la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al responsable del tratamiento o al encargado, al igual que los
soportes o documentos en los que consten datos de carcter personal objeto del
tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no sern
destruidos si alguna norma prev su conservacin; en este caso, sern devueltos
garantizndose por el responsable del fichero su conservacin.
Es obligacin del encargado del tratamiento conservar, debidamente bloqueados, los
datos en tanto que pudieran derivarse responsabilidades de su relacin con el
responsable del tratamiento.
A efectos de inscripcin, el encargado del tratamiento (artculo 12 LOPD) no deber
figurar escrito en el Registro General del Proteccin de Datos como entidad responsable
de los ficheros o tratamientos.
Cuando existan varios encargados, nicamente se consignarn los datos de uno de
ellos. Se recomienda que se haga constar la denominacin del encargado que realice el
tratamiento de datos que pueda implicar una mayor duracin de tiempo, o riesgos
mayores segn el tipo y la cantidad de riesgos tratados.
El resto de los encargados del tratamiento se podr comunicar mediante un escrito
adjunto a la notificacin para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos ms de un encargado en el apartado 4
Encargado del tratamiento se podr notificar tantas inscripciones como encargados
diferentes existan.
Estas notificaciones se diferenciaran en los datos consignados en el apartado 4 y en su
caso, en los apartados 5. Identificacin y finalidad del fichero, 7. Tipos de datos,
estructura y organizacin del fichero.
25
Para recibir de forma telemtica la notificacin de inscripcin de ficheros en el Registro
se necesita previamente y por una sola vez:
Disponer de una Direccin Electrnica nica del Servicios de Notificaciones Telemticas Seguras (MAP-Correos).
Despus, suscribirse al procedimiento de la Agencia Espaola de Proteccin de Datos. Para ello, en el apartado Suscripcin a Procedimientos de la Web del
Servicio de Notificaciones Telemticas Seguras se selecciona AEPD como
organismo emisor, la categora Todas y la casilla actualizar.
Adems, en cada notificacin de ficheros a travs del formulario
Es preciso sealar expresamente DEU-SNTS (Direccin Electrnica nica del Servicio de
Notificaciones Telemticas Seguras) como medio de notificacin en la casilla Medio de
notificacin de la hoja de solicitud del formulario de inscripcin
Esta opcin slo estar disponible para usuarios que hayan realizado su notificacin de
ficheros.
A travs de Internet con certificado de firma electrnica reconocido.
Tipos de Ficheros
La Agencia Espaola de Proteccin de Datos clasifica los ficheros segn su finalidad y
usos previstos en los siguientes grupos y subgrupos:
Gestin contable, fiscal y administrativa:
o Gestin econmica y contable.
o Gestin fiscal.
o Gestin administrativa.
o Gestin de facturacin.
o Gestin de clientes.
o Gestin de proveedores.
o Gestin de cobros y pagos.
o Administracin de fincas.
o Consultoras, auditoras, asesoras y servicios relacionados.
o Histrico de relaciones comerciales.
26
Recursos humanos:
o Gestin de personal.
o Gestin de nminas.
o Formacin de personal.
o Prestaciones sociales.
o Seleccin de personal.
o Gestin de trabajo temporal.
o Promocin y gestin de empleo.
o Prevencin de riesgos laborales.
o Control horario.
Servicios econmicos-financieros y seguros:
o Cuenta de crdito.
o Cuenta de depsito.
o Gestin de patrimonios.
o Gestin de fondos de pensiones y similares.
o Gestin de tarjetas de crdito y similares.
o Registro de acciones y obligaciones.
o Otros servicios financieros.
o Cumplimiento/incumplimiento de obligaciones dinerarias.
o Prestacin de servicios de solvencia patrimonial y crdito.
o Seguros de vida y salud.
o Otro tipo de seguros.
Publicidad y prospeccin:
o Publicidad.
o Venta a distancia.
o Encuestas de opinin.
o Anlisis de perfiles.
o Prospeccin comercial.
27
o Segmentacin de mercados.
o Sistemas de ayuda a la toma de decisiones.
o Recopilacin de direcciones.
o Servicios de telecomunicaciones:
o Prestacin de servicios de telecomunicaciones.
o Guas/repertorios de servicios de telecomunicaciones.
o Comercio electrnico.
o Prestacin de servicios de certificacin.
Actividades asociativas, culturales, recreativas, deportivas y sociales:
o Gestin de actividades culturales.
o Gestin de clubes o asociaciones deportivas, culturales, profesionales y similares.
o Gestin de asociados o miembros de partidos polticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin nimo de lucro.
o Actividades asociativas diversas.
o Asistencia social.
o Gestin de medios de comunicacin social.
Educacin:
o Enseanza infantil primaria.
o Enseanza infantil secundaria.
o Enseanza universitaria.
o Educacin especial.
o Otras enseanzas.
Sanidad:
o Gestin y control sanitario.
o Control clnico.
o Investigacin epidemiolgica y actividades anlogas.
Seguridad:
28
o Investigaciones privadas a personas.
o Seguridad y control acceso a edificios.
o Otras actividades de seguridad.
Finalidades varias:
o Fidelizacin de clientes.
o Reservas y emisin de billetes.
o Fines histricos, cientficos o estadsticos.
o Otras finalidades.
Los Cdigos Tipo
El artculo 32 de la LOPD nos dice que mediante acuerdos sectoriales, convenios
administrativos o decisiones de empresa, los responsables de tratamientos de titularidad
pblica y privada, as como las organizaciones en que se agrupen.
Se podrn formular cdigos tipo que establezcan las condiciones de organizacin,
rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del
entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de
la informacin personal, as como las garantas, en su mbito, para el ejercicio de los
derechos de las personas con pleno respeto a los principios y disposiciones de la
presente Ley y sus normas de desarrollo.
Asimismo nos dice que los citados cdigos podrn contener o no reglas operacionales
detalladas de cada sistema particular y estndares tcnicos de aplicacin.
Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica
profesional y sern vinculantes para quienes se adhieran a los mismos, debiendo ser
depositados o inscritos en el Registro General de Proteccin de Datos y, cuando
corresponda, en los creados a estos efectos por las Comunidades Autnomas, de
acuerdo con el artculo 41 de la LOPD.
El Registro General de Proteccin de Datos podr denegar la inscripcin cuando
considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia,
debiendo, en este caso, el Director de la Agencia Espaola de Proteccin de Datos
requerir a los solicitantes para que efecten las correcciones oportunas.
Los cdigos tipo contendrn reglas o estndares especficos que permitan armonizar los
tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos
de los afectados y favorecer el cumplimiento de lo dispuesto en la LOPD y en el
Reglamento que la desarrolla.
El cdigo tipo deber incorporar como anexo una relacin de adheridos, que deber
mantenerse actualizada, a disposicin de la Agencia Espaola de Proteccin de Datos.
29
C o n t e n i d o d e l o s C d i g o s T i p o
Los cdigos tipo debern estar redactados en trminos claros y accesibles, deben
respetar la normativa vigente e incluirn, como mnimo, con suficiente grado de
precisin:
La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el cdigo se refiere y los tratamientos sometidos al mismo.
Las previsiones especficas para la aplicacin de los principios de proteccin de datos.
El establecimiento de estndares homogneos para el cumplimiento por los adheridos al cdigo de las obligaciones establecidas en la Ley Orgnica 15/1999,
de 13 de diciembre.
El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin y oposicin.
La determinacin de las cesiones y transferencias internacionales de datos que, en su caso, se prevean, con indicacin de las garantas que deban adoptarse.
Las acciones formativas en materia de proteccin de datos dirigidas a quienes los traten, especialmente en cuanto a su relacin con los afectados.
Los mecanismos de supervisin a travs de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el cdigo tipo.
En particular, debern contenerse en el cdigo:
Clusulas tipo para la obtencin del consentimiento de los afectados al tratamiento o cesin de sus datos.
Clusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.
Modelos para el ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin y oposicin.
Modelos de clusulas para el cumplimiento de los requisitos formales exigibles para la contratacin de un encargado del tratamiento, en su caso.
C o m p r o m i s o s A d i c i o n a l e s
Los cdigos tipo podrn incluir cualquier otro compromiso adicional que asuman los
adheridos para un mejor cumplimiento de la legislacin vigente en materia de proteccin
de datos.
30
Adems podrn contener cualquier otro compromiso que puedan establecer las
entidades promotoras y, en particular, sobre:
La adopcin de medidas de seguridad adicionales a las exigidas por la Ley Orgnica 15/1999, de 13 de diciembre, y el Reglamento.
La identificacin de las categoras de cesionarios o importadores de los datos.
Las medidas concretas adoptadas en materia de proteccin de los menores o de determinados colectivos de afectados.
El establecimiento de un sello de calidad que identifique a los adheridos al cdigo.
G a r a n t a s d e l C u m p l i m i e n t o
Los cdigos tipo debern incluir procedimientos de supervisin independientes para
garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer
un rgimen sancionador adecuado, eficaz y disuasorio. Este procedimiento deber
garantizar:
La independencia e imparcialidad del rgano responsable de la supervisin.
La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de quejas y reclamaciones ante dicho rgano por los eventuales incumplimientos del cdigo
tipo.
El principio de contradiccin.
Una graduacin de sanciones que permita ajustarlas a la gravedad del incumplimiento. Esas sanciones debern ser disuasorias y podrn implicar la
suspensin de la adhesin al cdigo o la expulsin de la entidad adherida.
Asimismo, podr establecerse, en su caso, su publicidad.
La notificacin al afectado de la decisin adoptada.
Asimismo, los cdigos tipo podrn contemplar procedimientos para la determinacin de
medidas reparadoras en caso de haberse causado un perjuicio a los afectados como
consecuencia del incumplimiento del cdigo tipo.
Los Ficheros de Titularidad Pblica
Los ficheros de titularidad pblica estn regulados en el Captulo I del Ttulo IV de la
LOPD. A diferencia de los de titularidad privada, se crean, modifican o suprimen por
medio de disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.
31
Los datos de carcter personal recogidos o elaborados por las Administraciones pblicas
para el desempeo de sus atribuciones no sern comunicados a otras Administraciones
pblicas para el ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,
rectificacin y cancelacin contemplados en el artculo 23 de la LOPD:
Los responsables de los ficheros que contengan datos de carcter personal, incluidos los datos sobre ideologa, religin, ideas polticas, sexo, raza y vida
sexual, recogidos con fines policiales por las Fuerzas y Cuerpos de Seguridad,
podrn denegar el acceso, la rectificacin o cancelacin en funcin de los peligros
que pudieran derivarse para la defensa del Estado o la seguridad pblica, la
proteccin de los derechos y libertades de terceros o las necesidades de las
investigaciones que se estn realizando.
Los responsables de los ficheros de la Hacienda Pblica podrn, igualmente, denegar el ejercicio de estos derechos cuando el mismo obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento de las
obligaciones tributarias y, en todo caso, cuando el afectado est siendo objeto de
actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos
mencionados podr ponerlo en conocimiento del Director de la Agencia Espaola de
Proteccin de Datos o del organismo competente de cada Comunidad Autnoma en el
caso de ficheros mantenidos por Cuerpos de Polica propios de stas, o por las
Administraciones tributarias autonmicas, quienes debern asegurarse de la
procedencia o improcedencia de la denegacin.
32
LO QUE HEMOS APRENDIDO
Se entiende por fichero todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera
que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Los ficheros se clasifican atendiendo a su titularidad en ficheros de titularidad pblica y de titularidad privada.
Los ficheros se clasifican atendiendo al soporte en ficheros automatizados y no automatizados.
Estn obligados a notificar la creacin, modificacin o supresin de ficheros para su inscripcin en el Registro General de Proteccin de Datos, aquellas personas
fsicas o jurdicas, de naturaleza pblica o privada, u rgano administrativo, que
procedan a la creacin de ficheros que contengan datos de carcter personal.
La no notificacin de la existencia de un fichero puede incurrir en falta leve o grave, con sujecin al rgimen sancionador establecido en la Ley Orgnica de
Proteccin de Datos.
Existe la obligacin de comunicar a la Agencia Espaola de Proteccin de Datos cualquier modificacin en el contenido de la inscripcin mediante solicitud de
modificacin o supresin de la inscripcin.
Si la notificacin no se ajusta a los requisitos exigibles, no se producir la inscripcin y el Registro General de Proteccin de Datos pedir los datos que
falten o la subsanacin de lo que sea necesario.
La existencia de un fichero se notifica al Registro mediante formulario electrnico de Notificaciones Telemticas a la Agencia Espaola de Proteccin de Datos
(NOTA), que puede obtenerse de forma gratuita en la pgina Web de la Agencia.
Se entiende por responsable del fichero o tratamiento aquella persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que slo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase materialmente.
El encargado del tratamiento es la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del fichero.
Los cdigos tipo tendrn el carcter de cdigos deontolgicos o de buena prctica profesional y sern vinculantes para quienes se adhieran a los mismos.
Los cdigos tipo debern estar redactados en trminos claros y accesibles.
33
Los ficheros de titularidad pblica, se crean, modifican o suprimen por medio de disposicin general que se publica en el Boletn Oficial del Estado o en el diario
oficial correspondiente.
Los datos de carcter personal recogidos o elaborados por las Administraciones pblicas para el desempeo de sus atribuciones no sern comunicados a otras
Administraciones pblicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas.
34
ANOTACIONES
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
..................................................................................................................................... .....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
35
TEST
Marcar la respuesta correcta.
1. Qu tipos de cambios en un fichero deben notificarse a la Agencia Espaola de
Proteccin de Datos?
La finalidad del fichero, el responsable de ste y la direccin de su ubicacin. La finalidad del fichero, el responsable de ste, la direccin de su ubicacin y
cualquier modificacin posterior en el contenido de la inscripcin del fichero en el
Registro General de Proteccin de Datos.
Ninguna respuesta es correcta.
2. La notificacin de la creacin de un fichero de datos personales ha de ser:
Simultnea a la creacin. Posterior, pero sin superar los 30 das despus de haberlo creado. Siempre habr de notificarse con carcter previo a su creacin.
3. Es un deber notificar:
La creacin, modificacin o supresin de ficheros con datos de carcter personal para su inscripcin en el Registro General de Proteccin de Datos.
No hay obligacin de notificar la supresin de ficheros, al quedar sin efectividad. La Ley slo habla de notificar la creacin de ficheros, pero no dice nada de la
modificacin ni de la supresin.
4. Los ficheros manuales (no automatizados) creados despus de la entrada en vigor de
la Ley Orgnica de Proteccin de Datos:
Debern notificarse obligatoriamente. Es potestativa su notificacin. Slo habr obligacin de notificarlos si contienen datos de carcter personal
referentes a personalidades polticas.
5. Qu ocurre si la notificacin realizada no se ajusta a los requisitos exigibles?
Que se producir la inscripcin, pero habr que subsanarla en el plazo de dos meses.
Que no se producir la inscripcin y el Registro pedir los datos que falten o la subsanacin de lo que sea necesario.
Que se producir la inscripcin si no hay queja o reclamacin por parte de las personas cuyos datos personales consten en el fichero.
6. La notificacin de la creacin de ficheros de titularidad pblica se realizar:
Mediante la utilizacin de los formularios Mediante disposicin general que se publica en el Boletn Oficial del Estado o en
el diario oficial correspondiente.
Ambas respuestas son correctas.
36
Ley de Proteccin de Datos
tema 3
Principios de la Ley Orgnica de Proteccin de Datos
El Principio de Calidad de los Datos El Derecho a la Informacin Durante la Recogida de Datos El Consentimiento del Afectado Datos Especialmente Protegidos Datos Relativos a la Salud Seguridad de los Datos Deber de Secreto Movimiento de Datos
Objetivos:
Conocer cules son los pilares bsicos de la proteccin de datos.
Familiarizarse con la tipologa de datos y en particular con aquellos especialmente protegidos.
Conocer los aspectos bsicos a tener en cuenta en el movimiento de datos.
37
38
El Principio de Calidad de los Datos
El artculo 3 de la LOPD define dato de carcter personal como cualquier informacin
concerniente a personas fsicas identificadas o identificables, entendindose, con
carcter general por dato personal cualquier informacin sobre una persona concreta
que permita conocer alguna de sus caractersticas personales.
Con el Principio de Calidad de los Datos lo que se trata de evitar es que se proceda a una
recopilacin de datos masiva que se aparte de la necesidad y finalidad para la que
dichos datos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y
a la finalidad del tratamiento se fija la condicin de que una vez desaparezca la
necesidad de su tratamiento y por tanto la necesidad de que permanezcan almacenados
dichos datos, debern ser cancelados directamente por el responsable del fichero.
Para cumplir con el principio de calidad el artculo 4 de la LOPD y el artculo 8 del
Reglamento nos dice que los datos de carcter personal slo se podrn recoger para su
tratamiento cuando sean adecuados, pertinentes y no excesivos en relacin con el
mbito y las finalidades determinadas, explcitas y legtimas para las que se hayan
obtenido.
El tratamiento de los datos de carcter personal no podr usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos, salvo que se
trate con fines histricos, estadsticos o cientficos.
Estos datos de carcter personal, deben de cumplir, adems de lo anteriormente
expuesto, con los siguientes requisitos:
Los datos de carcter personal deben ser exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Si los datos fueran
recogidos directamente del afectado, se considerarn exactos los facilitados por
ste.
Si los datos de carcter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados en el plazo de
diez das desde que se tuviese conocimiento de la inexactitud, salvo que la
legislacin aplicable al fichero establezca un procedimiento o un plazo especfico
para ello.
Cuando los datos a rectificar hubieran sido comunicados previamente, el responsable del fichero o tratamiento deber notificar al cesionario, en el plazo de
diez das, la rectificacin o cancelacin efectuada, siempre que el cesionario sea
conocido. En el plazo de diez das desde la recepcin de la notificacin, el
cesionario que mantuviera el tratamiento de los datos, deber proceder a la
rectificacin y cancelacin notificada.
Esta actualizacin de los datos de carcter personal no requerir comunicacin
alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los
interesados reconocidos en la LOPD.
39
Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o
registrados.
Tampoco podrn ser conservados en forma que permita la identificacin del
interesado durante un perodo superior al necesario para los fines en base a los
cuales hubieran sido recabados o registrados. Si bien, estos datos, podrn
conservarse durante el tiempo en que pueda exigirse algn tipo de
responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin de
un contrato o de la aplicacin de medidas precontractuales solicitadas por el
interesado.
Una vez cumplido este perodo, los datos slo podrn ser conservados previa
disociacin de los mismos, sin perjuicio de la obligacin de bloqueo prevista en la
LOPD y en el Reglamento que la desarrolla.
Los datos de carcter personal sern tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelacin.
Por ltimo recalcar que la LOPD y el Reglamento prohben expresamente la recogida de
datos por medios fraudulentos, desleales o ilcitos.
T r a t a m i e n t o c o n F i n e s E s t a d s t i c o s , H i s t r i c o s y C i e n t f i c o s
El artculo 9 del Reglamento dispone la compatibilidad del tratamiento de los datos para
fines histricos, estadsticos o cientficos.
Para determinar que este es el fin del tratamiento habr de estarse a las legislaciones
especficas, y en concreto a los dispuesto en estas normas: Ley 12/1989, Reguladora de
la funcin estadstica pblica, Ley 16/1985, del Patrimonio Histrico Espaol, y Ley
13/1986, de Fomento y Coordinacin General de la Investigacin cientfica y tcnica, as
como a las correspondientes normas de desarrollo y normativa autonmica concordante.
S u p u e s t o s q u e L e g i t i m a n e l T r a t a m i e n t o o C e s i n d e D a t o s
Por su parte el artculo 10 del Reglamento viene a dar cobertura jurdica al tratamiento o
cesin de datos de carcter personal, estableciendo, como primera cuestin, la
necesidad del consentimiento previo del interesado.
Si bien, se excluyen de dicho consentimiento cuando lo autorice una norma con rango
de ley o una norma comunitaria, siempre que el tratamiento o cesin tengan por objeto
satisfacer un inters legtimo del responsable del tratamiento o del cesionario amparado
en dichas normas, siempre que no prevalezca el inters o los derechos y libertades
fundamentales de los interesados regulados por al LOPD.
40
Del mismo modo, se permitir el tratamiento o cesin cuando ello sea necesario para
que el responsable del fichero cumpla un deber que las citadas normas le impongan.
Por otra parte, nos recuerda el mismo artculo del Reglamento que hay una serie de
datos de carcter personal que podrn ser objeto de tratamiento sin necesidad de
consentimiento del interesado:
Los recogidos en el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias.
Los recabados por el responsable del tratamiento con ocasin de la celebracin de contrato, precontrato, la existencia de relacin negocial, laboral o
administrativa, en la que sea parte el interesado, y sean necesarios para su
mantenimiento o cumplimiento.
Cuando el tratamiento responda a un inters vital para el interesado en los trminos que establece el artculo 7 de la LOPD.
El apartado 4 de artculo 10 del Reglamento se establecen otros supuestos de cesin de
datos sin consentimiento del afectado:
Cuando se responda a la libre y legtima aceptacin de una relacin jurdica en cuyo desarrollo, cumplimiento y control, sea necesaria la comunicacin de datos,
siempre y cuando se limite a la finalidad que la justifique.
Cuando el destinatario de los mismos sea Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones
autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de
Cuentas y se realice en el mbito de las funciones que la ley les atribuya
expresamente.
Cuando la cesin sea entre Administraciones pblicas y siempre que concurra uno de los siguientes supuestos:
o Tenga por objeto el tratamiento de los datos con fines histricos, estadsticos o cientficos.
o Los datos de carcter personal hayan sido recogidos o elaborados por una Administracin pblica con destino a otra.
o La comunicacin se realice para el ejercicio de competencias idnticas o que versen sobre las mismas materias.
41
El Derecho a la Informacin Durante la Recogida de Datos
El derecho de informacin en la recogida de datos est regulado en el artculo 5 de la
LOPD.
El deber de informacin previo al tratamiento de datos de carcter personal es uno de los
derechos bsicos y principales de los ciudadanos contenidos en la LOPD. Por tanto, si se
van a registrar y tratar datos de carcter personal, ser necesario informar a travs del
medio que se utilice para la recogida.
De este modo, el apartado 1 del artculo 5 de la LOPD nos dice que los interesados a los
que se les soliciten datos de carcter personal debern previamente ser informados de
modo expreso, preciso e inequvoco de los siguientes aspectos:
De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de los datos y de los destinatarios de la informacin.
Del carcter obligatorio o facultativo de su respuesta a las preguntas que se les planteen.
De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.
De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no est establecido en el territorio de la Unin
Europea y utilice en el tratamiento de datos medios situados en territorio espaol, deber
designar un representante en Espaa, sin perjuicio de las acciones que pudieren
corresponderle contra el propio responsable del tratamiento.
En el apartado 2 se establece que cuando para la recogida de datos se utilicen
cuestionarios o impresos, debern figurar en ellos en forma claramente legible las
advertencias a que se refiere el apartado anterior.
En el 3 se dispone que no sea necesaria la informacin a que se refieren las letras b, c y
d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los
datos personales que se solicitan o de las circunstancias en que se recaban.
Se refiere el apartado 4 de este artculo al supuesto de que los datos de carcter
personal no hayan sido recabados del interesado. En este caso, ste deber ser
informado de forma expresa, precisa e inequvoca, bien por el responsable del fichero o
bien por su representante, dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiese sido informado con anterioridad del contenido del
tratamiento, de la procedencia de los datos, as como de lo previsto en las letras a, d y e
del apartado 1 del presente artculo.
42
Esto no ser de aplicacin cuando:
La obtencin de dicha informacin haya sido prevista por alguna Ley.
El tratamiento tenga fines histricos, estadsticos o cientficos.
La informacin al interesado se imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Espaola de Proteccin de Datos o del organismo
autonmico equivalente, en consideracin al nmero de interesados, a la
antigedad de los datos y a las posibles medidas compensatorias.
Los datos procedan de fuentes accesibles al pblico y se destinen a la actividad de publicidad o prospeccin comercial, en cuyo caso, en cada comunicacin que
se dirija al interesado se le informar del origen de los datos y de la identidad del
responsable del tratamiento as como de los derechos que le asisten.
El Consentimiento del Afectado
Este otro principio de la LOPD se recoge en el artculo 6 de dicha norma.
Este principio se basa en que, salvo que la Ley disponga lo contrario, para poder tratar
datos de carcter personal se requerir el consentimiento inequvoco del afectado,
pudiendo ser revocado siempre que exista causa justificada para ello, aunque no tendr
efectos retroactivos.
El consentimiento no ser necesario:
Cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones pblicas en el mbito de sus
competencias
Cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
Cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado.
Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que no
se vulneren los derechos y libertades fundamentales del interesado.
Por fuente accesible al pblico debe entenderse, de conformidad con la definicin
contenida en el artculo 3 de la L
![ICTSD CAFTA proteccion de datos Ley Modelo[1] Eli F REV clean 1 CAFTA... · 2020. 7. 23. · Title: Microsoft Word - ICTSD CAFTA proteccion de datos Ley Modelo[1] Eli F REV clean](https://img.pdfslide.net/doc/110x75/60387f2e20eb167fd46c1ffb/ictsd-cafta-proteccion-de-datos-ley-modelo1-eli-f-rev-clean-1-cafta-2020.jpg)
