Preguntas frecuentes sobre la LOPD
1.-¿Quién
está obligado a registrar ficheros en la Agencia
de Protección de Datos (APD)?
2.-¿Qué se
entiende por "datos de carácter personal"?
3.-¿Qué
datos pueden recogerse?
4.-¿Para qué
pueden usarse los datos recogidos?
5.-¿Cuánto
tiempo pueden conservarse los datos recogidos?
6.-¿Qué
procedimientos pueden utilizarse para recoger datos de carácter personal?
7.-¿Qué
es el "derecho de información" en la recogida de datos?
8.-¿Es necesario
el consentimiento del interesado para incorporar sus datos a un fichero?
9.-¿Se puede recoger
y tratar cualquier tipo de datos?
10.-¿Cuándo
hay que registrar los ficheros?
11.-¿Cómo
se puede efectuar el alta de los ficheros?
12.-¿Deben notificarse
las modificaciones de los ficheros?
13.-¿Qué
son las medidas de seguridad?
14.-¿Qué
requisitos de seguridad debe tener un fichero que contenga datos de carácter
personal?
15.-¿Se requiere
la autorización del interesado para que el propietario del fichero
pueda ceder sus datos a un tercero?
16.-¿Qué
es la Agencia de Protección de Datos?
1.-¿Quién está obligado a registrar ficheros en
la Agencia de Protección de Datos (APD)?
Toda empresa, profesional autónomo u organización de cualquier tipo (asociaciones
empresariales, sindicales, deportivas, culturales, benéficas, ONG's, etc.)
que posea ficheros conteniendo datos de carácter personal registrados en
soporte físico, tanto si están mecanizados como si se tratan manualmente.
No será preciso que sean dados de alta los ficheros mantenidos por personas
físicas en el ejercicio de actividades exclusivamente personales o domésticas.
2.-¿Qué se entiende por "datos de carácter personal"?
De acuerdo con el artículo 3. apartado a) de la LOPD, se entiende por datos
de carácter personal "cualquier información concerniente a personas físicas
identificadas o identificables". Por ejemplo: un fichero residente en un
sitio web que recoja exclusivamente direcciones e-mail de sus visitantes,
puede tener algunas del tipo abc32@hotmail.com que, evidentemente, no permiten
identificar a su titular, pero también es seguro que tendrá algunas otras
del tipo carlos_romero@ibm.com que, sin duda, sí que permitiría identificar
a su titular. Por lo tanto, el propietario de ese sitio web está obligado
a registrar este fichero ante la APD.
3.-¿Qué datos pueden recogerse?
Según establece el artículo 4. apartado 1, "los datos de carácter personal
solo se podrán recoger para su tratamiento, así como someterlos a dicho
tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación
con el ámbito y las finalidades determinadas, explícitas y legítimas para
las que se hayan obtenido".
4.-¿Para qué pueden usarse los datos recogidos?
El artículo 4. apartado 2. establece que "los datos de carácter personal
objeto de tratamiento no podrán usarse para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos. No se considerará
incompatible el tratamiento posterior de estos con fines históricos, estadísticos
o científicos."
5.-¿Cuánto tiempo pueden conservarse los datos recogidos?
De acuerdo con el artículo 4. apartado 5., "los datos de carácter personal
serán cancelados cuando hayan dejado de ser necesarios o pertinentes para
la finalidad para la cual hubieran sido recabados o registrados. No serán
conservados en forma que permita la identificación del interesado durante
un período superior al necesario para los fines en base a los cuales hubieran
sido recabados o registrados."
6.-¿Qué procedimientos pueden utilizarse para recoger datos de carácter
personal?
Dice el artículo 4. apartado 7. que "se prohibe la recogida de datos por
medios fraudulentos, desleales o ilícitos".
7.-¿Qué es el "derecho de información" en la recogida de datos?
El artículo 5 establece con todo detalle el derecho que asiste a toda persona
cuyos datos van a ser incorporados a un fichero de ser informada de todos
los aspectos que conciernen al almacenamiento de sus datos personales y
el tratamiento a que van a ser sometidos. Más concretamente, los interesados
deberán ser informados "de modo expreso, preciso e inequívoco" de los siguientes
aspectos: a. De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información. b. Del carácter obligatorio o facultativo de su respuesta
a las preguntas que le sean planteadas. c. De las consecuencias de la obtención
de los datos o de la negativa a suministrarlos. d. De la posibilidad de
ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso,
de su representante.
8.-¿Es necesario el consentimiento del interesado para incorporar sus datos
a un fichero?
En efecto, según establece el artículo 6. apartado 1., "el tratamiento de
los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa".
9.-¿Se puede recoger y tratar cualquier tipo de datos?
Según se establece en el artículo 16. apartado 2. de la Constitución Española,
nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
En consecuencia, el artículo 7. apartado 2. de la LOPD establece que "sólo
con el consentimiento expreso y por escrito del afectado podrán ser objeto
de tratamiento los datos de carácter personal que revelen la ideología,
afiliación sindical, religión y creencias. Asimismo, el artículo 7. apartado
3. dispone que "los datos de carácter personal que hagan referencia al origen
racial, a la salud y a la vida sexual solo podrán ser recabados, tratados
y cedidos cuando, por razones de interés general, así lo disponga una ley
o el afectado consienta expresamente".
10.-¿Cuándo hay que registrar los ficheros?
El articulo 25 de la LOPD permite que se puedan crear ficheros que contengan
datos de carácter personal cuando resulte necesario para el logro de la
actividad u objeto legítimos de la persona, empresa o entidad titular y
se respeten las garantías que la LOPD establece para la protección de las
personas. Según establece la ley en su artículo 26 1), los ficheros se deben
registrar antes de que se empiecen a utilizar, es decir, antes de empezar
a recoger los datos que ha de contener.
11.-¿Cómo se puede efectuar el alta de los ficheros?
Para realizar la declaración de ficheros ante la APD se debe utilizar obligatoriamente
el formulario aprobado y publicado en el BOE número. 153 de 27 de junio
de 2000, en lo que se refiere a ficheros de titularidad privada. La declaración
se puede realizar a través de Internet o mediante soporte magnético, para
lo cual deberá proceder a descargar e instalarse el programa de ayuda para
la generación de notificaciones a través de Internet o en soporte magnético,
que se encuentra disponible en el apartado "Registro General de Protección
de Datos" en el sitio web http://www.agenciaprotecciondatos.org y seguir
las instrucciones que dicho programa le irá facilitando. Si no quiere o
no puede utilizar ninguna de estas dos alternativas, se puede utilizar el
formulario en papel que también existe en la web de la Agencia, en el mismo
apartado "Registro General de Protección de Datos" o fotocopiándolo directamente
del Boletín Oficial del Estado antes mencionado. Tanto el formulario como
la inscripción es gratuita, y puede realizarse por correo postal o entregándola
en mano en el Registro de la Agencia de Protección de Datos, salvo que se
realice a través de Internet. En el supuesto de haber optado por la declaración
a través de Internet, la hoja de solicitud generada por el programa se deberá
enviar al fax 914 483 680 o bien mediante correo ordinario.
12.-¿Deben notificarse las modificaciones de los ficheros?
Sí, la ley establece que hay determinadas modificaciones que deben ser oportunamente
notificadas a la APD.
13.-¿Qué son las medidas de seguridad?
De acuerdo con el artículo 8 del Reglamento aprobado por Real Decreto 994/1999,
de 11 de junio (BOE 25-6-1999) los titulares de ficheros que contengan datos
de carácter personal deberán adoptar las correspondientes medidas de seguridad,
tanto en los propios ficheros como en las organizaciones, para garantizar
un adecuado nivel de privacidad, evitar su destrucción o sustracción y poder
recuperarlo en caso de emergencia. Estas medidas de seguridad serán diferentes
en función de que los datos que contengan los ficheros sean de nivel básico,
medio o alto, si bien es necesario indicar que la APD no ha elaborado ningún
modelo de documento para recoger estas medidas de seguridad. El documento
conteniendo las medidas de seguridad no tiene que ser presentado ante la
APD, aunque es necesario tenerlo disponible por si en algún momento fuera
requerido.
14.-¿Qué requisitos de seguridad debe tener un fichero que contenga datos
de carácter personal?
En el artículo 9. apartado 1. se establece que "el responsable del fichero
y, en su caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen la seguridad
de los datos de carácter personal y eviten su alteración, perdida, tratamiento
o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que están expuestos, ya provengan
de la acción humana o del medio físico o natural." Y en el apartado 2. del
mismo artículo se añade que "no se registrarán datos de carácter personal
en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria
con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
15.-¿Se requiere la autorización del interesado para que el propietario
del fichero pueda ceder sus datos a un tercero?
En efecto, así lo dispone el artículo 11. apartado 1. al decir que "los
datos de carácter personal objeto del tratamiento solo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado.
16.-¿Qué es la Agencia de Protección de Datos?
Es un ente de derecho público, con personalidad jurídica propia y plena
capacidad publica y privada, que actúa con plena independencia de las Administraciones
públicas en el ejercicio de sus funciones. Se rige por lo dispuesto en la
LOPD y en un Estatuto propio aprobado por el Gobierno.
- contacta con nosotros