Obligados a la sumisión de la LOPD
1.Introducción. Obligaciones generales
Con carácter general las primeras obligaciones del responsable
del fichero será la de registrar el fichero en el Registro de la Agencia
Española de Protección de Datos, en el momento en que se efectúe
la primera cesión de datos, deberá informar de ello a los afectados,
indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que
han sido cedidos y el nombre y dirección del cesionario, los derecho
de acceso rectificación y cancelación.
2. Ámbito territorial y personal
La presente Ley Orgánica será de aplicación
a:
| • |
Los datos de carácter personal
registrados en soporte físico, que los haga susceptibles de tratamiento, |
| |
|
| • |
y a toda modalidad de uso posterior
de estos datos por los sectores público y privado. |
Concretamente, se encontrará dentro del ámbito de aplicación
de esta Ley el tratamiento que se de en los siguientes casos:
| a) |
Cuando el tratamiento sea efectuado
en territorio español. |
| |
|
| b) |
Cuando al responsable del tratamiento
no establecido en territorio español, le sea de aplicación
la legislación española en aplicación de normas
de Derecho Internacional público. |
| |
|
| c) |
Cuando el responsable del tratamiento
no esté establecido en territorio de la Unión Europea
y utilice en el tratamiento de datos medios situados en territorio español,
salvo que tales medios se utilicen únicamente con fines de tránsito.
|
| |
|
Se exceptúan de este ámbito de
aplicación
los siguientes ficheros que no obstante, en estos supuestos el responsable del
fichero
comunicará previamente la existencia del mismo, sus características
generales y su finalidad a la Agencia de Protección de Datos.
| a. |
Los mantenidos por personas físicas
en el ejercicio de actividades exclusivamente personales o domésticas. |
| |
|
| b. |
Los sometidos a la normativa sobre protección
de materias clasificadas. |
| |
|
| c. |
Los establecidos para la investigación
del terrorismo y de formas graves de delincuencia organizada. |
Aparte de todo esto, existen
diversos
ficheros cuya regulación se hará por sus disposiciones
específicas y por lo especialmente previsto, en su caso, por la LOPD.
En este sentido es importante citar la Resolución de 27 de febrero de
2001 de la Agencia Española de Protección de Datos respecto al
tratamiento de datos de las personas físicas profesionales y personas
jurídicas:
'... la protección conferida por la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal, no
es aplicable a las personas jurídicas, que no gozarán de ninguna
de las garantías establecidas en la Ley, y por extensión lo mismo
ocurrirá con los profesionales que organizan su actividad bajo la forma
de empresa (ostentando, en consecuencia la condición de comerciante a
la que se refieren los artículos primero y siguientes del Código
de Comercio) y con los empresarios individuales que ejercen una actividad comercial
y respecto de las cuales sea posible diferenciar su actividad mercantil de su
propia actividad privada, estando en el primer caso excluidos también
del ámbito de aplicación de la Ley Orgánica 15/1999.
En definitiva pues, tanto las personas jurídicas como los profesionales
y los comerciantes individuales (éstos dos últimos sólo
en los estrictos términos señalados en el párrafo que antecede,
esto es, cuando sus datos hayan sido tratados tan sólo en su consideración
de empresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.
A contrario sensu, tanto los profesionales como los comerciantes individuales
quedarían bajo el ámbito de aplicación de la Ley Orgánica
15/1999 y, por tanto, amparados por ella cuando los primeros no tuvieran organizada
su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia,
la condición de comerciante (es el caso de los profesionales liberales
cuyas actividades están expresamente excluidas del ámbito de aplicación
de la Ley Básica 3/1993 por su artículo 6) y los segundos cuando
no fuera posible diferenciar su actividad mercantil de la propia actividad privada.
En estos dos casos deberán aplicarse siempre las garantías de
la Ley Orgánica 15/1999 dada la naturaleza fundamental del derecho a
proteger. Ello exigirá siempre ir analizando caso por caso para hallar
en cada supuesto concreto el límite fronterizo donde resulte afectado
el derecho fundamental a la protección de datos de los interesados personas
físicas, o, por el contrario, aquél no resulte amenazado por incidir
tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo
caso presente que, en caso de duda, la solución deberá siempre
adoptarse a favor de la protección de los derechos individuales'.
3. Niveles de protección
| A) |
Datos protegidos y Especialmente
protegidos: |
| |
|
| |
La protección dependerá
de qué datos se recojan, estableciéndose diferentes niveles,
así, son datos especialmente protegidos, la
ideología, religión o creencias, no estando nadie
obligado a dar información alguna sobre los mismos. Sólo
con el consentimiento expreso y por escrito del afectado podrán
ser objeto de tratamiento los datos de carácter personal que revelen
la ideología, afiliación sindical, religión y creencias.
|
| |
|
| |
Los datos de carácter personal
que hagan referencia al origen racial, a la salud y a la vida sexual
sólo podrán ser recabados, tratados y cedidos cuando,
por razones de interés general, así lo disponga una ley
o el afectado consienta expresamente.
Quedan prohibidos los ficheros creados con la finalidad exclusiva
de almacenar datos de carácter personal que revelen la ideología,
afiliación sindical, religión, creencias, origen racial
o étnico, o vida sexual. |
| |
|
| |
Los datos de carácter personal
relativos a la comisión de infracciones penales o administrativas
sólo podrán ser incluidos en ficheros de las Administraciones
públicas competentes en los supuestos previstos en las respectivas
normas reguladoras.
Las instituciones y los centros sanitarios públicos y privados
y los profesionales correspondientes podrán proceder al tratamiento
de los datos de carácter personal relativos a la SALUD de las personas
que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con
lo dispuesto en la legislación estatal o autonómica sobre
sanidad. |
| |
|
| B) |
Medidas de índole técnica
y organizativas necesarias: |
| |
|
| |
El responsable del fichero, y, en su
caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen
la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta
del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico
o natural. |
| |
|
| |
A la protección le será de aplicación el Real
Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento
de medidas de seguridad de los ficheros automatizados que contengan
datos de carácter personal, así como el Convenio 28-1-1981,
para la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal. Y la Directiva 95/46/CE
del Parlamento Europea y del Consejo de la Unión Europea.
|
| |
|
| C) |
Niveles de Seguridad: |
| |
|
| |
Las medidas de seguridad exigibles
se clasifican en tres niveles: básico,
medio y alto.
Los niveles como mínimos exigibles, sin perjuicio de las disposiciones
legales o reglamentarias específicas vigentes, que se pueden distinguir
son los siguientes: |
| |
|
| |
1º |
Nivel básico: Datos de
carácter personal. |
| |
|
|
| |
2º |
Medidas de nivel básico y
además las de medio: Datos relativos a la comisión de
infracciones administrativas o penales, hacienda pública, servicios
financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo
28 de la ley orgánica 5/1992. |
| |
|
|
| |
3º |
Nivel básico, medio y alto:
Los ficheros que contengan datos de ideología, religión,
creencias, origen racial, salud o vida sexual así como los que
contengan datos recabados para fines policiales sin consentimiento de
las personas afectadas. |
| |
|
|
| |
|
Además, y aparte de lo anteriormente
expuesto, cuando los ficheros contengan un conjunto de datos de carácter
personal suficientes que permitan obtener una evaluación de la
personalidad del individuo deberán garantizar las siguientes medidas
de nivel medio que establece el Reglamento: |
| |
|
|
| |
|
- |
Los sistemas de información e
instalaciones de tratamiento de datos se someterán a una auditoria
interna o externa, que verifique el cumplimiento del presente Reglamento.
|
| |
|
|
|
| |
|
- |
El responsable del fichero establecerá
un mecanismo que permita la identificación de forma inequívoca
y personalizada de todo aquel usuario que intente acceder al sistema de
información y la verificación de que está autorizado.
|
| |
|
|
|
| |
|
- |
Exclusivamente el personal autorizado
en el documento de seguridad podrá tener acceso a los locales donde
se encuentren ubicados los sistemas de información con datos de
carácter personal. |
| |
|
|
|
| |
|
- |
Deberá establecerse un sistema
de registro de entrada y salida de soportes informáticos. |
4. Conclusión
El responsable del fichero y quienes intervengan en cualquier fase
del tratamiento de los datos de carácter personal están obligados
al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones
que subsistirán aun después de finalizar sus relaciones con el
titular del fichero o, en su caso, con el responsable del mismo.