Professional Documents
Culture Documents
Tanto como la Directiva 95/46/CE, de 24 de octubre de 1995 del Parlamento Europeo y el Consejo, como
la LOPD, en el artculo primero establecen por objeto el garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente, de su honor e intimidad personal y familiar.
La LOPD extiende su mbito de aplicacin, segn el artculo dos, a los datos de carcter personal
registrados en un soporte fsico que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores pblico y privado.
Esta mencin de la LOPD a los sectores de ficheros de titularidad pblica y privada se mantiene a lo
largo de la Ley, estableciendo disposiciones sectoriales diferentes para ambas titularidades en el Ttulo
IV, en el que dedica un captulo a cada una de ellas.
El mbito territorial de los datos sometidos a la aplicacin de la Ley queda delimitado (art. 2) a los casos
siguientes:
a) Que el tratamiento sea efectuado en territorio espaol en el marco de las actividades de un
establecimiento del responsable del tratamiento.
b) Que al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin
la legislacin espaola en aplicacin de normas de Derecho Internacional pblico.
c) Cuando el responsable del tratamiento, aunque no est establecido en territorio de la U.E.,
utilice en el tratamiento de datos medios situados en territorio espaol, salvo que tales
medios se utilicen nicamente con fines de trnsito.
Se excepcionan del rgimen de aplicacin de la LOPD:
a) Los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente
personales o domsticas.
b) Los ficheros sometidos a la normativa sobre proteccin de materias clasificadas.
c) Los ficheros establecidos para la investigacin del terrorismo y de formas graves de
delincuencia organizada. En estos supuestos el responsable del fichero tiene que comunicar
previamente la existencia del mismo, sus caractersticas generales y su finalidad a la
Agencia de Proteccin de Datos.
En cuanto al plazo de adecuacin a esta Ley, los ficheros y tratamientos automatizados inscritos o no en
el RGPD debieron adecuarse dentro del plazo de tres aos, a contar desde su entrada en vigor. En dicho
plazo, los ficheros de titularidad privada debieron ser comunicados a la AEPD, y las AA.PP.,
responsables de ficheros de titularidad pblica, debieron aprobar la pertinente disposicin de regulacin
del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su
adecuacin a la presente Ley Orgnica, y la obligacin prevista en el prrafo anterior debi
cumplimentarse en el plazo de 12 aos a contar desde el 24 de octubre de 1995, sin perjuicio del
ejercicio de los derechos de acceso, rectificacin y cancelacin por parte de los afectados.
Nivel alto
Las medidas calificadas como de nivel alto corresponden a (art. 4.3):
Ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual.
Ficheros que contengan datos recabados para fines policiales sin consentimiento de las
personas afectadas.
Tratar nicamente los datos de acuerdo a las instrucciones recibidas del responsable.
Aplicar las medidas de seguridad correspondientes, de acuerdo al Reglamento de Medidas de
Seguridad.
Especificar el destino de los datos y de los posibles soportes o documentos en los que consten
los datos una vez finalizada la prestacin: devolucin al responsable o destruccin.
Ficheros de nivel bsico: el plazo habilitado por el Reglamento para estos ficheros fue de 6
meses, ampliado en 3 meses, hasta el 25 de marzo de 2000, por el Real Decreto 195/2000, de
11 de febrero.
Ficheros de nivel alto: dos aos, ampliado en 1 ao, hasta el 25 de junio de 2002.
g) Procedimiento de auditora:
o
o
o
h) Responsable de seguridad (art. 15): Contendr su identificacin, los controles peridicos que se
deban realizar para verificar el cumplimiento de lo dispuesto en el documento, y las medidas
necesarias que hay que adoptar para desechar o reutilizar un soporte.
Para los ficheros que contengan un conjunto de datos de carcter personal suficientes que permitan
obtener una evaluacin de la personalidad del individuo, nicamente se establecern las medidas de
nivel medio correspondientes a los artculos 17, 18, 19 y 20 del Reglamento y que corresponden a :
Auditoras; Identificacin y Autentificacin; Control de acceso fsico; y Gestin de soportes.
Entre las obligaciones del responsable del fichero estn las indicadas para el caso del nivel bsico ms
las que aparecen a continuacin en cursiva:
o
o
o
Ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual.
Ficheros que contengan datos recabados para fines policiales sin consentimiento de las
personas afectadas.
Los aspectos que deber abarcar el documento de seguridad de nivel alto son los indicados para el
caso del nivel bsico, junto con los del nivel medio, y las que aparecen a continuacin en cursiva:
a) mbito de aplicacin del documento y especificacin detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de
seguridad alto.
o Procedimiento de control de acceso: Cifrado de los datos para su distribucin en soportes.
o Registro de accesos: Identificacin del usuario, fecha y hora, fichero, tipo de acceso,
autorizacin o denegacin. Accesos autorizados (identificacin registro accedido).
Conservacin: 2 aos.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos personales y descripcin de los sistemas de informacin que
los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las incidencias.
f) Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos: Garantas
en la reconstruccin de los datos al estado en que se encontraban al tiempo de producirse la
prdida o destruccin. Periodicidad: semanal, o en caso de actualizacin de los datos. Copia de
respaldo y recuperacin, conservacin en un lugar diferente de la ubicacin de los equipos
informticos.
g) Procedimiento de auditoria.
h) Telecomunicaciones: Cifrado de datos.
i) Responsable de seguridad.
Entre las obligaciones del responsable del fichero para el caso de nivel alto, no hay ninguna diferencia
con relacin a las obligaciones del responsable del fichero para el nivel medio.
Entre las obligaciones del responsable de seguridad estn las correspondientes al nivel bsico y
medio, ms las siguientes:
o Determinar los mecanismos que permitan el registro de accesos.
o Revisar el registro de accesos y elaborar el correspondiente informe mensual.
k) Informar, con carcter preceptivo pero no vinculante, los proyectos de normas de desarrollo de la
LOPD y sobre los proyectos de normas, leyes o reglamentos, que incidan en materias propias de
la LOPD.
l) Dictar Instrucciones y recomendaciones de adecuacin de los tratamientos a la LOPD.
m) Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.
n) Tutelar los derechos y garantas de los abonados y usuarios en el mbito de las comunicaciones
electrnicas (Ttulo III, LGT 32/2003): recepcin de facturas no desglosadas; tratamiento de los
datos de localizacin distintos a los de trfico; identificacin de su lnea; no figurar en repertorios
telefnicos; no recepcin de llamadas automticas; etc.
o) Tutelar, y en su caso sancionar, el envo de comunicaciones comerciales no solicitadas
realizadas a travs de correo electrnico o medios de comunicacin electrnica equivalente
(LSSI 34/2002, de 11 de julio).
Otras funciones:
p) Redactar una memoria anual, que el Director remite al Ministro de Justicia, para su posterior
envo a Las Cortes Generales.
q) Velar por la publicidad de la existencia de los ficheros automatizados de datos de carcter
personal, a cuyo efecto publica y difunde un catlogo anual de los ficheros inscritos en el
Registro General de Proteccin de Datos.
r) Corresponde a la AEPD la cooperacin con organismos internacionales y rganos de la U.E. en
materia de proteccin de datos de carcter personal, as como representar a Espaa en los foros
internacionales en esta materia de acuerdo con el artculo 29 de la Directiva 95/46/CE.
s) La AEPD ejerce el control de los datos de carcter personal introducidos en la parte nacional
espaola de la base de datos del Sistema de Informacin Schengen (SIS). El Director de la
Agencia designa dos representantes para la autoridad de control comn de proteccin de datos
del Sistema de Informacin Schengen.
t) Controlar y velar por el cumplimiento de las disposiciones que la Ley de la Funcin Estadstica
Pblica (Ley 12/1989, de 9 de mayo) establece respecto a la recogida de datos estadsticos y al
secreto estadstico, as como dictar las instrucciones precisas, dictaminar sobre las condiciones
de seguridad de los ficheros constituidos con fines exclusivamente estadsticos.
u) Cuantas otras le sean atribuidas por normas legales o reglamentarias.