Ley Orgánica de Protección de Datos de

Carácter Personal (España)

La Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD), Ley Orgánica de Protección de
fue una ley orgánica española que tenía por objeto Datos de Carácter Personal de
garantizar y proteger, en lo que concierne al tratamiento de España
los datos personales, las libertades públicas y los derechos País España
fundamentales de las personas físicas, y especialmente de
Reemplaza a Ley Orgánica de regulación
su honor, intimidad y privacidad personal y familiar. Fue del tratamiento automatizado
aprobada por las Cortes Generales el 13 de diciembre de de los datos de carácter
1999 y derogada con la entrada en vigor, el 6 de diciembre personal
de 2018, de la Ley Orgánica 3/2018 de Protección de Datos
Reemplazado Ley Orgánica de Protección
Personales y garantía de los derechos digitales, que adapta por de Datos Personales y
la legislación española al Reglamento General de Protección garantía de los derechos
de Datos de la Unión Europea. digitales

Esta ley se desarrolló fundamentándose en el artículo 18 de Título Ley Orgánica 15/1999, de 13

la constitución española de 1978, sobre el derecho a la
de diciembre, de Protección
de Datos de Carácter
intimidad familiar y personal y el secreto de las
Personal.
comunicaciones. Su objetivo principal era regular el
tratamiento de los datos y ficheros, de carácter personal, Nombre LOPD
independientemente del soporte en el cual sean tratados,
corto
los derechos de los ciudadanos sobre ellos y las obligaciones Abrogado Ley Orgánica de Protección
de aquellos que los crean o tratan. Esta ley afectaba a todos por de Datos Personales y
los datos que hacen referencia a personas físicas registradas garantía de los derechos
sobre cualquier soporte, informático o no. Quedaban
digitales
excluidas de esta normativa aquellos datos recogidos para Idioma de la Español
uso doméstico, las materias clasificadas del estado y obra o del
aquellos ficheros que recogen datos sobre terrorismo y otras nombre
formas de delincuencia organizada (no simple Identificador BOE-A-1999-23750
delincuencia). del Boletín
Oficial del
A partir de esta ley se creó la Agencia Española de Estado
Protección de Datos, de ámbito estatal que vela por el Fecha de 15 de diciembre de 1999
cumplimiento de esta Ley. publicación
Tema Ley de privacidad de la
principal de información
Índice la obra

Desarrollo normativo
Órganos de control y posibles sanciones
Procedimientos de inspección y de tutela de
Derechos
Agencia Española de Protección de Datos (AEPD)
Año 2012
Año 2011
Año 2009
 Año 2008
Año 2007
Agencias autonómicas de protección de datos
Año 2007
Red Iberoamericana de protección de datos
Deber de información
Consentimiento
Tipos de consentimiento
Comunicación de datos
Acceso a los datos por cuenta de terceros
Críticas y principales problemas
Reglamento Europeo de Protección de Datos
(RGPD)
Herramientas
Véase también
Referencias
Bibliografía
Enlaces externos

Desarrollo normativo
El Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos. Se trata de un
desarrollo de la Ley Orgánica 15/99 de Protección de Datos de 13 de diciembre; desarrolla tanto los principios de la
ley, como las medidas de seguridad a aplicar en los sistemas de información. Se aplica tanto a ficheros en soporte
automatizado, como en cualquier otro tipo de soportes.

Órganos de control y posibles sanciones

El órgano de control del cumplimiento de la normativa de protección de datos dentro del territorio español, con
carácter general es la Agencia Española de Protección de Datos (AEPD),1 existiendo otras Agencias de Protección de
Datos de carácter autonómico, en las Comunidades Autónomas de Cataluña y en el País Vasco.

Las sanciones se dividen en tres grupos dependiendo de la gravedad del hecho cometido,2 siendo España el país de la
Unión Europea que tiene las sanciones más altas en materia de protección de datos. Dichas sanciones dependen de la
infracción cometida. La última empresa sancionada3 ha sido la empresa Grupon, sancionada por la agencia estatal de
protección de datos, con 20 000 euros por almacenar los códigos CVV de las tarjetas de crédito de sus clientes sin
informarles.

Se dividen en:

Las sanciones leves van desde 900 a 40 000 €

Las sanciones graves van desde 40 001 a 300 000 €

Las sanciones muy graves van desde 300 001 a 600 000 €

Pese al importe de las sanciones, existen muchas empresas en España que todavía no se han adecuado a la misma, o lo
han hecho de forma parcial o no revisan de forma periódica su adecuación; por lo que resulta esencial el
mantenimiento y revisión de la adecuación realizada.
En el sector público, la citada Ley regula igualmente el uso y manejo de la información y los ficheros con datos de
carácter personal utilizados por todas las administraciones públicas.

La Agencia Española de Protección de Datos (AEPD) fue creada en 1994 conforme a lo establecido en la derogada
LORTAD. Su sede se encuentra en Madrid, si bien las Comunidades Autónomas de Madrid, País Vasco y Cataluña han
creado sus propias Agencias de carácter autonómico.

Procedimientos de inspección y de tutela de Derechos

Agencia Española de Protección de Datos (AEPD)

Año 2012 (http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/common/oct

ubre/132910_NP_Memoria_2012.pdf)
En 2012 las denuncias presentadas ante la AEPD, aumentaron un 12 %. La actividad de la Agencia ha crecido
notablemente en 2012, con un incremento del 15 % en los ficheros inscritos y de casi un 40 % en las resoluciones
dictadas. Las denuncias por suplantación de identidad, en especial en suministro y comercialización de energía y agua
(222%) y en telecomunicaciones (92 %), han experimentado un incremento sustancial. De las 863 resoluciones de
infracción declaradas a responsables privados, más del 34 % concluyeron en apercibimiento, sin imposición de
sanción. Por otra parte la mayor parte de las sanciones afecta al sector de las telecomunicaciones, que supone un 73 %
del total. Tres de los principales operadores acumulan 70,94 % del importe global de multas.

Año 2011 (http://www.agpd.es/portalwebAGPD/canaldocumentacion/memorias/memoria_2011/common/Memo

ria_2011.pdf)
En 2011 las denuncias registradas fueron un 51,6% mayores que las presentadas en 2010. Este incremento también se
ve reflejado en el aumento de las resoluciones declarativas de infracción del 37,7 %. No obstante, la aplicación de la
figura del apercibimiento ha determinado una disminución del 14,5 % en las sanciones económicas declaradas. El
sector donde se ha incrementado más las sanciones (64 %) y se han declarado en mayor medida (25,5 %) y cuantía,
(63 %) es el de las telecomunicaciones. La cuantía de las sanciones ha crecido un 12 % respecto a 2010.

Año 2009
En 2009 se incrementaron en más de un 75 % de las denuncias recibidas, que alcanzaron la cifra de 4136, y el número
de solicitudes de tutela de derechos, en un 58 %. Se resolvieron 709 procedimientos sancionadores, de los que 621
acabaron con sanción con un importe total de 24,8 millones de euros.

Fuente: Memoria de la Agencia Española de Protección de Datos (AEPD) de los años 2007, 2008, 2009.

Número de reclamaciones
Lugar Sector de actividad económica Procedimientos resueltos
1 Telecomunicaciones 908
2 Sector financiero 768
3 Videovigilancia 721
 Número de sanciones por sectores
Lugar Sector de actividad económica Procedimientos resueltos
1 Telecomunicaciones 170
2 Videovigilancia 117
3 Sector financiero 89
5 Comunicac. electrónicas y spam 39

Distribución de las sanciones por su

gravedad
Lugar Tipo de sanción Porcentaje
1 Graves 74%
2 Leves 21,3%
3 Muy graves 4,6%

Año 2008
En 2008 el número de hechos denunciados ante la AEPD (junto con las investigaciones iniciadas de oficio) se
incrementó en más del 45 %, alcanzando la cifra de 2362. La AEPD resolvió en 2008 un total de 630 procedimientos
sancionadores, casi un 58 % más que en 2007, de los cuales 535 culminaron con la imposición de sanción. Las multas
impuestas ascendieron hasta los 22,6 millones de euros, lo que supone un incremento de un 15 % respecto al año
anterior.

El número de procedimientos resueltos de declaraciones de infracción cometidas por las administraciones públicas
subió en 2008 casi un 20 % respecto al año anterior, pasando de 66 a 79, de los cuales 59 acabaron con una
declaración de infracción.

Año 2007
En 2007 la Agencia Española de Protección de Datos resolvió 399 procedimientos sancionadores, incrementándose un
32,5 % respecto al año anterior. Las sanciones económicas impuestas por la AEPD ascendieron hasta los 19 600 000
euros.

Agencias autonómicas de protección de datos

Año 2007
La Agencia de Protección de Datos de la Comunidad de Madrid realizó 196 procedimientos de inspección y 32
procedimientos de tutela de derechos en el año 2007.

La Agencia Vasca de Protección de Datos-Datuak Babesteko Euskal Bulegoa (AVDP-DBEB), resolvió 43 denuncias y 18
procedimientos de infracción en 2007.4

Red Iberoamericana de protección de datos

La Red Iberoamericana de Protección de Datos (RIPD), desde su creación en 2003, ha desarrollado una intensa y
fructífera labor, como la organización de diez encuentros. Además de contribuir a que más de 150 millones de
ciudadanos latinoamericanos dispongan en la actualidad, junto al tradicional amparo de habeas data, de normas que
permitan garantizar eficazmente el uso de su información personal y de autoridades especializadas con competencias
para tutelar dichas garantías.
En América Latina se están desarrollando políticas para la protección de los datos personales. En 2012 se aprobaron
dos nuevas leyes. En Nicaragua, la Ley Nº787 de Protección de Datos Personales, de 29 marzo de 2012 y la Ley
Estatuaria Nº1581 del 17 de octubre de 2012, por la cual se dictan disposiciones generales para la Protección de Datos
Personales.

En Chile, asimismo la Ley 19.628, de 28 de agosto de 1999, sobre Protección a la Vida Privada, se encuentra
actualmente en un proceso de revisión de parte de su articulado.

La Asamblea Nacional de Venezuela está tramitando el proyecto de ley de Protección de Datos Personales de Habeas
Data. Y en Costa Rica ya existe una Agencia de Protección de datos de la República de Costa Rica, en cumplimiento de
la ley aprobada en 2011.

Deber de información
Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los requisitos legales
y de medidas de seguridad informáticas más estrictos en función de dicho mayor grado de sensibilidad, siendo
obligatorio por otro lado, en todo caso la declaración de los ficheros de protección de datos a la "Agencia Española de
Protección de Datos".

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso
e inequívoco:

1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de

los destinatarios de la información.

2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados directamente del
afectado o interesado, aunque no se exime de la obligación de informar de forma expresa, precisa e inequívoca, por
parte del responsable del fichero o su representante, dentro de los tres meses siguientes al inicio del tratamiento de los
datos.

Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han sido recogidos de
"fuentes accesibles al público",5 y se destinan a la actividad de publicidad o prospección comercial, en este caso "en
cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable
del tratamiento así como de los derechos que le asisten".

Cláusula modelo

Esta podría ser una cláusula modelo de información/consentimiento de derechos amparados por la LOPD:

En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de

Carácter Personal (LOPD), (sustituir por el nombre del responsable del fichero), como
responsable del fichero informa de las siguientes consideraciones:

Los datos de carácter personal que le solicitamos, quedarán incorporados a un fichero cuya
finalidad es (describir la finalidad). Los campos marcados con asterisco (o cualquier otra señal)
son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no
 aporta esos datos.

Queda igualmente informado de la posibilidad de ejercitar los derechos de acceso,

rectificación, cancelación y oposición, de sus datos personales en (sustituir por el domicilio
para ejercitar los derechos).

Datos cuyo tratamiento está prohibido

Los relativos a "infracciones penales o administrativas".

Excepción: Sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes.

Consentimiento

Tipos de consentimiento
A) Consentimiento inequívoco

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley
disponga otra cosa.

B) Consentimiento tácito

Esta será la forma normal del consentimiento en los supuestos que no se exija un consentimiento expreso o expreso y
por escrito.

C) Consentimiento expreso

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser
recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente.

D) Consentimiento expreso y por escrito

Se requiere consentimiento expreso y por escrito del afectado respecto a los datos relativos a la ideología, afiliación
sindical, religión y creencias y sólo podrán ser cedidos con consentimiento expreso.6

Comunicación de datos
Tienen responsabilidad en la comunicación y tratamiento de los datos no solo las personas jurídicas (empresas) sino
también autónomos, freelancers, asociaciones, colectivos y personas propietarias de un blog (blogueros) a través del
cual se recojan datos de terceros para realizar consultas y para cualquier otra transacción.7

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.

El consentimiento exigido en el apartado anterior no será preciso:

1. Cuando la cesión está autorizada en una ley.

2. Cuando se trate de datos recogidos de fuentes accesibles al público.
3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
 4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o
los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco
será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con
funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los
datos con fines históricos, estadísticos o científicos.
6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la
información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya
comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la
observancia de las disposiciones de la presente Ley.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados
anteriores.

Acceso a los datos por cuenta de terceros

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea
necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar
por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose
expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del
responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los
comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que
el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al
responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter
personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento,
respondiendo de las infracciones en que hubiera incurrido personalmente.

Críticas y principales problemas

Ciertos aspectos de la ley fueron declarados inconstitucionales en noviembre del 2000 y suprimidos del texto vigente.

Se considera que el aumento en la creación de ficheros y tratamientos de datos de carácter personal incide en el
derecho a la protección de los datos de los ciudadanos; esta preocupación fue recogida por las instancias europeas que
incluso dispuso que el 28 de enero se celebrara anualmente el "Día Europeo de la Protección de Datos". La celebración
se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la
Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del
Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter
personal.

Un cumplimiento muy riguroso de la regulación sobre la protección de datos podría ralentizar el trabajo normal de un
Responsable de Ficheros por la acreditación documental de los principios de información y consentimiento de la
LOPD; también en sentido contrario un cumplimiento meramente de obligaciones formales, dejaría sin sentido a la ley
y desprotegidos a los ciudadanos e iría frente al "espíritu" de la LOPD.

La posibilidad de que las empresas puedan recabar datos sin el consentimiento del afectado ha sido criticada8 9
Ciertas resoluciones de la AEPD10 han sido motivo de controversia:

En octubre de 2008, la Agencia Española de Protección de Datos sancionó al Partido Popular (PP), entonces en
la oposición, con una multa de 60 101,21 euros por una infracción grave de la Ley Orgánica de Protección de
Datos de Carácter Personal consistente en la inclusión, sin su consentimiento, de cuatro vecinos de El Grove
como "falsos voluntarios" de las listas de las elecciones del País Vasco de mayo de 2007.11 12

La posibilidad que ofrecen algunas webs de "enviar a un amigo" cierta información, o "recomienda esta página a
un amigo" también han sido sancionadas en aplicación estricta de la LOPD13 14

La AEPD también resolvió que los datos relativos a los abortos practicados eran confidenciales, a raíz de la
denuncias criminales interpuestas contra varias clínicas por presuntos abortos irregulares15

En 2008, una sentencia del Tribunal Supremo declaró que los «libros de bautismo» de la Iglesia católica no son
«ficheros de datos», desautorizando una resolución de 20 de octubre de 2006 dictada por la Agencia Española
de Protección de Datos; la agencia había dado la razón a un apostata que solicitaba que, a través de la Agencia
se cancelara su inscripción en el Libro de Bautismo.16

Por incumplimientos de la legislación de protección de datos han sido sancionadas diversas aseguradoras y
centros de salud, dado que intercambiaban información médica de los pacientes sin su consentimiento expreso.
No obstante se les aplican sanciones reducidas por no apreciarse «intencionalidad en la comisión de la
infracción»17 18

LA AEPD sancionó a una empresa después de que un pirata informático intentara chantajearla al encontrar un
agujero en su seguridad y posteriormente la denunciara19

La LOPD sigue teniendo lagunas y los agentes sociales han solicitado ciertas reformas. En agosto de 2008,
Bernat Soria, ministro socialista de Sanidad y Consumo declaró que se actuaría mediante la creación de una Ley
contra las empresas que estaban realizando llamadas comerciales no consentidas a los domicilios,
habitualmente a las horas de las comidas, lo cual constituía un comportamiento popularmente denominado
«spam telefónico».20 21

Reglamento Europeo de Protección de Datos (RGPD)

El 25 de mayo de 2018 entró en vigor la RGPD, una nueva normativa de Protección de Datos a nivel Unión Europea y
de obligatoria implantación, que derogó parte de la Ley orgánica de Protección de Datos (LOPD) y el Reglamento de
desarrollo de la misma (RD 1720/2007).

Herramientas
PILAR: Herramienta que permite realizar el análisis de riesgos. https://www.ccn-cert.cni.es/herramientas-de-
ciberseguridad/ear-pilar.html
SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la
Seguridad de la Información siendo un sistema multimarco (ISO 27001, Protección de datos, ISO 19001, ENS,
etc), además de una monitorización en tiempo real de la seguridad de la organización, siendo integrable con
Nagios, OCS inventory, Splunk, SIEM, directorio activo, pilar, etc. http://www.secitor.com/

Véase también
Portal:Derecho. Contenido relacionado con Derecho.
Agencia Española de Protección de Datos
Derechos fundamentales en el ámbito personal
Leyes de España sobre privacidad
Privacidad
Protección de datos personales
Seguridad de la información
Supervisor Europeo de Protección de Datos
Real Decreto 1720/2007
Referencias
1. Agencia Española de Protección de Datos (https://ww
w.agpd.es/portalweb/index-ides-idphp.php)
2. Listado de empresas sancionadas en 2009 (http://ww
w.samuelparra.com/empresas-multadas/) Listado de
las empresas que están siendo sancionadas durante
el año 2009, con indicación de la cuantía impuesta y
la fecha. También refleja el "Top 3" de las empresas
más sancionadas durante este periodo, monto total
en euros de todas las sanciones y otra información
estadística
3. [1] (http://www.samuelparra.com)
4. Memoria de la agencia vasca de 2007 (http://www.pdf
download.org/pdf2html/pdf2html.php?url=http%3A%2
F%2Fwww.avpd.euskadi.net%2Fs04-5249%2Fes%2
Fcontenidos%2Finformacion%2Fmemorias_anuale
s%2Fes_mem2007%2Fadjuntos%2Fcifras.pdf&imag
es=yes)
Archivado (http://web.archive.org/web/200812151
11115/http://www.pdfdownload.org/pdf2html/pdf2h
tml.php?url=http%3A%2F%2Fwww.avpd.euskadi.
net%2Fs04-5249%2Fes%2Fcontenidos%2Finfor
macion%2Fmemorias_anuales%2Fes_mem200
7%2Fadjuntos%2Fcifras.pdf&images=yes) el 15
de diciembre de 2008 en la Wayback Machine.
5. definidas como aquellos "ficheros cuya consulta
puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin más
exigencia que, en su caso, el abono de una
contraprestación" y "tienen la consideración de
fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos (...) y las
listas de personas pertenecientes a grupos de
profesionales (...) Asimismo, tienen el carácter de
fuentes de acceso público los diarios y boletines
oficiales y los medios de comunicación". "En cada
comunicación que se dirija al interesado se informará
del origen de los datos y de la identidad del
responsable del tratamiento, así como de los
derechos que le asisten".
6. «Se exceptúan los ficheros mantenidos por los
partidos políticos, sindicatos, iglesias, confesiones o
comunidades religiosas y asociaciones, fundaciones
y otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical, en cuanto
a los datos relativos a sus asociados o miembros (...
y) para la prevención o para el diagnóstico médicos,
la prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios (... y)
para salvaguardar el interés vital del afectado o de
otra persona, en el supuesto de que el afectado esté
física o jurídicamente incapacitado para dar su
consentimiento.»
7. «LOPD y LSSI para PYMES, autónomos,
asociaciones y blogs» (http://queesunpersonalshoppe
r.com/asesoramiento-de-comunicacion/lopd/).
8. Riiing: ¡correo comercial! (http://www.elpais.com/artic
ulo/cataluna/Riiing/correo/comercial/elpepiautcat/200
20130elpcat_5/Tes/) "El correo comercial, tanto el
convencional como el electrónico, constituye una
intromisión en la intimidad de los ciudadanos no
suficientemente protegida por la legislatura actual,
que tiende a beneficiar los intereses de las
empresas... Es muy poco conocida la existencia de
las denominadas "Lista Robinson", que son ficheros
de personas que han solicitado ser excluidas de
bases de datos para acciones comerciales, aunque
resulta paradójico que deban inscribirse quienes no
desean publicidad en lugar de aquellos que sí la
desean... Mancur Olson explicó admirablemente por
qué y cómo el proceso político es más sensible a las
peticiones de grupos organizados con grandes
intereses particulares que a los deseos de multitud
de individuos desorganizados. Creo que esto explica
que los intereses económicos de las empresas
dedicadas al correo comercial, a las llamadas
comerciales o al negocio del tráfico de datos
personales prevalezcan sobre el derecho a nuestra
intimidad." (Artículo en "El País" de Germà Bel,
profesor de Política Económica de la UB y diputada
del PSC, enero de 2002) En la actualidad (2008) los
problemas que denunciaba el artículo continúan sin
resolverse y en algunos casos la situación ha
empeorado.
9. Protección de Datos investigará la difusión de
imágenes de cámaras de seguridad en la Red (http://
www.noticiasdot.com/wp2/2008/10/02/proteccion-de-
datos-investigara-la-difusion-de-imagenes-de-camara
s-de-seguridad-en-la-red/) La Agencia de Protección
de Datos ha abierto una investigación sobre la
difusión de imágenes en internet captadas de
cámaras en guarderías, gimnasios, hospitales u
oficinas, y ha pedido analizar la pertinencia de tener
programas como Emule en el puesto de trabajo.... En
el ámbito de los buscadores de Internet, el diálogo de
la AEPD con sus empresas titulares ha dado como
resultado, por ejemplo, que el próximo servicio de
Google en España conocido como “Street View” (que
permite recorrer en imágenes las calles de las
ciudades), se ofrezca difuminando los rostros de las
personas y las matrículas de los coches.
10. Algunas resoluciones de la AEPD en su página web
(https://www.agpd.es/portalweb/resoluciones/procedi
mientos_sancionadores/index-ides-idphp.php)
11. Protección de Datos multa al PP por los ´falsos
voluntarios´ de las listas vascas (http://www.farodevig
o.es/secciones/noticia.jsp?pRef=2008100100_17_26
2785__Arousa-Proteccion-Datos-multa-falsos-volunta
rios-listas-vascas)
12. Protección de Datos multa al PP por los "falsos
voluntarios" de las listas vascas (http://www.lavozdeg
alicia.com/galicia/2008/10/01/0003_7186065.htm)
13. ¡Ojo al enviar datos "a un amigo! Protección de Datos
considera que es sancionable (http://www.eleconomis
ta.es/economia/noticias/485871/04/08/Ojo-al-enviar-d
atos-a-un-amigo-Proteccion-de-Datos-considera-que-
es-sancionable.html) "Recomienda esta página a un
amigo". Si en su página web aparece esta fórmula de
autopromoción, sepa que esta opción tiene los días
contados, si no quiere recibir una multa. Según la
Agencia Española de Protección de Datos esta
práctica vulnera la Ley de Servicios de la Sociedad
de la Información y Comercio Electrónico (LSSI), que
no prevé que se pueda enviar ningún mail con
contenido publicitario o promocional. sí aparece
reflejado en una Resolución de la Agencia, de 20 de
febrero de 2008, en la que se multa a una página
web por ofrecer a los internautas la facilidad de
remitir a la dirección de correo electrónico de un
 familiar o de un amigo un mensaje informativo
invitando al destinatario a registrarse.
14. La Agencia de protección de datos contra el "enviar a
un amigo" (http://www.error500.net/agencia-proteccio
n-datos-enviar-amigo) De piedra se queda uno ante
la sanción de la Agencia de protección de datos a
una web con la opción de "enviar a un amigo", ese
mecanismo por el que muchas intentan lograr que
sus usuarios más convencidos inviten a sus amigos y
familiares. La información la dan, entre otros, El
economista y en la web de la Agencia de protección
de datos se puede acceder a la resolución (en
formato PDF).
15. «La Agencia de Protección de Datos exige respetar
la confidencialidad en los abortos.» (http://ecodiario.el
economista.es/politica/noticias/477254/04/08/La-Age
ncia-de-Proteccion-de-Datos-exige-respetar-la-confid
encialidad-en-los-abortos.html) La polémica en torno
al aborto se desató a principios de este año. Las
clínicas abortistas organizaron una huelga para
protestar por las presiones recibidas por sus
profesionales y por las investigaciones iniciadas en
varios centros de Madrid y Barcelona por presuntos
abortos irregulares... Por último, el documento
establece que el acceso por parte de los órganos de
inspección sanitaria será permitido cuando su
finalidad sea la "comprobación de la calidad de la
asistencia, el respeto de los derechos del paciente o
cualquier otra obligación del centro en relación con
los pacientes y usuarios o la propia Administración
sanitaria".
16. «La Agencia de Protección de Datos y la apostasía.»
(http://derechoynormas.blogspot.com/2008/10/la-age
ncia-de-proteccin-de-datos-y-la.html) «Protección de
Datos paraliza la tramitación de las peticiones de
apostasía. Frenazo para el más de medio millar de
peticiones de apostasía que estaban por resolver en
la Agencia Española de Protección de Datos (AEPD),
y de todas aquellas que pueden seguir llegando: El
director de la AEPD, Artemi Rallo, adelantó ayer que
todas estas solicitudes de cancelación de datos en
los libros de bautismo quedan suspendidas hasta que
nuevas resoluciones judiciales confirmen o se alejen
de la sentencia del Tribunal Supremo del pasado
septiembre, que, por primera vez, eximió a la
jerarquía eclesiástica de hacer una anotación de
apostasía en los libros bautismales.» (Dispone de la
sentencia del TS en formato PDF)
17. [Protección de Datos, nueva multa a una entidad de
salud] Es por ello que la AEPD impone a la entidad
una multa de 60.101,27 euros por una infracción muy
grave, y otra por el mismo importe y causa al doctor
de la demandante. Las faltas muy graves suelen
penarse con multas de entre 300 506 y 601 012
euros. En este caso, la agencia reconoce atenuantes
como que 'no ha existido intencionalidad en la
comisión de la infracción, no hay reincidencia, y se
solicitó el informe para evitar un perjuicio a la
compañía, ya que la denunciante había dicho que no
padecía insuficiencia venosa varices cuando sí la
tenía'. Audiencia Nacional.
Bibliografía
18. PROBLEMÁTICA ACTUAL EN TORNO A LA
PROTECCIÓN DE DATOS PERSONALES EN EL
SECTOR SANITARIO (http://www.delitosinformaticos.
com/protecciondatos/probsecsanitario.shtml) ¿Se
considera dato de salud el resultado de "apto" o "no
apto" de un trabajador cuando se somete al
reconocimiento médico anual de la empresa? ¿Una
simple receta médica con el nombre de un
medicamento es un dato de salud, aunque no se
refleje la enfermedad concreta? ¿Las medidas de
una persona como la talla del pie, o por ejemplo el
color de los ojos son considerados datos de salud?...
19. «Protección de Datos multa a Telefónica con 60.000
euros.» (http://www.consumer.es/web/es/tecnologia/2
008/03/17/175496.php) La agencia consideró
probado el elevado grado de conocimientos
informáticos del denunciante, así como su ánimo
lucrativo, que "bordeaba el ilícito penal y de
notoriedad propios de un "pirata informático", según
el contenido de la resolución. Su dictamen se apoya
en el artículo 9 de la Ley Orgánica de Protección de
Datos de Carácter Personal que establece el
principio de "seguridad de los datos", imponiendo la
obligación de adoptar las medidas de índole técnica y
organizativa que garanticen su seguridad, con la
finalidad de evitar el acceso no autorizado. En
cualquier caso, la multa impuesta por el organismo
regulador es de "cuantía mínima" porque sostiene
que no hubo intencionalidad por parte de Telefónica.
No obstante, la compañía ha anunciado su intención
de interponer un recurso contra esta resolución.
20. «Recibir llamadas publicitarias no solicitadas, en el
límite de la legislación.» (http://www.legaltoday.com/in
dex.php/actualidad/noticias/recibir-llamadas-publicitar
ias-no-solicitadas-en-el-limite-de-la-legislacion)
21. «Cerco a los 'telefonazos basura'.» (http://www.elpai
s.com/articulo/sociedad/Cerco/telefonazos/basura/elp
epusoc/20080815elpepisoc_2/Tes) El Gobierno
quiere terminar con las llamadas no solicitadas, con
el molesto y cada vez más frecuente spam telefónico,
con timbrazos a la hora de la siesta al fijo o al móvil
para ofrecer un cambio de operadora, un nuevo
crédito o una oferta de conexión a Internet, muchas
veces producidos desde "números privados" o
"desconconocidos" o locuciones automáticas locales
o desde el extranjero, lo que imposibilita su denuncia
por parte del consumidor. El Ministerio de Sanidad y
Consumo en colaboración con los de Justicia,
Economía e Industria están trabajando en un
anteproyecto de ley para trasponer una directiva
europea que considera ilegal esta práctica. El
Gobierno prevé que entre en vigor antes de final de
año... "Muchas se producen además a la hora de la
siesta o por la noche, lo que las hace todavía más
fastidiosas", añade el titular de Sanidad y Consumo.
Hasta ahora estas prácticas no estaban reguladas de
forma específica. Existe una ley (de 2002) que
prohíbe el correo electrónico no deseado.....(El País,
agosto de 2008).
 Juan Zabía de la Mata: "Principales problemas que plantea la Ley Orgánica de Protección de Datos para las
Compañías aseguradoras" (http://dialnet.unirioja.es/servlet/articulo?codigo=293375) Revista española de
seguros: Publicación doctrinal de Derecho y Economía de los Seguros privados, ISSN 0034-9488 (https://www.w
orldcat.org/issn/0034-9488), Nº. 109, 2002, pags. 81-90

Antonio Sánchez-Crespo López y Elena Pérez Gómez "La Protección de Datos en los Centros de Enseñanza"
Editorial Aranzadi. Divulgación: 2007- Depósito legal: NA 1954/2007. ISBN 978-84-8355-305-3

"Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799." (https://web.archive.org/web/2012

0316124614/http://www.auditoriabalear.com/publicaciones/PonenciaNcN32003.ppt)

Enlaces externos
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter
personal (http://www.boe.es/aeboe/consultas/bases_datos/doc.php?coleccion=iberlex&id=1992/24189)
(LORTAD) (derogada)
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (http://www.boe.es/bus
car/doc.php?id=BOE-A-1999-23750) (LOPD)
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (http://www.boe.es/buscar/do
c.php?id=BOE-A-2008-979) (RLOPD)
Guía de la OECD sobre la privacidad y las transferencias internacionales de datos (http://www.oecd.org/documen
t/18/0,2340,en_2649_201185_1815186_1_1_1_1,00.html) (en inglés)
Introducción a la LOPD (https://web.archive.org/web/20100330161900/http://cert.inteco.es/Formacion/Legislacio
n/Ley_Organiza_de_Proteccion_de_Datos/) por el Centro de Respuesta a Incidentes de Seguridad del Gobierno
de España (INTECO-CERT)
Enlace de la Agencia Española de Protección de Datos para el Alta de Ficheros (https://www.agpd.es/portalweb/c
analresponsable/inscripcion_ficheros/Notificaciones_tele/index-ides-idphp.php)
Asociación de Empresas de Protección de Datos (http://www.aepd.org)
Protección de Datos Personales en España (http://www.gmv.com/blog_gmv/proteccion-de-datos-personales-en-e
spana-2014/)
Revista Latinoamericana de Protección de Datos Personales (http://www.rlpdp.com)

Obtenido de «https://es.wikipedia.org/w/index.php?
title=Ley_Orgánica_de_Protección_de_Datos_de_Carácter_Personal_(España)&oldid=112833191»

Esta página se editó por última vez el 23 dic 2018 a las 07:41.

El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0; pueden aplicarse
cláusulas adicionales. Al usar este sitio, usted acepta nuestros términos de uso y nuestra política de privacidad.
Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de lucro.