Accéder au contenu principal

Ley Orgánica de Protección de Datos de Carácter Personal (España)

Ley Orgánica de Protección de Datos de Carácter Personal (España)

Ir a la navegaciónIr a la búsqueda
Ley Orgánica de Protección de Datos de Carácter Personal de España
PaísFlag of Spain.svg España
Reemplaza aLey Orgánica de regulación del tratamiento automatizado de los datos de carácter personal
Reemplazado porLey Orgánica de Protección de Datos Personales y garantía de los derechos digitales
TítuloLey Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Nombre cortoLOPD
Abrogado porLey Orgánica de Protección de Datos Personales y garantía de los derechos digitales
Idioma de la obra o del nombreEspañol
Identificador del Boletín Oficial del EstadoBOE-A-1999-23750
Fecha de publicación15 de diciembre de 1999
Tema principal de la obraLey de privacidad de la información
[editar datos en Wikidata]
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), fue una ley orgánica española que tenía por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y también los derechos fundamentales de las personas físicas, y especialmente de su honorintimidad ,privacidad personal y familiar. Fue aprobada por las Cortes Generales el 13 de diciembre de 1999 y derogada con la entrada en vigor, el 6 de diciembre de 2018, de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que adapta la legislación española al Reglamento General de Protección de Datos de la Unión Europea.
Esta ley se desarrolló en el artículo 18 de la constitución española de 1978, sobre el derecho a la intimidad familiar. Quedaban excluidas de esta normativa aquellos datos recogidos para uso doméstico, las materias clasificadas del estado y aquellos ficheros que recogen datos sobre terrorismo y otras formas de delincuencia organizada (no simple delincuencia).
La Agencia Española de Protección de Datos, de ámbito estatal y creada en 1992, es la encargada de velar por el cumplimiento de esta Ley.

    Desarrollo normativo[editar]

    El Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos. Se trata de un desarrollo de la Ley Orgánica 15/99 de Protección de Datos de 13 de diciembre; desarrolla tanto los principios de la ley, como las medidas de seguridad a aplicar en los sistemas de información. Se aplica tanto a ficheros en soporte automatizado, como en cualquier otro tipo de soportes.

    Órganos de control y posibles sanciones[editar]

    El órgano de control del cumplimiento de la normativa de protección de datos dentro del territorio español, con carácter general es la Agencia Española de Protección de Datos (AEPD),1​ existiendo otras Agencias de Protección de Datos de carácter autonómico, en las Comunidades Autónomas de Cataluña y en el País Vasco.
    Las sanciones se dividen en tres grupos dependiendo de la gravedad del hecho cometido,2​ siendo España el país de la Unión Europea que tiene las sanciones más altas en materia de protección de datos. Dichas sanciones dependen de la infracción cometida. La última empresa sancionada3​ ha sido la empresa Grupon, sancionada por la agencia estatal de protección de datos, con 20 000 euros por almacenar los códigos CVV de las tarjetas de crédito de sus clientes sin informarles.
    Se dividen en:
    Las sanciones leves van desde 900 a 40 000 €
    Las sanciones graves van desde 40 001 a 300 000 €
    Las sanciones muy graves van desde 300 001 a 600 000 €
    Pese al importe de las sanciones, existen muchas empresas en España que todavía no se han adecuado a la misma, o lo han hecho de forma parcial o no revisan de forma periódica su adecuación; por lo que resulta esencial el mantenimiento y revisión de la adecuación realizada.
    En el sector público, la citada Ley regula igualmente el uso y manejo de la información y los ficheros con datos de carácter personal utilizados por todas las administraciones públicas.
    La Agencia Española de Protección de Datos (AEPD) fue creada en 1994 conforme a lo establecido en la derogada LORTAD. Su sede se encuentra en Madrid, si bien las Comunidades Autónomas de Madrid, País Vasco y Cataluña han creado sus propias Agencias de carácter autonómico.

    Procedimientos de inspección y de tutela de Derechos[editar]

    Agencia Española de Protección de Datos (AEPD)[editar]

    Año 2012[editar]

    En 2012 las denuncias presentadas ante la AEPD aumentaron un 12 %. La actividad de la Agencia ha crecido notablemente en 2012, con un incremento del 15 % en los ficheros inscritos y de casi un 40 % en las resoluciones dictadas. Las denuncias por suplantación de identidad, en especial en suministro y comercialización de energía y agua (222%) y en telecomunicaciones (92 %), han experimentado un incremento sustancial. De las 863 resoluciones de infracción declaradas a responsables privados, más del 34 % concluyeron en apercibimiento, sin imposición de sanción. Por otra parte la mayor parte de las sanciones afecta al sector de las telecomunicaciones, que supone un 73 % del total. Tres de los principales operadores acumulan 70,94 % del importe global de multas.

    Año 2011[editar]

    En 2011 las denuncias registradas fueron un 51,6% mayores que las presentadas en 2010. Este incremento también se ve reflejado en el aumento de las resoluciones declarativas de infracción del 37,7 %. No obstante, la aplicación de la figura del apercibimiento ha determinado una disminución del 14,5 % en las sanciones económicas declaradas. El sector donde se ha incrementado más las sanciones (64 %) y se han declarado en mayor medida (25,5 %) y cuantía, (63 %) es el de las telecomunicaciones. La cuantía de las sanciones ha crecido un 12 % respecto a 2010.

    Año 2009[editar]

    En 2009 se incrementaron en más de un 75 % de las denuncias recibidas, que alcanzaron la cifra de 4136, y el número de solicitudes de tutela de derechos, en un 58 %. Se resolvieron 709 procedimientos sancionadores, de los que 621 acabaron con sanción con un importe total de 24,8 millones de euros.
    Fuente: Memoria de la Agencia Española de Protección de Datos (AEPD) de los años 2007, 2008, 2009.
    Número de reclamaciones
    LugarSector de actividad económicaProcedimientos resueltos
    1Telecomunicaciones908
    2Sector financiero768
    3Videovigilancia721
    Número de sanciones por sectores
    LugarSector de actividad económicaProcedimientos resueltos
    1Telecomunicaciones170
    2Videovigilancia117
    3Sector financiero89
    5Comunicac. electrónicas y spam39
    Distribución de las sanciones por su gravedad
    LugarTipo de sanciónPorcentaje
    1Graves74%
    2Leves21,3%
    3Muy graves4,6%

    Año 2008[editar]

    En 2008 el número de hechos denunciados ante la AEPD (junto con las investigaciones iniciadas de oficio) se incrementó en más del 45 %, alcanzando la cifra de 2362. La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58 % más que en 2007, de los cuales 535 culminaron con la imposición de sanción. Las multas impuestas ascendieron hasta los 22,6 millones de euros, lo que supone un incremento de un 15 % respecto al año anterior.
    El número de procedimientos resueltos de declaraciones de infracción cometidas por las administraciones públicas subió en 2008 casi un 20 % respecto al año anterior, pasando de 66 a 79, de los cuales 59 acabaron con una declaración de infracción.

    Año 2007[editar]

    En 2007 la Agencia Española de Protección de Datos resolvió 399 procedimientos sancionadores, incrementándose un 32,5 % respecto al año anterior. Las sanciones económicas impuestas por la AEPD ascendieron hasta los 19 600 000 euros.

    Agencias autonómicas de protección de datos[editar]

    Año 2007[editar]

    La Agencia de Protección de Datos de la Comunidad de Madrid realizó 196 procedimientos de inspección y 32 procedimientos de tutela de derechos en el año 2007.
    La Agencia Vasca de Protección de Datos-Datuak Babesteko Euskal Bulegoa (AVDP-DBEB), resolvió 43 denuncias y 18 procedimientos de infracción en 2007.4

    Red Iberoamericana de protección de datos[editar]

    La Red Iberoamericana de Protección de Datos (RIPD), desde su creación en 2003, ha desarrollado una intensa y fructífera labor, como la organización de diez encuentros. Además de contribuir a que más de 150 millones de ciudadanos latinoamericanos dispongan en la actualidad, junto al tradicional amparo de habeas data, de normas que permitan garantizar eficazmente el uso de su información personal y de autoridades especializadas con competencias para tutelar dichas garantías.
    En América Latina se están desarrollando políticas para la protección de los datos personales. En 2012 se aprobaron dos nuevas leyes. En Nicaragua, la Ley Nº787 de Protección de Datos Personales, de 29 marzo de 2012 y la Ley Estatuaria Nº1581 del 17 de octubre de 2012, por la cual se dictan disposiciones generales para la Protección de Datos Personales.
    En Chile, asimismo la Ley 19.628, de 28 de agosto de 1999, sobre Protección a la Vida Privada, se encuentra actualmente en un proceso de revisión de parte de su articulado.
    La Asamblea Nacional de Venezuela está tramitando el proyecto de ley de Protección de Datos Personales de Habeas Data. Y en Costa Rica ya existe una Agencia de Protección de datos de la República de Costa Rica, en cumplimiento de la ley aprobada en 2011.

    Deber de información[editar]

    Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los requisitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor grado de sensibilidad, siendo obligatorio por otro lado, en todo caso la declaración de los ficheros de protección de datos a la Agencia Española de Protección de Datos.
    Según dice el artículo n.º 5 («Derecho de información en la recogida de datos»),
    Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
    1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
    Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados directamente del afectado o interesado, aunque no se exime de la obligación de informar de forma expresa, precisa e inequívoca, por parte del responsable del fichero o su representante, dentro de los tres meses siguientes al inicio del tratamiento de los datos.
    Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han sido recogidos de "fuentes accesibles al público",5​ y se destinan a la actividad de publicidad o prospección comercial, en este caso "en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten".
    Cláusula modelo
    Esta podría ser una cláusula modelo de información/consentimiento de derechos amparados por la LOPD:
    En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), (sustituir por el nombre del responsable del fichero), como responsable del fichero informa de las siguientes consideraciones:
    Los datos de carácter personal que le solicitamos, quedarán incorporados a un fichero cuya finalidad es (describir la finalidad). Los campos marcados con asterisco (o cualquier otra señal) son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no aporta esos datos.
    Queda igualmente informado de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de sus datos personales en (sustituir por el domicilio para ejercitar los derechos).
    Datos cuyo tratamiento está prohibido
    • Los relativos a "infracciones penales o administrativas".
    • Excepción: Sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes.

    Consentimiento[editar]

    Tipos de consentimiento[editar]

    A) Consentimiento inequívoco
    El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
    B) Consentimiento tácito
    Esta será la forma normal del consentimiento en los supuestos que no se exija un consentimiento expreso o expreso y por escrito.
    C) Consentimiento expreso
    Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
    D) Consentimiento expreso y por escrito
    Se requiere consentimiento expreso y por escrito del afectado respecto a los datos relativos a la ideología, afiliación sindical, religión y creencias y sólo podrán ser cedidos con consentimiento expreso.6

    Comunicación de datos[editar]

    Tienen responsabilidad en la comunicación y tratamiento de los datos no solo las personas jurídicas (empresas) sino también autónomos, freelancers, asociaciones, colectivos y personas propietarias de un blog (blogueros) a través del cual se recojan datos de terceros para realizar consultas y para cualquier otra transacción.7
    Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
    El consentimiento exigido en el apartado anterior no será preciso:
    1. Cuando la cesión está autorizada en una ley.
    2. Cuando se trate de datos recogidos de fuentes accesibles al público.
    3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
    4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
    5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
    6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
    Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
    El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
    Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
    Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

    Acceso a los datos por cuenta de terceros[editar]

    1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
    2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
      En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
    3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
    4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

    Críticas y principales problemas[editar]

    Ciertos aspectos de la ley fueron declarados inconstitucionales en noviembre del 2000 y suprimidos del texto vigente.
    Se considera que el aumento en la creación de ficheros y tratamientos de datos de carácter personal incide en el derecho a la protección de los datos de los ciudadanos; esta preocupación fue recogida por las instancias europeas que incluso dispuso que el 28 de enero se celebrara anualmente el "Día Europeo de la Protección de Datos". La celebración se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.
    Un cumplimiento muy riguroso de la regulación sobre la protección de datos podría ralentizar el trabajo normal de un Responsable de Ficheros por la acreditación documental de los principios de información y consentimiento de la LOPD; también en sentido contrario un cumplimiento meramente de obligaciones formales, dejaría sin sentido a la ley y desprotegidos a los ciudadanos e iría frente al "espíritu" de la LOPD.
    La posibilidad de que las empresas puedan recabar datos sin el consentimiento del afectado ha sido criticada89
    Ciertas resoluciones de la AEPD10​ han sido motivo de controversia:
    • La posibilidad que ofrecen algunas webs de "enviar a un amigo" cierta información, o "recomienda esta página a un amigo" también han sido sancionadas en aplicación estricta de la LOPD1314
    • La AEPD también resolvió que los datos relativos a los abortos practicados eran confidenciales, a raíz de la denuncias criminales interpuestas contra varias clínicas por presuntos abortos irregulares15
    • En 2008, una sentencia del Tribunal Supremo declaró que los «libros de bautismo» de la Iglesia católica no son «ficheros de datos», desautorizando una resolución de 20 de octubre de 2006 dictada por la Agencia Española de Protección de Datos; la agencia había dado la razón a un apostata que solicitaba que, a través de la Agencia se cancelara su inscripción en el Libro de Bautismo.16
    • Por incumplimientos de la legislación de protección de datos han sido sancionadas diversas aseguradoras y centros de salud, dado que intercambiaban información médica de los pacientes sin su consentimiento expreso. No obstante se les aplican sanciones reducidas por no apreciarse «intencionalidad en la comisión de la infracción»1718
    • LA AEPD sancionó a una empresa después de que un pirata informático intentara chantajearla al encontrar un agujero en su seguridad y posteriormente la denunciara19
    • La LOPD sigue teniendo lagunas y los agentes sociales han solicitado ciertas reformas. En agosto de 2008, Bernat Soria, ministro socialista de Sanidad y Consumo declaró que se actuaría mediante la creación de una Ley contra las empresas que estaban realizando llamadas comerciales no consentidas a los domicilios, habitualmente a las horas de las comidas, lo cual constituía un comportamiento popularmente denominado «spam telefónico».2021

    Reglamento Europeo de Protección de Datos (RGPD)[editar]

    El 25 de mayo de 2018 entró en vigor la RGPD, una nueva normativa de Protección de Datos a nivel Unión Europea y de obligatoria implantación, que derogó parte de la Ley orgánica de Protección de Datos (LOPD) y el Reglamento de desarrollo de la misma (RD 1720/2007).

    Herramientas[editar]

    • PILAR: Herramienta que permite realizar el análisis de riesgos. https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html
    • SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO 27001, Protección de datos, ISO 19001, ENS, etc), además de una monitorización en tiempo real de la seguridad de la organización, siendo integrable con Nagios, OCS inventory, Splunk, SIEM, directorio activo, pilar, etc. http://www.secitor.com/

    Commentaires

    Enregistrer un commentaire

    Posts les plus consultés de ce blog

    Por qué debo usar Creative Commons?

    ¿Por qué debo usar Creative Commons? Las licencias  Creative Commons  están por todas partes, pero nosotros como creadores, redactores, bloggers, diseñadores, compositores…  ¿por qué deberíamos usarlas  en nuestra obra? En esta entrada te ofrezco algunas  razones para usar Creative Commons . Cuando elaboré  mi entrada sobre Creative Commons , quise dejar claro qué era y qué no era, cómo funciona y por qué surgió esta alternativa al Copyright tradicional. El caso es que sólo con aquel planteamiento, ya me quedó un post bien largo. Me dejaba fuera algo importante: los motivos por los que cualquiera de nosotros deberíamos utilizarlo de forma cotidiana. Este blog está con licencia Creative Commons. Y mi tiempo y esfuerzo me cuesta mantenerlo alimentado de contenidos. Pensar en temas, investigar, redactar, crear contenido gráfico… ¿lo pongo en Creative Commons porque no valoro ese trabajo? Nada más lejos de la realidad. Lo hago porque  confío...
    Enregistrer un commentaire
    Lire la suite