El concepto de fichero y de datos de carácter personal respectivamente, se esbozan en el glosario de términos, pero para que usted lo entienda mejor relacionamos a continuación algunos ejemplos de ficheros con datos de carácter personal. Es frecuente que las empresas dispongan de ficheros como el de clientes, proveedores, trabajadores, contabilidad, contactos etc... y estos pueden estar en diversos formatos tanto informáticos como en papel.

La LOPD contempla algunas exclusiones, como es el supuesto práctico del empleo de una agenda personal, al tratarse de ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Toda persona o entidad que proceda a la creación de ficheros de carácter personal lo debe notificar a la Agencia Española de Protección de Datos, estableciéndose reglamentariamente los distintos extremos que debe contener la notificación.

La consulta de los ficheros inscritos es pública, y se puede hacer online. Por tanto si desea saber si su empresa tiene inscritos los ficheros puede hacerlo a través del Registro General de Protección de Datos dependiente de la AEPD y que se puede consultar a través de la web www.agpd.es.

Todos los ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al modelo estándar que figura en la página Web anteriormente citada.

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar en todos los casos el modelo establecido en la Resolución de la Agencia Española de Protección de Datos, de 30 de mayo de 2000 (B.O.E. nº 153, de 27 de junio de 2000), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático. Así mismo, se comunica que los citados modelos se pueden obtener a través de Internet en la página web de la APD.

En el caso de que se solicite la modificación de la inscripción de un fichero, deberá notificar, de acuerdo a lo dispuesto en el artículo 26.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable, y en la dirección de su ubicación, o cualquier otra modificación que se pudiera haber producido desde la declaración inicial del fichero objeto de inscripción en el Registro General de Protección de Datos.

Deberá cumplimentar del modelo de notificación, la hoja de solicitud, el apartado de modificación indicando el código de inscripción asignado por la Agencia, señalando aquellos apartados que se modifican respecto a la notificación anterior y los apartados que se pretendan modificar.

Los apartados señalados deben cumplimentarse en su totalidad, y no sólo los aspectos modificados respecto a notificaciones previas, ya que esta notificación sustituye a la anterior inscripción en el Registro General de Protección de Datos.

Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.

Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos.

La AEPD puede llevar a cabo inspecciones de oficio o a instancia de los afectados, dirigiéndose a los locales en los que se hallen los ficheros. El Director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.

El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.

Nivel Básico

Se aplica a los ficheros que contengan datos de carácter personal. Por ejemplo:

• Nombre y/o apellidos
• Direcciones de contacto ( tanto físicas como electrónicas )
• Teléfono ( tanto fijo como móvil )
• Otros de carácter identificativo
• Datos de cuenta bancaria, etc....

Nivel Medio

Se aplica a los ficheros que contengan información que permitan evaluar la personalidad del individuo. Por ejemplo:

• Comisión de infracciones administrativas o penales
• Hacienda pública (datos relativos a tributos u otras obligaciones fiscales que trata la administración, no los relativos a los impuestos que declaran las empresas)
• Servicios financieros
• Conjuntos de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

Se aplica a los ficheros:

• Con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual.
• Recogidos para fines policiales sin consentimiento del afectado.

Según la propia APD para delimitar el sentido de esta referencia deberá atenderse al ámbito que, en relación con dicho tipo de servicios, establece la normativa vigente. En todo caso, excederá de lo que deba de ser considerado, meramente, como servicios bancarios o actividades tradicionales llevadas a cabo por las entidades de crédito.

En concreto, el Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, considera las actividades de intermediación financiera como una categoría específica, incorporada en el apartado "J" de la clasificación, estableciendo tres epígrafes separados para las actividades de intermediación financiera en sentido estricto, las relacionadas con seguros y planes de seguros (excepto Seguridad Social obligatoria) y las actividades auxiliares de las anteriores.

Partiendo de esta clasificación, no cabe duda de que habrán de ser consideradas actividades de intermediación financiera, y por ello integradas en el concepto "servicios financieros" al que se refiere el artículo 4.2 del Reglamento de Medidas de Seguridad, las actividades incluidas en el epígrafe 65 (intermediación financiera) y las incorporadas al epígrafe 67.1 (auxiliares de las anteriores).Estas actividades son la intermediación monetaria, las actividades relacionadas con la Banca Central, Bancos, Cajas y Cooperativas, las actividades de arrendamiento financiero, las llevadas a cabo por Sociedades de crédito hipotecario, entidades de financiación, Sociedades mediadoras en el mercado de dinero y el Instituto de Crédito Oficial (ICO), así como las efectuadas por Instituciones de inversión colectiva de carácter financiero, Sociedades y fondos de capital riesgo y otras sociedades de inversión en activos financieros.

También son servicios financieros los relacionados con la Administración de mercados financieros, y las actividades llevadas a cabo por Sociedades de valores, sociedades de garantía recíproca y de reafianzamiento, sociedades de tasación, casas de cambio, fondos de garantía de depósito y sus sociedades gestoras.

Se plantea el problema de la inclusión o no dentro del ámbito de los servicios financieros de las actividades relacionadas con la prestación de servicios relacionados con los seguros y planes de pensiones. En relación con esta actividad, la conclusión que puede alcanzarse es, en principio, proclive a considerar las actividades aseguradoras como de prestación de servicios financieros. Así se deduce de lo establecido en la Exposición de Motivos de la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los seguros privados, al indicar que la dinámica que les afecta (a la actividad aseguradora y la concerniente a los planes y fondos de pensiones) es de las más avanzadas de nuestro sistema financiero. En este mismo sentido, debe recordarse que el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los Recursos propios y supervisión en base consolidada de las Entidades Financieras, incluye a las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito lo que no hace sino reiterar su configuración como entidades prestadoras de servicios financieros. Por su parte, la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la comercialización a distancia de servicios financieros destinados a los consumidores, considera, en su artículo 2 b), servicios financieros "cualquier servicio relativo a las actividades de las entidades de crédito, de las compañías de seguros y de las empresas de inversiones".

Por este mismo motivo la Clasificación Nacional de Actividades Económicas, a la que anteriormente se ha hecho mención incluye dentro de los servicios de intermediación financiera los relacionados con seguros de vida (incluso si se realizan por entidades de previsión social), los planes de pensiones y, dentro del epígrafe referido a "seguros no vida", los seguros de daños y el reaseguro. Asimismo se consideran actividades de intermediación financiera las efectuadas por agentes y corredores de seguros e intermediarios de seguros.

Según la AEPD, la protección de las personas debe aplicarse tanto al tratamiento al automático como a su tratamiento manual. Por lo que respecta al tratamiento manual, el ámbito de aplicación de la LOPD abarca aquellos ficheros contenidos en un archivo estructurado, según los criterios específicos relativos a las personas, a fin de que se puedan acceder fácilmente a los datos de carácter personal que se tratan ( los ficheros manuales que se refieren las historias clínicas, pueden ser el ejemplo más claro de tratamientos no automatizados incluidos dentro del ámbito de aplicación de la Ley).

La entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se produjo el día 14 de enero de 2000. Cualquier fichero creado con posterioridad a esta fecha tiene que cumplir con las exigencias de esta ley desde el mismo día de su creación, entre las que se encuentra la obligación de notificación e inscripción registral que, en estos ficheros de nueva creación, tiene carácter previo.

Si se trata de un fichero manual preexistente a la entrada en vigor de la propia ley a la que venimos haciendo referencia, la adecuación será exigible desde octubre de 2007.

Cuando se trata de ficheros en soporte papel y medidas de seguridad, la AEPD entiende que las medidas recogidas en el RMS, en cuanto que permitan su aplicación práctica, sí serán exigibles. Este criterio surge de las denuncias habidas en 2003 (pag.96, Memoria 2003) ante la AEPD.

El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:

Derecho de acceso: El interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se prevén hacer con los mismos. Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.

Derecho de rectificación y cancelación: El responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez días . Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajuste a l dispuesto en la presente ley y, en particular, cuando tales datos resulten inexactos o incompletos.

Derecho de oposicion: Los interesados (titulares) pueden oponerse a al tratamiento de sus datos, de conformidad con lo revisto en el artículo 6.4 de la LOPD que establece:

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

Habrá de tenerse en cuenta además, que el consentimiento es revocable, a salvo de las excepciones previstas por la Ley.

Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la APD unos impresos para la solicitud de los mismos o pudiendo el afectado dirigirla a la dirección facilitada por el responsable del fichero.

Analizamos brevemente los tipos de consentimiento admitidos por la LOPD, haciendo hincapié en el consentimiento tácito, por ser un consentimiento que presenta obvias dudas de prueba:

• Tácito: El consentimiento tácito, a diferencia del presunto, no se deriva de actos del interesado sino precisamente “de su falta de actuación, de su silencio”. El consentimiento tácito es admitido por la LOPD y también por la propia APD. De este modo se pronuncia el organismo regulador ante la consulta realizada por numerosos afectados, a los que un operador de telefonía solicitaba su consentimiento para tratar los datos de facturación con fines de promoción publicitaria:

  Si, en la carta recibida por los abonados, se requiere el consentimiento para tratar automatizadamente los datos personales, y se informa de que el consentimiento solicitado –facultativo y no obligatorio- es para ofrecer servicios de telecomunicaciones de la propia empresa –no de terceras compañías-, y, se incluye la referencia expresa a la posibilidad de ejercer los derechos de acceso, rectificación y cancelación y del lugar y responsable del fichero ante el que ejercitarlos, y teniendo en cuenta que los destinatarios de la carta pueden conocer los datos de tráfico y facturación objeto de tratamiento, en la medida en que constan en las facturas que le envía periódicamente la compañía remitente, se indica que debe considerarse que la carta remitida se adecuaría a las exigencias legales, disponiendo el abonado de la opción de manifestar su consentimiento contrario al tratamiento de los datos, así como de la de revocarlo posteriormente, pudiendo ejercitar el derecho de oposición por escrito y con acuse de recibo.

  A mayor abundamiento, en este mismo sentido se ha pronunciado la APD en su memoria del año 2000:

  “...respecto de la forma de solicitar el consentimiento se ha señalado que la LOPD solo habla de necesidad de consentimiento expreso y por escrito en el artículo 7 que regula los datos especialmente protegidos, es decir aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, o bien aquellos que hagan referencia al origen racial, a la salud y a la vida sexual.

  Es por ello, que si el legislador hubiera considerado que el consentimiento hubiera de ser siempre expreso no habría distinguido entre diversas clases de supuestos o modalidades para prestarlo. En este sentido se informó que el Tribunal Supremo, en varias sentencias, interpreta que: ...fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado en forma tácita.”

  Por tanto, el consentimiento tácito puede ser válido, siempre y cuando no se trate de datos especialmente protegidos.

• Expreso: El consentimiento expreso, por su parte, “exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio”.

  El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la Ley así lo establece de forma manifiesta.

1. Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que sería válido el consentimiento tácito.

2. Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) es necesario el consentimiento expreso.

3. Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.

Existe tratamiento de datos por terceros cuando el fichero titularidad de una empresa es tratado por una persona, física o jurídica, ajena a su organización, pero bajo el mandato e instrucciones de la primera. Es decir: si como consecuencia de una prestación de servicio al responsable del fichero (también denominado responsable del tratamiento), un tercero accede cuando sea necesario a sus datos de carácter personal almacenados en sus sistemas, la LOPD no lo considera una comunicación de datos sino un tratamiento de datos por cuenta de terceros.

Es habitual que las empresas contraten la prestación de servicios como:

• Asesoría laboral
• Asesoría Contable
• Asesoría fiscal
• Empresa de prevención de riesgos laborales
• Despacho jurídico
• Empresa de franqueo
• Empresa de mantenimiento informático
• Empresa que presta servicios de housing
• Empresa proveedora de software

Este acceso deberá estar regulado en un contrato conforme lo estipulado en el art. 12 de la LOPD, lo que excluye el deber de obtener el consentimiento del afectado para someter a tratamiento estos datos por terceras entidades. Una vez se haya cumplido la prestación, los datos y soportes deberán ser destruidos o devueltos al responsable del tratamiento.

La Ley obliga a las empresas que sean titulares de ficheros de datos de carácter personal a elaborar e implantar un Documento de Seguridad que describa los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le atribuye.

El documento de seguridad debe tener el contenido mínimo que indica el artículo 8 del RMS si estamos ante datos de nivel básico pero habrá que documentar en él también las medidas correspondientes a los diferentes niveles en tanto en cuanto en el sistema de información se traten datos de dichos niveles. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable de un fichero automatizado de datos de carácter personal, a fin de garantizar la seguridad de tales ficheros, de los centros de tratamiento de los datos, de los locales en los que se ubican físicamente los ficheros de datos, de los equipos, sistemas informáticos y programas que se utilicen en su almacenamiento y tratamiento, y de las personas que realizan las labores de recogida y tratamiento de los datos.

El Reglamento de Medidas de Seguridad establece la necesidad de someter los sistemas de información e instalaciones de tratamiento de datos de carácter personal calificados de nivel medio y alto a una Auditoria Bienal que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos, al menos, cada dos años, y sobre aquellos que tratan datos de nivel básico, es recomendable también realizarlos aunque es posible realizarlos en periodos de tiempo más amplios.

Cuando existe movimiento de datos fuera del sistema de información sea mediante un soporte extraíble o de otra forma, como la que se produce por correo o por cualquier otro medio convencional.

Se considera transferencia internacional de datos toda transmisión de los mismos fuera del territorio español. En particular se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.

A efectos de la Instrucción 1/2000, de 1 de diciembre de la AEPD, relativa a las normas por las que se rigen los movimientos internacionales de datos, se entiende por transmitente la persona física o jurídica, pública o privada, responsable del fichero o del tratamiento de los datos de carácter personal que son objeto de transferencia internacional, y por destinatario la persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.

El más habitual sería aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente.

Ejemplo: Contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo están yendo a USA mis datos, a otro servidor, sin mediar consentimiento alguno.

Otro supuesto, no menos habitual, es aquel que se da cuando una empresa matriz, obtiene de una de sus sucursales en el extranjero, datos transferidos, con la única intención de mejorar su gestión. Puede servirnos como ejemplo Microsoft Ibérica, filial en España de la empresa norteamericana Microsoft. Pues bien, se sancionó por el tránsito hacia USA de datos de clientes españoles, y argumentó en su defensa que se trataba de la misma empresa, aunque la AEPD replicó que se trataba de empresas diferentes, al tener personalidad jurídica diferentes, y que además, el hecho cierto es que se trataba de una transferencia internacional de datos, para la cual no se había solicitado la oportuna autorización.