Ley Orgánica 15/99

July 11, 2004

Principal
Acerca de mí
Protección de Datos
Comercio Electrónico
Seguridad
Mis Favoritos
Propiedad Intelectual

 

La Ley Orgánica 15/1999, en adelante LOPD, es la consecuencia de la transposición al derecho interno español de la Directiva 95/46/CE.

            La LOPD es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.[1]

            Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

-Cuando el tratamiento sea efectuado en territorio español en el marco de la actividades de un establecimiento del responsable del tratamiento.
- Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público.
- Cuando el responsable de tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de los datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Quedan excluidos del ámbito de aplicación de la LOPD:
- Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas;
- Los ficheros sometidos a la normativa sobre protección de materias clasificadas.
- Los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
    

            En cuanto las definiciones, a los efectos de la presente Ley Orgánica se entenderá por:

Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.

Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

            En cuanto a la calidad de los datos, establece que los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

            En cuanto a la finalidad, establece que los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para la que los datos se hubieran recogido. No considera incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.[2]

            Los datos de carácter personal incorporados al fichero han de responder a la situación actual, de manera que recojan todas las modificaciones surgidas, y una vez incorporadas, responderán a la realidad. Así mismo, los datos de carácter personal han de ser exactos, de manera que si resultan ser inexactos o incompletos, en todo o en parte, han de ser cancelados o sustituidos de oficio por el responsable del fichero.

            Cuando se ha cumplido la finalidad para la que se recabaron los datos han de ser cancelados o destruidos, en caso de no ser posible han de ser bloqueados.[3]

            Los datos no podrán ser conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Prohíbe, asimismo, la recogida de datos por medio de medios fraudulentos, desleales o ilícitos.

            En cuanto al derecho de información, éste deberá cumplirse en el momento de la recogida de los datos, informando al interesado de la existencia del fichero o la finalidad de su tratamiento, de los cesionarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, así como, de la identidad y dirección del responsable del fichero.

            Cuando los datos hayan sido obtenidos de fuentes accesibles al público y se utilicen con fines publicidad, el derecho de información deberá cumplirse en cada envío que se realice. Igualmente, cuando los datos se hayan obtenido de terceros, deberá darse cumplimiento al derecho de información en los 3 meses siguientes a la recogida de los datos.

            En cuanto al consentimiento, establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

            El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

            En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

            En cuanto a los datos especialmente protegidos, establece que sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

            Respecto de aquellos datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

            Prohíbe la creación de ficheros cuya finalidad exclusiva sea almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. No obstante, podrán ser objeto de tratamiento los datos de carácter personal mencionados precedentemente, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

            También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior, cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

            En cuanto a la seguridad de los datos, establece que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

            En cuanto al deber de secreto, establece que tanto el responsable del fichero, como el encargado de tratamiento, así como cualquier persona que intervenga en cualquier fase del proceso, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

            En cuanto a la comunicación a terceros de los datos de carácter personal, se establece como regla general, la necesidad de recabar el consentimiento del afectado para realizar la cesión de sus datos con una finalidad determinada. A esta regla general del consentimiento se establecen una serie de excepciones. Así, no será necesario el consentimiento cuando: la cesión está autorizada en una ley; se trata de datos recogidos de fuentes accesibles al público; el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros; la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas; la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos; la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica; los datos han sufrido un procedimiento de disociación.

            Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a la que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretende comunicar.

            En cuanto a las transferencias internacionales de datos, no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos.

            Excepcionalmente se permite la transferencia internacional de datos de carácter personal:


- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
- Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
 

            En cuanto al régimen sancionador, califica las infracciones como leves (Multa de 601,01 € a 60.101,21 € ), graves (Multa de 60.101,21 € a 300.506,05 €) o muy graves (Multa de 300.506,05 € a 601.012,10 €).


 

[1] El Tribunal Constitucional dictó, el 30 de noviembre del 2000, la  Sentencia 292/2000, sobre el recurso de inconstitucionalidad 1463-2000, promovido por el Defensor del Pueblo, respecto de los artículos 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal dicha Sentencia, declarando la inconstitucionalidad y nulidad de los incisos “cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso o” del apartado 1 del artículo 21, y los incisos “impida o dificulte gravemente el cumplimiento de la funciones de control y verificación de las Administraciones públicas” y “o administrativas” del apartado 1 del artículo 24, y todo el apartado 2 de dicho artículo.

Sin embargo, lo verdaderamente relevante de esta sentencia es su declaración de la protección de datos de carácter personal como derecho fundamental autónomo de los ciudadanos. (...) Pues bien, en estas decisiones el Tribunal ya ha declarado que el Art. 18.4 CE contiene, en los términos de la STC 254/1993, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama ‘la informática’", lo que se ha dado en llamar "libertad informática" (FJ 6, reiterado luego en las SSTC 143/1994, FJ 7, 11/1998, FJ 4, 94/1998, FJ 6, 202/1999, FJ 2). La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (Art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, FJ 5, 94/1998, FJ 4).

Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del Art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al Art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (Art. 81.1 CE), bien regulando su ejercicio (Art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran.

(...) 7. De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.

En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.(...)  El texto completo de la presente sentencia se incluye en el anexo.

 

[2]La Ley habla de finalidades incompatibles, la LORTAD hablaba de finalidades distintas. A estos efectos la Agencia de Protección de Datos (APD) interpreta incompatible como distinto.

[3]Artículo 1.1 del R.D 1332/94: “bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento”. Artículo 16 del R.D 1332/94 “en los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización”.