PROFESIONALES EN PROTECCIÓN DE DATOS

FAQ – Preguntas frecuentes

preguntas-frecuentes

Todos los textos especificados en esta web, tienen carácter informativo y carecen de toda validad jurídica. El uso que se haga de los mismos, es responsabilidad exclusiva del usuario.

La Ley es de aplicación a las páginas web que ofrezcan mensajes publicitarios por los que el titular de la página perciba algún ingreso. Sin embargo, los únicos requisitos que establece la Ley en cuanto al contenido de las páginas de Internet consisten en incluir una información básica en la página web del prestador. Para una página web personal, la información que debe facilitarse es la siguiente:

  • Su nombre
  • Domicilio (indicando, al menos, la localidad y provincia de residencia)
  • Dirección de correo electrónico.
  • Número de Identificación Fiscal (NIF).
  • Cualquier dato que permita establecer una comunicación directa y efectiva, como podría ser, por ejemplo, un teléfono o un número de fax.
  • Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

La publicidad que se muestre en la página web deberá ajustarse a lo establecido en la Ley, la cual obliga a identificar al anunciante y a presentarla de manera claramente distinguible de los contenidos no publicitarios de la página. Así mismo, deberán respetarse las restantes normas sobre publicidad, recogidas en otras leyes.

La Ley no se aplicará a una página web personal cuando su titular no realice ningún tipo de actividad económica a través de la misma.

Si la página web tiene alojada publicidad en forma de "banners", "pop-ups", etc., su titular estará sujeto a la Ley si percibe alguna remuneración por los mismos. Si éstos no generan ningún ingreso a su titular, por ejemplo, por haber sido impuestos a cambio de la prestación de un servicio gratuito de alojamiento, éste no estará obligado a cumplir las obligaciones previstas en la Ley. Todo ello sin perjuicio de que a esa página le afecten otras normas jurídicas que sean de aplicación por ser públicamente accesible, como el Código Penal o la legislación sobre propiedad intelectual.

Cuando éste percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que éstos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.

Las obligaciones de los prestadores de servicios que realicen actividades económicas a través de Internet se concretan en dos grupos: obligaciones de información y obligaciones en relación con la contratación on-line. Por lo que se refiere a las obligaciones de información, la empresa debe incluir en su página web información básica que permita a los usuarios identificar quién es el titular de dicha página.

La información básica que se debe facilitar es, en síntesis, la siguiente:

Su denominación social, Número de Identificación Fiscal (NIF), domicilio y dirección de correo electrónico, así como  cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.

Datos de inscripción, en el caso de que la empresa esté registrada en el Registro Mercantil o en cualquier otro registro público.

Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.

Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

En los casos de que su actividad esté sujeta a autorización previa o ejerza una profesión regulada, deberá informar a los usuarios sobre los siguientes aspectos:

  • Si ejerce alguna profesión regulada (abogado, médico, arquitecto, ingeniero), los datos básicos que acrediten su derecho a ejercer dicha profesión (colegio profesional al que pertenece, número de colegiado, título académico, Estado de la Unión Europea en que se expidió el título académico y, en su caso, la correspondiente homologación).
  • Si su actividad estuviera sujeta a autorización administrativa, los datos de la autorización de que disponga y los identificativos del órgano encargado de su supervisión.

Además de la información básica señalada anteriormente:

Si la empresa realiza contratos en línea o por vía electrónica a través de su página web, deberá antes de iniciar el procedimiento de contratación: poner a disposición del usuario, mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre:

  • Los trámites o pasos que debe seguir para celebrar el contrato.
  • Si va a archivar el documento electrónico del contrato y si va ser accesible.
  • Los medios técnicos que pone a su disposición para identificar y corregir los errores en la introducción de los datos, antes de confirmarlos.
  • La lengua o lenguas en las que  puede formalizarse el contrato.
  • Las condiciones generales de contratación que, en su caso, rijan el contrato.

Una vez que el consumidor haya enviado su aceptación: la empresa habrá de enviarle una confirmación sobre la recepción de su pedido.

Sí. La Ley se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos. En este caso, la empresa sólo está obligada a facilitar, a través de su página web, los datos de información general establecidos en el artículo 10 y a asegurarse de que la publicidad de otras empresas que, en su caso, figure en la página web pueda distinguirse claramente del contenido propio de la página y esté identificado el anunciante.

  • Revisar la información facilitada por su proveedor de acceso a Internet sobre herramientas que permitan el filtrado de contenidos no deseados.
  • Poner filtros que eviten la recepción de comunicaciones comerciales no deseadas.
  • Si considera que se ha cometido una infracción del artículo 21 o del artículo 22 de la LSSI, diríjase a la Agencia Española de Protección de Datos.(agpd.es).
  • Si considera que se ha cometido una infracción del artículo 20 de la LSSI, diríjase al Ministerio de Industria, Energía y Turismo.

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales:

  • Deben recabar el consentimiento de los destinatarios después de que los mismos hayan sido informados de manera clara y completa sobre su utilización y finalidad, en particular sobre los fines del tratamiento de los datos.
  • El consentimiento del destinatario podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél proceda a su configuración o actualización mediante una acción expresa a tal efecto.
  • Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Los proveedores de acceso a Internet deberán, a partir del 29 de marzo de 2008:

  • Informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam) y sobre las herramientas para el filtrado de contenidos no deseados.
  • Informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.
  • Informar a sus clientes sobre las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos.

 

Los prestadores de servicios de correo electrónico deberán, a partir del 29 de marzo de 2008:

Informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.

Los prestadores de servicios de intermediación:

  • No tienen obligación de supervisar los contenidos que alojan, transmiten o clasifican en un directorio de enlaces, pero deben colaborar con las autoridades públicas cuando se les requiera para interrumpir la prestación de un servicio de la sociedad de la información o para retirar un contenido de la Red.
  • No son, en principio, responsables por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso, pero pueden incurrir en responsabilidad si toman una participación activa en su elaboración o si, conociendo la ilegalidad de un determinado material, no actúan con rapidez para retirarlo o impedir el acceso al mismo.

La normativa española se aplicará a los contratos que los consumidores celebren con prestadores establecidos en España. El lugar de establecimiento en España de un prestador de servicios debe estar indicado en su página web y puede comprobarse mediante consulta al Registro Mercantil u otro en que el prestador esté inscrito.

También se aplicará la Ley española a las compras que efectúen a prestadores de servicios establecidos en otro Estado de la Unión Europea o del Espacio Económico Europeo (países de la Unión Europea más Noruega, Islandia y Liechtenstein), siempre que la normativa española sea más beneficiosa para el consumidor que la legislación del país en que resida el prestador de servicios.

Si la compra o la contratación del servicio se realiza a un prestador de servicios establecido en un país que no pertenezca al Espacio Económico Europeo, la legislación española sólo será aplicable si los consumidores españoles compran en tiendas virtuales que dirijan su actividad al mercado español o se hayan puesto en contacto con el consumidor a través de correo electrónico.

El consentimiento expreso del destinatario puede recabarse, en particular, de las siguientes maneras:

  • En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato, o bien formulando una pregunta concreta al usuario sobre si acepta el envío de comunicaciones comerciales.
  • Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.

El artículo 27 de la Ley indica que la información previa a la contratación ha de ser clara, comprensible e inequívoca y debe ponerse a disposición del usuario de forma permanente, fácil y gratuita, antes de iniciar el procedimiento de contratación, mediante técnicas adecuadas al medio de comunicación utilizado.

La obligación de poner a disposición la información se dará por cumplida si el prestador la incluye en su página o sitio web.

Cuando a los servicios se acceda mediante dispositivos que cuenten con pantallas de formato reducido (ej. móviles) se dará por cumplida la obligación si se facilita la dirección de Internet donde se encuentre dicha información.

En general, la LSSI no se aplica a las Administraciones Públicas, puesto que éstas no tienen el carácter de prestador de servicios de la sociedad de la información definido en su anexo. De esta forma, determinadas actividades típicas de las Administraciones, como la gestión electrónica de la recaudación de tributos o la información sobre los servicios de un tercero (como podría ser la mera información en la página web de un Ayuntamiento sobre las casas rurales existentes en el término municipal) se consideran como actividades públicas o de interés general distintas a la "actividad económica" a la que se refiere la LSSI.

Sin embargo, cuando la actividad de una Administración sí tenga un carácter económico (por ejemplo, la venta de libros turísticos por una entidad pública dependiente de un Ayuntamiento), le será aplicable la LSSI.

La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales realizadas por correo electrónico u otro medio de comunicación individual equivalente. Este requisito se entendería cumplido por ejemplo, si el prestador de servicios, después de informar al usuario sobre el uso al que destinará su dirección o número de teléfono, le ofrece la oportunidad de manifestar su conformidad con el envío de comunicaciones comerciales haciendo "clic" en una casilla dispuesta al efecto.

Este requisito no se cumple cuando, sin haber autorizado de forma expresa la recepción de comunicaciones comerciales, el destinatario tolera o no se opone a su envío, cuando no responde a los mensajes por los que se solicita su consentimiento y, por supuesto, cuando se ha opuesto a su recepción.

Para determinar la jurisdicción competente para la resolución de conflictos en materia contractual cuando un consumidor intervenga como parte en el contrato, es preciso acudir a las normas de Derecho Internacional privado, las cuales tienen en cuenta distintos puntos de conexión para fijar la extensión de la jurisdicción de los jueces y tribunales.

Con carácter general, un consumidor residente en España que haya celebrado un contrato on-line con un prestador establecido fuera de España sólo podrá ser demandado ante los tribunales españoles y podrá, a su vez, demandar al prestador ante los tribunales españoles cuando el contrato se haya celebrado gracias a una oferta que el prestador le hubiera dirigido personalmente (correo electrónico) o que hubiera dirigido al mercado español o a varios mercados, incluido el español.

En los demás casos, si un consumidor residente en España quisiera demandar a una empresa establecida fuera de nuestro país por el incumplimiento de un contrato celebrado por vía electrónica, sería necesario alegar otras circunstancias, por ejemplo, que la obligación que da lugar a la demanda debía cumplirse en España, para fundar la competencia de los tribunales españoles.

Como se ve, en la contratación transfronteriza, no siempre puede asegurarse que los jueces y tribunales españoles sean competentes para conocer de la demanda. Por eso, la Ley potencia los mecanismos de resolución extrajudicial de conflictos, y, en especial, aquéllos que se basen en la utilización de medios electrónicos y sean reconocidos en otros Estados.

Se refiere a aquéllos que permitan una comunicación individual entre el prestador y el destinatario de servicios, como, por ejemplo, los mensajes cortos (SMS) y los mensajes multimedia (MMS) dirigidos a terminales de telefonía móvil.

Al igual que para prestar servicios a través de Internet no se requiere ninguna clase de autorización administrativa, no existe ningún Registro en el que deban inscribirse los prestadores de servicios por el hecho de utilizar medios electrónicos para realizar su actividad.

El criterio para determinar si un servicio o página web está incluido dentro del ámbito de aplicación de la Ley es si constituye o no una actividad económica para su prestador. Todos los servicios que se ofrecen a cambio de un precio o contraprestación están, por tanto, sujetos a la nueva Ley.

Sin embargo, el carácter gratuito de un servicio no determina por sí mismo que no esté sujeto a la Ley. Existen multitud de servicios gratuitos ofrecidos a través de Internet que representan una actividad económica para su prestador (publicidad, ingresos de patrocinadores, etc.) y, por lo tanto, estarían incluidos dentro de su ámbito de aplicación. Ejemplos de estos servicios serían los habituales buscadores, o servicios de enlaces y directorios de páginas web, así como páginas financiadas con publicidad o el envío de comunicaciones comerciales.

Cuando un prestador de servicios de la sociedad de la información emplee un número de tarificación adicional para el acceso a sus servicios, deberá contar con el consentimiento previo, informado y expreso del usuario, informándole de forma claramente visible e identificable de:

  • Las características del servicio.
  • Las funciones de los programas informáticos que, en su caso, se descarguen, incluyendo el número telefónico que se marcará.
  • El procedimiento para dar fin a la conexión de tarificación adicional, incluyendo una explicación del momento concreto en que se producirá dicho fin.
  • El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional.

La Ley permite la realización de comunicaciones comerciales mediante el uso de Internet u otros medios electrónicos, siempre que puedan identificarse como tales y a la persona o empresa en nombre del cual se realizan o anunciante.

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. La Ley obliga, además, a los prestadores de servicios a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil.

El prestador de servicios de alojamiento no está obligado a realizar una investigación sobre la legalidad de los contenidos que aloja. Pero, si sospecha que un determinado contenido (o canal) puede ser constitutivo de delito, debe poner en conocimiento del Juez de Instrucción más cercano el presunto hecho delictivo, de acuerdo con lo dispuesto en la Ley de Enjuiciamiento Criminal. Si un órgano judicial o administrativo competente le ordena retirar el contenido o impedir el acceso al mismo, debe hacerlo inmediatamente.

El administrador del servidor no será responsable del contenido ilícito alojado en él si no tiene conocimiento efectivo de la ilicitud de las actividades que se llevan a cabo a través de ese canal. El "conocimiento efectivo" de su ilicitud puede obtenerse por cualquiera de estos tres medios destacados en la Ley:

  • Conocimiento de una resolución dictada por órgano competente que declare la ilicitud del contenido y ordene su retirada o que se imposibilite el acceso al mismo.
  • Recepción de una notificación enviada de conformidad con un procedimiento de detección y retirada de contenidos que el prestador de servicios haya suscrito.
  • Otros que pudieran establecerse por norma jurídica o acuerdo entre las partes.

La presunción establecida en el artículo 29 es simplemente una regla interpretativa para facilitar la concreción del lugar de celebración del contrato, cuando éste se formaliza por medios electrónicos. Al tratarse de una presunción, las partes pueden fijar, como lugar de celebración del contrato, un lugar distinto del señalado en la Ley.

La presunción establecida sobre el lugar de celebración del contrato no es un criterio de jurisdicción que sirva para determinar ante qué Tribunales pueden demandar las empresas a los consumidores o viceversa. Las normas para determinar la jurisdicción competente para conocer de los litigios en materia contractual están contenidas en los Tratados internacionales y en las normas de la Unión Europea sobre competencia judicial, reconocimiento y ejecución de resoluciones judiciales, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

El artículo 10 de la Ley indica que la información sobre el prestador de servicios y su actividad han de ponerse a disposición de los usuarios por medios electrónicos, de forma permanente, fácil, directa y gratuita. Cuando los servicios se prestan a través de una página en Internet, bastará con incluir en ella esa información de manera que ésta sea accesible en la forma indicada.

Estas condiciones se cumplen cuando la información está contenida en la página de inicio del prestador de servicios o se inserta en páginas interiores relacionadas con el tipo de información de que se trate y a las que se pueda acceder a través de un enlace claramente visible, cuyo título aluda de forma inequívoca a la información de que se trate. Por ejemplo: para acceder a la información de identificación de la empresa, serviría una pestaña con el título "quiénes somos" o cualquier otro suficientemente expresivo del tipo de información a que se refiere.

La prestación de cualquier servicio a través de Internet u otros medios electrónicos puede realizarse libremente y no requiere ninguna autorización específica. Sin embargo, aquellas actividades o servicios que estén sujetos a autorización administrativa o a cualquier otro requisito estarán sometidos al régimen general que les sea aplicable por razón de las leyes y normas ya existentes, con independencia de que se presten a través de Internet.

Por ejemplo: la autorización general de tipo C necesaria para prestar servicios de acceso a Internet seguirá siendo exigible a los proveedores de acceso a Internet y las autorizaciones precisas para la apertura de determinado tipo de establecimientos, como las farmacias, o la necesidad de colegiarse para ejercer ciertas profesiones no resultan afectadas por esta Ley.

Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva...), siempre que:

  • La dirección y gestión de sus negocios esté centralizada en España o posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.

Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.

La utilización de un servidor situado en otro país no será motivo suficiente para descartar la sujeción a la Ley del prestador de servicios. Si las decisiones empresariales sobre el contenido o servicios ofrecidos a través de ese servidor se toman en territorio español, el prestador se reputará establecido en España.

Con la nueva normativa, se han eliminado los regímenes especiales, de forma que el concepto sujeto obligado ha pasado de tener un enfoque de sujeción en razón de la actividad en lugar de en razón de "las personas". Por esta razón están también obligados, las siguientes actividades:

  • Los casinos de juego.
  • Las actividades de promoción inmobiliaria, agencia, comisión o intermediación en la compraventa de inmuebles.
  • Las personas físicas o jurídicas que actúen en el ejercicio de su profesión como auditores, contables externos o asesores fiscales.
  • Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles.
  • Los abogados, procuradores u otros profesionales independientes cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
  • Joyeros, piedras y metales preciosos.
  • Anticuarios y venta de obras de arte.
  • Las actividades de inversión filatélica y numismática.
  • Las actividades de transporte profesional de fondos o medios de pago.
  • Las actividades de giro o transferencia internacional de pagos o cobros.
  • La comercialización de loterías u otros juegos de azar respecto de las operaciones de pago de premios.
  • Fundaciones y asociaciones. Todas sin excepción sean o no de titularidad pública.
  • Y todas aquellas actividades que realicen operaciones en efectivo o medios de pago similares por importes superiores a 15.000 €.

La ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que transpone la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 6 de octubre de 2005, trata de la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, conteniendo dicha Ley, al igual que la anterior Ley 19/1993, algunas disposiciones más rigurosas que la propia Directiva.

Las provisiones de la Ley 10/2010 obligan a empresas y profesionales a instaurar y desarrollar una serie de prácticas y conductas preventivas destinadas a evitar que puedan ser objeto de utilización ilícita por parte de agentes que, camuflando su actividad dentro de una aparente legitimidad buscarán una empresa o profesional para utilizarlo interesadamente como vehículo de blanqueo, AUDIDAT ALICANTE, se encarga de desarrollar todas las obligaciones que marca esta Ley para que usted solo se preocupe de poner en práctica los instrumentos y las recomendaciones que nuestros Consultores le expondrán en función de sus condiciones particulares.

La legislación anti blanqueo está diseñada para evitar esa utilización fraudulenta de los agentes económicos. La implantación de medios de prevención conlleva responsabilidad por parte del sujeto, empresa o profesional, obligado a hacerlo y el afrontamiento de inspecciones y sanciones económicas por parte de la Administración Pública.

Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable de ficheros automatizados de datos de carácter personal, a fin de garantizar la seguridad de estos, de los centros de tratamiento de los datos, de los locales en los que se ubican físicamente los ficheros de datos, de los equipos, sistemas informáticos y programas que se utilicen para su almacenamiento y tratamiento, y de las personas que realizan las labores de recogida y tratamiento de los datos.

El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:

Derecho de acceso: El interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se prevén hacer con los mismos. Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.

Derecho de rectificación y cancelación: El responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez días. Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajusten a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

Derecho de oposición: Los interesados (titulares) pueden oponerse al tratamiento de sus datos, de conformidad con lo revisto en el artículo 6.4 de la LOPD que establece:

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

Habrá de tenerse en cuenta que el consentimiento es revocable, a salvo de las excepciones previstas por la Ley.

Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la AEPD unos impresos para la solicitud de los mismos o pudiendo el afectado dirigirse a la dirección facilitada por el responsable del fichero.

Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.

Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos.

La AEPD puede llevar a cabo inspecciones de oficio o a instancia de los afectados, dirigiéndose a los locales en los que se hallen los ficheros. El director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.

El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.

Cualquier persona, cliente, proveedor, empleado, vecino, competencia..., puede poner una denuncia (gratuita) en la Agencia Española de Protección de Datos y simplemente por no estar dado de alta en la Agencia ya tiene la primera sanción.

Tener instalado un sistema de video vigilancia en el que se puedan conservar las grabaciones (aunque las conserve la empresa de seguridad), está considerado un tratamiento de datos personales y por lo tanto es necesario cumplir con la LOPD y su reglamento de desarrollo.

Las obligaciones principales son:

  • Registrar el fichero.
  • Colocar un cartel informativo en el que se advierta que se graban imágenes de video vigilancia.
  • Disponer de la clausula informativa a disposición de quien la pueda solicitar.
  • Disponer del documento de seguridad y anexos.
  • Si la instalación está conectada a una central de alarmas, tener el contrato de encargado del tratamiento con la empresa de seguridad, además de los detalles de la instalación.

Realización de presupuestos, facturas, albaranes, etc... AUNQUE NO SE USEN LOS DATOS PARA OTRA FINALIDAD, es un tratamiento de datos que se encuentra dentro del ámbito de aplicación de la LOPD.

En consecuencia, el no usar los datos para el envío de publicidad no exime de la obligación de cumplir con la LOPD.

El envío de publicidad personalizada, requiere el consentimiento tanto de los clientes como de los que no lo sean, excepto si los datos son cogidos de fuentes accesibles al público (repertorios telefónicos) y no están registrados en las llamadas Lista Robinson (listas de exclusión publicitaria).

Obtener el consentimiento de los clientes para poder enviarles publicidad es un trabajo que requiere implementar las cláusulas oportunas en los formularios de recogida de datos o solicitarlo posteriormente.

Solo se puede enviar publicidad cuando tenemos el consentimiento de los clientes o se obtienen los datos de una fuente accesible al público

Esta pregunta que nos han hecho de vez en cuando, tiene varias respuestas según el contexto en el que se cuestiona la necesidad de indicar las cláusulas habituales en las comunicaciones que se realizan por parte de las empresas. Por ejemplo, cuando nos dirigimos a posibles clientes, de cuyos datos los hemos recabado de fuentes accesibles al público (normalmente repertorios telefónicos), tenemos la obligación de decirles quien está tratando sus datos, de donde los hemos sacado y donde pueden ejercer sus derechos).

En cualquier caso hablamos de uno de los principios de la LOPD, que nos indica el deber de información que tienen las organizaciones como responsables del fichero a informar de la existencia del fichero, el responsable del mismo, la finalidad, la dirección para el ejercicio de derechos, etc..

¿Podemos imaginar el enfado de los afectados, en caso de recibir 5, 10, 20 cartas al mes sin saber de dónde han sacado sus datos y quien los está tratando?

Es toda revelación de datos realizada a una persona distinta del interesado. La LOPD establece en su artículo 11, que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Un encargado del tratamiento es un servicio externo que realiza un tratamiento sobre los datos de nuestros ficheros, ya sea de forma gratuita o de pago, temporalmente o indefinidamente.

Por ejemplo:

Las gestorías/asesorías en el caso de la confección de las nóminas, contabilidades, etc...

Los administradores de fincas en su relación con las comunidades de propietarios.

Los servicios de hospedaje de bases de datos.

Los servicios de backup online (copia de seguridad remota).

Las empresas de formación que recaban los datos a través de las empresas y no directamente de los alumnos.

Y un largo etc. de servicios externos con acceso a datos

Es un documento obligatorio para el cumplimiento de la LOPD. En él se detallan las medidas de seguridad y las características del fichero o ficheros inscritos en la Agencia Española de Protección de Datos. Las empresas están obligadas a tenerlo y a mantenerlo actualizado.

El Real Decreto no determina un perfil o una titulación específica que pudiera ser necesaria para realizar la auditoría. No obstante, sí especifica que la auditoría puede ser interna o externa. Nuestra recomendación es que si la empresa no dispone de un experto en la materia, recurra a un auditor externo, que pueda acreditar la experiencia necesaria en proyectos similares, y que garantice un servicio personalizado y comprometido.

El objeto principal de la auditoría no es dictaminar si la empresa cumple o no con la LOPD y RDLOPD, sino identificar las posibles deficiencias en el tratamiento para implantar las medidas correctoras necesarias a fin de garantizar la seguridad de los datos personales, los Derechos de los afectados por el tratamiento y los Principios de la Protección de Datos.

Según el régimen sancionador de la LOPD, el incumplimiento del Deber de Seguridad (artículo 9), conllevaría una sanción de entre 40.001€ y 300.000€ para los Responsables de Ficheros de titularidad privada.

La obligación de someter los sistemas de tratamiento de datos personales a una auditoría no viene determinada por el tipo de empresa, tamaño o actividad de la misma, sino por los tratamientos de datos que se realizan, por las finalidades del tratamiento y el tipo de datos.

El Real Decreto 1720/2007, de 21 de diciembre (RDLOPD) establece la obligación de realizar auditoría sobre los ficheros que les sea aplicable un nivel de seguridad medio o alto, como por ejemplo los ficheros que recojan datos curriculares a los que les debe aplicar las medidas de nivel medio, o datos de salud o afiliación sindical cuyas medidas deben ser las de nivel alto.

 Esto hace que una gran mayoría de empresas estén obligadas a realizar estas auditorías.

La auditoría comprende las revisiones a las que puede estar sometida la persona o empresa responsable del fichero. Su objetivo es comprobar que se cumplen los requisitos determinados en el Documento de Seguridad, así como la actualización de los datos.

Las auditorías son siempre aconsejables, dado que es necesario disponer del Documento de Seguridad actualizado en todo momento. El número de auditorías obligatorias que determina la LOPD depende del nivel de seguridad de los datos de carácter personal que maneja la empresa.

La auditoría en materia de protección de datos debe consistir en la realización de un profundo análisis legal, técnico y organizativo del sistema de tratamiento de los datos, de los protocolos de recogida, de las medidas de seguridad implantadas, de las garantías que se ofrecen para que no se vulneren los derechos de los afectados por los tratamientos, y del cumplimiento de las obligaciones administrativas de la empresa, para descubrir qué deficiencias tiene el sistema de tratamiento de la información y así poder solventarlas. Y un largo etc. de servicios externos con acceso a datos

En el artículo 96 del RLOPD que señala que la auditoría debe realizarse al menos cada dos años, a no ser que se produzcan modificaciones sustanciales en el sistema de tratamiento de la información que puedan repercutir en el cumplimiento de las medidas de seguridad, como por ejemplo: cambio de domicilio donde se realizan los tratamientos de datos personales, cambio de aplicaciones informáticas, automatización de un sistema en formato papel, etc…

Según el régimen sancionador de la LOPD, el incumplimiento del Deber de Seguridad (artículo 9), conllevaría una sanción de entre 40.001€ y 300.000€ para los Responsables de Ficheros de titularidad privada.

Se considera transferencia internacional de datos toda transmisión de los mismos fuera del territorio español. En particular se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.

A efectos de la Instrucción 1/2000, de 1 de diciembre de la A.E.P.D, relativa a las normas por las que se rigen los movimientos internacionales de datos, se entiende por transmitente la persona física o jurídica, pública o privada, responsable del fichero o del tratamiento de los datos de carácter personal que son objeto de transferencia internacional, y por destinatario la persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.

Esta es una pregunta habitual de los responsables de los ficheros, viene dada por la obligación de registrar los ficheros ante la Agencia Española de Protección de Datos.

No, no hay que enviar las bases de datos de la empresa, pero sí que es obligatorio declarar las bases de datos o ficheros con datos personales ante el Registro General de Protección de Datos.

Si, es obligatorio en caso de tener empleados (Los datos de los empleados están igualmente protegidos) o sistema de video vigilancia con grabación de imágenes.

Únicamente quienes no tengan empleados,  no tengan clientes particulares, ni video vigilancia con grabación, están exentos de cumplir con la LOPD.

La LOPD es de obligado cumplimiento. Inexcusablemente esta Ley le afecta desde el primer momento que usted empieza a tratar con datos de carácter personal.

El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos, siendo denunciable ante la Agencia Española de Protección de Datos.

La Ley entiende por fichero todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los ficheros pueden ser tanto físicos (en soporte de papel), como informatizados (soporte automatizado).

Son aquellos datos que, por ser especialmente sensibles, afectan a la intimidad de las personas. La Ley considera especialmente protegidos los datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual. Este tipo de datos requieren un nivel de seguridad alto.

Para los datos que se refieren a la comisión de infracciones penales o administrativas es necesario aplicar un nivel de seguridad medio.

No. La LOPD sólo se aplica a los datos que se refieren a las personas físicas, con el objeto de garantizar y proteger los derechos fundamentales de las personas y, especialmente, de su honor e intimidad personal y familiar.

Afecta tanto a ficheros informatizados como a los recogidos en papel u otro soporte.

Un dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, tanto la relativa a su identidad (nombre y apellidos, domicilio, filiación, una fotografía o video,  etc.) como la relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)

Ejemplos de datos de carácter personal son las direcciones postales, las cuentas de correo electrónico, el DNI, las altas y bajas médicas, la información financiera y fiscal o la afiliación política.

Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la consideración de datos de carácter personal, por lo tanto, no le será de obligada aplicación el Reglamento de Protección de Datos.

Si su empresa no está adaptada a la LOPD o la adaptación es incorrecta, la Ley de Protección de Datos (LOPD) estipula una serie de sanciones económicas que varían en función de la infracción realizada de 900€ a 600.000€.

La Ley Orgánica de Protección de Datos (LOPD) establece una serie de obligaciones legales de obligado cumplimiento para todas las empresas y autónomos, entre ellas:

– Obligatoriedad de declaración de fichero(s) de datos a la Agencia Española de Protección de Datos.

– Redacción del Documento de seguridad.

– Adaptación e implantación a las medidas de seguridad y Elaboración de cláusulas y contratos LOPD.

La normativa es de obligado cumplimiento para cualquier empresa o profesional y entidad pública o privada que disponga, acceda y trate datos de carácter personal, sea cual sea su volumen o actividad. El tener pocos datos o sólo datos identificativos (nombre, apellidos y e-mail) no excluye al cumplimiento de la norma.

Las excepciones:

  • Tratamiento de datos con fines estrictamente domésticos. Por ejemplo: el tratamiento sobre la agenda de teléfonos particular no estaría dentro del ámbito de aplicación.
  • Tratamiento de datos de empresarios individuales (autónomos), cuando se haga referencia a ellos en calidad de comerciantes, industriales o navieros.
  • Tratamiento de datos que se limiten a los datos de las personas que presten servicios en empresas, cuando se limite a tratar nombre, apellidos, funciones o dirección, teléfono, número de fax.
  • Ficheros sometidos a la normativa sobre protección de materias clasificadas.

Ficheros establecidos par al investigación del terrorismo y formas graves de delincuencia....

Para “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y fundamentales de las personas”, su honor e intimidad.

Como prestador de servicios, debe facilitar de forma accesible y permanente la información necesaria para que los usuarios puedan estar informados al respecto y prestar su consentimiento para la instalación de cookies.

La opción más habitual es una ventana emergente, en forma de barra en el encabezado o en el pie de página, con un texto en el que se indique que la web, blog, etc. utiliza cookies y que contenga un link a la Política de Privacidad o al Aviso Legal, dónde el usuario pueda hallar toda la información detallada al respecto.

Este es el principal motivo de debate generado por la “Ley de cookies”, por el cual, y ante las presiones de diversos sectores, el Gobierno español ha decidido dar marcha atrás y relajar las exigencias establecidas por lo que al consentimiento de los usuarios se refiere.   El pasado 13 de septiembre de 2013, se aprobó la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones, que incluye una nueva modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, cuya aprobación implicaría que el consentimiento pasase de ser expreso a ser informado, y, por tanto, tácito.

Existe una relación directa entre aplicación de la LSSI-CE y el lugar dónde esté establecida la actividad comercial del prestador de servicios. En este sentido, esta Ley es aplicable a los servicios de la sociedad de la información que proporcionen prestadores de servicios establecidos en España. También estarán sujetos los prestadores establecidos en un Estado perteneciente, o no, a la U.E. y que dirijan sus servicios específicamente al territorio español, siempre que ello no contravenga lo establecido en los tratados o convenios internacionales que sean aplicables.

Por tanto, los servicios proporcionados por estos prestadores estarán sometidos a las normas del ordenamiento jurídico español y, a nivel del tema que nos ocupa, a lo establecido en la LSSI-CE, tanto a nivel general como en materia de cookies.

Tanto si el soporte está en un alojamiento ajeno (Blogger, WordPress.com) como si se trata de una plataforma auto alojada, usted estará sujeto a la normativa y deberá aplicar una solución técnica no intrusiva y usable para informar sobre la utilización de cookies y dar cumplimiento a la Ley.

En este sentido, cabe destacar que, la instalación de cookies está prohibida, a menos que:

  • Tengan un carácter técnico (estén destinadas únicamente a permitir la navegación).
  • Sean estrictamente necesarias para la prestación del servicio.

Otros tipos de cookies que requieren autorización previa por parte del usuario y sobre las que, además, como prestador de servicios, deberá informar de forma completa en el Aviso Legal.

Según la Ley, si es usted un prestador de servicios, establecido en España, que opera con carácter comercial a través de cualquier soporte electrónico que instale cookies, tiene la obligación de cumplir con los requerimientos establecidos en la normativa en relación a este tema.

La “Ley de cookies” consiste, en realidad, en la modificación de la Ley LSSI-CE (Ley 34/2002, de 12 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico), derivada de la necesidad de adecuar esta normativa a la Directiva Europea 2002/58/CE. Uno de los aspectos principales que regula este cambio es la validez del consentimiento del usuario en materia de cookies.