WEB personal con 31986 páginas, 132485 imágenes
 Inicio 
 Sitios 
 Setas 
 Otras 
Informática
LOPD. Ley Orgánica de Protección de Datos
ImprimirInformaciónMandar
Escucha este texto[Escucha este texto]
  • Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos de Caracter Personales y garantía de los derechos digitales.
  • La anterior ley 15/99 no sirve, ha quedado derogada.
  • El objeto de esta ley es adaptar el ordenamiento jurídico español a la normativa de la UE (RGPD. Reglamento Europeo de Protección de Datos) relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos. Y a garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución como derecho fundamental de las personas físicas a la protección de datos personales y garantizar los derechos digitales de la ciudadanía.
  • La Ley se aplica:
    • A cualquier tratamiento total o parcialmente automatizado de datos personales.
    • Al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
  • La Ley no se aplica:
    • Cuando sea efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
    • A los tratamientos de datos de personas fallecidas.
    • A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
    • Cuando lo sea por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
  • Tienen disposiciones específicas:
    • Los ficheros regulados por la legislación de régimen electoral.
    • Los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
    • Los tratamientos realizados en el ámbito de instituciones penitenciarias.
    • Los registros Civil, Mercantil o de la Propiedad.
  • Personas fallecidas. Podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de la persona fallecida y, en su caso, su rectificación o supresión:
    • Personas vinculadas al fallecido por razones familiares o de hecho.
    • Sus herederos.
    • Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello.
    • Si son menores, podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
    • Si son personas con discapacidad, estas facultades también podrán ejercerse, además de los ya señalados anteriormente, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.
    • Lo anteriormente expuesto no se hará NUNCA cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley, aunque dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
  • Principios:
    • Datos exactos.
    • Si fuere necesario, actualizados.
    • No será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para hacer efectivos los derechos.
    • Deber de confidencialidad.
    • Consentimiento del afectado.
    • Consentimiento de los menores de edad >14 años.
    • Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.
    • Tratamiento de datos de naturaleza penal. Solo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal, y solo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
  • Categorías especiales de datos:
    • El solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
    • Esto no impedirá el tratamiento de dichos datos de manera legítima: cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del Derecho laboral y de la seguridad y protección social, para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, datos personales que el interesado ha hecho manifiestamente públicos, para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen, por razones de un interés público esencial, para fines de medicina gestión de los sistemas y servicios de asistencia sanitaria y social, etc.
  • Definiciones - Nuevos conceptos incorporados por el Reglamento de la U.E. (Mayo 2018):
    • Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.
    • Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos.
    • Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado.
    • Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
    • Dato disociado: aquél que no permite la identificación de un afectado o interesado.
    • Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
    • Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.
    • Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos.
      Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
    • Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
    • Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero.
    • Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
    • Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.
    • Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.
    • Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.
    • Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
    • Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
    • Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.
    • Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
    • Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
    • Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
    • Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
    • Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.
    • Autenticación: procedimiento de comprobación de la identidad de un usuario.
    • Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.
    • Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
    • Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
    • Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada.
    • Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.
    • Identificación: procedimiento de reconocimiento de la identidad de un usuario.
    • Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
    • Perfil de usuario: accesos autorizados a un grupo de usuarios.
    • Recurso: cualquier parte componente de un sistema de información.
    • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
    • Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
    • Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.
    • Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.
    • Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo.
    • Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.
  • Si los datos de carácter personal registrados resultaran ser inexactos, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.
  • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
  • No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
  • Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
  • Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
  • Derechos de las personas:
    • Transparencia e información al afectado.
    • La información básica deberá contener, al menos:
      • La identidad del responsable del tratamiento y de su representante.
      • La finalidad del tratamiento.
      • La posibilidad de ejercer los derechos del Reglamento (UE) 2016/679.
    • Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información facilitará a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
    • El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos reconocidos.
    • Los medios deberán ser fácilmente accesibles para el afectado.
    • El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
    • El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
    • La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable.
    • En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos del menor.
    • Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos.
    • El responsable del fichero está obligado a facilitar el ejercicio por el titular de los datos, de los siguientes derechos:
      • Derecho de Acceso
      • Derecho de Rectificación
      • Derecho de Cancelación / Supresión
      • Derecho de Oposición
    • Los derechos ARCO tienen carácter personalísimo.
    • Deben ser ejercidos por:
      • El propio interesado.
      • Por el representante legal, cuando el interesado sea un menor de edad (a estos efectos, menor de 14 años) o el titular se encuentre en situación de incapacidad.
      • A través de un representante voluntario, expresamente designado para el ejercicio del derecho.
    • Los Derechos ARCO son derechos independientes. No puede entenderse que el ejercicio de uno de ellos sea requisito previo para el ejercicio de otro.
  • Derecho de acceso:
    • El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
    • Este derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
    • Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios:
      • Visualización en pantalla.
      • Escrito, copia o fotocopia remitida por correo, certificado o no.
      • Telecopia.
      • Correo electrónico u otros sistemas de comunicaciones electrónicas.
      • Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.
    • El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud.
    • En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.
    • Si la solicitud fuera estimada el acceso se hará efectivo durante los diez días siguientes a dicha comunicación.
    • El responsable del fichero o tratamiento podrá denegar el acceso a los datos de carácter personal cuando:
      • El derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.
      • Así lo prevea una Ley o una norma de derecho comunitario.
  • Derecho de rectificación y cancelación:
    • El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
    • El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento.
    • El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación.
    • En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.
    • Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos.
    • La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al interesado.
    • La cancelación en la nueva ley este derecho pasa a llamarse Derecho de supresión, y añade que cuando la supresión derive del ejercicio del derecho de oposición, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
  • Nuevos derechos incorporados por la LO 2/2018:
    • Derecho a la limitación del tratamiento. El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.
    • Derecho a la portabilidad.
  • Derecho de oposición:
    • Derecho a que no se lleve a cabo el tratamiento de sus datos de o se cese en el mismo en los siguientes supuestos:
      • Cuando no sea necesario su consentimiento.
      • Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial.
      • Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.
    • Se ejercitará mediante solicitud dirigida al responsable del tratamiento.
    • El responsable del tratamiento resolverá sobre la solicitud de oposición en el plazo máximo de diez días desde la recepción de la solicitud.
    • Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación
    • En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.
  • Cómputo de plazos:
    • En los supuestos en que este reglamento señale un plazo por días se computarán únicamente los hábiles.
    • Cuando el plazo sea por meses, se computarán de fecha a fecha.
  • En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades autónomas.
  • El consentimiento para la comunicación de los datos de carácter personal tiene un carácter revocable.
  • De acuerdo con el nuevo Reglamento de la UE:
    • El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.
    • Para poder considerar que el consentimiento es inequívoco, se requiere que haya una declaración de los interesados o una acción positiva que indique su acuerdo.
    • El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
    • Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles.
    • El consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva.
    • Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado lo otorgó.
  • Datos especialmente protegidos:
    • Ideología, religión o creencias, se advertirá al interesado acerca de su derecho a no prestarlo. Consentimiento expreso y por escrito.
    • Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará consentimiento PREVIO.
    • Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
    • Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
    • Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
  • Medidas de seguridad en el tratamiento de los datos de caracter personal:
    • Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con independencia de cual sea su sistema de tratamiento.
    • Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles:
      • Básico. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.
      • Medio. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
        • Los relativos a la comisión de infracciones.
        • Información sobre solvencia patrimonial y crédito.
        • De los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
        • Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
        • Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social, mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
        • Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
      • Alto. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:
        • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
        • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
        • Aquéllos que contengan datos derivados de actos de violencia de género.
    • El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
  • Delegado de protección de datos:
    • Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los casos legalmente establecidos y de manera voluntaria cuando así lo decidan.
    • Lo comunicaran en el plazo de diez días a la Agencia Española de Protección de Datos.
    • Se podrá establecer la dedicación completa o a tiempo parcial del delegado.
    • Se tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
    • El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos y podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
    • No podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, garantizándose su independencia dentro de la organización.
  • Modificaciones a la ley anterior:
    • Limite de 50 € de principal en los sistemas de información crediticia, pudiendo modificarlo en Gobierno por RD.
    • Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
    • Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
    • En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
    • Cuando se formulen solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario podrá efectuar en el ejercicio de sus competencias verificaciones la exactitud de los datos.
    • Los registros de personal del sector público podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines.
    • La Agencia Española de Protección de Datos desarrollará herramientas, guías, directrices y orientaciones.
    • Las autoridades públicas competentes facilitarán el acceso a los archivos públicos y eclesiásticos en relación con los datos que se soliciten con ocasión de investigaciones policiales o judiciales de personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas a las que se realicen las peticiones de acceso.
  • Tipos de infacciones RGPD – LOPD:
    • Muy graves:
      • Las que supongan un incumplimiento sustancial del tratamiento y tengan que ver con:
        • Uso de los datos para una finalidad diferente a la pactada.
        • Omisión del deber de correcta información al afectado.
        • Exigencia de un pago para poder acceder a los datos propios almacenados.
        • Transferencia internacional de información sin garantías.
      • Plazo de prescripción: 3 años.
      • Se sancionarán con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% de la facturación.
    • Graves:
      • Serán consideradas infracciones graves las que supongan una vulneración sustancial del tratamiento y tengan que ver con:
        • Datos de un menor recabados sin consentimiento.
        • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
        • Incumplimiento de nombrar responsable o encargado de tratamiento de datos.
      • Plazo de prescripción: 2 años.
      • Se sancionarán con multas administrativas que puedan ascender hasta los diez millones de euros o, si se trata de una empresa, una cuantía máxima del 2 % de la facturación.
    • Leves:
      • Las restantes no contempladas en los grupos anteriores. Ejemplos:
        • No transparencia de la información.
        • Incumplimiento de no informar al afectado cuando lo haya solicitado.
        • Incumplimiento por parte del encargado de sus obligaciones.
      • Plazo de prescripción: 1 año.
    • Sujetos responsables: (la figura del Delegado de Protección de Datos DPO no puede ser objeto de sanción)
      • Los responsable de los tratamientos.
      • Los encargados de los tratamientos.
      • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
      • Las entidades de certificación.
      • Las entidades acreditadas de supervisión de los códigos de conducta.

Contadores
Página confeccionada por Francisco Miguel Merino Laguna
Ver 2-19082600