Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) en España - Prof. Matarran, Apuntes de Marketing

¡Descarga Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) en España - Prof. Matarran y más Apuntes en PDF de Marketing solo en Docsity! Ley Orgánica de Protección de Datos de Carácter Personal de España La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan. Contenido 1 Estructura 2 Antecedentes normativos 3 Desarrollo normativo 4 Órganos de control y posibles sanciones 5 Procedimientos de inspección y de tutela de Derechos o 5.1 Agencia Española de Protección de Datos (AEPD)
5.1.1 Año 2009
5.1.2 Año 2008
5.1.3 Año 2007 o 5.2 Agencias autonómicas de protección de datos
5.2.1 Año 2007 6 Deber de información 7 Consentimiento o 7.1 Tipos de consentimiento 8 Comunicación de datos 9 Acceso a los datos por cuenta de terceros 10 Críticas y principales problemas 11 Véase también 12 Referencias 13 Bibliografía 14 Enlaces externos Estructura La Ley comprende un total de 49 artículos divididos en 7 Títulos y finaliza con una serie de disposiciones. Su estructura es la siguiente:
Título I. Disposiciones Generales.
Título II. Principios de la Protección de Datos.
Título III. Derechos de las Personas.
Título IV. Disposiciones Sectoriales. Capítulo I. Ficheros de Titularidad Pública. Capítulo II. Ficheros de Titularidad Privada.
Título V. Movimiento Internacional de Datos.
Título VI. Agencia Española de Protección de Datos.
Título VII. Infracciones y Sanciones.
6 Disposiciones Adicionales.
3 Disposiciones Transitorias.
1 Disposición Derogatoria.
3 Disposiciones Finales. Antecedentes normativos
La Constitución Española de 1978: En el artículo 18.4 se dispone: "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos"
La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal de 29 de octubre (LORTAD): No es hasta ese año 1992 cuando nace la Madrid, País Vasco y Cataluña han creado sus propias Agencias de carácter autonómico. Procedimientos de inspección y de tutela de Derechos Agencia Española de Protección de Datos (AEPD) Año 2009 En 2009 se incrementaron en más de un 75% de las denuncias recibidas, que alcanzaron la cifra de 4.136, y el número de solicitudes de tutela de derechos, en un 58%. Se resolvieron 709 procedimientos sancionadores, de los que 621 acabaron con sanción con un importe total de 24,8 millones de euros. Fuente: Memoria de la Agencia Española de Protección de Datos (AEPD) de los años 2007,2008,2009 Numero de reclamaciones Lugar Sector de actividad económica Procedimientos resueltos 1 Telecomunicaciones 908 2 Entidades Financieras 768 3 Videovigilancia 721 Numero de sanciones por sectores Lugar Sector de actividad económica Procedimientos resueltos 1 Telecomunicaciones 170 2 Videovigilancia 117 3 Sector financiero 89 5 Comunicac. electrónicas y spam 39 Distribución de las sanciones por su gravedad Lugar Tipo de sanción Porcentaje 1 graves 74% 2 leves 21,3% 3 muy graves 4,6% Año 2008 En 2008 el número de hechos denunciados ante la AEPD (junto con las investigaciones iniciadas de oficio) se incrementó en más del 45%, alcanzando la cifra de 2.362. La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con la imposición de sanción. Las multas impuestas ascendieron hasta los 22,6 millones de euros, lo que supone un incremento de un 15% respecto al año anterior. El número de procedimientos resueltos de declaraciones de infracción cometidas por las administraciones públicas subió en 2008 casi un 20% respecto al año anterior, pasando de 66 a 79, de los cuales 59 acabaron con una declaración de infracción. Año 2007 En 2007 la Agencia Española de Protección de Datos resolvió 399 procedimientos sancionadores, incrementándose un 32,5% respecto al año anterior. Las sanciones económicas impuestas por la AEPD ascendieron hasta los 19.600.000 euros. Agencias autonómicas de protección de datos Año 2007 La Agencia de Protección de Datos de la Comunidad de Madrid realizó 196 procedimientos de inspección y 32 procedimientos de tutela de derechos en el año 2007. La Agencia Vasca de Protección de Datos-Datuak Babesteko Euskal Bulegoa (AVDP-DBEB), resolvió 43 denuncias y 18 procedimientos de infracción en 2007.3 Deber de información Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los requisitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor grado de sensibilidad, siendo obligatorio por otro lado, en todo caso la declaración de los ficheros de protección de datos a la "Agencia Española de Protección de Datos". Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: 1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. El consentimiento exigido en el apartado anterior no será preciso: 1. Cuando la cesión está autorizada en una ley. 2. Cuando se trate de datos recogidos de fuentes accesibles al público. 3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. 4.Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. 5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. 6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. Acceso a los datos por cuenta de terceros 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Críticas y principales problemas Ciertos aspectos de la ley fueron declarados inconstitucionales en noviembre del 2000 y suprimidos del texto vigente. Se considera que el aumento en la creación de ficheros y tratamientos de datos de carácter personal incide en el derecho a la protección de los datos de los ciudadanos; esta preocupación fue recogida por las instancias europeas que incluso dispuso que el 28 de enero se celebrara anualmente el "Día Europeo de la Protección de Datos". La celebración se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Un cumplimiento muy riguroso de la regulación sobre la protección de datos podría ralentizar el trabajo normal de un Responsable de Ficheros por la acreditación documental de los principios de información y consentimiento de la LOPD; también en sentido contrario un cumplimiento meramente de obligaciones formales, dejaría sin sentido a la ley y desprotegidos a los ciudadanos e iría frente al "espíritu" de la LOPD. La posibilidad de que las empresas puedan recabar datos sin el consentimiento del afectado ha sido criticada7 8 Ciertas resoluciones de la AEPD9 han sido motivo de controversia:
En octubre de 2008, la "Agencia Española de Protección de Datos" sancionó al Partido Popular (PP), entonces en la oposición, con una multa de 60.101,21 euros por una infracción grave de la Ley Orgánica de Protección de Datos de Carácter Personal consistente en la inclusión, sin su consentimiento, de