II. Protección de datos de carácter personal desde la perspectiva de la entidad, el/la trabajador/a social y

las personas atendidas

Consejo autonómico de CCTT de Castilla-León

“La primera apreciación a la que se enfrentará cualquier profesional que opere con la

aplicación de las normas sobre protección de datos podría resumirse con una sola

palabra: IMPOSIBLE”

Ricard Martínez (2010)Protección de datos como estrategia empresarial. Un reto y una oportunidad.

Jornadas sobre Empresa. Protección de Datos y Administración Electrónica

“La gestión de servicios sociales se caracteriza por:“Diversidad

– Comprende una enorme pluralidad de supuestos ante los que no es siempre posible dar soluciones homogéneas

– Multiplicidad de colectivos afectados con distintos perfiles

– En cada supuesto los tratamientos tendrán alcances diversos en atención a la finalidad perseguida”

Agustín Puente en su exposición sobre Ficheros específicos: sanidad, videovigilancia y servicios sociales, en el transcurso de un curso de la UIMP en septiembre de 2009 en Valencia, puso de manifiesto estas características en relación a los servicios sociales

“La obtusidad que rodea la normativa de la protección de datos, obliga a que

sea necesario la traslación e interpretación a un contexto

determinado”.

Rallo A., (2009): La AEPD: autoridad independiente para la protección de datos. Seminario Protección de Datos de las Administraciones Públicas, UIMP,

AGPD Valencia.

La PROTECCIÓN DE DATOS es un tema transversal que afecta a TODOS los que manejan datos

de carácter personal. Toda organización, entidad, empresa, servicio, profesional, etc, tanto

del ámbito público como privado deben de observar y

cumplir la normativa establecida.

En el contexto de este curso dirigido a Trabajadoras/es Sociales, es obvia la

importancia de conocer y tener presente los aspectos más relevantes de la

protección dos datos, pues nuestra intervención conlleva, desde el

primer contacto con las personas, solicitar y tratar datos de carácter personal relativos a su situación

particular.

MARCO JURÍDICO: referencias claves

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/1995, relativa a la protección de las

personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos. (DOCE nº L

281, 23-11-1995).

Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. (BOE nº 298, 14-

12-1999). En adelante LOPD

Sentencia 292/2000 del Tribunal Constitucional, de 30 de noviembre (BOE nº 4, 4-1-2001)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección

de datos de carácter personal. (BOE nº 17,19-1-2008).

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) www.agpd.es

Ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada, que se regula por su normativa específica, actúa con plena independencia de las Administraciones Públicas.

Su finalidad es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Tiene potestad para inspeccionar y sancionar

Se ubica en Madrid y tiene competencia estatal en todo el ámbito privado, también en el público*

En C.A. e Castilla-León no está creada la agencia autonómica de p.d.

* Excepto en las comunidades de Cataluña y País Vasco que tienen sus propias agencias autonómicas, a las que les compete las administraciones autonómica y local de sus respectivas comunidades. La Agencia de Protección de Datos de la C.A. de Madrid se integra de nuevo en la Estatal.

Algunas definiciones:

• Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concernientes a personas físicas identificadas o identificables.

• Responsable del fichero o del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento…

• Encargado de tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del fichero, como consecuencia de una relación jurídica…

• Responsable de seguridad: persona/s a la/s que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad.

• Cesión o comunicación: tratamiento de datos que supone su revelación a una persona distinta del interesado. (Uno de nuestros “talones de Aquiles” pues el envío de un Informe Social constituye una cesión o cumunicación de datos )

• Usuario/a: sujeto o proceso autorizado para acceder a datos o recursos.

Nota: Real Decreto 1720/2007, Reglamento de desarrollo, art. 5: Definiciones (contiene 38)

Los profesionales:Trabajadoras/es Sociales

Los clientes

La entidad

Puede observarse la protección de datos de carácter personal desde tres

enfoques:

El punto de arranque que condiciona las decisiones posteriores que afectan al tratamiento de datos que lleva a

cabo una entidad es determinar:

cuales son los canales de entrada de datoscomo se tratan o manejan por parte del personalcomo salen de la entidadqué ficheros hay en el servicio que contengan datos

personales

Una de las primeras obligaciones que debe cumplir la

entidad es registrar estos ficheros (Web de la AEPD).

LA ENTIDADUna de las obligaciones legales de toda entidad es registrar los ficheros que

contengan datos de carácter personal que se manejen. Esto es hacerlos públicos,

dando cumplimiento al Art. 39 de la LOPD: principio de publicidad.

Esta publicidad SÓLO se refiere a las características del fichero, no a su

contenido.

Un fichero se hace público cuando se inscribe en el Registro da la

Agencia de Protección de Datos Este registro se denomina

REGISTRO GENERAL DE PROTECCIÓN DE DATOS

Información que el responsable del fichero debe notificar para registrarlo: Responsable del fichero, servicio o unidad ante el que

pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición

Identificación, Finalidad y usos previstos Origen y procedencia de los datos, colectivo de personas

sobre los que se obtienen datos Tipos de datos, estructura y organización del fichero Destinatarios de cesiones Transferencias internacionales En el caso de ficheros de titularidad pública: disposición

general de creación o modificación.

Registrar los ficheros

• Titularidad pública: tienen que ser publicados en BOE, Diarios oficiales de las comunidades autónomas o provinciales, Acuerdo de la Comisión Municipal de Gobierno

• Titularidad privada: directamente en la AEPD, o en su caso APD autonómicas

El registro es de consulta pública y gratuita y se puede acceder a través de internert. Ejemplo del contenido de un fichero de titularidad privada inscrito en la AEPD

Responsable del fichero: Nombre o razón social: xxxxxxxxxxx Sector de actividad principal: SanidadDirección Completa:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxDerechos de oposición, acceso, rectificación y cancelación: Nombre de la oficina: dirección completa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Identificación y finalidad del fichero: Nombre del fichero: Pisos Terapéuticos Descripción de la finalidad: pisos para el apoyo en el proceso de tratamiento de desintoxicación y rehabilitación de losusuarios del servicio jurídico social.Tipificación de la finalidad: historial clinico; gestión y control sanitario; gestión de asistencia

Tipos de datos, estructura y organización del fichero:Datos especialmente protegidos:Otros datos especialmente protegidos: salud;Datos de carácter identificativo: D.N.I./N.I.F.;dirección; nombre y apellidos; teléfono; firma/huella; marcas fisicas; Otros tipos de datos: datos de características personales; datos de circunstancias sociales; datos de detalles de empleo;datos económicos financieros y de seguros; datos académicos y profesionales;Sistema de tratamiento: mixto

Origen y procedencia de los datos:Origen: otras personas distintas del afectado o su representante; el propio interesado o su representante legal. Colectivos: clientes y usuarios; asociados o miembros; pacientes; padres o tutores; solicitantes; beneficiarios.

Cesión o comunicación de datos: Destinatarios: organizaciones o personas directamente relacionadas con el responsable; organismos de la seguridadsocial; otros órganos de la Administracion Pública; fuerzas y cuerpos de seguridad; entidades sanitarias.Transferencia internacional:

La entidad tiene que adoptar las medidas de protección necesarias y elaborar el

DOCUMENTO DE SEGURIDAD (DS)

Todo el personal con acceso a dcp tiene la OBLIGACIÓN de cumplir lo establecido en el

DS.En la página web de la AEPD se ofrece la

Guía de Seguridad de Datos, que orienta la elaboración de este

documento.

Es necesario asegurar que el personal con acceso a dcp conoce las funciones y

obligaciones que tiene, y en particular, en lo relativo al deber de secreto y

confidencialidad.

MEDIDAS DE SEGURIDAD:

• Nivel alto

• Nivel medio

• Nivel básico

Principio de seguridad de los datos

(Art. 9 LOPD)

NIVEL ALTO

Ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual (denominados datos especialmente protegidos o sensibles); los recabados con fines policiales sin consentimiento de las personas afectadas; y los derivados de actos de violencia de género.

( A veces no caemos en la cuenta de que tratamos datos de nivel alto: por ej. la solicitud de Balnearios del IMSERSO contiene informes médicos).

Apartado 4 del artículo 7 LOPD “Datos especialmente protegidos”

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Reglamento: Sección 3.ª Medidas de seguridad de nivel alto Artículo 111. Almacenamiento de la información.

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté

protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas

deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir

lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en

el documento de seguridad.

NIVEL MEDIO

Ficheros que contengan datos relativos a servicios financieros o de información sobre solvencia patrimonial e crédito.

Ficheros que contengan dcp que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos,(el caso de los curriculos).

NIVEL BÁSICO:

Cualquier fichero que contenga dcp.En algunos supuestos se aplica a los que contengan

datos de ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual, como por ejemplo, si los datos de salud se refieran exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez, con motivo del cumplimiento de deberes públicos (Art 81.6 de RD 1720/2007)

El/la profesional: trabajador/a social

Consentimiento + Información

Los dos pilares de la actuación profesional

CONSENTIMIENTO INFORMADO

Las/os Trajadoras/es Sociales de atención directa son los que recogen los dcp por tanto lo

normal es que sean los que: aporten la INFORMACIÓN OBLIGATORIA

y RECABEN EL CONSENTIMIENTO (arts. 5 y 6 LOPD).

Si previamente a la primera entrevista entre Trabajador/a social y cliente hay ya una recogida de datos y registro de los mismos realizada por personal administrativo, procedería firmar* en este momento el consentimiento informado. Para llevarlo a cabo el personal administrativo debe estar preparado.

* Mas adelante se explica porque la conveniencia de firmarlo.

CITA PREVIA POR TELÉFONO

MI CONSULTA A EXPERTO EN TEMA:En muchos centros de servicios sociales funcionan con cita previa por

teléfono o personalmente. Cuando les recogen su nombre y apellidos, para darles la cita, ya hay un tratamiento de datos. El fichero de citas tendría que estar declarado y lo más fácil creo que sería tener una grabación con el contenido de la información obligatoria del artículo 5 y diciendo que otorgaría su consentimiento para el registro, que se escuchase antes de que le atienda la persona que da las citas, ¿Te parece correcto esto?

RESPUESTA EXPERTO EN TEMA.Me parece correcta la alocución pregrabada para informar a los

solicitantes de cita por teléfono. Es una técnica que recomendamos siempre y que poco a poco se va imponiendo.

Principio del derecho de información (Art. 5, Ley 15/1999)Los interesados a los que se soliciten datos personales deberán

ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los

destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Obligación de informar.a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida de éstos y de los destinatarios de la información.Finalidad:Este punto es uno de los más complejos, puesto que resulta difícil concretar la finalidad de la

recogida de datos en el ámbito de los servicios sociales por la diversidad y pluralidad de situaciones que se presentan, puesto que es fácil caer en la formulación de una finalidad muy genérica, cuestión que puede traer complicaciones, y por otro lado, detallar demasiado la finalidad convertiría esta tarea en algo demasiado engorroso. Al respecto Víctor Salgado en el transcurso de una conferencia, manifestaba que lo adecuado sería establecer 3 o 4 líneas de actuación reflejadas en finalidades, y hacer 3 o 4 modelos para recabar el consentimiento e informar. En este sentido, por ejemplo en servicios sociales comunitarios, no sería conveniente definir la finalidad con una forma tan genérica como la intervención social, pues podría resultar demasiado imprecisa, pero tampoco especificar concretamente “solicitud de ingreso en residencias” o “solicitud de una ayuda social x”. Lo más práctico sería definir las líneas básicas de intervención que en los servicios mencionados, a nivel municipal, podrían corresponderse con algunas de estas finalidades:

• Atención social y seguimiento, gestión de recursos sociales (servicios y programas sociales y prestaciones socio-económicas).

• Incorporación al servicio de ayuda en el hogar y servicios complementarios de teleasistencia, lavandería y comida a domicilio.

• Incorporación al programa de educación familiar.• Incorporación al programa de inserción socio-laboral

La cuestión de precisar los destinatarios resulta también compleja, pues detallarlos no resultaría práctico, por tanto el mismo criterio para definir las finalidades podría servir para los destinatarios, ni muy genéricos ni muy precisos.

A modo de ejemplo, continuando con los servicios sociales comunitarios, podrían plantearse:• Servicios de la Administración Autonómica con competencias en servicios sociales.• Entidad prestadora del servicio de ayuda en el hogar y servicios complementarios.• Entidades colaboradoras en el programa de inserción socio-laboral

Sin embargo, en algunos casos, la definición de la finalidad del fichero se presenta de manera sencilla si se trata de ficheros con finalidades muy concretas. Así el ejemplo antes mencionado de “solicitud de ingreso en residencia”, podría ser la finalidad de un “fichero de demandantes de plaza en centros de internamiento de personas mayores“ creado por el departamento de la administración autonómica que es responsable de la gestión de plazas en estos centros. Otro caso sería por ejemplo el de asociaciones de carácter social que llevan un registro de voluntarios colaboradores; en este caso el fichero de voluntarios tendría una finalidad muy concreta que sería la gestión de la participación voluntaria: planificar y organizar la colaboración prestada por los voluntarios, contactar con los mismos, así como la gestión de los seguros correspondientes. En este caso los destinatarios también tendrían fácil determinación, podrían ser por ejemplo el departamento de actividades de ocio y deportivas y los gestores del seguro de voluntarios, a los que se les trasmiten los datos de los voluntarios para el desarrollo de las colaboraciones encomendadas.

Esto lleva al planteamiento de la posibilidad de registrar un fichero con finalidades más genéricas o varios con finalidades más específicas, esto es posible y dependerá del diseño del sistema de registro y tratamiento de la información que la entidad quiera incorporar.

Destinatarios:

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

Este punto resulta también complejo, puesto que en la pluralidad de líneas de intervención que en los servicios sociales se presentan, siempre habrá datos que son de carácter obligatorio y otros serán de carácter facultativo. En principio la persona afectada es libre para aportar la información que considere en el momento de presentar la demanda, pero por ejemplo, si se inicia un procedimiento de solicitud de un recurso, siempre habrá datos de carácter obligatorio qué es preciso que aporte para hacerlo efectivo. ¿Cómo resolver entonces esta cuestión? Una solución posible es informar que se indicará oportunamente que datos son de carácter obligatorio y cuales son facultativos, o bien, informar que los datos señalados por ejemplo con un asterisco en un documento impreso son de carácter obligatorio.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

Este punto se relaciona directamente con el anterior y en este sentido procedería indicar que la negativa de aportar determinados datos que son de carácter obligatorio puede suponer la paralización o baja en el procedimiento de gestión de un recurso: solicitud de ayuda económica, baja en un programa de atención social, etc.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Este apartado puede indicarse literalmente como está expresado en la ley, ya que lo que implica es informar de la posibilidad de ejercitar estos derechos, es decir,

“Se le informa que puede usted ejercer los derechos de acceso, rectificación, cancelación y oposición ante…”

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Este es uno de los puntos más sencillos, puesto que resulta fácil señalar el responsable del tratamiento y la dirección completa del mismo, ya que son los datos indicados en el momento de registrar el fichero.

El responsable puede ser una persona física o jurídica.

CONSENTIMIENTO

SE EXIGE SIEMPRE, salvo en casos especiales. El tratamiento de los datos de carácter personal requerirá el

consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.***

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con

delimitación de la finalidad para los que se recaba …

En algunos supuestos que no se exige consentimiento si es obligatorio el deber de informar (Ej cámaras de videovigilancia)

Por regla general siempre se exige consentimiento, salvo excepciones o ley que lo ampare***

Ante un caso de un menor en situación de desamparo, se solicita información al colegio. No es necesario consentimiento de los padres para aportarla, pues una ley, en este caso la Ley 1/1996 de Protección jurídica del menor, lo ampara, en base al principio de Interés Superior del Menor.

Sin embargo, si se solicita información sobre una persona atendida en un servicio de atención a drogodependencias, no hay ley que ampare el dar dicha información sin consentimiento, si cae fuera de la finalidad y destinatarios previstos en el momento que se recogieron esos datos, y se informó y recabó el consentimiento al respecto.

Recuérdese que aunque no se exija consentimiento en determinados casos, si hay “siempre” obligación de informar.

Punto 2 del artículo 6 de la LOPD2. No será preciso el consentimiento cuando los

datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público …

…/…

Apartado 6 del art. 7. Datos especialmente protegidos

(No será preciso el consentimiento… cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado)

Apartado 6: …cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

FUENTES ACCESIBLES AL PÚBLICOFicheros que pueden ser consultados, por cualquier persona no impedida por una norma limitativa o sin más exigencia que, en

su caso, el abono de una contraprestación. Cualquier dato contenido en estas fuentes puede ser recogido y

tratado SIN CONSENTIMIENTO de los afectados.

• CENSO PROMOCIONAL. Se correspondería con el censo electoral sin las personas que solicitaron ser borradas. Podrá ser utilizado con fines publicitarios.

• REPERTORIOS TELEFÓNICOS. Al igual que del censo promocional, podemos solicitar ser borrados de la guía telefónica .

• LISTAS DE PERSONAS DE GRUPOS PROFESIONALES que contengan únicamente los datos de: nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. El profesional puede dirigirse a su colegio para que lo retiren de la lista.

• DIARIOS Y BOLETINES OFICIALES.• MEDIOS DE COMUNICACIÓN (TV; Radio; periódicos.¿Es internet un

medio de comunicación?:No lo es a efectos de considerase fuente accesible!¡)

TÁCITO: consiste en informar a la persona y ofrecerle mecanismos para que pueda negarse, si no lo hace, se entiende que tenemos el consentimiento tácito. Todo los datos que no sean sensibles, se pueden obtener por consentimiento tácito.

EXPRESO: Se exige cuando se recaben datos relativos al origen racial, salud y vida sexual, excepto si hay razones de interés general en base a la ley.

ESCRITO: Sólo se exige si se recaban datos relativos a la ideología, afiliación sindical, religión y creencias, (excepto los ficheros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, asociaciones, fundaciones y otras entidades sin ánimo de lucro que tengan una finalidad política, filosófica, religiosa o sindical, sen perjuicio de que la cesión de datos precisará siempre el previo consentimiento del afectado).

TIPOS DE CONSENTIMIENTO.

DERECHOS DE LAS PERSONAS DE LAS

CUALES SE RECABAN DATOS.

• DERECHO DE ACCESO• DERECHO DE RECTIFICACIÓN• DERECHO DE CANCELACIÓN• DERECHO DE OPOSICIÓN• etc

DERECHO DE ACCESO

• Derecho a solicitar y obtener gratuitamente información de sus dcp sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.(Art.15.1,Ley15/1999)

• Se resolverá la solicitud en un mes desde su recepción. Si no se disponen de datos se informará de esto en el mismo plazo, y si fuese estimada y no se aportase la información se contará con 10 días para ello.(Art. 29, RD 1720/2007)

DERECHO DE RECTIFICACIÓN

• Derecho a que se modifiquen los datos que resulten inexactos o incompletos. (Art. 31.1 RD 1720/2007 y Art. 16 Ley 15/1999).

• Se resolverá su solicitud en un plazo de 10 días desde su recepción. Si no se disponen de datos se comunicará en el mismo plazo.

Recomendación a tener en cuenta:

Si un cliente quiere ejercer el derecho de acceso, tengamos la precaución de tener sus datos actualizados, puesto que el cumplimiento de la obligación de rectificar no deriva del hecho de que las personas afectadas lo soliciten, sino que la ley exige que se rectifiquen una vez se tenga conocimiento de la inexactitud.

DERECHO DE CANCELACIÓN

• Derecho a que se supriman los datos que resulten ser inadecuados o excesivos. La cancelación da lugar al bloqueo de los datos. (Art. 31.2 RD1729/2007 y Art. 16 Ley 15/1999).

• Se resolverá su solicitud en un plazo de 10 días desde su recepción. Si no se disponen de datos se comunicará en el mismo plazo.

DERECHO DE OPOSICIÓN

• Derecho a que no se lleve a cabo el tratamiento de los dcp o se cese en el mismo.

• Se resolverá su solicitud en un plazo de 10 días desde su recepción. Si no se disponen de datos se comunicará en el mismo plazo.

DERECHO DE INDEMNIZACIÓN La AEPD cobra las sanciones que impone pero de

esta cantidad la persona afectada no percibe nada.

No obstante, en el art 19 de la Ley 15/1999se indica que los interesados tendrán derecho a ser indemnizados:

• Ficheros de titularidad pública: conforme a la legislación de las Administraciones Públicas.

• Ficheros de titularidad privada: a través de la jurisdicción ordinaria.

MULTAS POR TIPOS DE SANCIONES

¡ESTAS MULTAS SÓLO SE APLICAN AL ÁMBITO PRIVADO NO AL PÚBLICO!

• Infracciones leves:• Infracciones graves:• Infracciones muy graves:

900 a 40.000 €. 40.001 a 300.000 €. 300.001 a 600.000 €.

Artículo 44. Tipos de infracciones. 1. Las infracciones se calificarán como leves, graves o muy graves. 2. Son infracciones leves: • No remitir a la Agencia Española de Protección de Datos las

notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

• No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

• La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

3. Son infracciones graves: • Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de

carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

• Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

• Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

• La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

• El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

• El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

• No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

• La obstrucción al ejercicio de la función inspectora.• La comunicación o cesión de los datos de carácter personal sin contar con legitimación

para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

4. Son infracciones muy graves:

• La recogida de datos en forma engañosa o fraudulenta.• Tratar o ceder los datos de carácter personal a los que se

refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

• No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

• La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

EPÍLOGONo debemos confiarnos y pensar que con registrar los ficheros y hacer el Documento de Seguridad “ya hemos

acabado”.

El cumplimiento de la normativa de protección de datos es un ejercicio diario (dar de alta o modificar ficheros,

actualizar el documento de seguridad, observar diariamente el cumplimiento de las obligaciones etc)