i jornadas puertas abiertas - ponencia

1Agencia Española de Protección de Datos


Ámbito de aplicación y principiosResponsable y encargadoDerechosFicheros específicos


Ámbito de aplicación y principios generalesEl responsable y el encargado

Derechos de acceso, rectificación, cancelación y oposición

Agustín Puente EscobarAbogado del Estado

Jefe del Gabinete Jurídico de la AEPD


Ámbito de aplicación objetivo

• Regla general– Aplicación a todo tratamiento automatizado– Aplicación a tratamientos manuales si existe

fichero

• Especialidades– Personas fallecidas– Empresarios individuales– Personas de contacto


Ámbito de aplicación territorial

• Regla general– Tratamiento en el marco de la actividad de un

establecimiento del responsable en España

• Especialidades– Aplicación de la medidas de seguridad a los

encargados de responsables no sujetos a la ley española

– Aplicación a responsables extracomunitarios que utilicen para el tratamiento medios situados en España


Exclusiones y supuestos especiales

• Exclusiones– Actividades personales o domésticas

• Relacionadas con la vida privada y familiar• De los particulares

– Materias clasificadas– Investigación del terrorismo y formas graves

de delincuencia organizada• Comunicación a la AEPD

• Supuestos sometidos a legislación específica (art. 2.3 LOPD)


Nuevas definiciones relevantes

• Dato personal/persona identificable– “Esfuerzo desproporcionado”

• Dato de salud• Fichero no automatizado• Ficheros de titularidad pública/privada• Responsable del fichero o “del” tratamiento

– Posibilidad de que el responsable no realice materialmente el tratamiento

• Transferencias internacionales de datos• Fuentes accesibles al público


Principios de calidad de datos

• Reiteración de los principios de la LOPD

• Aclaraciones en el principio de exactitud– Presunción de exactitud de los datos facilitados

por el afectado– Deber de rectificación o cancelación de oficio de

datos inexactos, incompletos o inadecuados– Excepciones basadas en la aplicación de la

normativa específica

• Fines históricos, científicos y estadísticos: remisión normativa


Legitimación para el tratamiento:sistematización

• Sistematización– Regulación asimilada a la normativa comunitaria.

Supuestos• Aplicables a todo tratamiento• Aplicables a la recogida• Aplicables a la cesión

– Aclaración de la regla del interés legítimo• Basada en la Ley• Basada en una “relación jurídica” (concepto

amplio)• Basada en fuentes accesibles al público


Legitimación para el tratamiento:aclaraciones

• Habilitación legal (interna o comunitaria)– Por previsión expresa– Por imposición de un deber que implique el

tratamiento– Por reconocimiento de un derecho o interés

legítimo que sólo se pueda lograr con el tratamiento

• Administraciones Públicas (cesión)– Fines históricos, científicos y estadísticos– Elaboración– Competencia idéntica o sobre la misma materia


Consentimiento del afectado

• Caracteres generales– Referencia a tratamientos y finalidades– Especialidades para el consentimiento a la cesión– Carga de la prueba de quien recaba el

consentimiento– Revocabilidad

• Diferenciación con el ejercicio del derecho de cancelación

• Procedimiento


Consentimiento de menores

• Regla general: regla de los catorce años, salvo excepción legal

• Límites a la recogida en todo caso– Información del grupo familiar (datos de terceros)– Salvo para recabar la autorización de progenitores o

tutores• Deberes

– Información sencilla– Aplicación de procedimientos que garanticen

• La comprobación de la edad • La comprobación del consentimiento prestado


Recogida del consentimiento

• Obtención del consentimiento “tácito”– Contenido de la información– Medios de solicitud– Negativa sencilla y gratuita– Límites temporales

• Consentimiento en contratos de adhesión para fines no vinculados al desarrollo del contrato– Separación– Consentimiento específico (casillas no

premarcadas)


Deber de informar

• Aplicación de las reglas generales de la LOPD

• Especialidades– Carga de la prueba

• Posibilidad de conservación en soporte distinto del original

– Supuestos de reestructuración societaria• No suponen cesión de datos, sino cambio de

responsable• Deberá en todo caso informarse al afectado


Encargado del tratamiento

• Cuestiones generales– No generación de un “nuevo vínculo” entre el

encargado y el afectado– Deber de diligencia del responsable en su elección

• Consecuencias de la terminación del contrato– No procederá destruir los datos si la Ley obliga a

su conservación– Posible conservación de datos bloqueados si

pudieran derivarse responsabilidades por el servicio prestado


Encargado del tratamiento

• Relaciones con otros encargados– Posible transmisión a otro encargado durante el

contrato, siguiendo instrucciones– “Devolución” a un nuevo encargado designado por

el responsable• Subcontratación

– Por apoderamiento al primer encargado– Por constancia en el contrato (ab initio o por

addenda posterior)• Otras reglas especiales

– Ejercicio de derechos– Medidas de seguridad



• Quién puede ejercitar los derechos (art. 23 RPD)– Carácter personalísimo: ejercicio por el afectado

• Acreditación de su identidad• Posible uso de medios electrónicos• En particular: uso de medios de atención al cliente

– Ejercicio a través de terceros• Representación legal en caso de menores e incapacitados• Representación voluntaria. Características:

• Poder especial• Medio fehaciente• Otorgamiento “apud acta” en las AAPP y

Administración de Justicia– Denegación si no es aplicable uno de estos supuestos

• Concesión de un plazo de subsanación



• Caracteres de estos derechos– Independencia. No será necesario el ejercicio del acceso

para ejercitar los de rectificación, cancelación y oposición– Sencillez

• Utilización de servicios de atención al público o ejercicio de reclamaciones

• Posible establecimiento de canales de atención del derecho

• Deber de resolver incluso en caso de no usarse esos canales

– Gratuidad • Prohibición de ingreso por el responsable del fichero• Prohibición de determinados cauces (cartas certificadas,

tarificación adicional)



• Otras cuestiones relevantes– La prueba del cumplimiento del deber de

respuesta recae sobre el responsable del fichero• Conservación de la acreditación acreditativa

del cumplimiento• Posible conservación en otros soportes

(aplicación analógica del art. 18)– Posible ejercicio ante un encargado del

tratamiento• Regla general: el encargado ante el que se

ejercita el derecho dará traslado de la solicitud al responsable

• Posible estipulación expresa en el contrato


Derecho de acceso

• Concepto: Derecho a obtener información sobre:– los datos de carácter personal objeto de tratamiento,

finalidad del tratamiento.– el origen de dichos datos– las comunicaciones realizadas o previstas de los mismos

• Alcance– Sobre datos concretos– Sobre los datos incluidos en un determinado fichero – La totalidad de sus datos sometidos a tratamiento

• Posible solicitud de aclaración por el responsable– Deberá facilitar un listado de los ficheros, para que el

interesado le indique, en su caso, respecto de cuáles solicita el acceso


Derecho de acceso

• Otorgamiento – Plazo: un mes desde la solicitud– Si no se facilita la información, el acceso deberá

hacerse efectivo en 10 días– Desestimación presunta, a efectos de tutela de derecho

• Contenido – Datos del afectado

• “De base”• “Obtenidos de cualquier elaboración o proceso

informático”– Origen de los datos, individualizado si fueran varios– Cesionarios de los datos– Usos y finalidades para las que se almacenaron los

datos– La información será legible e inteligible


Derecho de acceso

• Especialidades de ejercicio– Selección del medio de acceso

• Seguridad• Disponibilidad por el afectado

• Denegación – Casos

• Por ejercicio reiterado: – Una vez cada 12 meses salvo que exista causa legítima

• Por prohibición legal, norma Comunitaria de aplicación directa.

• Por prohibición legal de revelación – Información acerca de la posibilidad de tutela por la AEPD– No referencia a la norma que justifica la denegación


Derechos de rectificación y cancelación

• Concepto– Rectificación: derecho del afectado a que se

modifiquen los datos que resulten ser inexactos o incompletos

– Cancelación: derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este RD

• Distintos del derecho del afectado a la revocación del consentimiento previamente prestado



• Especialidades de ejercicio– Necesaria aportación de documentación acreditativa

• En caso de solicitarse la rectificación– Indicación del dato inexacto y de la corrección que

proceda– En su caso, documentación acreditativa de la

rectificación• En caso de solicitarse la cancelación

– Indicación del dato inexacto o erróneo (con documentación)

– Plazo: 10 días desde la solicitud (denegación presunta), a los efectos de la tutela



• Otorgamiento– Rectificación o cancelación solicitada– Si los datos rectificados o cancelados

hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación en diez días, y no lo comunicará al interesado



• Denegación• Cuando los datos de carácter personal

deban ser conservados durante los plazos previstos en las disposiciones aplicables

• Durante la vigencia de las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos

• Por prohibición legal, o norma Comunitaria de aplicación directa.

• Por prohibición legal de revelación


Derecho de oposición

• Modalidades ( artículo 34, a) b) c) ):– Oposición “strictu sensu”:

• Cuando no sea necesario el consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario

– Opt-out en marketing:• Sin necesidad de acreditar causa legítima

– Decisiones automatizadas:• derecho a no verse sometidos a una decisión con efectos

jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta


Derecho de oposición

• Plazo de ejercicio– 10 días desde la recepción de la solicitud

• Oposición “strictu sensu”– Acreditación de la situación que la justifica

• Excepciones en relación con las decisiones automatizadas (según la Directiva 95/46/CE) Artículo 36– La decisión se adopta en el marco de la celebración o

ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso,el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones

– La decisión está autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado


Ficheros de información sobre solvencia patrimonial y crédito

Tratamientos para actividades de publicidady prospección comercial

Jesús Rubí NavarreteAdjunto al Director de la

Agencia Española de Protección de Datos



• Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

• Requisitos para la inclusión de datos (art. 38)– Cumplimiento o incumplimiento (ficheros

positivos y negativos)• Los requisitos para la inclusión, vinculados

a la existencia de una deuda previa excluyen la legitimación del art. 29.2 LOPD para los ficheros positivos.



• Cont. – No se haya entablado reclamación judicial, arbitral o

administrativa.• Actuación proactiva:

– La iniciativa del acreedor para el cobro no impide la inclusión.

– La iniciativa del presunto deudor que cuestiona la existencia o cuantía de la deuda excluye la inclusión.

– La conducta activa del deudor en una contienda judicial, arbitral o administrativa, promovida por cualquier parte (acreedor o deudor) que discuta la existencia de la deuda o su cuantía, impide la exclusión.



• Cont.• La reclamación administrativa impide la

inclusión si la autoridad administrativa es competente para resolver, directa o indirectamente, sobre la existencia o cuantía de la deuda.

• La reclamación ante la AEPD no impide la inclusión por no ser una autoridad administrativa competente sobre la existencia o cuantía de la deuda.



• Reclamación conforme al RD 303/2004, de 20 de febrero, de Comisionados para la Defensa del Cliente:– Ámbito servicios financieros:

• Comisionados de Defensa de Servicios Bancarios, para la Defensa del Inversor y para la Defensa del Asegurado y del Partícipe en Planes de Pensiones.

• Reclamaciones (excluye quejas y consultas) (Definiciones art. 1.3).



• Cont. – Reclamaciones previas ante departamentos o

servicios de atención al cliente, o en su caso, ante el defensor del cliente.• Impide la inclusión al ser un requisito previo

para la presentación ante el Comisionado.• Inadmisión, denegación o plazo de 2 meses.

Permite la inclusión hasta la prestación de la reclamación ante el Comisionado.

– Cancelación tutelar.



• Cont.– Información previa a la inclusión (arts. 39 y 40)

• Celebración del contrato inicial respecto del que el impago pueda determinar la inclusión.

• Requerimiento previo de pago.• Notificación de la inclusión.• Sistema auditable de la emisión y control de

devoluciones (salvo envíos rehusados).• Dirección pactada contractualmente en requerimiento

y notificación (art. 8.5 presunción de exactitud de los datos recogidos directamente del afectado).



• Conservación de los datos (art. 41)– Cancelación inmediata por pago o cumplimiento (10

días. Art. 8.5).– Cancelación en el fichero común por transcurso de 6

años desde el vencimiento de la obligación o del plazo de deudas de vencimiento periódico.

• Acceso a la información (art. 42).– Adecuado para enjuiciar la solvencia económica (pº de

finalidad).– Información escrita al afectado sobre el derecho a

consultar (pretensión de contratar con pago aplazado o servicios de facturación periódica).

– Información no escrita en contratación telefónica (prueba).



• Responsabilidad (art. 43)– Acreedor.

• Derechos. Rectificación o cancelación– Ante el responsable del fichero común

• Traslado a la entidad informante para resolver.

• Rectificación o cancelación cautelar:– 7 días desde que se comunique a la entidad

informante sin respuesta.– Con el límite máximo de 10 días desde que se

ejerció el derecho.


Tratamientos para actividades de publicidad y prospección comercial

• Datos susceptibles de tratamiento e información al interesado (art. 45).– Sujetos:

• Se dediquen específicamente a actividad publicitaria.

• Promocionen sus propios productos– Legitimación.

• Fuentes accesibles al público:– Concepto amplio art. 7.b) y c).– Información en cada comunicación comercial

Origen: fuentes accesibles y entidad.



• Cont. – Consentimiento.

– Forma de obtener el consentimiento (art. 14).– Consentimiento de menores (art. 13).– Información para obtener el consentimiento.

“Sectores específicos y concretos de actividad” (Informes Gabinete Jurídico AEPD 399/03 y 325/04)

– Conservación e información (art. 18.2).– Consentimiento en relación contractual para

fines no relacionados con ella (publicidad) (art. 15).



• Tratamiento de datos en campañas publicitarias (art. 46).– Contratación o encomienda a terceros:

• Responsabilidad del tratamiento en función de la fijación de los parámetros identificativos de los destinatarios (incluso sin acceso material a la información).

• Parámetros identificativos: variables utilizadas para identificar al público objetivo.

• Diligencia sobre cumplimiento de la LOPD y Rgto. Por la entidad contratada: Proporcionalidad.



• Depuración de datos personales (art. 47)– Tratamiento cruzado de ficheros

– Delimitación de clientes propios y potenciales clientes

– Fines promocionales

– Cesión de datos



• Ficheros de exclusión– De la entidad

• Negativa (inicial o revocación) y oposición (cancelación).

• Medidas para evitar la publicidad.– Comunes: sectoriales o generales.

• Negativa (inicial o revocación) oposición (cancelación).

• Información s/ ficheros comunes de exclusión (responsable, domicilio, finalidad).

• Incorporación voluntaria por el afectado.• Consulta previa a los tratamientos publicitarios.



• Derechos– Campañas publicitarias encargadas

(encomendadas) a terceros.– Ante el beneficiario de la campaña:

• Comunicación al responsable (10 días desde recepción de la solicitud).

• Comunicación al afectado.• Otorgamiento o denegación motivada por el

responsable (10 días desde recepción de la comunicación).

– Facilitar el ejercicio de derechos.

i jornadas puertas abiertas - ponencia

Documents