Ley de Protección de datos Personales (LOPD)

Objeto y ámbito de aplicación LOPD

La Ley Orgánica de Protección de Datos de Personales tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Ámbito territorial de aplicación:

Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho
Internacional público.

Cuando el responsable del tratamiento no esté establecido en territorio de la
Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

El régimen de protección de los datos de carácter personal no será de aplicación:

A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, también a personas físicas cuando en la prestación de un servicio a personas jurídicas, estas últimas tienen datos únicamente relativos al nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

Tampoco será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

  • A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
  • A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la Ley Orgánica de Protección de Datos Personales los siguientes tratamientos de datos personales:




  • Los ficheros regulados por la legislación de régimen electoral.
  • Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
  • Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas.
  • Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
  • Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Esta Ley de Protección de datos personales está desarrollada por REAL DECRETO 1720/2007, de 21 de diciembre. En este documento es dónde se encuentran las medidas de seguridad a aplicar en función de los datos personales que se tengan.

Por ello, a partir de este punto del presente documento, se incluirán las siglas RMS para hacer mención al RD 1720/2007. Se recomienda tener a mano dicho RMS como lectura complementaria y necesaria del presente manual.

Fases de los Datos Personales

Momento de recabación de los datos

  • Principio de Calidad de los datos
    • Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
    • Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.
    • Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.
    • Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
    • Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste.
    • Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello.
    • Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido.
    • En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.
    • Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.

  • Principio de Derecho de información.
    • Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
    • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante (este caso para cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos (más allá de fines de tránsito) medios situados en territorio español.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere los puntos anteriores.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de la existencia de un fichero y de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la identidad y dirección del responsable del tratamiento.

No será de aplicación lo dispuesto en el párrafo anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

  • Principio de Consentimiento del afectado.

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.

Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

No será preciso el consentimiento cuando los datos de carácter personal se recojan para:

    • El ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.
    • Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.

Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

  • Principio de Inscripción de Ficheros.

El Responsable del Fichero tiene la obligación de inscribir los ficheros en el Registro general de Ficheros de Datos Personales de titularidad privada o pública. Para ello, se debe poner en contacto con la Agencia de Protección de Datos Personales y realizar la creación del fichero incluyendo los siguientes contenidos:

    • La identificación del fichero o tratamiento, indicando su denominación, así como la descripción de su finalidad y usos previstos.
    • El origen de los datos, indicando el colectivo de personas sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos y su procedencia.
    • La estructura básica del fichero mediante la descripción detallada de los datos identificativos, y en su caso, de los datos especialmente protegidos, así como de las restantes categorías de datos de carácter personal incluidas en el mismo y el sistema de tratamiento utilizado en su organización.
    • Las comunicaciones de datos previstas, indicando en su caso, los destinatarios o categorías de destinatarios.
    • Las transferencias internacionales de datos previstas a terceros países, con indicación, en su caso, de los países de destino de los datos.
    • Los órganos responsables del fichero.
    • Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
    • El nivel básico, medio o alto de seguridad que resulte exigible, de acuerdo con lo establecido en el título VIII del Reglamento de Medidas de Seguridad.

Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información

Puntúe el artículo

MaloPobreNormalBuenoExcelente (No existen Votos, Puntúa el primero)
Cargando...

El autor

Admin Gestion-Calidad.com

Consultor-Auditor en Sistemas Integrados de Gestión y Conformidad de Producción

1 comentario

Añadir un comentario
  1. FRANKLIN ALFREDO DEARCO

    La protección de datos ,deber ser algo mas estricto motivo para que la delincuencia tenga sanciones mas severas al utilizar información no autorizada para fines de extorsion o amenazas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.