Lopd Abogados

aB
aBOGa.mark
Marketing y Consultoria Comercial para despachos de Abogados
aBOGa.mark
aB
Marketing y Consultoria Comercial para despachos de abogados
Indice de Contenidos
Pag. 2.- CONCEPTOS ESENCIALES DE LA L.O.P.D.

Pag. 2.- Qu es la LOPD?
Pag. 3.- Qu son datos de carcter personal?
Pag. 4.- Qu es un tratamiento de datos de carcter personal?
Pag. 5.- Quin es el Responsable del Fichero o del tratamiento?
Pag. 5.- Qu es un Encargado del Tratamiento?
Pag. 6.- Ejemplos de encargos de tratamiento en la prctica profesional de
los despachos jurdicos
Pag. 9.- Principales obligaciones del Responsable del Fichero
Pag.10.- Beneficios del cumplimiento de la normativa de proteccin de datos
personales
Pag. 11.- INSCRIPCION DE FICHEROS
Pag. 11.- PRINCIPIOS DE LA PROTECCION DE DATOS
Pag. 11.- Calidad de los datos (art. 4 de la LOPD)
Pag. 13.- Informacin en la recogida de datos (art. 5 de la LOPD)
Pag. 14.- Consentimiento (art. 6 de la LOPD)
Pag. 15.- Datos especialmente protegidos (art. 7 de la LOPD)
Pag. 15.- Datos relativos a la salud (art. 8 de la LOPD)
Pag. 16.- Seguridad de los datos (art. 9 de la LOPD)
Pag. 16.- Deber de secreto (art. 10 de la LOPD)
Pag. 17.- Cesin o comunicacin de datos (art. 11 de la LOPD)
Pag. 19.- Acceso a Datos por cuenta de Terceros -Encargado del tratamiento-
(art. 12 de la LOPD)
Pag. 20.- LOS DERECHOS DEL INTERESADO
Pag. 20.- Disposiciones Generales
Pag. 22.- Derecho de Acceso
Pag. 25.- Derecho de Rectificacin
Pag. 27.- Derecho de Cancelacin
Pag. 31.- Derecho de Oposicin
Pag. 32.- LAS MEDIDAS DE SEGURIDAD
Pag. 32.- Las Medidas de Seguridad
Pag. 34.- El Documento de Seguridad
Pag. 42.- QUE DEBE INCLUIR UN BUEN TRABAJO DE ADECUACION A LA L.O.P.D.?
Pag. 43.- QUE PUEDE HACER ABOGAMAR POR SU DESPACHO?
C/ Modesto La Fuente 19, Bajo Izda. - 28003 - Madrid - 912 300 397 - www.abogamark.es
aBOGa.mark
CONCEPTOS ESENCIALES DE LA L.O.P.D.

Qu es la LOPD?
La Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin de Datos de Carcter Personal o

LOPD, como normalmente es conocida, establece una serie de obligaciones para las empresas, los
profesionales autnomos y las Administraciones Pblicas, que sean titulares de ficheros con datos
de carcter personal. Es decir, la LOPD abarca no slo a las empresas privadas sino tambin a perso-
nas fsicas en el desempeo de su actividad profesional, a las Administraciones Pblicas, asociacio-
nes, y, en general, a toda persona que trate datos de carcter personal.
El derecho a la proteccin de datos es un derecho del mximo rango constitucional, protegido por
el artculo 18.4 de la Constitucin Espaola, que dice: "La ley limitar el uso de la informtica para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos". A partir de este artculo, la Sentencia del Tribunal Constitucional 292/2000 estableci
que el derecho a la proteccin de datos es un derecho fundamental autnomo.
Es, de acuerdo con la jurisprudencia constitucional, un derecho independiente pero relacionado con
otros derechos fundamentales como el derecho a la intimidad personal y familiar, el derecho al
honor o el derecho a la propia imagen.
Por su significacin, merece la pena destacar algunos pronunciamientos de la mencionada sentencia

constitucional (STC 292/2000):
"[El] derecho fundamental a la proteccin de datos, a diferencia del derecho a la intimi-
dad...atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder
jurdico de imponer a terceros la realizacin u omisin de determinados comportamien-
tos...".
"...Garantiza a los individuos un poder de disposicin sobre esos datos...que...nada vale si el

afectado desconoce qu datos son los que poseen terceros, quines los poseen y con qu
fin...".
El objeto de proteccin no se reduce slo a los datos ntimos "sino a cualquier dato perso-
nal, sea o no ntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus dere-
chos, sean o no fundamentales, porque su objeto no es slo la intimidad individual, que
para ello est la proteccin que el articulo 18.1 CE otorga, sino los datos de carcter perso-
nal".
Como ya hemos indicado, la LOPD establece una serie de obligaciones para las empresas y los profe-
sionales que sean titulares de ficheros con datos de carcter personal, al tiempo que contempla
unos derechos de los ciudadanos titulares de los datos que es necesario tener en consideracin para
el caso de que los ejerza ante un responsable de un fichero o tratamiento. Por ejemplo, cualquier
2
Ga
aBOGa.mark
persona fsica (interesado o afectado, utilizando la nomenclatura de la LOPD) puede dirigirse a un

abogado ? titular de un fichero -, ejerciendo un derecho de los contemplados en la LOPD (de entre
los que destacan los derechos de acceso, rectificacin, cancelacin y oposicin) y el titular del fiche-
ro (el abogado), est obligado a atender el ejercicio del derecho (a contestarle en los trminos esta-
blecidos en la norma), aunque no tenga ningn dato sobre esa persona en sus ficheros.
Para mejor exponer, y comprender, estas obligaciones que marca la LOPD indicaremos que parte
de su articulado remite a desarrollo reglamentario y este desarrollo se ha producido mediante la
publicacin del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la LOPD (en adelante tambin "el Reglamento de la LOPD" o el "Real Decreto
1720/2007"). Ambas normas (la LOPD y su Reglamento), contemplan definiciones que es necesario
conocer para poder interpretarlas, algunas de las cuales veremos a continuacin.
Qu son datos de carcter personal?
Son datos personales cualquier informacin concerniente a personas fsicas identificadas o identifi-
cables. Simplemente el nombre y los apellidos de una persona fsica ya son datos personales, pero
tambin lo son, por ejemplo, otros datos de carcter identificativo (nmero de DNI, domicilio, la
imagen, la direccin de correo electrnico,...); datos de caractersticas personales (nacionalidad,
sexo, fecha de nacimiento...); datos acadmicos, profesionales y de detalles del empleo; o datos de
informacin comercial, econmico-financieros o de transacciones.
Por ejemplo, en los despachos, podemos encontrar habitualmente:
Nombre y apellidos de los clientes

Nmero de documento identificativo (NIF, Pasaporte, etc.) de los clientes
Direccin de los clientes
Telfonos de contacto de los clientes
Nombre y apellidos de los procuradores
Direccin y telfono de los procuradores
Datos de informacin econmica que puedan configurar el perfil econmico de una
persona (nminas, declaraciones de renta, etc.)
Datos sobre infracciones penales o administrativas en las que hubiera podio incurrir
algn cliente
etc.
El soporte o medio fsico en que se encuentren los datos, en principio, de cara a su esencial protec-
cin es indiferente (aunque s tendr gran importancia en el momento de adoptar las medidas de
seguridad mnimas exigibles que son las que figuran en el Ttulo VIII del Reglamento de la LOPD);
siendo un principio en esta materia el de la neutralidad tecnolgica: las garantas del derecho se
pretenden que sean aplicables cualquiera que sea la tecnologa, utilizada en el tratamiento de los
datos, de las que existen en este momento o, incluso, de las que puedan desarrollarse en el futuro.
El Reglamento de la LOPD amplia la definicin y entiende por dato de carcter personal "Cualquier
informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente
3
aBOGa.mark
a personas fsicas identificadas o identificables", pudiendo comprobar que cualquier informacin,
sea del tipo que sea y se encuentre en el soporte que se encuentre (automatizado o no), como, por
ejemplo, una fotografa o el sonido de una grabacin o la imagen de un vdeo, o un cdigo escrito en
un papel, etc. mediante la que se pueda identificar, directa o indirectamente (identificada o identifi-
cable, dice la norma), a una persona fsica, es considerada dato de carcter personal y, por tanto,
debe ser tratada contemplando todas las exigencias de la normativa sobre proteccin de datos.
Qu es un tratamiento de datos de carcter personal?

La LOPD, en su articulo 3, define como tratamiento de datos: "Operaciones y procedimientos tcni -
cos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin,
modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias".
Despus de esto podemos decir que cualquier manejo de datos personales durante el desempeo
de nuestro trabajo habitual, supone la realizacin de un tratamiento de datos. Por ejemplo, la reco-
gida de datos personales del cliente en la hoja de encargo, el archivo de la documentacin, enviar al
banco los recibos de cobro a los clientes, etc.
No hay que olvidar que la LOPD en ningn momento hace referencia al soporte o medio fsico con
el que se estn tratando los datos. El simple hecho de manejar un ndice en papel para encontrar
informacin de determinados expedientes, ya implica un tratamiento de datos personales.
Es importante que cuando decidamos registrar la informacin, evitemos anotar datos que puedan
incrementar el nivel de seguridad, lo que nos obligara a la aplicacin de mayores medidas de pro-
teccin de la informacin, que las mnimas exigibles. Por ejemplo, slo con anotar en la ficha de
un expediente la clase de asunto (robo con fuerza, lesiones, etc.) nos estamos obligando a un nivel
de seguridad mayor. No se quiere decir con esto que no se pueda tener dentro del expediente toda
la informacin relativa al mismo, simplemente queremos intentar aclarar la diferencia entre "cmo
se archiva" y "qu se archiva".
La relacin del abogado con el tratamiento de datos personales tiene diferentes orgenes. Por un
lado la posible recogida, almacenamiento y tratamiento de datos personales para la propia gestin
del despacho (trabajadores, colaboradores, proveedores...), por otro la recogida, almacenamiento y
tratamiento de datos personales de clientes, as como de datos personales de las contrapartes, y sus
abogados y representantes, para el ejercicio de la profesin.
Los abogados, al igual que cualquier profesional y, especficamente por su labor de prestacin de
servicios de asesoramiento y defensa a terceros, tratamos datos ajenos de carcter personal.
Ese tratamiento implica que el abogado se vea obligado a proteger los datos personales de acuerdo
con las prescripciones legales. La proteccin de datos personales es, precisamente, el amparo debi-
do a los ciudadanos contra la posible utilizacin por terceros en forma legalmente no autorizada de
4
aBOGa.mark
sus datos personales.
La LOPD protege al titular del dato, para que no pueda ser tratado o elaborado y utilizado o conver-
tido en informacin nada ms que para aquellos fines para los que ha sido facilitado y por aquellas
personas autorizadas a ello.
Pero, no lo olvidemos, es indiferente que se trate de un fichero automatizado o de un fichero
manual. La LOPD es aplicable tambin, y protege de igual forma al titular de los datos, se encuentren
estos en un soporte informatizado o en un soporte papel o, indicado en trminos generales, en un
fichero manual.
Quin es el Responsable del Fichero o del tratamiento?

Un abogado ser responsable del fichero o tratamiento cuando sea el que decida sobre la finalidad
para la que se recogen y tratan los datos, cuando decida cul va a ser el contenido del fichero, de
qu datos de carcter personal va a estar compuesto y sobre qu uso se le va a dar a los datos que
componen el fichero.
El ejemplo ms habitual es el despacho, con o sin tratamiento automatizado de los datos, que lleva
sus propios asuntos o expedientes.
El responsable del fichero debe adoptar las medidas de ndole tcnica y organizativa necesarias que
garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento
o acceso no autorizado, habida cuenta del estado de la tecnologa y los riesgos a que estn expues-
tos (art. 9 LOPD).
Qu es un Encargado del Tratamiento?

La LOPD en su articulo 3.g define como encargado del tratamiento a la "Persona fsica o jurdica,
autoridad pblica, servicio o cualquier otro organismo que, solo o conjuntamente, con otros, trate
datos personales por cuenta del responsable del fichero."
La relacin jurdica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento
es normalmente una Prestacin de Servicios, y como tal, deber estar regulada en un contrato,
como establece el artculo 12 de la LOPD:
1.
2.
No se considerar comunicacin de datos (cesin de datos) el acceso de un tercero a

los datos cuando dicho acceso sea necesario para la prestacin de un servicio al
Responsable del Tratamiento (Responsable del Fichero).
La realizacin de tratamientos por cuenta de terceros deber estar regulada en un
contrato que deber constar por escrito o en alguna otra forma que permita acreditar
su celebracin y contenido establecindose expresamente que el Encargado del
5
aBOGa.mark
3.
4.
5.
tratamiento nicamente tratar los datos conforme a las instrucciones del

Responsable del Tratamiento, que no los aplicar o utilizar con fin distinto al que
figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras
personas.
En el contrato se estipularn, asimismo, las medidas de seguridad a que se refiere el
art. 9 de esta Ley que el encargado est obligado a implementar.
Una vez cumplida la prestacin contractual, los datos de carcter personal debern
ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier
soporte o documentos en que conste algn dato de carcter personal objeto del tra-
tamiento.
En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, ser considera
do, tambin, Responsable del Tratamiento, respondiendo de las infracciones en que
hubiere incurrido personalmente.
Actuar como encargado cuando el tratamiento que lleve a cabo lo realice por cuenta del responsa-
ble que se lo haya encargado cumpliendo lo dispuesto en el artculo 12 de la LOPD. Por ejemplo, la
prestacin de servicios de gestin laboral de sus clientes, de manera que trate los datos de sus
empleados para elaborar contratos, nminas, etc.
Sin embargo, es importante recordar que el encargado del tratamiento ser considerado responsa-
ble del tratamiento y responder como tal si no existe el contrato o encargo del tratamiento pre-
visto en el art. 12 de la LOPD, o cuando destine los datos a otra finalidad, los comunique a terce-
ros o los utilice incumpliendo las estipulaciones del contrato.
Pero, adems, el responsable del fichero estara probablemente efectuando una cesin no refleja-
da en su declaracin del fichero y no informada ni recabando el consentimiento del afectado,
prctica constitutiva de infraccin muy grave sancionable con hasta 601.012,10 euros como recoge
la ley.
Un ejemplo de documento de colaboracin podra ser el que proponemos al final de esta Gua como
documentos anexo I. Este modelo de contrato de colaboracin se basa en un despacho (que no es
sociedad mercantil) compuesto por dos abogados titulares del despacho (que tienen declarados los
ficheros de datos personales a su nombre) y contratan a un abogado colaborador (que tiene la con-
dicin de encargado del tratamiento). La clusula LOPD (art.12) es la dcima del contrato.
Ejemplos de encargos de tratamiento en la prctica profesional de los despachos

jurdicos
La contratacin de trabajos con terceros es una actividad cada da mas presente en todas las reas
econmicas, de la que la prestacin de servicios jurdicos no escapa. La enorme diversidad de traba-
jos y formas de contratacin hace especialmente compleja la comprensin de la figura del encarga-
6
aBOGa.mark
do de tratamiento. En este contexto, es esencial entender muy bien en qu casos actuamos como
responsable del fichero o tratamiento, y en cules como encargado del mismo, as como las limita-
ciones y responsabilidades que, respecto a la utilizacin de los datos personales, les corresponderan
en cada caso.
Para facilitar su comprensin, a continuacin describimos una serie de casos concretos y muy habi-
tuales en los despachos de abogados:
1. El despacho, o el abogado, contrata la colaboracin de otros abogados en los asuntos de sus
clientes.
En el caso de que seamos nosotros los que contratemos la colaboracin de otros abogados o despa-
chos, actuaremos como Responsable del Fichero, debiendo cumplir con las obligaciones que conlleva
esa figura:
Tener el fichero declarado.

Informar de modo expreso, preciso e inequvoco a los interesados que se les soliciten
los datos.
Recoger y tratar adecuadamente los datos.
Garantizar las medidas de seguridad en el tratamiento de los datos personales.
Facilitar el ejercicio de sus derechos a los interesados o afectados.
Adems de esto debemos firmar un documento o contrato de colaboracin con el encargado del tra-
tamiento, segn exige el artculo 12 de la LOPD, en el cual:
recogeremos expresamente que el encargado del tratamiento tratar los datos con
forme a las instrucciones que le demos, que no los aplicar o utilizar con fin distinto
al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a
otras personas.
se estipularn, asimismo, las medidas de seguridad a que se refiere el art. 9 de la
LOPD que el encargado est obligado a implementar.
se har saber que una vez cumplida la prestacin contractual, los datos de carcter
personal debern ser destruidos o devueltos al Responsable del Fichero, al igual que
cualquier soporte o documentos en que conste algn dato de carcter personal obje
to del tratamiento, respetando los plazos por otras imposiciones legales (secreto pro
fesional, ...).
En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o
los utilice incumpliendo las estipulaciones del contrato, ser considerado, tambin, Responsable del
Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente.
En la declaracin del fichero constar un encargado del tratamiento con el que hayamos contratado,
pudiendo ser ste bien el que vaya a mantener una relacin ms prolongada en el tiempo o el que
7
aBOGa.mark
lleve a cabo un mayor volumen de tratamiento de datos o el principal tratamiento de los datos.
2. El despacho, o el abogado, es contratado por empresas que externalizan la direccin letrada de
sus asuntos judiciales o por otros despachos o abogados para la llevanza de asuntos.
Para ser ms claro, abordemos el caso concreto de una compaa de seguros que solicita a un despa-
cho, probablemente a travs de su departamento jurdico, el asesoramiento y la defensa jurdica de
un cliente suyo en un siniestro de trfico.
Esto nos obliga al despacho a establecer las medidas necesarias para distinguir qu datos personales
corresponden a asuntos o expedientes propios, que forman parte del fichero declarado, y cules
asuntos proceden de otro responsable de fichero, ya sea un despacho o una empresa.
As, cuando el despacho acte como encargado del tratamiento, tiene obligacin de firmar un con-
trato que contenga los requisitos del artculo 12 de la LOPD.
A destruir o devolver los datos personales una vez concluida la finalidad para la que nos fueron
entregados, respetando los plazos por otras imposiciones legales (secreto profesional, ...).
3. Despacho colectivo con varios abogados y software de gestin de despachos, en el cual estn
configurados el despacho colectivo y un despacho por cada abogado para sus asuntos particulares.
En este caso, en concreto, se dan dos escenarios al mismo tiempo, y en cada uno de ellos tenemos
un rol distinto:
1.
2.
Responsable del Fichero. Nosotros seramos responsables de nuestro fichero de datos

y debemos declararlo incluyendo en el formulario de declaracin como encargado del
tratamiento al despacho colectivo, puesto que es el que habilita los soportes (ordena-
dores, ficheros, etc.) para almacenar los datos de nuestros asuntos.
Encargado del Tratamiento. Para aquellos asuntos que son propios del despacho
colectivo y en los que colaboramos, deberamos de tener un contrato o acuerdo
redactado con las clusulas que exige el artculo 12 de la LOPD firmado con el despa-
cho colectivo (como Responsable del Fichero) en el que se reflejase que actuamos
como encargados del tratamiento.
Es importante que verifiquemos si se cumplen las normas de seguridad que exige la LOPD con aque-
llos asuntos propios de nuestro despacho, y como en el caso anterior establecer las medidas necesa-
rias para distinguir la informacin que corresponde al despacho propio y cul al despacho colectivo.
4. Cuando el despacho es contratado para el tratamiento de las nminas de empleados en el siste-
ma de informacin de la gestora.
En este caso no hay que declarar el fichero. La empresa que contrata nuestros servicios ser la res-
8
aBOGa.mark
ponsable del fichero y har constar los datos identificativos del despacho en el apartado de encarga-
do del tratamiento. En el documento de contratacin de servicios se har constar todo lo requerido
por el artculo 12 de la LOPD.
Excepto cuando recibamos los datos "disociados", es decir no permiten la identificacin de una per-
sona concreta, en cuyo caso pierden el carcter de personales y no se les aplica la normativa de la
LOPD.
5. En la gestin del despacho, cuando somos nosotros los responsables del fichero y contratamos a
otras empresas, por ejemplo para:
Contratacin de gestoras para la gestin laboral, fiscal o contable.
Contratacin de una empresa para acciones de marketing. Envo de felicitaciones a

nuestros clientes, anuncio de nuestros servicios para la campaa de la renta, etc.
Contratacin de una empresa para el alojamiento de mi Intranet, Bases de Datos,

Web, en los servidores de la misma.
Contratacin de una empresa para la destruccin de documentos que contienen datos

de carcter personal.
Principales obligaciones del Responsable del Fichero

Las principales obligaciones del responsable del fichero sern:
1. Declarar los ficheros de datos personales, tanto informatizados como manuales, previa
identificacin e inventario.
2. Informar de modo expreso, preciso e inequvoco a los interesados que se les soliciten los
datos.
3. Recoger y tratar adecuadamente los datos.La fase de recogida y tratamiento debe cum-
plir con los principios rectores de la proteccin de datos. El tratamiento debe ser legal y leal.
4. Garantizar la seguridad en el tratamiento de los datos personales, mediante la elabora-
cin e implementacin de documentos de seguridad.
5. Facilitar el ejercicio de sus derechos a los interesados que lo soliciten: de acceso, rectifi-
cacin, cancelacin y oposicin, cuando proceda.
6. Garantizar tambin estos aspectos, en su caso, cuando el tratamiento de datos persona-
les sea realizado por un tercero.
aBOGa.mark
Beneficios del cumplimiento de la normativa de proteccin de datos personales
1. Evitar Sanciones
Este mximo rango legal del derecho a la proteccin de datos personales debe servir como acicate
para el cumplimiento de su normativa protectora, pero tambin otros aspectos invitan al cumpli-
miento de dicha normativa. El incumplimiento de las normas previstas en la Ley Orgnica 15/1999
de Proteccin de Datos de Carcter Personal (LOPD) y normativa de desarrollo acarrea importantes
sanciones. A modo de ejemplo, diremos que:
la falta de declaracin de ficheros, determina una sancin pecuniaria que puede alcan-
zar los 60.101,21 euros.
el impedimento o la obstaculizacin de los derechos de acceso o la negativa a facilitar
al titular de los datos informacin sobre sus datos personales puede alcanzar una
multa de 300.506,05 euros.
no disponer del preceptivo documento de seguridad podra suponer, tambin, una
sancin de hasta 300.506,05 euros.
la comunicacin a otros terceros de datos de carcter personal fuera de los casos per-
mitidos por la ley, es una infraccin muy grave, que podra ser sancionada con hasta
601.012,10 euros.
2. Imagen y prestigio.
Adems de evitar la imposicin de sanciones, el cumplimiento de la normativa de proteccin de
datos dar una buena imagen al despacho de cara a clientes actuales y potenciales, aportando
seguridad y confianza. Debemos recordar, aqu, el deber esencial de la profesin de desempear la
misin de defensa, adems de con el mximo celo y diligencia, guardando secreto profesional y ase-
gurando la confidencialidad; secreto y confidencialidad relacionados, sin duda alguna, con el derecho
a la proteccin de datos de carcter personal. Una correcta proteccin de los datos personales con-
tribuir, por tanto, al cumplimiento de deberes deontolgicos bsicos.
Demostrar que nos interesamos por salvaguardar la privacidad de nuestros clientes, aumenta el
grado de confianza y de satisfaccin de los mismos.
Por el contrario, el incumplimiento de la normativa, y la subsiguiente imposicin de sanciones por su
incumplimiento, generarn en los clientes y en el mercado al que nos dirigimos, una imagen negativa
del despacho en cuanto que los ciudadanos son cada vez ms conscientes de la importancia de su
intimidad mediante el tratamiento diligente de sus datos.
3.- La seguridad de los datos del despacho.
La informacin es el principal activo de cualquier empresa. Aplicar las medidas de seguridad que
prescribe la Ley preserva este activo de posibles prdidas y sustracciones de informacin. Si hay algo
10
aBOGa.mark
que produce temor a muchos empresarios, es que sus empleados o ex empleados le traicionen o que
la competencia desleal le robe los clientes, prctica muy usual y que la L.O.P.D. protege cuando las
empresas cumplen sus normativas.
Para finalizar, los abogados estarn obligados a observar las exigencias que derivan de la Ley
Orgnica de Proteccin de Datos (LOPD) y sus normas complementarias siempre que realicen tra-
tamientos de datos de carcter personal, tanto en ficheros automatizados como en ficheros
manuales, ya sean responsables de los ficheros o tratamientos o encargados del tratamiento.
INSCRIPCION DE FICHERO.
Quin debe inscribir los ficheros?
Es obligacin del Responsable del Fichero inscribir aquellos ficheros que traten datos de carcter per-
sonal en el Registro General de Proteccin de Datos.
Por qu hay que inscribir los ficheros?
De lo indicado en el artculo 26 de la Ley Orgnica de Proteccin de Datos se desprende que la noti-
ficacin de los ficheros habr de ser previa a la creacin de los mismos, por lo que la ausencia de
dicha notificacin sera una conducta constitutiva de infraccin leve, con arreglo a lo dispuesto en el
artculo 44.2.c) de la propia Ley
Cmo y Donde se declara el fichero?
Presentando el formulario electrnico aprobado por la Resolucin de 12 julio de 2006 de la Agencia
Espaola de Proteccin de Datos mediante el cual se realiza la inscripcin de los ficheros en el
Registro General de Proteccin de Datos.
Esta modalidad, de reciente implantacin, ofrece una serie de mejoras tcnicas para la cumplimenta-
cin de formulario e incluso existe la posibilidad de utilizar el certificado de firma electrnica del
ICAM u otro reconocido por la AEPD para la presentacin del mismo.
PRINCIPIOS DE LA PROTECCION DE DATOS.

Caidad de los datos
El principio de calidad hace referencia a que los datos de carcter personal slo podrn recogerse
para su tratamiento cuando sean adecuados, pertinentes y no excesivos para el cumplimiento de
las finalidades del fichero.
11
aBOGa.mark
Esto bsicamente quiere decir que no debemos recabar datos que no sean necesarios para la finali-
dad para la que hemos declarado el fichero. Si estamos pidiendo datos personales a un cliente para
estar en comunicacin con l, le pediremos su direccin y nmero de telfono, pero con seguridad
no ser necesario que en el formulario le preguntemos por sus aficiones, puesto que es una informa-
cin que no necesitamos para nada, sera inadecuado.
Las finalidades del fichero deben estar determinadas de forma explcita y ser legtimas. No podrn
ser utilizados los datos para finalidades incompatibles con las que motivaron su recogida. No se con-
siderar incompatible el tratamiento posterior de stos con fines histricos, estadsticos y cientfi-
cos.
Por ejemplo, la legislacin sanitaria establece que el tratamiento de los datos contenidos en la docu-
mentacin o historia clnica de los pacientes con fines de investigacin o docencia se realizar siem-
pre con datos disociados o con consentimiento previo del afectado.
Los datos personales deben ser exactos y mantenerse al da para que respondan con veracidad a la
situacin actual del afectado. Desde el punto de vista de la proteccin de datos, es preferible no dis-
poner de un determinado dato de una persona, antes que tenerlo errneo. Si no se pudiera enviar
por correo determinada informacin a una persona por no disponer de su direccin correcta, mejor
no enviarla que enviarla a un lugar equivocado y perder el control de quien acaba recibiendo esos
datos.
Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o perti-
nentes, y no se conservarn en forma que permitan la identificacin del interesado durante un
periodo superior al necesario para la finalidad en base a la que fueron recabados.
Si los datos de carcter personal sometidos a tratamiento resultaran ser inexactos, en todo o en
parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectifi-
cados o completados en el plazo de diez das desde que se tuviese conocimiento de la inexactitud.
Cuando los datos hubieran sido comunicados previamente a un tercero, el responsable del fichero o
tratamiento deber notificar al cesionario, en el plazo de diez das, la rectificacin o cancelacin
efectuada.
En el plazo de diez das desde la recepcin de la notificacin, el cesionario que mantuviera el trata-
miento de los datos, deber proceder a la rectificacin y cancelacin notificada.
Esta actualizacin de los datos de carcter personal no requerir comunicacin alguna al interesado,
sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la LOPD.
La cancelacin, como borrado fsico de los datos, en muchas ocasiones no es posible, pudiendo exis-
tir una norma que obligue al mantenimiento de los datos durante un periodo determinado de tiem-
po.
12
aBOGa.mark
En este sentido, el plazo de conservacin de los datos ser al menos de 15 aos debido a la dura-
cin de la prescripcin de la responsabilidad civil contractual de los abogados (art. 1964 Cdigo Civil).
Los datos deben bloquearse, quedando almacenados de forma diferenciada del resto de los datos
sometidos al tratamiento y asegurando que queden excluidos de ste, estando slo a disposicin de
las Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades
nacidas del tratamiento.
Los datos de carcter personal sern almacenados de forma que permitan el ejercicio de los dere-
chos de los afectados (partes, clientes, etc.), salvo que sean legalmente cancelados.
Informacin en la recogida de datos

El responsable del fichero est obligado a establecer los mecanismos para informar a los interesa-
dos, en el momento de la recogida de los datos, de lo siguiente:
1.
2.
3.
4.
5.
La existencia de un "fichero" al que sern incorporados los datos que se le solicitan, la

finalidad para la que se recogen y los destinatarios de la informacin.
El carcter obligatorio o facultativo de consignar determinados datos.
Las consecuencias de la obtencin de los datos o de su negativa a suministrarlos.
La posibilidad del ejercicio de los derechos de acceso, rectificacin, cancelacin u opo-
sicin al tratamiento de los datos.
La identidad y direccin del responsable del fichero o, en su caso, de su representan
te.
La informacin a los interesados debe ser realizada, de forma expresa, inequvoca y precisa. No es
admisible una informacin genrica que no permita saber quin y para qu se est recabando los
datos.
Este deber de informacin deber llevarse a cabo a travs de un medio que permita acreditar su
cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del interesado.
La informacin que contempla este principio se podr facilitar al afectado o interesado por cual-
quier medio que permita asegurar que la ha recibido. Una forma de realizarlo sera aadiendo una
clusula informativa en el documento que se utiliza para recabar la informacin al cliente, la Hoja de
Encargo Profesional.
En el caso de que los datos de carcter personal no hayan sido recabados directamente del intere-
sado, ste deber ser informado de forma expresa, precisa e inequvoca, por el responsable del
fichero o su representante, dentro de los tres meses siguientes al momento del registro de los
datos, salvo que ya hubiera sido informado con anterioridad.
13
aBOGa.mark
No es preciso cumplir con el requisito de informar con posterioridad al interesado, cuando los datos
no se hayan recabado directamente de l, en los siguientes casos:
Cuando una ley lo prevea.

Cuando el tratamiento tenga fines histricos, estadsticos o cientficos.
Cuando la informacin al interesado resulte imposible o exija esfuerzos desproporcio
nados en consideracin al nmero de interesados o a la antigedad de los datos. Este
ltimo caso, siempre quedara a criterio de la Agencia Espaola de Proteccin de
Datos.
El abogado deber conservar el soporte en el que conste el cumplimiento del deber de informar.
Para el almacenamiento de los soportes, el abogado podr utilizar, si lo considera oportuno, medios
informticos o telemticos. En particular podr proceder al escaneado de la documentacin en
soporte papel, siempre y cuando se garantice que en dicha automatizacin no ha mediado alteracin
alguna de los soportes originales.
Consentimiento
Por principio del consentimiento entiende la Ley que es la manifestacin de voluntad, libre, inequvo-
ca, especfica e informada, mediante la cual el interesado consiente el tratamiento de los datos per-
sonales que le son recabados.
Cuando se decide recabar datos de carcter personal debe, para poder utilizarlos, recabar el con-
sentimiento de su titular y que la persona que da sus datos personales lo manifieste consciente-
mente, y que ese consentimiento sea informado.
Ello supone que el consentimiento del afectado deber ser precedido por el cumplimiento del prin-
cipio de informacin, para que los interesados indiquen, sin ningn gnero de dudas, su conformi-
dad con el tratamiento o su oposicin al mismo.
En cuanto a las excepciones al consentimiento, encontramos las siguientes:
1.
2.
3.
4.
5.
Cuando una ley as lo dispone.

Cuando los datos de carcter personal se recojan para el ejercicio propio de las
Administraciones Pblicas.
Cuando los datos se refieran a las partes de un contrato o precontrato y sean necesa-
rios para el cumplimiento o el mantenimiento de las obligaciones nacidas del
mismo.
Cuando el tratamiento tenga como finalidad proteger un inters vital del interesado y
ste se encuentre fsica o jurdicamente incapacitado para dar su consentimiento.
No ser necesario el consentimiento del afectado si los datos son recabados de fuen-
tes accesibles al pblico.
14
aBOGa.mark
La excepcin del consentimiento no exime de la obligacin de informar en los trminos que hemos
visto en el punto anterior, relativo al principio de informacin, ni permite el tratamiento de cual-
quier dato, sino nicamente aquellos datos adecuados, pertinentes y no excesivos (principio de cali-
dad).
Datos especialmente protegidos

Todos aquellos datos relativos a la ideologia, la afiliacin sindical, la religin o creencias, el origen
racial, la salud y la vida sexual y el tratamiento de los mismos, son para la LOPD considerados como
datos especialmente protegidos, lo que se traduce en algunas especialidades en cuanto al nivel de
proteccin que les confiere y que se plasma en la forma especfica en la que tendr que obtenerse
el consentimiento del interesado y en las medidas de seguridad aplicables.
La Ley establece una serie de refuerzos, con el fin de que se preste un especial cuidado al tratamien-
to de estos datos:
Nadie puede ser obligado a declarar sobre su ideologa, religin o creencias.

Prohbe expresamente la creacin de ficheros con la finalidad exclusiva de almacenar
datos especialmente protegidos, salvo los que tengan por finalidad el tratamiento de
datos de salud en los trminos previstos en la normativa vigente.
Exige el consentimiento expreso y por escrito del interesado si los datos son de ideo-
loga, afiliacin sindical, religin o creencias y consentimiento expreso si los datos se
refieren al origen racial, la salud o la vida sexual.
Las infracciones de la Ley aumentan su gravedad si el fichero contiene datos especial-
mente protegidos.
Se exigen medidas de seguridad de nivel alto para los ficheros con datos especial-
mente protegidos.
Se recomienda que siempre que se traten datos especialmente protegidos se procure obtener el
consentimiento expreso en forma escrita, puesto que recae sobre el responsable del tratamiento la
carga de la prueba de demostrar que se dispona del consentimiento, con ese especial atributo de
expreso.
Datos relativos a la salud

Si bien puede pensarse que no es frecuente que un abogado o un despacho trate datos relativos a la
salud, s cabe plantear supuestos en los que, por ejemplo, el despacho tramita asuntos que requie-
ren manejar datos de lesiones, accidentes de trabajo, etc., de manera que se tiene acceso a datos
relativos a la salud.
En estos casos, es necesario atender a este principio, en virtud del cual deber garantizarse la confi-
dencialidad de los datos adoptando las correspondientes medidas de seguridad, que sern las de
nivel alto, puesto que se trata de datos especialmente protegidos.
15
aBOGa.mark
Es necesario tener en consideracin que el principio de datos relativos a la salud implica que, sin per-
juicio de lo que dispone el artculo 11 respecto de la cesin, las instituciones y los centros sanitarios
pblicos y privados y los profesionales podrn proceder al tratamiento de los datos de carcter per-
sonal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos,
de acuerdo con lo dispuesto en la legislacin estatal o autonmica sobre sanidad.
Seguridad de los datos

La LOPD y su Reglamento (Ttulo VIII del Real Decreto 1720/2007), establecen la obligacin de
implantar una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de
los datos de carcter personal, medidas que habrn de adoptarse / implementarse por el profesio-
nal que almacene estos datos.
Entre estas medidas se incluye la elaboracin de un Documento de Seguridad en el que se detalla-
rn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen
acceso a esos datos.
El cumplimiento de cada una de estas obligaciones tan slo exige un pequeo esfuerzo, que junto al
asesoramiento adecuado, evitar disgustos y la imposicin de duras sanciones econmicas.
Para ampliar esta informacin visitar el siguiente apartado de esta gua: Las Medidas de Seguridad.
Deber de secreto
Se establece un deber de secreto y de custodia al que se ven sujetos las personas que participan en
el proceso de tratamiento de los datos de carcter personal; deberes que subsistirn una vez finaliza-
do el tratamiento de los datos.
Este deber de secreto debe ser adoptado por todo el personal que accede a los Ficheros de datos.
Por ello, las obligaciones de Secreto y Confidencialidad incumben a todo el personal; y, de manera
particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos
personales.
En cumplimiento de estas obligaciones, el personal que trate o acceda a los ficheros de datos de
carcter personal no deber ni podr divulgar o comunicar a terceras personas la informacin o los
datos que maneja o a los que tenga conocimiento en el desempeo de su cargo o funciones.
Adems, para garantizar la Confidencialidad de la Informacin es recomendable que se cumpla siem-
pre con las siguientes medidas:
a) Deber actuar siempre conforme a sus obligaciones profesionales de confidenciali-

dad y secreto(1), as como de acuerdo a lo dispuesto por la Ley Orgnica 15/1999 de
Proteccin de Datos de Carcter Personal y su normativa de desarrollo.
16
aBOGa.mark
b) El acceso a los datos personales contenidos en ficheros nicamente se llevar a

cabo por personal autorizado, limitado a las funciones y actividades a desempear.
c) No revelar informacin a personas ajenas que no deban tener acceso a dicha

informacin.
(1) Proteccin de datos y secreto profesional.

El debido cumplimiento de la normativa de proteccin de datos supone para los abogados una
garanta adicional para el deber deontolgico de guardar secreto profesional, regulado por los artcu-
los 542.3 de la Ley Orgnica del Poder Judicial, 32.1 del Estatuto General de la Abogaca y 5 del
Cdigo Deontolgico.
El secreto profesional ampara todos los datos y documentos, cuyo contenido tenga naturaleza confi-
dencial, de los que el abogado haya tenido noticia por razn de cualquiera de las modalidades de
actuacin profesional. La obligacin de secreto alcanza y comprende no slo los datos del cliente
sino tambin los referidos al adversario y a los compaeros, prolongndose incluso despus de haber
cesado en la prestacin de servicios sin limitacin temporal.
La adecuada proteccin de datos personales con sus debidas medidas de seguridad, y con el obliga-
torio respeto al deber de secreto, previsto en el articulo 10 de la LOPD, contribuirn a una mejor
garanta del secreto profesional, al menos, en lo relativo a los datos de carcter personal, y origina,
adems, una dinmica de concienciacin de la importancia de las medidas de gestin y seguridad
documental. En todo caso, las medidas de seguridad, todas o algunas de ellas, pueden ser voluntaria-
mente ampliadas a documentos que, aunque no contengan datos que puedan identificar a los clien-
tes, puedan estar sometidos al secreto profesional.
El deber de secreto previsto en el artculo 10 de la LOPD que, como decimos, refuerza el deber de
secreto profesional del abogado, significa que quienes intervengan en cualquier fase del tratamiento
de los datos de carcter personal estn obligados al secreto respecto de los mismos y al deber de
guardarlo, obligaciones que subsistirn an despus de finalizar las relaciones con el titular o respon-
sable del fichero. Ello implica que, en la prctica, los abogados o los empleados del despacho que
operan sobre los ficheros tienen que estar bajo estrictas normas de conducta para el mantenimiento
del secreto y para poder prevenir el uso indebido de los datos. Esas normas organizativas y tcnicas
deben ser contempladas en el documento de seguridad.
Cesin o comunicacin de datos

Este principio tiene que ver con el cumplimiento de determinadas obligaciones cuando se produzca
una cesin de datos personales, es decir, que una tercera persona que no es, ni el interesado, ni las
autorizadas a acceder al fichero, tenga acceso a los datos personales.
17
aBOGa.mark
Para que se pueda realizar una cesin legal de datos, debe
Informarse al interesado de la identidad del cesionario y de la finalidad para la que se

van a ceder los datos.
Existir consentimiento previo del interesado.
Realizarse para el cumplimiento de fines directamente relacionados con las funciones
legtimas del cedente y del cesionario.
Estas obligaciones se pueden cumplir de una manera sencilla, aadindole a la clausula informativa
de nuestra Hoja de Encargo Profesional (o formulario que empleemos para recoger los datos perso-
nales) los datos identificativos (nombre y direccin) del cesionario y la finalidad por la que se le
ceden los datos.
El consentimiento exigido del afectado no ser preciso en los siguientes casos:
a) Cuando la cesin est autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al pblico.
c) Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin
jurdica (1) cuyo desarrollo, cumplimiento y control implique necesariamente la cone-
xin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo
ser legtima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimien-
to cuando la comunicacin tenga como destinatario a instituciones autonmicas con
funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria
para solucionar una urgencia que requiera acceder a un fichero o para realizar los
estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad
estatal o autonmica.
Habr de tenerse en cuenta adems que:
Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a

un tercero cuando la informacin que se facilite al interesado no le permita conocer la
finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de activi-
dad de aqul a quien se pretenden comunicar.
El consentimiento para la comunicacin de los datos de carcter personal tiene tam-
bin un carcter de revocable.
18
aBOGa.mark
El cesionario de los datos de carcter personal est obligado, por el solo hecho de la
comunicacin, a la observancia de las disposiciones de la normativa de proteccin de
datos personales.
Si la cesin se realiza con datos previamente disociados, no ser de aplicacin nada de lo establecido
en este apartado.
(1) Este es el caso, por ejemplo, en el que el despacho recibe datos del Turno de Oficio para la defen -
sa legal de una persona.
Acceso a Datos por cuenta de Terceros -Encargado del Tratamiento-

Otra manera de acceder a los datos es cuando encargamos a terceros (prestacin de servicio) la rea-
lizacin de una actividad que podramos hacer nosotros mismos pero que externalizamos contratan-
do este servicio a personas ajenas al despacho.
El acceso a los datos por cuenta de terceros no tiene la consideracin legal de cesin o comunica-
cin de datos, ya que el acceso a los datos por el encargado del tratamiento es necesario para pres-
tar un servicio al responsable del fichero, siendo igualmente el despacho contratante responsable
del fichero y la empresa contratada (encargado del tratamiento) responsables de la implantacin de
las medidas de seguridad, as como del cumplimiento del resto de obligaciones que se contienen en
el contrato por el que se regula el acceso a los datos. Un ejemplo claro de esta situacin es el habi-
tual contrato con una gestora para la realizacin de las nminas de los empleados del despacho. El
responsable es el despacho contratante, que tiene que declarar el fichero, y el contratado, la gesto-
ra, tendr que implantar las medidas de seguridad a que se obliga en virtud del contrato que se
firma. No obstante, si el responsable del fichero recibe los resultados del tratamiento, aunque sean
en papel, tambin tiene que adoptar medidas de seguridad para garantizar que slo quien est auto-
rizado para ello tiene acceso a los datos (Por ejemplo, el despacho recibe copia de las nminas en
papel siendo la gestora quien las trata informticamente).
La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato que
deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido,
establecindose expresamente:
el contenido del tratamiento que se va a realizar.

que el encargado del tratamiento nicamente tratar los datos conforme a las ins
trucciones del responsable del tratamiento (el despacho), sin que quepa cualquier
otro tratamiento fuera de las instrucciones recibidas. El fin del tratamiento deber
constar expresamente.
que no aplicar o utilizar los datos con fin distinto al que figure en dicho contrato.
que no comunicar los datos, ni siquiera para su conservacin, a otras personas.
la definicin de las medidas de seguridad que el Encargado se compromete a implan-
tar, conforme a lo dispuesto en el Reglamento de Medidas de Seguridad.
19
aBOGa.mark
Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que cons-
te algn dato de carcter personal objeto del tratamiento (esto ocurre, por ejemplo, cuando a la
imprenta a la que facilitamos los datos de nuestros empleados para la realizacin de tarjetas de visi-
ta se le impone la obligacin de destruir el listado de nombres una vez realizado el servicio contrata-
do). Es recomendable que esto figure en el contrato que regula la prestacin de servicio.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o
los utilice incumpliendo las estipulaciones del contrato, ser considerado, tambin, responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
LOS DERECHOS DEL INTERESADO

Por lo que aqu respecta trataremos los denominados derechos ARCO (acceso, rectificacin, cancela-
cin y oposicin), regulados en el Ttulo III de la LOPD y en el mismo Ttulo III de su Reglamento, los
comentaremos presentando primero las Disposiciones generales y comunes para todos estos dere-
chos que contempla el Reglamento.
Disposiciones Generales
- Carcter de personalsimos. Los derechos de acceso, rectificacin, cancelacin y oposicin son per-
sonalsimos y sern ejercidos por el afectado.
- Ejercicio de los derechos. Son derechos independientes de tal forma que no puede entenderse que
el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.Los derechos se ejercita-
rn:
a) Por el afectado, acreditando su identidad, del modo previsto en el artculo siguiente.
b) Cuando el afectado se encuentre en situacin de incapacidad o minora de edad que le
imposibilite el ejercicio personal de estos derechos, podrn ejercitarse por su represen-
tante legal, en cuyo caso ser necesario que acredite tal condicin.
c) Los derechos tambin podrn ejercitarse a travs de representante voluntario, expre-
samente designado para el ejercicio del derecho. En ese caso, deber constar claramente
acreditada la identidad del representado, mediante la aportacin de copia de su
Documento Nacional de Identidad o documento equivalente, y la representacin conferi-
da por aqul.
20
aBOGa.mark
- Denegacin de los derechos. Los derechos sern denegados cuando la solicitud sea formulada por
persona distinta del afectado y no se acreditase que la misma acta en representacin de aqul.
- Facilitar el ejercicio de los derechos. Deber concederse al interesado un medio sencillo y gratuito
para el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.
- Procedimiento. El ejercicio de los derechos deber llevarse a cabo mediante comunicacin dirigida
al responsable del fichero, que contendr:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad,
o de su pasaporte u otro documento vlido que lo identifique y, en su caso, de la persona
que lo represente, o instrumentos electrnicos equivalentes; as como el documento o
instrumento electrnico acreditativo de tal representacin.
b) Peticin en que se concreta la solicitud.
c) Direccin a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la peticin que formula, en su caso.
- Deber contestarse la solicitud aunque no se tengan datos del interesado. El responsable del tra-
tamiento deber contestar la solicitud que se le dirija en todo caso, con independencia de que figu-
ren o no datos personales del afectado en sus ficheros.
- Subsanacin de defectos en la solicitud. En el caso de que la solicitud no rena los requisitos espe-
cificados en el apartado primero, el responsable del fichero deber solicitar la subsanacin de los
mismos.
- Carga de la prueba del cumplimiento del deber de respuesta. Corresponder al responsable del
tratamiento la prueba del cumplimiento del deber de respuesta, debiendo conservar la acreditacin
del cumplimiento del mencionado deber.
- Garantizar que todos los que accedan a datos en el despacho puedan informar sobre el procedi-
miento para el ejercicio de los derechos por el interesado. El responsable del fichero deber adop-
tar las medidas oportunas para garantizar que las personas de su organizacin que tienen acceso a
datos de carcter personal puedan informar del procedimiento a seguir por el afectado para el ejer-
cicio de sus derechos.
- Ejercicio de los derechos ante un encargado del tratamiento. Cuando los afectados ejercitasen sus
derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el
encargado deber dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a
menos que en la relacin existente con el responsable del tratamiento se prevea precisamente que
el encargado atender, por cuenta del responsable, las solicitudes de ejercicio por los afectados de
21
aBOGa.mark
sus derechos de acceso, rectificacin, cancelacin u oposicin.
Derecho de Acceso
La LOPD otorga al afectado el derecho a acceder a sus datos de carcter personal que estn someti-
dos a tratamiento automatizado o no automatizado, gratuitamente. El afectado tendr por lo tanto
derecho de conocer qu datos estn siendo objeto de tratamiento por el Responsable del tratamien-
to. El ejercicio del derecho de acceso se deber atender tanto si se tienen datos del interesado como
si no se tuvieran. En este ltimo caso (si no se tuvieran datos del interesado) se atender el ejercicio
del derecho notificndole que no se tiene ningn dato suyo, pero, insistimos, hay que atender siem-
pre el ejercicio del derecho de cualquier interesado.
Contemplado en el Reglamento de la LOPD como el derecho del afectado a obtener informacin
sobre si sus propios datos de carcter personal estn siendo objeto de tratamiento, la finalidad del
tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen
de dichos datos y las comunicaciones realizadas o previstas de los mismos, mediante este derecho el
interesado tiene derecho a obtener del abogado ?que es el responsable del tratamiento-, informa-
cin relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus
datos sometidos a tratamiento.
Requisitos
Es en el Reglamento de la LOPD en donde se encuentran regulados los requisitos del derecho de
acceso y el procedimiento. Este procedimiento es el comn para el ejercicio de todos los derechos
(de acceso, rectificacin, cancelacin y oposicin) y ya le hemos indicado en el apartado de disposi-
ciones generales, no obstante, le repetimos en este lugar para faciltar la lectura y comprensin de
los mismos.
Procedimiento
El procedimiento para el ejercicio de cualquier derecho ARCO (acceso, rectificacin, cancelacin y
oposicin), y, en particular, para el derecho de acceso, deber llevarse a cabo mediante comunica-
cin dirigida al responsable del fichero, que contendr:
c) Direccin a efectos de notificaciones, fecha y firma del solicitante.
22
aBOGa.mark
Ejercicio mediante representante
Los derechos reconocidos por la Ley, como ya hemos indicado, son derechos personalsimos lo que
implica que nicamente el afectado puede ejercerlos. Ahora bien, esto no perjudica del ejercicio del
derecho mediante representante. El representante deber actuar en nombre y por cuenta del afec-
tado en base a un mandato especfico otorgado por el afectado. La AEPD no admite la validez de los
mandatos genricos, debiendo contener en su texto, de forma expresa, la voluntad del interesado de
que el mandante (representante) ejerza por su cuenta y en su nombre el derecho en cuestin. En
estos casos, el Responsable del fichero deber comprobar la validez del mandato otorgado y la cum-
plimentacin de la solicitud de ejercicio.
El abogado, como Responsable del fichero, deber comprobar todo esto para que en caso de que fal-
taran algunos de los elementos enumerados en el procedimiento que hemos referido requiera al
interesado que subsane los defectos con el fin de poder atenderla.
Plazos
Una vez recibida la solicitud de ejercicio del derecho de acceso, el Responsable del fichero dispone
de un mes para contestar a la solicitud. El plazo empieza a computar desde el da de recepcin de la
carta. Transcurrido el plazo sin que el Responsable del fichero haya contestado, la solicitud se enten-
der desestimada lo que implica que el Responsable deniega el ejercicio del derecho al afectado.
Una vez el Responsable del fichero haya accedido a la solicitud del interesado, deber hacer efectivo
el acceso a los datos en un plazo de 10 das naturales. El plazo computa desde la fecha de resolucin
de la solicitud de acceso.
En los casos en que el Responsable del Fichero no trate datos de carcter personal del interesado,
deber contestar a la solicitud de ejercicio del derecho en un plazo de un mes indicndole tal extre-
mo.
Ejercicio del derecho de acceso
Al ejercitar el derecho de acceso, el afectado podr optar por recibir la informacin a travs de uno o
varios de los siguientes sistemas de consulta del fichero:
a) Visualizacin en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Telecopia.
d) Correo electrnico u otros sistemas de comunicaciones electrnicas.
23
aBOGa.mark
e) Cualquier otro sistema que sea adecuado a la configuracin o implantacin material
del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.
Estos sistemas de consulta pueden restringirse en funcin de la configuracin o implantacin mate-
rial del fichero o de la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gra-
tuito y asegure la comunicacin escrita si ste as lo exige.
Esto es, en el caso del abogado y teniendo en cuenta la organizacin ms frecuente de los ficheros
en el despacho, ser suficiente con ofrecer al interesado un sistema sencillo y gratuito que asegure la
comunicacin escrita como puede ser, por ejemplo, realizarlo por escrito, mediante carta u otro
medio de comunicacin similar, siempre que se asegure que se cumplen los requisitos formales que
exige la norma.
Otorgamiento del acceso
El abogado, como responsable del fichero o tratamiento, resolver sobre la solicitud de acceso en el
plazo mximo de un mes a contar desde la recepcin de la solicitud.
En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente
comunicrselo en el mismo plazo.
Si la solicitud fuera estimada el acceso se har efectivo durante los diez das siguientes a dicha comu-
nicacin.
No obstante lo anterior, nuestra recomendacin es que se haga efectivo el derecho de acceso, por
escrito y dentro del mes en el que se debe resolver ya que consideramos que es tiempo suficiente
para atenderlo y resulta ms sencillo todo el procedimiento.
La informacin que se proporcione, cualquiera que sea el soporte en que fuere facilitada, se dar en
forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos
especficos.
Dicha informacin comprender todos los datos de base del afectado, los resultantes de cualquier
elaboracin o proceso informtico, as como la informacin disponible sobre el origen de los datos,
los cesionarios de los mismos y la especificacin de los concretos usos y finalidades para los que se
almacenaron los datos.
Denegacin del acceso
El abogado podr denegar el acceso a los datos de carcter personal cuando el derecho ya se haya
ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un inters legtimo al
efecto.
24
aBOGa.mark
Podr tambin denegarse el acceso en los supuestos en que as lo prevea una Ley o una norma de
derecho comunitario de aplicacin directa o cuando stas impidan al responsable del tratamiento
revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la tutela de la
Agencia Espaola de Proteccin de Datos conforme a lo dispuesto en el artculo 18 de la LOPD.
Es evidente que existen muchos casos en los que el abogado deber denegar el acceso y, entre ellos
destacamos el caso de que ejercite el acceso y quiera conocer sus datos la contraparte de un proce-
dimiento en el que, por razones obvias, no se tiene obligacin de proporcionar los datos suyos que
se tienen.
Derecho de Rectificacin
La LOPD prev el derecho del afectado a rectificar sus datos de carcter personal que estn someti-
dos a tratamiento automatizado o no automatizado de datos, cuando no correspondan a su situacin
real y actual.
El afectado tendr por lo tanto derecho a solicitar al Responsable del fichero que rectifique los datos
errneos. Este derecho garantiza al interesado, por una parte, que los datos sometidos a tratamien-
to sean reales y, por otra parte, ayuda al Responsable del tratamiento en su obligacin de mantener
los datos de carcter personal actuales, exactos y completos (artculo 4 de la LOPD).
Contemplado en el Reglamento de la LOPD como el derecho del afectado a que se modifiquen los
datos que resulten ser inexactos o incompletos, mediante este derecho el interesado puede requerir
y obtener del abogado la rectificacin de los datos que, cumpliendo los requisitos de inexactitud o
que no sean completos, se encuentren en los ficheros o sean tratados por l, siempre que el intere-
sado acompae documentacin justificativa de lo solicitado, en los casos que sea necesario.
Requisitos
Es en el Reglamento de la LOPD en donde se encuentran regulados los requisitos del derecho de rec-
tificacin y el procedimiento. Este procedimiento es el comn para el ejercicio de todos los derechos
los mismos.
Procedimiento
25
aBOGa.mark
c) Documentacin justificativa de lo solicitado.
d) Direccin a efectos de notificaciones, fecha y firma del solicitante.
Ejercicio del derecho de rectificacin
La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya de realizar-
se y deber ir acompaada de la documentacin justificativa de lo solicitado.
Plazos
Una vez recibida la solicitud de ejercicio del derecho de rectificacin, el abogado resolver sobre la
solicitud de rectificacin en el plazo mximo de diez das hbiles a contar desde la recepcin de la
solicitud
En el caso de que no disponga de datos de carcter personal del afectado deber igualmente comu-
nicrselo en el mismo plazo.
El plazo empieza a computar desde el da de recepcin de la carta. Transcurrido el plazo sin que el
Responsable del fichero haya contestado, la solicitud se entender desestimada lo que implica que el
Responsable deniega el ejercicio del derecho al afectado.
26
aBOGa.mark
Vemos, por tanto, que los requisitos que debe cumplir la solicitud de ejercicio del derecho de rectifi-
cacin, as como las modalidades del ejercicio mediante representante son las mismas que las
expuestas en el apartado dedicado al derecho de acceso. La nica diferencia residir en la obligacin
que incumbe al interesado de adjuntar a la solicitud de ejercicio la documentacin que justifique la
rectificacin (Por ejemplo, cuando solicite un cambio de los datos identificativos -nombre y/o apelli-
dos-).
Denegacin del derecho de rectificacin
Cuando el Responsable del tratamiento considere que no procede acceder a la solicitud del afectado,
lo comunicar de forma motivada al interesado, y dentro del plazo de diez das hbiles. El
Responsable del fichero deber probar la legitimidad de la denegacin del ejercicio del derecho.
La denegacin del ejercicio de rectificacin faculta al interesado para presentar una reclamacin
ante la AEPD y acogerse al procedimiento de tutela de derechos.
Imposibilidad de rectificar los datos
En caso de ser imposible la rectificacin de los datos, el Responsable del tratamiento deber cancelar
de oficio los datos tratados, por no ser actualizados, ni responder a la situacin real del afectado, y
por lo tanto acarreando la ilegitimidad del tratamiento.
Comunicacin a terceros
Si los datos rectificados hubieran sido comunicados previamente a terceros, el Responsable del
Tratamiento deber notificar, en el mismo plazo de diez das hbiles, la rectificacin efectuada a
quien se hayan comunicado. El tercero deber entonces proceder a la rectificacin de los datos (art-
culo 16.4 de la LOPD).
Derecho de Cancelacin
La LOPD prev el derecho del afectado a cancelar sus datos de carcter personal que estn someti-
dos a tratamiento automatizado o no automatizado de datos.
Al referirse a la cancelacin, indica el Reglamento de la LOPD que es un procedimiento en virtud del
cual el responsable cesa en el uso de los datos.El afectado tendr por lo tanto derecho a solicitar al
Responsable del fichero que cancele(1) los datos objeto de tratamiento cuando stos sean inexactos
o incompletos, inadecuados o excesivos. Esto es, el interesado tendr derecho a solicitar del aboga-
do que cese en el uso de los datos cuando stos sean inexactos o incompletos, inadecuados o excesi-
vos.
Mediante este derecho el interesado puede requerir y obtener del abogado la cancelacin de los
datos que resulten ser inadecuados o excesivos de los que se encuentren en los ficheros o sean tra-
tados por l.
27
aBOGa.mark
Requisitos
Es en el Reglamento de la LOPD en donde se encuentran regulados los requisitos del derecho de rec-
tificacin y el procedimiento. Este procedimiento es el comn para el ejercicio de todos los derechos
los mismos.
Procedimiento
c) Documentacin justificativa de lo solicitado.
d) Direccin a efectos de notificaciones, fecha y firma del solicitante.
Ejercicio del derecho de cancelacin
En la solicitud de cancelacin el interesado deber indicar a qu datos se refiere aportando al efecto
la documentacin que lo justifique, en su caso.
Plazos
28
aBOGa.mark
Una vez recibida la solicitud de ejercicio del derecho de cancelacin, el abogado resolver sobre la
solicitud de cancelacin en el plazo mximo de diez das hbiles a contar desde la recepcin de la
solicitud
En el caso de que no disponga de datos de carcter personal del afectado deber igualmente comu-
nicrselo en el mismo plazo.
El plazo empieza a computar desde el da de recepcin de la carta. Transcurrido el plazo sin que el
Responsable del fichero haya contestado, la solicitud se entender desestimada lo que implica que el
Responsable deniega el ejercicio del derecho al afectado.
Vemos, por tanto, que los requisitos que debe cumplir la solicitud de ejercicio del derecho de cance-
lacin, as como las modalidades del ejercicio mediante representante son las mismas que las
expuestas en el apartado dedicado al derecho de acceso. La nica diferencia residir en la obligacin
que incumbe al interesado de adjuntar a la solicitud de ejercicio la documentacin que justifique la
cancelacin.
Denegacin del derecho de cancelacin
La cancelacin no proceder cuando los datos de carcter personal deban ser conservados durante
los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales
entre el abogado responsable del fichero o tratamiento y el interesado que justificaron el tratamien-
to de los datos.
Podr tambin denegarse el derecho de cancelacin en los supuestos en que as lo prevea una Ley o
una norma de derecho comunitario de aplicacin directa o cuando stas impidan al responsable del
tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
En todo caso, el abogado responsable del fichero informar al afectado de su derecho a recabar la
tutela de la Agencia Espaola de Proteccin de Datos conforme a lo dispuesto en el artculo 18 de la
LOPD.
Cuando el Responsable del tratamiento considere que no procede acceder a la solicitud del afectado,
lo comunicar de forma motivada al interesado, y dentro del plazo de diez das hbiles. El
Responsable del fichero deber probar la legitimidad de la denegacin del ejercicio del derecho.
La denegacin del ejercicio de cancelacin faculta al interesado para presentar una reclamacin ante
la AEPD y acogerse al procedimiento de tutela de derechos.
Comunicacin a terceros
Si los datos cancelados hubieran sido comunicados previamente a terceros, el Responsable del
Tratamiento deber notificar, en el mismo plazo de diez das hbiles, la cancelacin efectuada a
quien se hayan comunicado. El tercero deber entonces proceder a la cancelacin de los datos (art-
culo 16.4 de la LOPD).
29
aBOGa.mark
El bloqueo de los datos y posterior borrado fsico
La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de las
Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades
nacidas del tratamiento o de las relaciones del titular del fichero con el afectado, durante el plazo de
prescripcin de stas. Cumplido los plazos correspondientes para ejercitar acciones de responsabili-
dad deber procederse a la supresin de los datos, borrndolos fsicamente.
Al menos se conservarn de forma bloqueada los datos de carcter personal que se vayan a cance-
lar, lo que significa que los datos personales cancelados se conservarn necesariamente bloqueado s
durante los plazos de prescripcin de las responsabilidades previstos en la normativa aplicable o en
las relaciones contractuales establecidas con el interesado. El bloqueo tiene por finalidad que el res-
ponsable del fichero o tratamiento pueda responder de las responsabilidades surgidas del tratamien-
to de los datos.
Adems la LOPD prev que los datos personales, una vez concluida la finalidad que motiv su recogi-
da, se conserven durante los plazos previstos en las disposiciones aplicables o, en su caso, en las
relaciones contractuales entre el responsable del tratamiento y el interesado (art. 16.5 de la LOPD).
Esto significa que en el marco de la relacin abogado-cliente, una vez concluido el encargo que moti-
v la recogida y tratamiento de datos personales, el cliente-titular de los datos puede solicitar la can-
celacin de sus datos personales, pero el abogado-responsable del tratamiento debe conservarlos
bloqueados durante el tiempo en el que se puedan ejercitar acciones por cualquier responsabilidad
derivada de la previa relacin entre el abogado y el cliente. En este sentido, el plazo de conservacin
de los datos bloqueados ser al menos de 15 aos debido a la duracin de la prescripcin de la res-
ponsabilidad civil contractual de los abogados (art. 1964 Cdigo Civil), y dado que otros plazos lega-
les de prescripcin son menores (p.ej. 3 aos para las infracciones disciplinarias muy graves -art. 91
Estatuto General de la Abogaca- 3 aos para reclamar honorarios profesionales -1967.1 Cdigo
Civil-).
Respecto al bloqueo, el reglamento de la LOPD indica que la cancelacin implicar el bloqueo de los
datos, consistente en la identificacin y reserva de los mismos con el fin de impedir su tratamiento
excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la
atencin de las posibles responsabilidades nacidas del tratamiento y slo durante el plazo de pres-
cripcin de dichas responsabilidades. Transcurrido ese plazo deber procederse a la supresin de los
datos.
El bloqueo de los datos supone que los mismos se hagan indisponibles para el sistema , eso es, que
no se pueda acceder a los mismos, salvo para tareas de mantenimiento o para el cumplimiento de
las finalidades para las cuales se ha procedido a su bloqueo.
Una vez transcurridos los plazos legales de bloqueo de los datos personales, proceder la supresin
de dichos datos mediante su borrado fsico o destruccin.
Pulse aqu para descargar el modelo
30
aBOGa.mark
(1)Debemos hacer notar que se habla de "cancelar" los datos y no de "borrar" los datos. La cancela -
cin da lugar al bloqueo de los datos, conservndose nicamente a disposicin de las
Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades
nacidas del tratamiento o de las relaciones del titular del fichero con el afectado, durante el plazo de
prescripcin de stas
Derecho de Oposicin
El interesado tiene derecho a oponerse al tratamiento de sus datos de carcter personal cuando
hayan sido sometido a tratamiento sin su consentimiento, por ejemplo cuando los datos hayan sido
recogidos de una fuente accesible al pblico. Este derecho de oposicin dar lugar a la cancelacin
de los datos en el fichero.
Requisitos
Ahora bien, la LOPD, adems de los requisitos propios al contenido de la solicitud de ejercicio del
derecho y al ejercicio mediante representante, comn a todos los derechos reconocidos en la LOPD
al afectado, impone dos lmites al ejercicio de este derecho por el afectado:
En caso de que una Ley disponga lo contrario: si una norma con rango de Ley encomien-
da al Responsable del fichero el tratamiento del dato (como ser el caso para el cumpli-
miento de una obligacin fiscal como puede ser el tratamiento de los datos de un prove-
edor autnomo a efectos de la retencin del IRPF), no proceder la cancelacin de los
datos. En este caso, el Responsable del fichero deber notificar al interesado, de forma
motivada, la denegacin del ejercicio del derecho.
La existencia de motivos fundados y legtimos relativos a una concreta situacin personal
que debe ser acreditada por el interesado como condicin previa al ejercicio de su dere-
cho. La apreciacin de la existencia de los mismos corresponder al Responsable del
fichero.
Contemplado en el Reglamento de la LOPD como el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carcter personal o se cese en el mismo, indica el Reglamento que se
pueden dar tres supuestos:
a) Cuando no sea necesario el consentimiento del interesado para el tratamiento, como
consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su concreta
situacin personal, que lo justifique, siempre que una Ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de
publicidad y prospeccin comercial y
c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al afec-
tado y basada nicamente en un tratamiento automatizado de sus datos de carcter per-
sonal.
31
aBOGa.mark
En el caso del abogado el caso ms normal que se puede dar es el de la letra b), esto es, que se trate
de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comer-
cial.
Ejercicio del derecho de oposicin
El derecho de oposicin se ejercitar mediante solicitud dirigida al responsable del tratamiento.
El responsable del fichero resolver sobre la solicitud de oposicin en el plazo mximo de diez das a
contar desde la recepcin de la solicitud.
En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente
comunicrselo en el mismo plazo.
El responsable del fichero o tratamiento deber excluir del tratamiento los datos relativos al afecta-
do que ejercite su derecho de oposicin o denegar motivadamente la solicitud del interesado en el
plazo previsto de diez das a contar desde la recepcin de la solicitud.
LAS MEDIDAS DE SEGURIDAD

Las Medidas de Seguridad.
El Ttulo VIII del Reglamento de la LOPD regula un aspecto esencial para la tutela del derecho funda-
mental a la proteccin de datos, la seguridad, que, segn se indica en el prembulo del propio
Reglamente, repercute sobre mltiples aspectos organizativos, de gestin y an de inversin, en
todas las organizaciones que traten datos personales. El Reglamento ha pretendido regular la mate-
ria de modo que contemple las mltiples formas de organizacin material y personal de la seguridad
que se dan en la prctica y, de esa forma, regula no solamente lo relativo a la seguridad en los fiche-
ros automatizados sino tambin regula un conjunto de medidas destinadas a los ficheros y trata-
mientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actua-
cin.
Este Ttulo VIII del Reglamento de la LOPD tiene por objeto establecer las medidas mnimas de
ndole tcnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros,
los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan
en el tratamiento de los datos de carcter personal.
Todos los responsables de los tratamientos o los ficheros y los encargados del tratamiento debern
implantar las medidas de seguridad con arreglo a lo dispuesto en este Ttulo VIII, con independencia
de cual sea su sistema de tratamiento, automatizado, manual o mixto.
32
aBOGa.mark
El abogado, por tanto, deber implantar estas medidas de seguridad con arreglo a lo dispuesto en
este Ttulo VIII del Reglamento, con independencia de cual sea su sistema de tratamiento, automati-
zado, manual o mixto.
Los niveles de seguridad en el Reglamento.
Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideracin de mni-
mos legales exigibles, por lo que cada despacho podr incrementar las medidas de seguridad de
acuerdo a otros criterios de Seguridad Informtica, ofreciendo de esta forma mayores garantas,
tanto para el tratamiento de sus ficheros como para el resto de la informacin corporativa. No hay
que olvidar que se deben adoptar las medidas de ndole tcnica y organizativas necesarias que
garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento
o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almace-
nados y los riesgos a que estn expuestos, y el Reglamento establece concretamente cules son las
medidas mnimas, por lo que el abogado deber adoptar, adems de las medidas mnimas exigidas
por el Reglamento, todas aquellas medidas que considere necesarias para garantizar la seguridad de
los datos. El Reglamento establece los niveles de seguridad de forma acumulativa; as, en caso de
tratamiento de ficheros de nivel medio, debern implantarse todas y cada una de las medidas de
seguridad descritas para el nivel bsico y las del medio. Igualmente suceder con los ficheros de nivel
alto, que debern implantar las medidas descritas para el nivel bsico, el medio y el alto. En resu-
men:
Nivel Bsico: Para todos los ficheros de datos de carcter personal.
Nivel Medio: Debern implantarse, adems de las medidas de nivel bsico, las medi-
das de nivel medio, en los siguientes ficheros o tratamientos de datos de carcter per-
sonal:
1.
Los relativos a la comisin de infracciones administrativas o penales.
2.
Los relativos a prestacin de servicios de informacin sobre solvencia patrimo-
nial y crdito.
3.
Aquellos de los que sean responsables Administraciones Tributarias y se rela-
cionen con el ejercicio de sus potestades tributarias.
4.
Aquellos de los que sean responsables las entidades financieras para finalida-
des relacionadas con la prestacin de servicios financieros.
5.
Aquellos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus compe-
tencias. De igual modo, aquellos de los que sean responsables las mutuas de
accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
6.
Aquellos que contengan un conjunto de datos de carcter personal que ofrez-
can una definicin de las caractersticas o de la personalidad de los ciudadanos
y que permitan evaluar determinados aspectos de la personalidad o del com-
portamiento de los mismos.
Nivel Alto: Adems de las medidas de nivel bsico y medio, las medidas de nivel alto
33
aBOGa.mark
se aplicarn en los siguientes ficheros o tratamientos de datos de carcter personal.
1.
2.
3.
Los que se refieran a datos de ideologa, afiliacin sindical, religin, creencias,

origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
Aquellos que contengan datos derivados de actos de violencia de gnero.
Supuestos especiales
1.
Se aplicar el nivel bsico en el caso de ficheros o tratamientos de datos de
ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida
sexual
Cuando los datos se utilicen con la nica finalidad de realizar una
transferencia dineraria a las entidades de las que los afectados sean
asociados o miembros (por ejemplo, para el pago de la cuota sindical)
Se trate de ficheros o tratamientos no automatizados en los que de
forma incidental o accesoria se contengan aquellos datos sin guardar
relacin con su finalidad
2.
Tambin podrn implantarse las medidas de seguridad de nivel bsico en los
ficheros o tratamientos que contengan datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la simple declaracin de la condi-
cin de discapacidad o invalidez del afectado, con motivo del cumplimiento de
deberes pblicos (por ejemplo, en la nmina)
3.
En los ficheros de los que sean responsables los operadores que presten servi-
cios de comunicaciones electrnicas disponibles al pblico o exploten redes
pblicas de comunicaciones electrnicas respecto a los datos de trfico y a los
datos de localizacin, se aplicarn, adems de las medidas de seguridad de
nivel bsico y medio, la medida de seguridad de nivel alto correspondientes al
registro de accesos (art. 103 del R.D. 1720/2007)
El Documento de Seguridad
Entre las medidas que establece el Reglamento de Seguridad, se encuentra la elaboracin e implan-
tacin de la normativa de seguridad mediante un Documento de Seguridad de carcter privado y de
obligado cumplimiento para todo el personal con acceso a los Ficheros de datos de carcter personal
y a los Sistemas de Informacin, en el que deben quedar plasmadas y recogidas todas las polticas,
reglas, medidas y procedimientos de seguridad establecidos por el Responsable del Fichero.
El Documento de Seguridad no es sino una parte ms de las llamadas Polticas de Seguridad, que
recogen y establecen toda una serie de procedimientos, controles, auditoras y actuaciones frente a
contingencias e incidencias que pueden acaecer sobre un sistema informtico.
El Documento de Seguridad deber estar a disposicin de la Agencia Espaola de Proteccin de
Datos en caso de que la misma lo solicite; en ese caso, la Agencia comprobar que lo establecido y
34
aBOGa.mark
recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente adop-
tadas.
El Documento de Seguridad deber quedar recogido por escrito y deber ser distribuido, en todo o
parte, para su conocimiento a todas las personas implicadas en el tratamiento de datos persona-
les.
Obligacion de elaborar el Documento de Seguridad
El abogado, como responsable del fichero o tratamiento, debe elaborar un documento de seguridad
que ser de obligado cumplimiento y recoger las medidas de seguridad de ndole tcnica y organi-
zativas que aplicar de acuerdo con el nivel de medidas de seguridad correspondiente (bsico, medio
o alto) y las que considere necesarias para garantizar la seguridad de los datos. El Documento de
Seguridad deber describir las medidas de seguridad efectivamente adoptadas por el despacho
para el tratamiento de sus ficheros de datos de carcter personal.
Este dato es muy importante, puesto que cada despacho tiene una organizacin distinta, y una de las
funciones principales del documento es dar a conocer a los usuarios de los ficheros las medidas de
seguridad implantadas, as como las recomendaciones, normas y procedimientos establecidos para el
tratamiento de sus ficheros y el acceso a los datos, en el caso de que el despacho sea de ms de una
persona. Es evidente que si solo interviene una persona no es necesaria la distribucin del documen-
to sino simplemente disponer del mismo para cumplir con lo que exige la LOPD.
Se podr hacer un documento de seguridad nico y comprensivo de todos los ficheros o tratamien-
tos, o bien individualizado para cada fichero o tratamiento. Tambin podrn elaborarse distintos
documentos de seguridad agrupando ficheros o tratamientos segn el sistema de tratamiento utiliza-
do para su organizacin, o bien atendiendo a criterios organizativos del responsable. Se podr hacer,
como decimos, uno o varios documentos de seguridad atendiendo a los criterios del abogado res-
ponsable del fichero pero, en todo caso, el documento de seguridad tendr el carcter de documen-
to interno del despacho.
Contenido del Documento de Seguridad
El contenido mnimo del Documento de Seguridad deber recoger los siguientes aspectos:
En el caso de aplicacin de las medidas de seguridad de nivel bsico

1.
mbito de Aplicacin del documento con especificacin detallada de los recur-
sos protegidos.
2.
Medidas, normas, procedimientos de actuacin, reglas y estndares encamina-
dos a garantizar el nivel de seguridad que exige el Reglamento.
3.
Funciones y obligaciones del personal en relacin con el tratamiento de los
datos de carcter personal incluidos en los ficheros.
4.
Estructura de los ficheros con datos de carcter personal y descripcin de los
35
aBOGa.mark
5.
6.
7.
sistemas de informacin que los tratan.

Procedimiento de notificacin, gestin y respuesta ante incidencias.
Procedimiento de realizacin de copias de respaldo y recuperacin de datos.
Medidas que sea necesario adoptar para el transporte de soportes y documen-
tos, as como para la destruccin de los documentos y soportes o, en su caso,
la reutilizacin de los mismos.
1. mbito de aplicacin del Documento con especificacin detallada de los
recursos protegidos. Los recursos que debern relacionarse en este aparta-
do del Documento son:
Ficheros de datos de carcter personal protegidos por la norma-

tiva.
Descripcin de los equipos informticos utilizados para su trata-
miento (servidores, terminales, ordenadores).
Aplicaciones informticas utilizadas para el tratamiento de los
ficheros de datos (como, por ejemplo, Bases de datos SQL,
Programas de gestin, hojas de clculo, etc.).
Descripcin de la red de comunicaciones.
Locales y ubicaciones donde ser de aplicacin la normativa.
2. Medidas, normas, procedimientos, reglas y estndares dirigidos a

garantizar el nivel de seguridad exigido. En este apartado se recogen, prin-
cipalmente, las directrices y procedimientos de seguridad de acceso, tanto
fsico como lgico; as, deben de indicarse:
Los procedimientos y normas de acceso fsico a las ubicaciones y

locales: se relacionan los controles de acceso fsico del personal
a locales y oficinas, los elementos de seguridad fsica que se dis-
ponen, las medidas de seguridad industrial, etc. No es necesario
realizar una descripcin exhaustiva de dichas normas, procedi-
mientos y medidas.
Los procedimientos y normas de acceso al sistema informtico:
asignacin, distribucin, almacenamiento y cambio de contrase-
as de acceso al sistema y red.
Los procedimientos, normas y medidas de seguridad lgica
adoptados para la defensa ante ataques externos (antivirus,
firewalls, cifrado de redes, control de puertos, etc.)
Los procedimientos de acceso y normas de utilizacin de aplica-
ciones informticas concretas.
Los procedimientos, normas y medidas de acceso a travs de
Redes de Telecomunicaciones.
Los procedimientos, autorizaciones y normas de trabajo en ubi-
36
aBOGa.mark
caciones distintas a la principal.

Las directrices de seguridad para la utilizacin de determinados
programas de correo electrnico, protectores de pantalla, con
servacin de documentos, generacin de contraseas, etc.
3. Funciones y obligaciones del personal. El Documento de Seguridad debe

recoger las principales funciones y obligaciones del personal que accede a
los datos de los ficheros; debern definirse y recogerse los tipos de acceso
y permisos, pudiendo relacionarse por grupos de usuarios, por perfiles de
usuarios, por funciones laborales, etc. Adems, deber recogerse una lista
actualizada de los usuarios que acceden a los sistemas de informacin, as
como aquellos usuarios autorizados a acceder a cada uno de los ficheros
de datos. Es recomendable que estos listados sean incorporados como
Anexos al Documento de Seguridad.
4. Estructura de los ficheros con datos de carcter personal y descripcin
de los sistemas de informacin que los tratan. En este apartado, debern
relacionarse los diferentes Ficheros de Datos regulados por el Documento
y las aplicaciones informticas utilizadas para su tratamiento. En muchos
casos, se realiza una parte expositiva en el Documento y se incorporan
como Anexos al mismo dos apartados concretos:
Estructura del fichero de datos: Se incorpora relacin de campos

identificativos que conforman el fichero.
Se especifica el nombre de la aplicacin informtica (programa)
que se utiliza para el tratamiento de los datos; adems, suelen
incorporarse datos referentes al equipo-servidor en el que se
encuentra almacenado el fichero.
5. Procedimiento de notificacin, gestin y respuesta ante incidencias.

Este es uno de los aspectos principales, determinar cmo responder el
despacho y el personal que accede a los ficheros ante las incidencias que
puedan surgir en los datos, en los sistemas informticos y en los locales
donde se realiza el tratamiento de los ficheros. Cada despacho puede defi-
nir, en funcin del tratamiento que realiza y segn sus criterios de seguri-
dad informtica, cuales son las incidencias/vulnerabilidades que pueden
afectar a su organizacin y establecer las normas y procedimientos de noti-
ficacin y actuacin. En muchos casos, la notificacin de incidencias no
queda recogida en formularios/impresos de notificacin; simplemente,
cuando un usuario detecta una incidencia y la comunica a quien corres-
ponda por la va ms rpida (telfono o verbal); tambin, encontramos los
casos de empresas que no cuentan con personal especfico que controle,
verifique y supervise el correcto funcionamiento de los sistemas informti-
37
aBOGa.mark
cos y contrata empresas especializadas el mantenimiento y soporte de sus
sistemas informticos.
6. Los procedimientos de realizacin de copias de respaldo y recuperacin
de datos. Debe establecerse y definirse en el Documento de Seguridad
cundo, cmo y qu se incorpora a las copias de seguridad; y, en caso de
que sea necesaria la restauracin de los datos, cul es el procedimiento de
actuacin a seguir. Es recomendable que las copias de seguridad se reali-
cen con una frecuencia semanal. Por ltimo, el Documento de Seguridad
deber en todo momento mantenerse actualizado y deber ser revisado
siempre que se produzcan cambios relevantes en el sistema de informa-
cin y en la organizacin del despacho.
7. Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, as como para la destruccin de los documentos y soportes o,
en su caso, la reutilizacin de los mismos. Estas medidas estn encamina-
das a garantizar la seguridad de los datos cuando haya que sacar los sopor-
tes fuera de su ubicacin fsica o cuando haya que destruir los documentos
o los soportes o reutilizarlos, para garantizar que no se puedan conocer los
datos por terceras personas no autorizadas debido a una mala destruccin
del soporte o a una defectuosa reutilizacin.
En el caso de aplicacin de las medidas de seguridad de nivel medio o alto

En estos casos, el documento de seguridad deber contener, adems de lo previsto
para el nivel bsico:
1.
2.
La identificacin del responsable o responsables de seguridad.

Los controles peridicos que se deban realizar para verificar el
cumplimiento de lo previsto en el propio documento.
Adems, estos ficheros, debern someterse, al menos cada dos aos, a una auditoria
interna o externa que verifique el cumplimiento de las medidas de seguridad implan-
tadas.
Ficheros manuales o no automatizados
Las medidas de seguridad para los ficheros o tratamientos que se encuentren nicamente en papel
sern las mismas que para los ficheros automatizados en cuanto a que tanto los responsables de los
ficheros como los encargados del tratamiento debern implantarlas con independencia de que el
fichero sea automatizado o en papel.
38
aBOGa.mark
Es as que habr que considerar si se trata de medidas de nivel bsico, medio o alto y realizar el
correspondiente documento de seguridad en la forma que ya ha sido indicada.
Adems, y de manera especfica para los ficheros manuales, en las medidas de seguridad de nivel
bsico habr que considerar las siguientes cuestiones:
1. Criterios de archivo
El archivo de los soportes y documentos se realizar de forma que garantice la correcta
conservacin de los documentos, la localizacin y consulta de la informacin y posibilite
el ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancela-
cin. Si no existe ninguna norma aplicable al respecto, el abogado deber establecer los
criterios de actuacin que deben seguirse para el archivo.
2. Dispositivos de almacenamiento.
Los dispositivos de almacenamiento de los documentos que contengan datos de carcter
personal debern disponer de mecanismos que obstaculicen su apertura. Cuando las
caractersticas fsicas de aquellos no permitan adoptar esta medida, el abogado responsa-
ble del fichero o tratamiento adoptar medidas que impidan el acceso de personas no
autorizadas.
3. Custodia de los soportes.
Mientras la documentacin con datos de carcter personal no se encuentre archivada en
los dispositivos de almacenamiento correspondientes, por estar en proceso de revisin o
tramitacin, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo
de la misma deber custodiarla e impedir en todo momento que pueda ser accedida por
persona no autorizada.
medio habr que considerar las siguientes cuestiones:
Se designar uno o varios responsables de seguridad encargados de coordinar y con-

trolar las medidas definidas en el documento de seguridad.
Estos ficheros (los que les corresponde el nivel medio), debern someterse, al menos
cada dos aos, a una auditora interna o externa que verifique el cumplimiento de las
medidas de seguridad.
alto habr que considerar las siguientes cuestiones:
39
aBOGa.mark
1. Almacenamiento de la informacin.
Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no
automatizados con datos de carcter personal debern encontrarse en reas en las que
el acceso est protegido con puertas de acceso dotadas de sistemas de apertura median-
te llave u otro dispositivo equivalente. Dichas reas debern permanecer cerradas cuan-
do no sea preciso el acceso a los documentos incluidos en el fichero. En el caso de que
las caractersticas de los locales de los que disponga el abogado impidiera cumplir con
esto, se adoptarn medidas alternativas que, debidamente motivadas, se incluirn en el
documento de seguridad.
2. Copia o reproduccin.
La generacin de copias o la reproduccin de los documentos nicamente podr ser rea-
lizada bajo el control de la, o las, personas autorizadas en el documento de seguridad y
deber procederse a la destruccin de las copias o reproducciones desechadas de forma
que se evite el acceso a la informacin contenida en las mismas o su recuperacin poste-
rior.
3. Acceso a la documentacin.
El acceso a la documentacin se limitar exclusivamente al personal autorizado, estable-
cindose mecanismos que permitan identificar los accesos realizados en el caso de docu-
mentos que puedan ser utilizados por mltiples usuarios. El acceso de personas no inclui-
das en el prrafo anterior deber quedar adecuadamente registrado de acuerdo con el
procedimiento establecido al efecto en el documento de seguridad.
4. Traslado de documentacin.
Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero,
debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informa-
cin objeto de traslado.
Los distintos escenarios
Un Colegiado puede ejercer su profesin en distintos marcos de trabajo o escenarios, desde el
Colegiado que desarrolla su labor individualmente en su propio despacho hasta el que forma parte
de un gabinete jurdico de una empresa (seguros, reclamaciones de cantidad, etc.).
40
aBOGa.mark
Los escenarios ms habituales con los que nos podemos encontrar son:
a) Gestin de Asuntos
Tipo de Informacin:
Fichero de Asuntos y Expedientes jurdicos
Datos pertenecientes al procedimiento
Datos personales de la parte contraria

Entorno de trabajo:
Trabajo como despacho unipersonal
Trabajo en red con personal propio del despacho
Colaborador de otro despacho como encargado del tratamiento
Colaborador para una empresa, en calidad de cesionario de los datos o encar-

gado del tratamiento (por ejemplo, defensa jurdica de una compaa de seguros)
b) Gestin Administrativa
Tipo de Informacin:
Datos de clientes para posibilitar la realizacin de tareas administrativas
Presentacin de documentacin en la AEAT
Celebracin de contratos
Nminas
Entorno de trabajo:
Colaborador de otro despacho jurdico como encargado del tratamiento
Colaborador para una empresa, en calidad de cesionario de los datos o encar-

gado del tratamiento
c) Gestin del Despacho
Tipo de Informacin:
Datos de personal contratado en el despacho
Facturacin
Externalizacin (actividades publicitarias, alojamiento de base de datos, etc.)
Gestin del personal y colaboradores del despacho
41
aBOGa.mark
Entorno de trabajo:

Es evidente que el abanico de posibilidades puede ser ms amplio, por eso, solo nos hemos limitado
a enumerar aquellos que hemos considerado ms frecuentes. Tambin destacar, que nada impide
que nuestro despacho se vea involucrado en varios de estos escenarios al mismo tiempo.
QUE DEBE INCLUIR UN BUEN TRABAJO DE ADECUACION

A LA LOPD
Respecto de la L.O.P.D.
-
-
-
-
-
-
-
-
-
-
-
Anlisis de sus sistemas de tratamientos de datos.

Altas, Modificaciones y Supresiones de ficheros.
Redaccin del Documento de Seguridad.
Redaccin clausuras de inclusin de datos.
Protocolos de actuacin para sus trabajadores.
Redaccin contratos de confidencialidad.
Redaccin de los contratos de los encargados de tratamiento.
Asesoramiento en materia de Proteccin de Datos.
Redaccin de modelos de ejercicios de derecho (ARCO)
Manuales formativos.
Mantenimiento y asesoramiento en cualquier vicisitud de la Ley de los Servicios de
la Sociedad de la Informacin y del Comercio Electrnico y la LOPD
Respecto de la L.S.S.I. -pues deben hacerse conjuntamente-

-
-
-
-
-
-
-
Anlisis de su pgina web.

Redaccin de Aviso Legal personalizado.
Redaccin de poltica de cookies personalizada.
Redaccin de Poltica de Privacidad personalizada.
Protocolos de actuacin para recopilar datos personales a travs de la web, y
Manual para campaas publicitarias y de marketing que respondan a las exigen
cias de la LSSI.
Mantenimiento y asesoramiento en cualquier vicisitud de la Ley de los Servicios de
la Sociedad de la Informacin y del Comercio Electrnico y la LOPD
42
aBOGa.mark
QUE PUEDE HACER ABOGAMARK POR S DESPACHO

Considerando la importancia de asegurar el adecuado cumplimiento de la normativa de proteccin
de datos, hemos diseado esta campaa de divulgacin y ponemos a su disposicin toda una serie
de herramientas y personal propfesional y altamente cualificado para una implantacin rigurosa
tanto de la L.O.P.D. como de la L.S.S.I.
No podemos terminar sin remarcar que las nuevas disposiciones de la Agencia de Proteccin de
Datos, y adicionalmente, la entrada en vigor de la reforma del cdigo penal, con nuevas implicacio-
nes para las empresas y sus administradores, hace recomendable y necesario, no slo el compromiso
de cumplimiento normativo, sino tambin el poder generar y documentar las evidencias del mismo.
Si desea ampliar informacin entre en nuestro blog en el que encontar artculos sobre este tema.
Si adems desea saber como podemos ayudarle a cumplir con la L.O.P.D. de forma rpida y sencilla,
contacte con nosotros;
-Telf; 912 300 397
-E-mail; info@abogamark.es
-Web; www.abogamark.es/contacto
43

Lopd Abogados

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Lopd Abogados

Uploaded by

Copyright:

Available Formats

aB

Pag. 2.- CONCEPTOS ESENCIALES DE LA L.O.P.D.

CONCEPTOS ESENCIALES DE LA L.O.P.D.

La Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin de Datos de Carcter Personal o

Por su significacin, merece la pena destacar algunos pronunciamientos de la mencionada sentencia

"...Garantiza a los individuos un poder de disposicin sobre esos datos...que...nada vale si el

persona fsica (interesado o afectado, utilizando la nomenclatura de la LOPD) puede dirigirse a un

Qu son datos de carcter personal?

Nombre y apellidos de los clientes

Qu es un tratamiento de datos de carcter personal?

Quin es el Responsable del Fichero o del tratamiento?

Qu es un Encargado del Tratamiento?

No se considerar comunicacin de datos (cesin de datos) el acceso de un tercero a

tratamiento nicamente tratar los datos conforme a las instrucciones del

Ejemplos de encargos de tratamiento en la prctica profesional de los despachos

Tener el fichero declarado.

Responsable del Fichero. Nosotros seramos responsables de nuestro fichero de datos

Contratacin de gestoras para la gestin laboral, fiscal o contable.

Contratacin de una empresa para acciones de marketing. Envo de felicitaciones a

Contratacin de una empresa para el alojamiento de mi Intranet, Bases de Datos,

Contratacin de una empresa para la destruccin de documentos que contienen datos

Principales obligaciones del Responsable del Fichero

PRINCIPIOS DE LA PROTECCION DE DATOS.

Informacin en la recogida de datos

La existencia de un "fichero" al que sern incorporados los datos que se le solicitan, la

Cuando una ley lo prevea.

Cuando una ley as lo dispone.

Datos especialmente protegidos

Nadie puede ser obligado a declarar sobre su ideologa, religin o creencias.

Datos relativos a la salud

Seguridad de los datos

a) Deber actuar siempre conforme a sus obligaciones profesionales de confidenciali-

b) El acceso a los datos personales contenidos en ficheros nicamente se llevar a

c) No revelar informacin a personas ajenas que no deban tener acceso a dicha

(1) Proteccin de datos y secreto profesional.

Cesin o comunicacin de datos

Informarse al interesado de la identidad del cesionario y de la finalidad para la que se

Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a

Acceso a Datos por cuenta de Terceros -Encargado del Tratamiento-

el contenido del tratamiento que se va a realizar.

LOS DERECHOS DEL INTERESADO

LAS MEDIDAS DE SEGURIDAD

Nivel Bsico: Para todos los ficheros de datos de carcter personal.

Los que se refieran a datos de ideologa, afiliacin sindical, religin, creencias,

En el caso de aplicacin de las medidas de seguridad de nivel bsico

sistemas de informacin que los tratan.

Ficheros de datos de carcter personal protegidos por la norma-

2. Medidas, normas, procedimientos, reglas y estndares dirigidos a

Los procedimientos y normas de acceso fsico a las ubicaciones y

caciones distintas a la principal.

3. Funciones y obligaciones del personal. El Documento de Seguridad debe

Estructura del fichero de datos: Se incorpora relacin de campos

5. Procedimiento de notificacin, gestin y respuesta ante incidencias.

En el caso de aplicacin de las medidas de seguridad de nivel medio o alto

La identificacin del responsable o responsables de seguridad.

Se designar uno o varios responsables de seguridad encargados de coordinar y con-

Datos pertenecientes al procedimiento

Datos personales de la parte contraria

Trabajo como despacho unipersonal

Trabajo en red con personal propio del despacho

Colaborador de otro despacho como encargado del tratamiento

Colaborador para una empresa, en calidad de cesionario de los datos o encar-

Presentacin de documentacin en la AEAT