Professional Documents
Culture Documents
aBOGa.mark
Marketing
y
Consultoria
Comercial
para
despachos
de
Abogados
aBOGa.mark
aB
Marketing
y
Consultoria
Comercial
para
despachos
de
abogados
Indice de Contenidos
C/ Modesto La Fuente 19, Bajo Izda. - 28003 - Madrid - 912 300 397 - www.abogamark.es
aBOGa.mark
Es,
de
acuerdo
con
la
jurisprudencia
constitucional,
un
derecho
independiente
pero
relacionado
con
otros
derechos
fundamentales
como
el
derecho
a
la
intimidad
personal
y
familiar,
el
derecho
al
honor
o
el
derecho
a
la
propia
imagen.
Como
ya
hemos
indicado,
la
LOPD
establece
una
serie
de
obligaciones
para
las
empresas
y
los
profe-
sionales
que
sean
titulares
de
ficheros
con
datos
de
carcter
personal,
al
tiempo
que
contempla
unos
derechos
de
los
ciudadanos
titulares
de
los
datos
que
es
necesario
tener
en
consideracin
para
el
caso
de
que
los
ejerza
ante
un
responsable
de
un
fichero
o
tratamiento.
Por
ejemplo,
cualquier
2
Ga
aBOGa.mark
Para
mejor
exponer,
y
comprender,
estas
obligaciones
que
marca
la
LOPD
indicaremos
que
parte
de
su
articulado
remite
a
desarrollo
reglamentario
y
este
desarrollo
se
ha
producido
mediante
la
publicacin
del
Real
Decreto
1720/2007,
de
21
de
diciembre,
por
el
que
se
aprueba
el
Reglamento
de
desarrollo
de
la
LOPD
(en
adelante
tambin
"el
Reglamento
de
la
LOPD"
o
el
"Real
Decreto
1720/2007").
Ambas
normas
(la
LOPD
y
su
Reglamento),
contemplan
definiciones
que
es
necesario
conocer
para
poder
interpretarlas,
algunas
de
las
cuales
veremos
a
continuacin.
Son
datos
personales
cualquier
informacin
concerniente
a
personas
fsicas
identificadas
o
identifi-
cables. Simplemente
el
nombre
y
los
apellidos
de
una
persona
fsica
ya
son
datos
personales,
pero
tambin
lo
son,
por
ejemplo,
otros
datos
de
carcter
identificativo (nmero
de
DNI,
domicilio,
la
imagen,
la
direccin
de
correo
electrnico,...);
datos
de
caractersticas
personales (nacionalidad,
sexo,
fecha
de
nacimiento...);
datos
acadmicos,
profesionales
y
de
detalles
del
empleo;
o
datos
de
informacin
comercial,
econmico-financieros
o
de
transacciones.
Por
ejemplo,
en
los
despachos,
podemos
encontrar
habitualmente:
Datos
sobre
infracciones
penales
o
administrativas
en
las
que
hubiera
podio
incurrir
algn
cliente
etc.
El
soporte
o
medio
fsico
en
que
se
encuentren
los
datos,
en
principio,
de
cara
a
su
esencial
protec-
cin
es
indiferente
(aunque
s
tendr
gran
importancia
en
el
momento
de
adoptar
las
medidas
de
seguridad
mnimas
exigibles
que
son
las
que
figuran
en
el
Ttulo
VIII
del
Reglamento
de
la
LOPD);
siendo
un
principio
en
esta
materia
el
de
la
neutralidad
tecnolgica:
las
garantas
del
derecho
se
pretenden
que
sean
aplicables
cualquiera
que
sea
la
tecnologa,
utilizada
en
el
tratamiento
de
los
datos,
de
las
que
existen
en
este
momento
o,
incluso,
de
las
que
puedan
desarrollarse
en
el
futuro.
El
Reglamento
de
la
LOPD
amplia
la
definicin
y
entiende
por
dato
de
carcter
personal
"Cualquier
informacin
numrica,
alfabtica,
grfica,
fotogrfica,
acstica
o
de
cualquier
otro
tipo
concerniente
3
aBOGa.mark
a
personas
fsicas
identificadas
o
identificables", pudiendo
comprobar
que
cualquier
informacin,
sea
del
tipo
que
sea
y
se
encuentre
en
el
soporte
que
se
encuentre
(automatizado
o
no),
como,
por
ejemplo,
una
fotografa
o
el
sonido
de
una
grabacin
o
la
imagen
de
un
vdeo,
o
un
cdigo
escrito
en
un
papel,
etc.
mediante
la
que
se
pueda
identificar,
directa
o
indirectamente
(identificada
o
identifi-
cable,
dice
la
norma),
a
una
persona
fsica,
es
considerada
dato
de
carcter
personal
y,
por
tanto,
debe
ser
tratada
contemplando
todas
las
exigencias
de
la
normativa
sobre
proteccin
de
datos.
aBOGa.mark
sus
datos
personales.
La
LOPD
protege
al
titular
del dato,
para
que
no
pueda
ser
tratado
o
elaborado
y
utilizado
o
conver-
tido
en
informacin
nada
ms
que
para
aquellos
fines
para
los
que
ha
sido
facilitado
y
por
aquellas
personas
autorizadas
a
ello.
Pero,
no
lo
olvidemos,
es
indiferente
que
se
trate
de
un
fichero
automatizado
o
de
un
fichero
manual.
La
LOPD
es
aplicable
tambin,
y
protege
de
igual
forma
al
titular
de
los
datos,
se
encuentren
estos
en
un
soporte
informatizado
o
en
un
soporte
papel
o,
indicado
en
trminos
generales,
en
un
fichero
manual.
aBOGa.mark
3.
4.
5.
Actuar
como
encargado
cuando
el
tratamiento
que
lleve
a
cabo
lo
realice
por
cuenta
del
responsa-
ble
que
se
lo
haya
encargado
cumpliendo
lo
dispuesto
en
el
artculo
12
de
la
LOPD.
Por
ejemplo,
la
prestacin
de
servicios
de
gestin
laboral
de
sus
clientes,
de
manera
que
trate
los
datos
de
sus
empleados
para
elaborar
contratos,
nminas,
etc.
Sin
embargo,
es
importante
recordar
que
el
encargado
del
tratamiento
ser
considerado
responsa-
ble
del
tratamiento
y
responder
como
tal
si
no
existe
el
contrato
o
encargo
del
tratamiento
pre-
visto
en
el
art.
12
de
la
LOPD,
o
cuando
destine
los
datos
a
otra
finalidad,
los
comunique
a
terce-
ros
o
los
utilice
incumpliendo
las
estipulaciones
del
contrato.
Pero,
adems,
el
responsable
del
fichero
estara
probablemente
efectuando
una
cesin
no
refleja-
da
en
su
declaracin
del
fichero
y
no
informada
ni
recabando
el
consentimiento
del
afectado,
prctica
constitutiva
de
infraccin
muy
grave
sancionable
con
hasta
601.012,10
euros
como
recoge
la
ley.
Un
ejemplo
de
documento
de
colaboracin
podra
ser
el
que
proponemos
al
final
de
esta
Gua
como
documentos
anexo
I.
Este
modelo
de
contrato
de
colaboracin
se
basa
en
un
despacho
(que
no
es
sociedad
mercantil)
compuesto
por
dos
abogados
titulares
del
despacho
(que
tienen
declarados
los
ficheros
de
datos
personales
a
su
nombre)
y
contratan
a
un
abogado
colaborador
(que
tiene
la
con-
dicin
de
encargado
del
tratamiento).
La
clusula
LOPD
(art.12)
es
la
dcima
del
contrato.
aBOGa.mark
do
de
tratamiento.
En
este
contexto,
es
esencial
entender
muy
bien
en
qu
casos
actuamos
como
responsable
del
fichero
o
tratamiento,
y
en
cules
como
encargado
del
mismo,
as
como
las
limita-
ciones
y
responsabilidades
que,
respecto
a
la
utilizacin
de
los
datos
personales,
les
corresponderan
en
cada
caso.
Para
facilitar
su
comprensin,
a
continuacin
describimos
una
serie
de
casos
concretos
y
muy
habi-
tuales
en
los
despachos
de
abogados:
1.
El
despacho,
o
el
abogado,
contrata
la
colaboracin
de
otros
abogados
en
los
asuntos
de
sus
clientes.
En
el
caso
de
que
seamos
nosotros
los
que
contratemos
la
colaboracin
de
otros
abogados
o
despa-
chos,
actuaremos
como
Responsable
del
Fichero,
debiendo
cumplir
con
las
obligaciones
que
conlleva
esa
figura:
Adems
de
esto
debemos
firmar
un
documento
o
contrato
de
colaboracin
con
el
encargado
del
tra-
tamiento,
segn
exige
el
artculo
12
de
la
LOPD,
en
el
cual:
recogeremos
expresamente
que
el
encargado
del
tratamiento
tratar
los
datos
con
forme
a
las
instrucciones
que
le
demos,
que
no
los
aplicar
o
utilizar
con
fin
distinto
al
que
figure
en
dicho
contrato,
ni
los
comunicar,
ni
siquiera
para
su
conservacin,
a
otras
personas.
se
estipularn,
asimismo,
las
medidas
de
seguridad
a
que
se
refiere
el
art.
9
de
la
LOPD
que
el
encargado
est
obligado
a
implementar.
se
har
saber
que
una
vez
cumplida
la
prestacin
contractual,
los
datos
de
carcter
personal
debern
ser
destruidos
o
devueltos
al
Responsable
del
Fichero,
al
igual
que
cualquier
soporte
o
documentos
en
que
conste
algn
dato
de
carcter
personal
obje
to
del
tratamiento,
respetando
los
plazos
por
otras
imposiciones
legales
(secreto
pro
fesional,
...).
En
el
caso
de
que
el
Encargado
del
Tratamiento
destine
los
datos
a
otra
finalidad,
los
comunique
o
los
utilice
incumpliendo
las
estipulaciones
del
contrato,
ser
considerado,
tambin,
Responsable
del
Tratamiento,
respondiendo
de
las
infracciones
en
que
hubiere
incurrido
personalmente.
En
la
declaracin
del
fichero
constar
un
encargado
del
tratamiento
con
el
que
hayamos
contratado,
pudiendo
ser
ste
bien
el
que
vaya
a
mantener
una
relacin
ms
prolongada
en
el
tiempo
o
el
que
7
aBOGa.mark
lleve
a
cabo
un
mayor
volumen
de
tratamiento
de
datos
o
el
principal
tratamiento
de
los
datos.
2.
El
despacho,
o
el
abogado,
es
contratado
por
empresas
que
externalizan
la
direccin
letrada
de
sus
asuntos
judiciales
o
por
otros
despachos
o
abogados
para
la
llevanza
de
asuntos.
Para
ser
ms
claro,
abordemos
el
caso
concreto
de
una
compaa
de
seguros
que
solicita
a
un
despa-
cho,
probablemente
a
travs
de
su
departamento
jurdico,
el
asesoramiento
y
la
defensa
jurdica
de
un
cliente
suyo
en
un
siniestro
de
trfico.
Esto
nos
obliga
al
despacho
a
establecer
las
medidas
necesarias
para
distinguir
qu
datos
personales
corresponden
a
asuntos
o
expedientes
propios,
que
forman
parte
del
fichero
declarado,
y
cules
asuntos
proceden
de
otro
responsable
de
fichero,
ya
sea
un
despacho
o
una
empresa.
As,
cuando
el
despacho
acte
como
encargado
del
tratamiento,
tiene
obligacin
de
firmar
un
con-
trato
que
contenga
los
requisitos
del
artculo
12
de
la
LOPD.
A
destruir
o
devolver
los
datos
personales
una
vez
concluida
la
finalidad
para
la
que
nos
fueron
entregados,
respetando
los
plazos
por
otras
imposiciones
legales
(secreto
profesional,
...).
3.
Despacho
colectivo
con
varios
abogados
y
software
de
gestin
de
despachos,
en
el
cual
estn
configurados
el
despacho
colectivo
y
un
despacho
por
cada
abogado
para
sus
asuntos
particulares.
En
este
caso,
en
concreto,
se
dan
dos
escenarios
al
mismo
tiempo,
y
en
cada
uno
de
ellos
tenemos
un
rol
distinto:
1.
2.
Es
importante
que
verifiquemos
si
se
cumplen
las
normas
de
seguridad
que
exige
la
LOPD
con
aque-
llos
asuntos
propios
de
nuestro
despacho,
y
como
en
el
caso
anterior
establecer
las
medidas
necesa-
rias
para
distinguir
la
informacin
que
corresponde
al
despacho
propio
y
cul
al
despacho
colectivo.
4.
Cuando
el
despacho
es
contratado
para
el
tratamiento
de
las
nminas
de
empleados
en
el
siste-
ma
de
informacin
de
la
gestora.
En
este
caso
no
hay
que
declarar
el
fichero.
La
empresa
que
contrata
nuestros
servicios
ser
la
res-
8
aBOGa.mark
ponsable
del
fichero
y
har
constar
los
datos
identificativos
del
despacho
en
el
apartado
de
encarga-
do
del
tratamiento. En
el
documento
de
contratacin
de
servicios
se
har
constar
todo
lo
requerido
por
el
artculo
12
de
la
LOPD.
Excepto cuando
recibamos
los
datos
"disociados",
es
decir
no
permiten
la
identificacin
de
una
per-
sona
concreta,
en
cuyo
caso
pierden
el
carcter
de
personales
y
no
se
les
aplica
la
normativa
de
la
LOPD.
5.
En
la
gestin
del
despacho,
cuando
somos
nosotros
los
responsables
del
fichero
y
contratamos
a
otras
empresas,
por
ejemplo
para:
aBOGa.mark
Beneficios
del
cumplimiento
de
la
normativa
de
proteccin
de
datos
personales
1.
Evitar
Sanciones
Este
mximo
rango
legal
del
derecho
a
la
proteccin
de
datos
personales
debe
servir
como
acicate
para
el
cumplimiento
de
su
normativa
protectora,
pero
tambin
otros
aspectos
invitan
al
cumpli-
miento
de
dicha
normativa.
El
incumplimiento
de
las
normas
previstas
en
la
Ley
Orgnica
15/1999
de
Proteccin
de
Datos
de
Carcter
Personal
(LOPD)
y
normativa
de
desarrollo
acarrea
importantes
sanciones.
A
modo
de
ejemplo,
diremos
que:
la
falta
de
declaracin
de
ficheros,
determina
una
sancin
pecuniaria
que
puede
alcan-
zar
los
60.101,21 euros.
el
impedimento
o
la
obstaculizacin
de
los
derechos
de
acceso
o
la
negativa
a
facilitar
al
titular
de
los
datos
informacin
sobre
sus
datos
personales
puede
alcanzar
una
multa
de
300.506,05 euros.
no
disponer
del
preceptivo
documento
de
seguridad
podra
suponer,
tambin,
una
sancin
de
hasta
300.506,05 euros.
la
comunicacin
a
otros
terceros
de
datos
de
carcter
personal
fuera
de
los
casos
per-
mitidos
por
la
ley,
es
una
infraccin
muy
grave,
que
podra
ser
sancionada
con
hasta
601.012,10 euros.
2.
Imagen
y
prestigio.
Adems
de
evitar
la
imposicin
de
sanciones,
el
cumplimiento
de
la
normativa
de
proteccin
de
datos
dar
una
buena
imagen al
despacho
de
cara
a
clientes
actuales
y
potenciales,
aportando
seguridad
y
confianza.
Debemos
recordar,
aqu,
el
deber
esencial
de
la
profesin
de
desempear
la
misin
de
defensa,
adems
de
con
el
mximo
celo
y
diligencia,
guardando
secreto
profesional
y
ase-
gurando
la
confidencialidad;
secreto
y
confidencialidad
relacionados,
sin
duda
alguna,
con
el
derecho
a
la
proteccin
de
datos
de
carcter
personal.
Una
correcta
proteccin
de
los
datos
personales
con-
tribuir,
por
tanto,
al
cumplimiento
de
deberes
deontolgicos
bsicos.
Demostrar
que
nos
interesamos
por
salvaguardar
la
privacidad
de
nuestros
clientes,
aumenta
el
grado
de
confianza
y
de
satisfaccin
de
los
mismos.
Por
el
contrario,
el
incumplimiento
de
la
normativa,
y
la
subsiguiente
imposicin
de
sanciones
por
su
incumplimiento,
generarn
en
los
clientes
y
en
el
mercado
al
que
nos
dirigimos,
una
imagen
negativa
del
despacho
en
cuanto
que
los
ciudadanos
son
cada
vez
ms
conscientes
de
la
importancia
de
su
intimidad
mediante
el
tratamiento
diligente
de
sus
datos.
3.-
La
seguridad
de
los
datos
del
despacho.
La
informacin
es
el
principal
activo
de
cualquier
empresa.
Aplicar
las
medidas
de
seguridad
que
prescribe
la
Ley
preserva
este
activo
de
posibles
prdidas
y
sustracciones
de
informacin.
Si
hay
algo
10
aBOGa.mark
que
produce
temor
a
muchos
empresarios,
es
que
sus
empleados
o
ex
empleados
le
traicionen
o
que
la
competencia
desleal
le
robe
los
clientes,
prctica
muy
usual
y
que
la
L.O.P.D.
protege
cuando
las
empresas
cumplen
sus
normativas.
Para
finalizar,
los
abogados
estarn
obligados
a
observar
las
exigencias
que
derivan
de
la
Ley
Orgnica
de
Proteccin
de
Datos
(LOPD)
y
sus
normas
complementarias
siempre
que
realicen
tra-
tamientos
de
datos
de
carcter
personal,
tanto
en
ficheros
automatizados
como
en
ficheros
manuales,
ya
sean
responsables
de
los
ficheros
o
tratamientos
o
encargados
del
tratamiento.
INSCRIPCION DE FICHERO.
Quin
debe
inscribir
los
ficheros?
Es
obligacin
del
Responsable
del
Fichero
inscribir
aquellos
ficheros
que
traten
datos
de
carcter
per-
sonal
en
el
Registro
General
de
Proteccin
de
Datos.
Por
qu
hay
que
inscribir
los
ficheros?
De
lo
indicado
en
el artculo
26
de
la
Ley
Orgnica
de
Proteccin
de
Datos
se
desprende
que
la
noti-
ficacin
de
los
ficheros
habr
de
ser
previa
a
la
creacin
de
los
mismos,
por
lo
que
la
ausencia
de
dicha
notificacin
sera
una
conducta
constitutiva
de
infraccin
leve,
con
arreglo
a
lo
dispuesto
en
el
artculo
44.2.c)
de
la
propia
Ley
Cmo
y
Donde
se
declara
el
fichero?
Presentando
el
formulario
electrnico
aprobado
por
la
Resolucin
de
12
julio
de
2006
de
la
Agencia
Espaola
de
Proteccin
de
Datos
mediante
el
cual
se
realiza
la
inscripcin
de
los
ficheros
en
el
Registro
General
de
Proteccin
de
Datos.
Esta
modalidad,
de
reciente
implantacin,
ofrece
una
serie
de
mejoras
tcnicas
para
la
cumplimenta-
cin
de
formulario
e
incluso
existe
la
posibilidad
de
utilizar
el
certificado
de
firma
electrnica
del
ICAM
u
otro
reconocido
por
la
AEPD
para
la
presentacin
del
mismo.
11
aBOGa.mark
Esto
bsicamente
quiere
decir
que
no
debemos
recabar
datos
que
no
sean
necesarios
para
la
finali-
dad
para
la
que
hemos
declarado
el
fichero.
Si
estamos
pidiendo
datos
personales
a
un
cliente
para
estar
en
comunicacin
con
l,
le
pediremos
su
direccin
y
nmero
de
telfono,
pero
con
seguridad
no
ser
necesario
que
en
el
formulario
le
preguntemos
por
sus
aficiones,
puesto
que
es
una
informa-
cin
que
no
necesitamos
para
nada,
sera
inadecuado.
Las
finalidades del
fichero
deben
estar
determinadas
de
forma
explcita y
ser
legtimas. No
podrn
ser
utilizados
los
datos
para
finalidades
incompatibles
con
las
que
motivaron
su
recogida. No
se
con-
siderar
incompatible
el
tratamiento
posterior
de
stos
con
fines
histricos,
estadsticos
y
cientfi-
cos.
Por
ejemplo,
la
legislacin
sanitaria
establece
que
el
tratamiento
de
los
datos
contenidos
en
la
docu-
mentacin
o
historia
clnica
de
los
pacientes
con
fines
de
investigacin
o
docencia
se
realizar
siem-
pre
con
datos
disociados
o
con
consentimiento
previo
del
afectado.
Los
datos
personales
deben
ser
exactos
y
mantenerse
al
da para
que
respondan
con
veracidad
a
la
situacin
actual
del
afectado.
Desde
el
punto
de
vista
de
la
proteccin
de
datos,
es
preferible
no
dis-
poner
de
un
determinado
dato
de
una
persona,
antes
que
tenerlo
errneo.
Si
no
se
pudiera
enviar
por
correo
determinada
informacin
a
una
persona
por
no
disponer
de
su
direccin
correcta,
mejor
no
enviarla
que
enviarla
a
un
lugar
equivocado
y
perder
el
control
de
quien
acaba
recibiendo
esos
datos.
Los
datos
de
carcter
personal
sern
cancelados
cuando
hayan
dejado
de
ser
necesarios
o
perti-
nentes,
y
no
se
conservarn
en
forma
que
permitan
la
identificacin
del
interesado
durante
un
periodo
superior
al
necesario
para
la
finalidad
en
base
a
la
que
fueron
recabados.
Si
los
datos
de
carcter
personal
sometidos
a
tratamiento
resultaran
ser
inexactos,
en
todo
o
en
parte,
o
incompletos,
sern
cancelados
y
sustituidos
de
oficio
por
los
correspondientes
datos
rectifi-
cados
o
completados
en
el
plazo
de
diez
das
desde
que
se
tuviese
conocimiento
de
la
inexactitud.
Cuando
los
datos
hubieran
sido
comunicados
previamente
a
un
tercero,
el
responsable
del
fichero
o
tratamiento
deber
notificar
al
cesionario,
en
el
plazo
de
diez
das,
la
rectificacin
o
cancelacin
efectuada.
En
el
plazo
de
diez
das
desde
la
recepcin
de
la
notificacin,
el
cesionario
que
mantuviera
el
trata-
miento
de
los
datos,
deber
proceder
a
la
rectificacin
y
cancelacin
notificada.
Esta
actualizacin
de
los
datos
de
carcter
personal
no
requerir
comunicacin
alguna
al
interesado,
sin
perjuicio
del
ejercicio
de
los
derechos
por
parte
de
los
interesados
reconocidos
en
la
LOPD.
La
cancelacin,
como
borrado
fsico
de
los
datos,
en
muchas
ocasiones
no
es
posible,
pudiendo
exis-
tir
una
norma
que
obligue
al
mantenimiento
de
los
datos
durante
un
periodo
determinado
de
tiem-
po.
12
aBOGa.mark
En
este
sentido,
el
plazo
de
conservacin
de
los
datos
ser
al
menos
de
15
aos debido
a
la
dura-
cin
de
la
prescripcin
de
la
responsabilidad
civil
contractual
de
los
abogados
(art.
1964
Cdigo
Civil).
Los
datos
deben
bloquearse,
quedando
almacenados
de
forma
diferenciada
del
resto
de
los
datos
sometidos
al
tratamiento
y
asegurando
que
queden
excluidos
de
ste,
estando
slo
a
disposicin
de
las
Administraciones
Pblicas,
Jueces
y
Tribunales,
para
la
atencin
de
las
posibles
responsabilidades
nacidas
del
tratamiento.
Los
datos
de
carcter
personal
sern
almacenados
de
forma
que
permitan
el
ejercicio
de
los
dere-
chos
de
los
afectados (partes,
clientes,
etc.),
salvo
que
sean
legalmente
cancelados.
La
informacin
a
los
interesados debe
ser
realizada,
de
forma
expresa,
inequvoca
y
precisa. No
es
admisible
una
informacin
genrica
que
no
permita
saber
quin
y
para
qu
se
est
recabando
los
datos.
Este
deber
de
informacin
deber
llevarse
a
cabo
a
travs
de
un
medio
que
permita
acreditar
su
cumplimiento,
debiendo
conservarse
mientras
persista
el
tratamiento
de
los
datos
del
interesado.
La informacin
que
contempla
este
principio
se
podr
facilitar
al
afectado
o
interesado
por
cual-
quier
medio que
permita
asegurar
que
la
ha
recibido.
Una
forma
de
realizarlo
sera
aadiendo
una
clusula
informativa
en
el
documento
que
se
utiliza
para
recabar
la
informacin
al
cliente,
la
Hoja
de
Encargo
Profesional.
En
el
caso
de
que
los
datos
de
carcter
personal no
hayan
sido
recabados
directamente
del
intere-
sado,
ste
deber
ser
informado
de
forma
expresa,
precisa
e
inequvoca,
por
el
responsable
del
fichero
o
su
representante,
dentro
de
los
tres
meses
siguientes
al
momento
del
registro
de
los
datos, salvo
que
ya
hubiera
sido
informado
con
anterioridad.
13
aBOGa.mark
No
es
preciso
cumplir
con
el
requisito
de
informar
con
posterioridad
al
interesado,
cuando
los
datos
no
se
hayan
recabado
directamente
de
l,
en
los
siguientes
casos:
El
abogado
deber
conservar
el
soporte
en
el
que
conste
el
cumplimiento
del
deber
de
informar.
Para
el
almacenamiento
de
los
soportes,
el
abogado
podr
utilizar,
si
lo
considera
oportuno,
medios
informticos
o
telemticos.
En
particular
podr
proceder
al
escaneado
de
la
documentacin
en
soporte
papel,
siempre
y
cuando
se
garantice
que
en
dicha
automatizacin
no
ha
mediado
alteracin
alguna
de
los
soportes
originales.
Consentimiento
Por
principio
del
consentimiento
entiende
la
Ley
que
es
la
manifestacin
de
voluntad,
libre,
inequvo-
ca,
especfica
e
informada,
mediante
la
cual
el
interesado
consiente
el
tratamiento
de
los
datos
per-
sonales
que
le
son
recabados.
Cuando
se
decide
recabar
datos
de
carcter
personal
debe,
para
poder
utilizarlos,
recabar
el
con-
sentimiento
de su
titular y
que
la
persona que
da
sus
datos
personales
lo
manifieste
consciente-
mente,
y
que
ese
consentimiento
sea
informado.
Ello
supone
que
el
consentimiento
del
afectado
deber
ser
precedido
por el
cumplimiento
del
prin-
cipio
de
informacin, para
que
los
interesados
indiquen,
sin
ningn
gnero
de
dudas,
su
conformi-
dad
con
el
tratamiento
o
su
oposicin
al
mismo.
En
cuanto
a
las
excepciones al
consentimiento,
encontramos
las
siguientes:
1.
2.
3.
4.
5.
aBOGa.mark
La
excepcin
del
consentimiento
no
exime
de
la
obligacin
de
informar en
los
trminos
que
hemos
visto
en
el
punto
anterior,
relativo
al
principio
de
informacin,
ni
permite
el
tratamiento
de
cual-
quier
dato,
sino
nicamente
aquellos
datos
adecuados,
pertinentes
y
no
excesivos
(principio
de
cali-
dad).
Se
recomienda
que
siempre
que
se
traten
datos
especialmente
protegidos se
procure
obtener
el
consentimiento
expreso
en
forma
escrita,
puesto
que
recae
sobre
el
responsable
del
tratamiento
la
carga
de
la
prueba
de
demostrar
que
se
dispona
del
consentimiento,
con
ese
especial
atributo
de
expreso.
aBOGa.mark
Es
necesario
tener
en
consideracin
que
el
principio
de
datos
relativos
a
la
salud
implica
que,
sin
per-
juicio
de
lo
que
dispone
el
artculo
11
respecto
de
la
cesin,
las
instituciones
y
los
centros
sanitarios
pblicos
y
privados
y
los
profesionales
podrn
proceder
al
tratamiento
de
los
datos
de
carcter
per-
sonal
relativos
a
la
salud
de
las
personas
que
a
ellos
acudan
o
hayan
de
ser
tratados
en
los
mismos,
de
acuerdo
con
lo
dispuesto
en
la
legislacin
estatal
o
autonmica
sobre
sanidad.
Deber
de
secreto
Se
establece
un
deber
de
secreto
y
de
custodia
al
que
se
ven
sujetos
las
personas
que
participan
en
el
proceso
de
tratamiento
de
los
datos
de
carcter
personal;
deberes
que
subsistirn
una
vez
finaliza-
do
el
tratamiento
de
los
datos.
Este
deber
de
secreto
debe
ser
adoptado
por
todo
el
personal
que
accede
a
los
Ficheros
de
datos.
Por
ello,
las
obligaciones
de
Secreto
y
Confidencialidad
incumben
a
todo
el
personal;
y,
de
manera
particular,
a
aquellos
que
en
el
desarrollo
de
sus
funciones
accedan
a
Ficheros
que
contienen
datos
personales.
En
cumplimiento
de
estas
obligaciones,
el
personal
que
trate
o
acceda
a
los
ficheros
de
datos
de
carcter
personal
no
deber
ni
podr
divulgar
o
comunicar
a
terceras
personas
la
informacin
o
los
datos
que
maneja
o
a
los
que
tenga
conocimiento
en
el
desempeo
de
su
cargo
o
funciones.
Adems,
para
garantizar
la
Confidencialidad
de
la
Informacin
es
recomendable
que
se
cumpla
siem-
pre
con
las
siguientes
medidas:
aBOGa.mark
aBOGa.mark
Para
que
se
pueda
realizar
una
cesin
legal
de
datos,
debe
Estas
obligaciones
se
pueden
cumplir
de
una
manera
sencilla,
aadindole
a
la
clausula
informativa
de
nuestra
Hoja
de
Encargo
Profesional
(o
formulario
que
empleemos
para
recoger
los
datos
perso-
nales)
los
datos
identificativos
(nombre
y
direccin)
del
cesionario
y
la
finalidad
por
la
que
se
le
ceden
los
datos.
El
consentimiento
exigido
del
afectado
no
ser
preciso en
los
siguientes
casos:
a)
Cuando
la
cesin
est
autorizada
en
una
Ley.
b)
Cuando
se
trate
de
datos
recogidos
de
fuentes
accesibles
al
pblico.
c)
Cuando
el
tratamiento
responda
a
la
libre
y
legtima
aceptacin
de
una
relacin
jurdica
(1) cuyo
desarrollo,
cumplimiento
y
control
implique
necesariamente
la
cone-
xin
de
dicho
tratamiento
con
ficheros
de
terceros.
En
este
caso
la
comunicacin
slo
ser
legtima
en
cuanto
se
limite
a
la
finalidad
que
la
justifique.
d)
Cuando
la
comunicacin
que
deba
efectuarse
tenga
por
destinatario
al
Defensor
del
Pueblo,
el
Ministerio
Fiscal
o
los
Jueces
o
Tribunales
o
el
Tribunal
de
Cuentas,
en
el
ejercicio
de
las
funciones
que
tiene
atribuidas.
Tampoco
ser
preciso
el
consentimien-
to
cuando
la
comunicacin
tenga
como
destinatario
a
instituciones
autonmicas
con
funciones
anlogas
al
Defensor
del
Pueblo
o
al
Tribunal
de
Cuentas.
e)
Cuando
la
cesin
de
datos
de
carcter
personal
relativos
a
la
salud
sea
necesaria
para
solucionar
una
urgencia
que
requiera
acceder
a
un
fichero
o
para
realizar
los
estudios
epidemiolgicos
en
los
trminos
establecidos
en
la
legislacin
sobre
sanidad
estatal
o
autonmica.
Habr
de
tenerse
en
cuenta
adems
que:
aBOGa.mark
El
cesionario de
los
datos
de
carcter
personal
est
obligado,
por
el
solo
hecho
de
la
comunicacin,
a
la
observancia
de
las
disposiciones
de
la
normativa
de
proteccin
de
datos
personales.
Si
la
cesin
se
realiza
con
datos
previamente
disociados,
no
ser
de
aplicacin
nada
de
lo
establecido
en
este
apartado.
(1)
Este
es
el
caso,
por
ejemplo,
en
el
que
el
despacho
recibe
datos
del
Turno
de
Oficio
para
la
defen -
sa
legal
de
una
persona.
aBOGa.mark
Una
vez
cumplida
la
prestacin
contractual,
los
datos
de
carcter
personal
debern
ser
destruidos o
devueltos
al
responsable
del
tratamiento,
al
igual
que
cualquier
soporte
o
documentos
en
que
cons-
te
algn
dato
de
carcter
personal
objeto
del
tratamiento
(esto
ocurre,
por
ejemplo,
cuando
a
la
imprenta
a
la
que
facilitamos
los
datos
de
nuestros
empleados
para
la
realizacin
de
tarjetas
de
visi-
ta
se
le
impone
la
obligacin
de
destruir
el
listado
de
nombres
una
vez
realizado
el
servicio
contrata-
do).
Es
recomendable
que
esto
figure
en
el
contrato
que
regula
la
prestacin
de
servicio.
En
el
caso
de
que
el
encargado
del
tratamiento
destine
los
datos
a
otra
finalidad,
los
comunique
o
los
utilice
incumpliendo
las
estipulaciones
del
contrato,
ser
considerado,
tambin,
responsable
del
tratamiento,
respondiendo
de
las
infracciones
en
que
hubiera
incurrido
personalmente.
Disposiciones
Generales
-
Carcter
de
personalsimos. Los
derechos
de
acceso,
rectificacin,
cancelacin
y
oposicin
son
per-
sonalsimos
y
sern
ejercidos
por
el
afectado.
-
Ejercicio
de
los
derechos. Son
derechos
independientes
de
tal
forma
que
no
puede
entenderse
que
el
ejercicio
de
ninguno
de
ellos
sea
requisito
previo
para
el
ejercicio
de
otro.Los
derechos
se
ejercita-
rn:
a)
Por
el
afectado,
acreditando
su
identidad,
del
modo
previsto
en
el
artculo
siguiente.
b)
Cuando
el
afectado
se
encuentre
en
situacin
de
incapacidad
o
minora
de
edad
que
le
imposibilite
el
ejercicio
personal
de
estos
derechos,
podrn
ejercitarse
por
su
represen-
tante
legal,
en
cuyo
caso
ser
necesario
que
acredite
tal
condicin.
c)
Los
derechos
tambin
podrn
ejercitarse
a
travs
de
representante
voluntario,
expre-
samente
designado
para
el
ejercicio
del
derecho.
En
ese
caso,
deber
constar
claramente
acreditada
la
identidad
del
representado,
mediante
la
aportacin
de
copia
de
su
Documento
Nacional
de
Identidad
o
documento
equivalente,
y
la
representacin
conferi-
da
por
aqul.
20
aBOGa.mark
-
Denegacin
de
los
derechos. Los
derechos
sern
denegados
cuando
la
solicitud
sea
formulada
por
persona
distinta
del
afectado
y
no
se
acreditase
que
la
misma
acta
en
representacin
de
aqul.
-
Facilitar
el
ejercicio
de
los
derechos. Deber
concederse
al
interesado
un
medio
sencillo
y
gratuito
para
el
ejercicio
de
los
derechos
de
acceso,
rectificacin,
cancelacin
y
oposicin.
-
Procedimiento. El
ejercicio
de
los
derechos
deber
llevarse
a
cabo
mediante
comunicacin
dirigida
al
responsable
del
fichero,
que
contendr:
a)
Nombre
y
apellidos
del
interesado;
fotocopia
de
su
documento
nacional
de
identidad,
o
de
su
pasaporte
u
otro
documento
vlido
que
lo
identifique
y,
en
su
caso,
de
la
persona
que
lo
represente,
o
instrumentos
electrnicos
equivalentes;
as
como
el
documento
o
instrumento
electrnico
acreditativo
de
tal
representacin.
b)
Peticin
en
que
se
concreta
la
solicitud.
c)
Direccin
a
efectos
de
notificaciones,
fecha
y
firma
del
solicitante.
d)
Documentos
acreditativos
de
la
peticin
que
formula,
en
su
caso.
-
Deber
contestarse
la
solicitud
aunque
no
se
tengan
datos
del
interesado. El
responsable
del
tra-
tamiento
deber
contestar
la
solicitud
que
se
le
dirija
en
todo
caso,
con
independencia
de
que
figu-
ren
o
no
datos
personales
del
afectado
en
sus
ficheros.
-
Subsanacin
de
defectos
en
la
solicitud. En
el
caso
de
que
la
solicitud
no
rena
los
requisitos
espe-
cificados
en
el
apartado
primero,
el
responsable
del
fichero
deber
solicitar
la
subsanacin
de
los
mismos.
-
Carga
de
la
prueba
del
cumplimiento
del
deber
de
respuesta. Corresponder
al
responsable
del
tratamiento
la
prueba
del
cumplimiento
del
deber
de
respuesta,
debiendo
conservar
la
acreditacin
del
cumplimiento
del
mencionado
deber.
-
Garantizar
que
todos
los
que
accedan
a
datos
en
el
despacho
puedan
informar
sobre
el
procedi-
miento
para
el
ejercicio
de
los
derechos
por
el
interesado. El
responsable
del
fichero
deber
adop-
tar
las
medidas
oportunas
para
garantizar
que
las
personas
de
su
organizacin
que
tienen
acceso
a
datos
de
carcter
personal
puedan
informar
del
procedimiento
a
seguir
por
el
afectado
para
el
ejer-
cicio
de
sus
derechos.
-
Ejercicio
de
los
derechos
ante
un
encargado
del
tratamiento. Cuando
los
afectados
ejercitasen
sus
derechos
ante
un
encargado
del
tratamiento
y
solicitasen
el
ejercicio
de
su
derecho
ante
el
mismo,
el
encargado
deber
dar
traslado
de
la
solicitud
al
responsable,
a
fin
de
que
por
el
mismo
se
resuelva,
a
menos
que
en
la
relacin
existente
con
el
responsable
del
tratamiento
se
prevea
precisamente
que
el
encargado
atender,
por
cuenta
del
responsable,
las
solicitudes
de
ejercicio
por
los
afectados
de
21
aBOGa.mark
sus
derechos
de
acceso,
rectificacin,
cancelacin
u
oposicin.
Derecho
de
Acceso
La
LOPD
otorga
al
afectado
el
derecho
a
acceder
a
sus
datos de
carcter
personal
que
estn
someti-
dos
a
tratamiento
automatizado
o
no
automatizado,
gratuitamente.
El
afectado
tendr
por
lo
tanto
derecho
de
conocer
qu
datos
estn
siendo
objeto
de
tratamiento
por
el
Responsable
del
tratamien-
to.
El
ejercicio
del
derecho
de
acceso
se
deber
atender
tanto
si
se
tienen
datos
del
interesado
como
si
no
se
tuvieran.
En
este
ltimo
caso
(si
no
se
tuvieran
datos
del
interesado)
se
atender
el
ejercicio
del
derecho
notificndole
que
no
se
tiene
ningn
dato
suyo,
pero,
insistimos,
hay
que
atender
siem-
pre
el
ejercicio
del
derecho
de
cualquier
interesado.
Contemplado
en
el
Reglamento
de
la
LOPD
como
el
derecho
del
afectado
a
obtener
informacin
sobre
si
sus
propios
datos
de
carcter
personal
estn
siendo
objeto
de
tratamiento,
la
finalidad
del
tratamiento
que,
en
su
caso,
se
est
realizando,
as
como
la
informacin
disponible
sobre
el
origen
de
dichos
datos
y
las
comunicaciones
realizadas
o
previstas
de
los
mismos,
mediante
este
derecho
el
interesado
tiene
derecho
a
obtener
del
abogado
?que
es
el
responsable
del
tratamiento-,
informa-
cin
relativa
a
datos
concretos,
a
datos
incluidos
en
un
determinado
fichero,
o
a
la
totalidad
de
sus
datos
sometidos
a
tratamiento.
Requisitos
Es
en
el
Reglamento
de
la
LOPD
en
donde
se
encuentran
regulados
los
requisitos
del
derecho
de
acceso
y
el
procedimiento.
Este
procedimiento
es
el
comn
para
el
ejercicio
de
todos
los
derechos
(de
acceso,
rectificacin,
cancelacin
y
oposicin)
y
ya
le
hemos
indicado
en
el
apartado
de
disposi-
ciones
generales,
no
obstante,
le
repetimos
en
este
lugar
para
faciltar
la
lectura
y
comprensin
de
los
mismos.
Procedimiento
El
procedimiento
para
el
ejercicio
de
cualquier
derecho
ARCO
(acceso,
rectificacin,
cancelacin
y
oposicin),
y,
en
particular,
para
el
derecho
de
acceso,
deber
llevarse
a
cabo
mediante
comunica-
cin
dirigida
al
responsable
del
fichero,
que
contendr:
a)
Nombre
y
apellidos
del
interesado;
fotocopia
de
su
documento
nacional
de
identidad,
o
de
su
pasaporte
u
otro
documento
vlido
que
lo
identifique
y,
en
su
caso,
de
la
persona
que
lo
represente,
o
instrumentos
electrnicos
equivalentes;
as
como
el
documento
o
instrumento
electrnico
acreditativo
de
tal
representacin.
b)
Peticin
en
que
se
concreta
la
solicitud.
c)
Direccin
a
efectos
de
notificaciones,
fecha
y
firma
del
solicitante.
22
aBOGa.mark
Ejercicio
mediante
representante
Los
derechos
reconocidos
por
la
Ley,
como
ya
hemos
indicado,
son
derechos
personalsimos lo
que
implica
que
nicamente
el
afectado
puede
ejercerlos.
Ahora
bien,
esto
no
perjudica
del
ejercicio
del
derecho
mediante
representante.
El
representante
deber
actuar
en
nombre
y
por
cuenta
del
afec-
tado en
base
a
un
mandato
especfico
otorgado
por
el
afectado.
La
AEPD
no
admite
la
validez
de
los
mandatos
genricos,
debiendo
contener
en
su
texto,
de
forma
expresa,
la
voluntad
del
interesado
de
que
el
mandante
(representante)
ejerza
por
su
cuenta
y
en
su
nombre
el
derecho
en
cuestin.
En
estos
casos,
el
Responsable
del
fichero
deber
comprobar
la
validez
del
mandato
otorgado
y
la
cum-
plimentacin
de
la
solicitud
de
ejercicio.
El
abogado,
como
Responsable
del
fichero,
deber
comprobar
todo
esto
para
que
en
caso
de
que
fal-
taran
algunos
de
los
elementos
enumerados
en
el
procedimiento
que
hemos
referido
requiera
al
interesado
que
subsane
los
defectos
con
el
fin
de
poder
atenderla.
Plazos
Una
vez
recibida
la
solicitud
de
ejercicio
del
derecho
de
acceso,
el
Responsable
del
fichero
dispone
de
un
mes
para
contestar
a
la
solicitud.
El
plazo
empieza
a
computar
desde
el
da
de
recepcin
de
la
carta.
Transcurrido
el
plazo
sin
que
el
Responsable
del
fichero
haya
contestado,
la
solicitud
se
enten-
der
desestimada
lo
que
implica
que
el
Responsable
deniega
el
ejercicio
del
derecho
al
afectado.
Una
vez
el
Responsable
del
fichero
haya
accedido
a
la
solicitud
del
interesado,
deber
hacer
efectivo
el
acceso
a
los
datos
en
un
plazo
de
10
das
naturales.
El
plazo
computa
desde
la
fecha
de
resolucin
de
la
solicitud
de
acceso.
En
los
casos
en
que
el
Responsable
del
Fichero
no
trate
datos
de
carcter
personal
del
interesado,
deber
contestar
a
la
solicitud
de
ejercicio
del
derecho
en
un
plazo
de
un
mes
indicndole
tal
extre-
mo.
Ejercicio
del
derecho
de
acceso
Al
ejercitar
el
derecho
de
acceso,
el
afectado
podr
optar
por
recibir
la
informacin
a
travs
de
uno
o
varios
de
los
siguientes
sistemas
de
consulta
del
fichero:
a)
Visualizacin
en
pantalla.
b)
Escrito,
copia
o
fotocopia
remitida
por
correo,
certificado
o
no.
c)
Telecopia.
d)
Correo
electrnico
u
otros
sistemas
de
comunicaciones
electrnicas.
23
aBOGa.mark
e)
Cualquier
otro
sistema
que
sea
adecuado
a
la
configuracin
o
implantacin
material
del
fichero
o
a
la
naturaleza
del
tratamiento,
ofrecido
por
el
responsable.
Estos
sistemas
de
consulta
pueden
restringirse
en
funcin
de
la
configuracin
o
implantacin
mate-
rial
del
fichero
o
de
la
naturaleza
del
tratamiento,
siempre
que
el
que
se
ofrezca
al
afectado
sea
gra-
tuito
y
asegure
la
comunicacin
escrita
si
ste
as
lo
exige.
Esto
es,
en
el
caso
del
abogado
y
teniendo
en
cuenta
la
organizacin
ms
frecuente
de
los
ficheros
en
el
despacho,
ser
suficiente
con
ofrecer
al
interesado
un
sistema
sencillo
y
gratuito
que
asegure
la
comunicacin
escrita
como
puede
ser,
por
ejemplo,
realizarlo
por
escrito,
mediante
carta
u
otro
medio
de
comunicacin
similar,
siempre
que
se
asegure
que
se
cumplen
los
requisitos
formales
que
exige
la
norma.
Otorgamiento
del
acceso
El
abogado,
como
responsable
del
fichero
o
tratamiento,
resolver
sobre
la
solicitud
de
acceso
en
el
plazo
mximo
de
un
mes
a
contar
desde
la
recepcin
de
la
solicitud.
En
el
caso
de
que
no
disponga
de
datos
de
carcter
personal
de
los
afectados
deber
igualmente
comunicrselo
en
el
mismo
plazo.
Si
la
solicitud
fuera
estimada
el
acceso
se
har
efectivo
durante
los
diez
das
siguientes
a
dicha
comu-
nicacin.
No
obstante
lo
anterior,
nuestra
recomendacin
es
que
se
haga
efectivo
el
derecho
de
acceso,
por
escrito
y
dentro
del
mes
en
el
que
se
debe
resolver
ya
que
consideramos
que
es
tiempo
suficiente
para
atenderlo
y
resulta
ms
sencillo
todo
el
procedimiento.
La
informacin
que
se
proporcione,
cualquiera
que
sea
el
soporte
en
que
fuere
facilitada,
se
dar
en
forma
legible
e
inteligible,
sin
utilizar
claves
o
cdigos
que
requieran
el
uso
de
dispositivos
mecnicos
especficos.
Dicha
informacin
comprender
todos
los
datos
de
base
del
afectado,
los
resultantes
de
cualquier
elaboracin
o
proceso
informtico,
as
como
la
informacin
disponible
sobre
el
origen
de
los
datos,
los
cesionarios
de
los
mismos
y
la
especificacin
de
los
concretos
usos
y
finalidades
para
los
que
se
almacenaron
los
datos.
Denegacin
del
acceso
El
abogado
podr
denegar
el
acceso
a
los
datos
de
carcter
personal
cuando
el
derecho
ya
se
haya
ejercitado
en
los
doce
meses
anteriores
a
la
solicitud,
salvo
que
se
acredite
un
inters
legtimo
al
efecto.
24
aBOGa.mark
Podr
tambin
denegarse
el
acceso
en
los
supuestos
en
que
as
lo
prevea
una
Ley
o
una
norma
de
derecho
comunitario
de
aplicacin
directa
o
cuando
stas
impidan
al
responsable
del
tratamiento
revelar
a
los
afectados
el
tratamiento
de
los
datos
a
los
que
se
refiera
el
acceso.
En
todo
caso,
el
responsable
del
fichero
informar
al
afectado
de
su
derecho
a
recabar
la
tutela
de
la
Agencia
Espaola
de
Proteccin
de
Datos
conforme
a
lo
dispuesto
en
el
artculo
18
de
la
LOPD.
Es
evidente
que
existen
muchos
casos
en
los
que
el
abogado
deber
denegar
el
acceso
y,
entre
ellos
destacamos
el
caso
de
que
ejercite
el
acceso
y
quiera
conocer
sus
datos
la
contraparte
de
un
proce-
dimiento
en
el
que,
por
razones
obvias,
no
se
tiene
obligacin
de
proporcionar
los
datos
suyos
que
se
tienen.
Derecho
de
Rectificacin
La
LOPD
prev
el
derecho
del
afectado
a
rectificar
sus
datos
de
carcter
personal que
estn
someti-
dos
a
tratamiento
automatizado
o
no
automatizado
de
datos,
cuando
no
correspondan
a
su
situacin
real
y
actual.
El
afectado
tendr
por
lo
tanto
derecho
a
solicitar
al
Responsable
del
fichero
que
rectifique
los
datos
errneos.
Este
derecho
garantiza
al
interesado,
por
una
parte,
que
los
datos
sometidos
a
tratamien-
to
sean
reales
y,
por
otra
parte,
ayuda
al
Responsable
del
tratamiento
en
su
obligacin
de
mantener
los
datos
de
carcter
personal
actuales,
exactos
y
completos (artculo
4
de
la
LOPD).
Contemplado
en
el
Reglamento
de
la
LOPD
como
el
derecho
del
afectado
a
que
se
modifiquen
los
datos
que
resulten
ser
inexactos
o
incompletos,
mediante
este
derecho
el
interesado
puede
requerir
y
obtener
del
abogado
la
rectificacin
de
los
datos
que,
cumpliendo
los
requisitos
de
inexactitud
o
que
no
sean
completos,
se
encuentren
en
los
ficheros
o
sean
tratados
por
l,
siempre
que
el
intere-
sado
acompae
documentacin
justificativa
de
lo
solicitado,
en
los
casos
que
sea
necesario.
Requisitos
Es
en
el
Reglamento
de
la
LOPD
en
donde
se
encuentran
regulados
los
requisitos
del
derecho
de
rec-
tificacin
y
el
procedimiento.
Este
procedimiento
es
el
comn
para
el
ejercicio
de
todos
los
derechos
(de
acceso,
rectificacin,
cancelacin
y
oposicin)
y
ya
le
hemos
indicado
en
el
apartado
de
disposi-
ciones
generales,
no
obstante,
le
repetimos
en
este
lugar
para
faciltar
la
lectura
y
comprensin
de
los
mismos.
Procedimiento
El
procedimiento
para
el
ejercicio
de
cualquier
derecho
ARCO
(acceso,
rectificacin,
cancelacin
y
oposicin),
y,
en
particular,
para
el
derecho
de
acceso,
deber
llevarse
a
cabo
mediante
comunica-
cin
dirigida
al
responsable
del
fichero,
que
contendr:
25
aBOGa.mark
a)
Nombre
y
apellidos
del
interesado;
fotocopia
de
su
documento
nacional
de
identidad,
o
de
su
pasaporte
u
otro
documento
vlido
que
lo
identifique
y,
en
su
caso,
de
la
persona
que
lo
represente,
o
instrumentos
electrnicos
equivalentes;
as
como
el
documento
o
instrumento
electrnico
acreditativo
de
tal
representacin.
b)
Peticin
en
que
se
concreta
la
solicitud.
c)
Documentacin
justificativa
de
lo
solicitado.
d)
Direccin
a
efectos
de
notificaciones,
fecha
y
firma
del
solicitante.
Ejercicio
del
derecho
de
rectificacin
La
solicitud
de
rectificacin
deber
indicar
a
qu
datos
se
refiere
y
la
correccin
que
haya
de
realizar-
se
y
deber
ir
acompaada
de
la
documentacin
justificativa
de
lo
solicitado.
Ejercicio
mediante
representante
Los
derechos
reconocidos
por
la
Ley,
como
ya
hemos
indicado,
son
derechos
personalsimos lo
que
implica
que
nicamente
el
afectado
puede
ejercerlos.
Ahora
bien,
esto
no
perjudica
del
ejercicio
del
derecho
mediante
representante.
El
representante
deber
actuar
en
nombre
y
por
cuenta
del
afec-
tado en
base
a
un
mandato
especfico
otorgado
por
el
afectado.
La
AEPD
no
admite
la
validez
de
los
mandatos
genricos,
debiendo
contener
en
su
texto,
de
forma
expresa,
la
voluntad
del
interesado
de
que
el
mandante
(representante)
ejerza
por
su
cuenta
y
en
su
nombre
el
derecho
en
cuestin.
En
estos
casos,
el
Responsable
del
fichero
deber
comprobar
la
validez
del
mandato
otorgado
y
la
cum-
plimentacin
de
la
solicitud
de
ejercicio.
El
abogado,
como
Responsable
del
fichero,
deber
comprobar
todo
esto
para
que
en
caso
de
que
fal-
taran
algunos
de
los
elementos
enumerados
en
el
procedimiento
que
hemos
referido
requiera
al
interesado
que
subsane
los
defectos
con
el
fin
de
poder
atenderla.
Plazos
Una
vez
recibida
la
solicitud
de
ejercicio
del
derecho
de
rectificacin,
el
abogado
resolver
sobre
la
solicitud
de
rectificacin
en
el
plazo
mximo
de
diez
das
hbiles
a
contar
desde
la
recepcin
de
la
solicitud
En
el
caso
de
que
no
disponga
de
datos
de
carcter
personal
del
afectado
deber
igualmente
comu-
nicrselo
en
el
mismo
plazo.
El
plazo
empieza
a
computar
desde
el
da
de
recepcin
de
la
carta.
Transcurrido
el
plazo
sin
que
el
Responsable
del
fichero
haya
contestado,
la
solicitud
se
entender
desestimada
lo
que
implica
que
el
Responsable
deniega
el
ejercicio
del
derecho
al
afectado.
26
aBOGa.mark
Vemos,
por
tanto,
que
los
requisitos
que
debe
cumplir
la
solicitud
de
ejercicio
del
derecho
de
rectifi-
cacin,
as
como
las
modalidades
del
ejercicio
mediante
representante
son
las
mismas
que
las
expuestas
en
el
apartado
dedicado
al
derecho
de
acceso.
La
nica
diferencia
residir
en
la
obligacin
que
incumbe
al
interesado
de
adjuntar
a
la
solicitud
de
ejercicio
la
documentacin
que
justifique
la
rectificacin
(Por
ejemplo,
cuando
solicite
un
cambio
de
los
datos
identificativos
-nombre
y/o
apelli-
dos-).
Denegacin
del
derecho
de
rectificacin
Cuando
el
Responsable
del
tratamiento
considere
que
no
procede
acceder
a
la
solicitud
del
afectado,
lo
comunicar
de
forma
motivada
al
interesado,
y
dentro
del
plazo
de
diez
das
hbiles.
El
Responsable
del
fichero
deber
probar
la
legitimidad
de
la
denegacin
del
ejercicio
del
derecho.
La
denegacin
del
ejercicio
de
rectificacin
faculta
al
interesado
para
presentar
una
reclamacin
ante
la
AEPD
y
acogerse
al
procedimiento
de
tutela
de
derechos.
Imposibilidad
de
rectificar
los
datos
En
caso
de
ser
imposible
la
rectificacin
de
los
datos,
el
Responsable
del
tratamiento
deber
cancelar
de
oficio
los
datos
tratados,
por
no
ser
actualizados,
ni
responder
a
la
situacin
real
del
afectado,
y
por
lo
tanto
acarreando
la
ilegitimidad
del
tratamiento.
Comunicacin
a
terceros
Si
los
datos
rectificados
hubieran
sido
comunicados
previamente
a
terceros,
el
Responsable
del
Tratamiento
deber
notificar,
en
el
mismo
plazo
de
diez
das
hbiles,
la
rectificacin
efectuada
a
quien
se
hayan
comunicado.
El
tercero
deber
entonces
proceder
a
la
rectificacin
de
los
datos
(art-
culo
16.4
de
la
LOPD).
Derecho
de
Cancelacin
La
LOPD
prev
el
derecho
del
afectado
a
cancelar sus
datos
de
carcter
personal
que
estn
someti-
dos
a
tratamiento
automatizado
o
no
automatizado
de
datos.
Al
referirse
a
la
cancelacin,
indica
el
Reglamento
de
la
LOPD
que
es
un
procedimiento
en
virtud
del
cual
el
responsable
cesa
en
el
uso
de
los
datos.El
afectado
tendr
por
lo
tanto
derecho
a
solicitar
al
Responsable
del
fichero
que
cancele(1)
los
datos
objeto
de
tratamiento
cuando
stos
sean
inexactos
o
incompletos,
inadecuados
o
excesivos.
Esto
es,
el
interesado
tendr
derecho
a
solicitar
del
aboga-
do
que
cese
en
el
uso
de
los
datos
cuando
stos
sean
inexactos
o
incompletos,
inadecuados
o
excesi-
vos.
Mediante
este
derecho
el
interesado
puede
requerir
y
obtener
del
abogado
la
cancelacin
de
los
datos
que
resulten
ser
inadecuados
o
excesivos
de
los
que
se
encuentren
en
los
ficheros
o
sean
tra-
tados
por
l.
27
aBOGa.mark
Requisitos
Es
en
el
Reglamento
de
la
LOPD
en
donde
se
encuentran
regulados
los
requisitos
del
derecho
de
rec-
tificacin
y
el
procedimiento.
Este
procedimiento
es
el
comn
para
el
ejercicio
de
todos
los
derechos
(de
acceso,
rectificacin,
cancelacin
y
oposicin)
y
ya
le
hemos
indicado
en
el
apartado
de
disposi-
ciones
generales,
no
obstante,
le
repetimos
en
este
lugar
para
faciltar
la
lectura
y
comprensin
de
los
mismos.
Procedimiento
El
procedimiento
para
el
ejercicio
de
cualquier
derecho
ARCO
(acceso,
rectificacin,
cancelacin
y
oposicin),
y,
en
particular,
para
el
derecho
de
acceso,
deber
llevarse
a
cabo
mediante
comunica-
cin
dirigida
al
responsable
del
fichero,
que
contendr:
a)
Nombre
y
apellidos
del
interesado;
fotocopia
de
su
documento
nacional
de
identidad,
o
de
su
pasaporte
u
otro
documento
vlido
que
lo
identifique
y,
en
su
caso,
de
la
persona
que
lo
represente,
o
instrumentos
electrnicos
equivalentes;
as
como
el
documento
o
instrumento
electrnico
acreditativo
de
tal
representacin.
b)
Peticin
en
que
se
concreta
la
solicitud.
c)
Documentacin
justificativa
de
lo
solicitado.
d)
Direccin
a
efectos
de
notificaciones,
fecha
y
firma
del
solicitante.
Ejercicio
del
derecho
de
cancelacin
En
la
solicitud
de
cancelacin
el
interesado
deber
indicar
a
qu
datos
se
refiere
aportando
al
efecto
la
documentacin
que
lo
justifique,
en
su
caso.
Ejercicio
mediante
representante
Los
derechos
reconocidos
por
la
Ley,
como
ya
hemos
indicado,
son
derechos
personalsimos lo
que
implica
que
nicamente
el
afectado
puede
ejercerlos.
Ahora
bien,
esto
no
perjudica
del
ejercicio
del
derecho
mediante
representante.
El
representante
deber
actuar
en
nombre
y
por
cuenta
del
afec-
tado en
base
a
un
mandato
especfico
otorgado
por
el
afectado.
La
AEPD
no
admite
la
validez
de
los
mandatos
genricos,
debiendo
contener
en
su
texto,
de
forma
expresa,
la
voluntad
del
interesado
de
que
el
mandante
(representante)
ejerza
por
su
cuenta
y
en
su
nombre
el
derecho
en
cuestin.
En
estos
casos,
el
Responsable
del
fichero
deber
comprobar
la
validez
del
mandato
otorgado
y
la
cum-
plimentacin
de
la
solicitud
de
ejercicio.
El
abogado,
como
Responsable
del
fichero,
deber
comprobar
todo
esto
para
que
en
caso
de
que
fal-
taran
algunos
de
los
elementos
enumerados
en
el
procedimiento
que
hemos
referido
requiera
al
interesado
que
subsane
los
defectos
con
el
fin
de
poder
atenderla.
Plazos
28
aBOGa.mark
Una
vez
recibida
la
solicitud
de
ejercicio
del
derecho
de
cancelacin,
el
abogado
resolver
sobre
la
solicitud
de
cancelacin
en
el
plazo
mximo
de
diez
das
hbiles
a
contar
desde
la
recepcin
de
la
solicitud
En
el
caso
de
que
no
disponga
de
datos
de
carcter
personal
del
afectado
deber
igualmente
comu-
nicrselo
en
el
mismo
plazo.
El
plazo
empieza
a
computar
desde
el
da
de
recepcin
de
la
carta.
Transcurrido
el
plazo
sin
que
el
Responsable
del
fichero
haya
contestado,
la
solicitud
se
entender
desestimada
lo
que
implica
que
el
Responsable
deniega
el
ejercicio
del
derecho
al
afectado.
Vemos,
por
tanto,
que
los
requisitos que
debe
cumplir
la
solicitud
de
ejercicio
del
derecho
de
cance-
lacin,
as
como
las
modalidades
del
ejercicio
mediante
representante
son
las
mismas
que
las
expuestas
en
el
apartado
dedicado
al
derecho
de
acceso.
La
nica
diferencia
residir
en
la
obligacin
que
incumbe
al
interesado
de
adjuntar
a
la
solicitud
de
ejercicio
la
documentacin
que
justifique
la
cancelacin.
Denegacin
del
derecho
de
cancelacin
La
cancelacin
no
proceder
cuando
los
datos
de
carcter
personal
deban
ser
conservados
durante
los
plazos
previstos
en
las
disposiciones
aplicables
o,
en
su
caso,
en
las
relaciones
contractuales
entre
el
abogado
responsable
del
fichero
o
tratamiento
y
el
interesado
que
justificaron
el
tratamien-
to
de
los
datos.
Podr
tambin
denegarse
el
derecho
de
cancelacin
en
los
supuestos
en
que
as
lo
prevea
una
Ley
o
una
norma
de
derecho
comunitario
de
aplicacin
directa
o
cuando
stas
impidan
al
responsable
del
tratamiento
revelar
a
los
afectados
el
tratamiento
de
los
datos
a
los
que
se
refiera
el
acceso.
En
todo
caso,
el
abogado
responsable
del
fichero
informar
al
afectado
de
su
derecho
a
recabar
la
tutela
de
la
Agencia
Espaola
de
Proteccin
de
Datos
conforme
a
lo
dispuesto
en
el
artculo
18
de
la
LOPD.
Cuando
el
Responsable
del
tratamiento
considere
que
no
procede
acceder
a
la
solicitud
del
afectado,
lo
comunicar
de
forma
motivada
al
interesado,
y
dentro
del
plazo
de
diez
das
hbiles.
El
Responsable
del
fichero
deber
probar
la
legitimidad
de
la
denegacin
del
ejercicio
del
derecho.
La
denegacin
del
ejercicio
de
cancelacin
faculta
al
interesado
para
presentar
una
reclamacin
ante
la
AEPD
y
acogerse
al
procedimiento
de
tutela
de
derechos.
Comunicacin
a
terceros
Si
los
datos
cancelados
hubieran
sido
comunicados
previamente
a
terceros,
el
Responsable
del
Tratamiento
deber
notificar,
en
el
mismo
plazo
de
diez
das
hbiles,
la
cancelacin
efectuada
a
quien
se
hayan
comunicado.
El
tercero
deber
entonces
proceder
a
la
cancelacin
de
los
datos
(art-
culo
16.4
de
la
LOPD).
29
aBOGa.mark
El
bloqueo
de
los
datos
y
posterior
borrado
fsico
La
cancelacin
dar
lugar
al
bloqueo
de
los
datos,
conservndose
nicamente
a
disposicin
de
las
Administraciones
Pblicas,
Jueces
y
Tribunales,
para
la
atencin
de
las
posibles
responsabilidades
nacidas
del
tratamiento
o
de
las
relaciones
del
titular
del
fichero
con
el
afectado,
durante
el
plazo
de
prescripcin
de
stas.
Cumplido
los
plazos
correspondientes
para
ejercitar
acciones
de
responsabili-
dad
deber
procederse
a
la
supresin
de
los
datos,
borrndolos
fsicamente.
Al
menos
se
conservarn
de
forma
bloqueada
los
datos
de
carcter
personal
que
se
vayan
a
cance-
lar,
lo
que
significa
que
los
datos
personales
cancelados
se
conservarn
necesariamente
bloqueado
s
durante
los
plazos
de
prescripcin
de
las
responsabilidades
previstos
en
la
normativa
aplicable
o
en
las
relaciones
contractuales
establecidas
con
el
interesado.
El
bloqueo
tiene
por
finalidad
que
el
res-
ponsable
del
fichero
o
tratamiento
pueda
responder
de
las
responsabilidades
surgidas
del
tratamien-
to
de
los
datos.
Adems
la
LOPD
prev
que
los
datos
personales,
una
vez
concluida
la
finalidad
que
motiv
su
recogi-
da,
se
conserven
durante
los
plazos
previstos
en
las
disposiciones
aplicables
o,
en
su
caso,
en
las
relaciones
contractuales
entre
el
responsable
del
tratamiento
y
el
interesado
(art.
16.5
de
la
LOPD).
Esto
significa
que
en
el
marco
de
la
relacin
abogado-cliente,
una
vez
concluido
el
encargo
que
moti-
v
la
recogida
y
tratamiento
de
datos
personales,
el
cliente-titular
de
los
datos
puede
solicitar
la
can-
celacin
de
sus
datos
personales,
pero
el
abogado-responsable
del
tratamiento
debe
conservarlos
bloqueados
durante
el
tiempo
en
el
que
se
puedan
ejercitar
acciones
por
cualquier
responsabilidad
derivada
de
la
previa
relacin
entre
el
abogado
y
el
cliente.
En
este
sentido,
el
plazo
de
conservacin
de
los
datos
bloqueados
ser
al
menos
de
15
aos
debido
a
la
duracin
de
la
prescripcin
de
la
res-
ponsabilidad
civil
contractual
de
los
abogados
(art.
1964
Cdigo
Civil),
y
dado
que
otros
plazos
lega-
les
de
prescripcin
son
menores
(p.ej.
3
aos
para
las
infracciones
disciplinarias
muy
graves
-art.
91
Estatuto
General
de
la
Abogaca-
3
aos
para
reclamar
honorarios
profesionales
-1967.1
Cdigo
Civil-).
Respecto
al
bloqueo,
el
reglamento
de
la
LOPD
indica
que
la
cancelacin
implicar
el
bloqueo
de
los
datos,
consistente
en
la
identificacin
y
reserva
de
los
mismos
con
el
fin
de
impedir
su
tratamiento
excepto
para
su
puesta
a
disposicin
de
las
Administraciones
pblicas,
Jueces
y
Tribunales,
para
la
atencin
de
las
posibles
responsabilidades
nacidas
del
tratamiento
y
slo
durante
el
plazo
de
pres-
cripcin
de
dichas
responsabilidades.
Transcurrido
ese
plazo
deber
procederse
a
la
supresin
de
los
datos.
El
bloqueo
de
los
datos
supone
que
los
mismos
se
hagan
indisponibles
para
el
sistema
,
eso
es,
que
no
se
pueda
acceder
a
los
mismos,
salvo
para
tareas
de
mantenimiento
o
para
el
cumplimiento
de
las
finalidades
para
las
cuales
se
ha
procedido
a
su
bloqueo.
Una
vez
transcurridos
los
plazos
legales
de
bloqueo
de
los
datos
personales,
proceder
la
supresin
de
dichos
datos
mediante
su
borrado
fsico
o
destruccin.
Pulse
aqu
para
descargar
el
modelo
30
aBOGa.mark
(1)Debemos
hacer
notar
que
se
habla
de
"cancelar"
los
datos
y
no
de
"borrar"
los
datos.
La
cancela -
cin
da
lugar
al
bloqueo
de
los
datos,
conservndose
nicamente
a
disposicin
de
las
Administraciones
Pblicas,
Jueces
y
Tribunales,
para
la
atencin
de
las
posibles
responsabilidades
nacidas
del
tratamiento
o
de
las
relaciones
del
titular
del
fichero
con
el
afectado,
durante
el
plazo
de
prescripcin
de
stas
Derecho
de
Oposicin
El
interesado
tiene
derecho
a
oponerse
al
tratamiento
de
sus
datos
de
carcter
personal
cuando
hayan
sido
sometido
a
tratamiento
sin
su
consentimiento,
por
ejemplo
cuando
los
datos
hayan
sido
recogidos
de
una
fuente
accesible
al
pblico.
Este
derecho
de
oposicin
dar
lugar
a
la
cancelacin
de
los
datos
en
el
fichero.
Requisitos
Ahora
bien,
la
LOPD,
adems
de
los
requisitos
propios
al
contenido
de
la
solicitud
de
ejercicio
del
derecho
y
al
ejercicio
mediante
representante,
comn
a
todos
los
derechos
reconocidos
en
la
LOPD
al
afectado,
impone
dos
lmites
al
ejercicio
de
este
derecho
por
el
afectado:
En
caso
de
que
una
Ley
disponga lo
contrario: si
una
norma
con
rango
de
Ley
encomien-
da
al
Responsable
del
fichero
el
tratamiento
del
dato
(como
ser
el
caso
para
el
cumpli-
miento
de
una
obligacin
fiscal
como
puede
ser
el
tratamiento
de
los
datos
de
un
prove-
edor
autnomo
a
efectos
de
la
retencin
del
IRPF),
no
proceder
la
cancelacin
de
los
datos.
En
este
caso,
el
Responsable
del
fichero
deber
notificar
al
interesado,
de
forma
motivada,
la
denegacin
del
ejercicio
del
derecho.
La
existencia
de
motivos
fundados y
legtimos
relativos
a
una
concreta
situacin
personal
que
debe
ser
acreditada
por
el
interesado
como
condicin
previa
al
ejercicio
de
su
dere-
cho.
La
apreciacin
de
la
existencia
de
los
mismos
corresponder
al
Responsable
del
fichero.
Contemplado
en
el
Reglamento
de
la
LOPD
como
el
derecho
del
afectado
a
que
no
se
lleve
a
cabo
el
tratamiento
de
sus
datos
de
carcter
personal
o
se
cese
en
el
mismo,
indica
el
Reglamento
que
se
pueden
dar
tres
supuestos:
a)
Cuando
no
sea
necesario
el
consentimiento
del
interesado
para
el
tratamiento,
como
consecuencia
de
la
concurrencia
de
un
motivo
legtimo
y
fundado,
referido
a
su
concreta
situacin
personal,
que
lo
justifique,
siempre
que
una
Ley
no
disponga
lo
contrario.
b)
Cuando
se
trate
de
ficheros
que
tengan
por
finalidad
la
realizacin
de
actividades
de
publicidad
y
prospeccin
comercial
y
c)
Cuando
el
tratamiento
tenga
por
finalidad
la
adopcin
de
una
decisin
referida
al
afec-
tado
y
basada
nicamente
en
un
tratamiento
automatizado
de
sus
datos
de
carcter
per-
sonal.
31
aBOGa.mark
En
el
caso
del
abogado
el
caso
ms
normal
que
se
puede
dar
es
el
de
la
letra
b),
esto
es,
que
se
trate
de
ficheros
que
tengan
por
finalidad
la
realizacin
de
actividades
de
publicidad
y
prospeccin
comer-
cial.
Ejercicio
del
derecho
de
oposicin
El
derecho
de
oposicin
se
ejercitar
mediante
solicitud
dirigida
al
responsable
del
tratamiento.
El
responsable
del
fichero
resolver
sobre
la
solicitud
de
oposicin
en
el
plazo
mximo
de
diez
das
a
contar
desde
la
recepcin
de
la
solicitud.
En
el
caso
de
que
no
disponga
de
datos
de
carcter
personal
de
los
afectados
deber
igualmente
comunicrselo
en
el
mismo
plazo.
El
responsable
del
fichero
o
tratamiento
deber
excluir
del
tratamiento
los
datos
relativos
al
afecta-
do
que
ejercite
su
derecho
de
oposicin
o
denegar
motivadamente
la
solicitud
del
interesado
en
el
plazo
previsto
de
diez
das
a
contar
desde
la
recepcin
de
la
solicitud.
aBOGa.mark
El
abogado,
por
tanto,
deber
implantar
estas
medidas
de
seguridad
con
arreglo
a
lo
dispuesto
en
este
Ttulo
VIII
del
Reglamento,
con
independencia
de
cual
sea
su
sistema
de
tratamiento,
automati-
zado,
manual
o
mixto.
Los
niveles
de
seguridad
en
el
Reglamento.
Cada
uno
de
los
niveles
de
seguridad
establecidos
en
el
Reglamento
tienen
la
consideracin
de
mni-
mos
legales
exigibles,
por
lo
que
cada
despacho
podr
incrementar
las
medidas
de
seguridad
de
acuerdo
a
otros
criterios
de
Seguridad
Informtica,
ofreciendo
de
esta
forma
mayores
garantas,
tanto
para
el
tratamiento
de
sus
ficheros
como
para
el
resto
de
la
informacin
corporativa.
No
hay
que
olvidar
que
se
deben
adoptar
las
medidas
de
ndole
tcnica
y
organizativas
necesarias
que
garanticen
la
seguridad
de
los
datos
de
carcter
personal
y
eviten
su
alteracin,
prdida,
tratamiento
o
acceso
no
autorizado,
habida
cuenta
del
estado
de
la
tecnologa,
la
naturaleza
de
los
datos
almace-
nados
y
los
riesgos
a
que
estn
expuestos,
y
el
Reglamento
establece
concretamente
cules
son
las
medidas
mnimas,
por
lo
que
el
abogado
deber
adoptar,
adems
de
las
medidas
mnimas exigidas
por
el
Reglamento,
todas
aquellas
medidas
que
considere
necesarias
para
garantizar
la
seguridad
de
los
datos.
El
Reglamento
establece
los
niveles
de
seguridad
de
forma
acumulativa;
as,
en
caso
de
tratamiento
de
ficheros
de
nivel
medio,
debern
implantarse
todas
y
cada
una
de
las
medidas
de
seguridad
descritas
para
el
nivel
bsico
y
las
del
medio.
Igualmente
suceder
con
los
ficheros
de
nivel
alto,
que
debern
implantar
las
medidas
descritas
para
el
nivel
bsico,
el
medio
y
el
alto.
En
resu-
men:
Nivel
Medio: Debern
implantarse,
adems
de
las
medidas
de
nivel
bsico,
las
medi-
das
de
nivel
medio,
en
los
siguientes
ficheros
o
tratamientos
de
datos
de
carcter
per-
sonal:
1.
Los
relativos
a
la
comisin
de
infracciones
administrativas
o
penales.
2.
Los
relativos
a
prestacin
de
servicios
de
informacin
sobre
solvencia
patrimo-
nial
y
crdito.
3.
Aquellos
de
los
que
sean
responsables
Administraciones
Tributarias
y
se
rela-
cionen
con
el
ejercicio
de
sus
potestades
tributarias.
4.
Aquellos
de
los
que
sean
responsables
las
entidades
financieras
para
finalida-
des
relacionadas
con
la
prestacin
de
servicios
financieros.
5.
Aquellos
de
los
que
sean
responsables
las
Entidades
Gestoras
y
Servicios
Comunes
de
la
Seguridad
Social
y
se
relacionen
con
el
ejercicio
de
sus
compe-
tencias.
De
igual
modo,
aquellos
de
los
que
sean
responsables
las
mutuas
de
accidentes
de
trabajo
y
enfermedades
profesionales
de
la
Seguridad
Social.
6.
Aquellos
que
contengan
un
conjunto
de
datos
de
carcter
personal
que
ofrez-
can
una
definicin
de
las
caractersticas
o
de
la
personalidad
de
los
ciudadanos
y
que
permitan
evaluar
determinados
aspectos
de
la
personalidad
o
del
com-
portamiento
de
los
mismos.
Nivel
Alto:
Adems
de
las
medidas
de
nivel
bsico
y
medio,
las
medidas
de
nivel
alto
33
aBOGa.mark
se
aplicarn
en
los
siguientes
ficheros
o
tratamientos
de
datos
de
carcter
personal.
1.
2.
3.
Supuestos
especiales
1.
Se
aplicar
el
nivel
bsico
en
el
caso
de
ficheros
o
tratamientos
de
datos
de
ideologa,
afiliacin
sindical,
religin,
creencias,
origen
racial,
salud
o
vida
sexual
Cuando
los
datos
se
utilicen
con
la
nica
finalidad
de
realizar
una
transferencia
dineraria
a
las
entidades
de
las
que
los
afectados
sean
asociados
o
miembros
(por
ejemplo,
para
el
pago
de
la
cuota
sindical)
Se
trate
de
ficheros
o
tratamientos
no
automatizados
en
los
que
de
forma
incidental
o
accesoria
se
contengan
aquellos
datos
sin
guardar
relacin
con
su
finalidad
2.
Tambin
podrn
implantarse
las
medidas
de
seguridad
de
nivel
bsico
en
los
ficheros
o
tratamientos
que
contengan
datos
relativos
a
la
salud,
referentes
exclusivamente
al
grado
de
discapacidad
o
la
simple
declaracin
de
la
condi-
cin
de
discapacidad
o
invalidez
del
afectado,
con
motivo
del
cumplimiento
de
deberes
pblicos
(por
ejemplo,
en
la
nmina)
3.
En
los
ficheros
de
los
que
sean
responsables
los
operadores
que
presten
servi-
cios
de
comunicaciones
electrnicas
disponibles
al
pblico
o
exploten
redes
pblicas
de
comunicaciones
electrnicas
respecto
a
los
datos
de
trfico
y
a
los
datos
de
localizacin,
se
aplicarn,
adems
de
las
medidas
de
seguridad
de
nivel
bsico
y
medio,
la
medida
de
seguridad
de
nivel
alto
correspondientes
al
registro
de
accesos
(art.
103
del
R.D.
1720/2007)
El
Documento
de
Seguridad
Entre
las
medidas
que
establece
el
Reglamento
de
Seguridad,
se
encuentra
la
elaboracin
e
implan-
tacin
de
la
normativa
de
seguridad
mediante
un
Documento
de
Seguridad
de
carcter
privado
y
de
obligado
cumplimiento
para
todo
el
personal
con
acceso
a
los
Ficheros
de
datos
de
carcter
personal
y
a
los
Sistemas
de
Informacin,
en
el
que
deben
quedar
plasmadas
y
recogidas
todas
las
polticas,
reglas,
medidas
y
procedimientos
de
seguridad
establecidos
por
el
Responsable
del
Fichero.
El
Documento
de
Seguridad
no
es
sino
una
parte
ms
de
las
llamadas
Polticas
de
Seguridad,
que
recogen
y
establecen
toda
una
serie
de
procedimientos,
controles,
auditoras
y
actuaciones
frente
a
contingencias
e
incidencias
que
pueden
acaecer
sobre
un
sistema
informtico.
El
Documento
de
Seguridad
deber
estar
a
disposicin
de
la
Agencia
Espaola
de
Proteccin
de
Datos en
caso
de
que
la
misma
lo
solicite;
en
ese
caso,
la
Agencia
comprobar
que
lo
establecido
y
34
aBOGa.mark
recogido
en
el
Documento
de
Seguridad
responde
con
veracidad
a
las
medidas
efectivamente
adop-
tadas.
El
Documento
de
Seguridad
deber
quedar
recogido
por
escrito
y
deber
ser
distribuido,
en
todo
o
parte,
para
su
conocimiento
a
todas
las
personas
implicadas
en
el
tratamiento
de
datos
persona-
les.
Obligacion
de
elaborar
el
Documento
de
Seguridad
El
abogado,
como
responsable
del
fichero
o
tratamiento,
debe
elaborar
un
documento
de
seguridad
que
ser
de
obligado
cumplimiento
y
recoger
las
medidas
de
seguridad
de
ndole
tcnica
y
organi-
zativas
que
aplicar
de
acuerdo
con
el
nivel
de
medidas
de
seguridad
correspondiente
(bsico,
medio
o
alto)
y
las
que
considere
necesarias
para
garantizar
la
seguridad
de
los
datos.
El
Documento
de
Seguridad
deber
describir
las
medidas
de
seguridad
efectivamente
adoptadas
por
el
despacho
para
el
tratamiento
de
sus
ficheros
de
datos
de
carcter
personal.
Este
dato
es
muy
importante,
puesto
que
cada
despacho
tiene
una
organizacin
distinta,
y
una
de
las
funciones
principales
del
documento
es
dar
a
conocer
a
los
usuarios
de
los
ficheros
las
medidas
de
seguridad
implantadas,
as
como
las
recomendaciones,
normas
y
procedimientos
establecidos
para
el
tratamiento
de
sus
ficheros
y
el
acceso
a
los
datos,
en
el
caso
de
que
el
despacho
sea
de
ms
de
una
persona.
Es
evidente
que
si
solo
interviene
una
persona
no
es
necesaria
la
distribucin
del
documen-
to
sino
simplemente
disponer
del
mismo
para
cumplir
con
lo
que
exige
la
LOPD.
Se
podr
hacer
un
documento
de
seguridad
nico
y
comprensivo
de
todos
los
ficheros
o
tratamien-
tos,
o
bien
individualizado
para
cada
fichero
o
tratamiento.
Tambin
podrn
elaborarse
distintos
documentos
de
seguridad
agrupando
ficheros
o
tratamientos
segn
el
sistema
de
tratamiento
utiliza-
do
para
su
organizacin,
o
bien
atendiendo
a
criterios
organizativos
del
responsable.
Se
podr
hacer,
como
decimos,
uno
o
varios
documentos
de
seguridad
atendiendo
a
los
criterios
del
abogado
res-
ponsable
del
fichero
pero,
en
todo
caso,
el
documento
de
seguridad
tendr
el
carcter
de
documen-
to
interno
del
despacho.
Contenido
del
Documento
de
Seguridad
El
contenido
mnimo
del
Documento
de
Seguridad
deber
recoger
los
siguientes
aspectos:
aBOGa.mark
5.
6.
7.
aBOGa.mark
aBOGa.mark
cos
y
contrata
empresas
especializadas
el
mantenimiento
y
soporte
de
sus
sistemas
informticos.
6.
Los
procedimientos
de
realizacin
de
copias
de
respaldo
y
recuperacin
de
datos.
Debe
establecerse
y
definirse
en
el
Documento
de
Seguridad
cundo,
cmo
y
qu
se
incorpora
a
las
copias
de
seguridad;
y,
en
caso
de
que
sea
necesaria
la
restauracin
de
los
datos,
cul
es
el
procedimiento
de
actuacin
a
seguir.
Es
recomendable
que
las
copias
de
seguridad
se
reali-
cen
con
una
frecuencia
semanal.
Por
ltimo,
el
Documento
de
Seguridad
deber
en
todo
momento
mantenerse
actualizado
y
deber
ser
revisado
siempre
que
se
produzcan
cambios
relevantes
en
el
sistema
de
informa-
cin
y
en
la
organizacin
del
despacho.
7.
Las
medidas
que
sea
necesario
adoptar
para
el
transporte
de
soportes
y
documentos,
as
como
para
la
destruccin
de
los
documentos
y
soportes
o,
en
su
caso,
la
reutilizacin
de
los
mismos.
Estas
medidas
estn
encamina-
das
a
garantizar
la
seguridad
de
los
datos
cuando
haya
que
sacar
los
sopor-
tes
fuera
de
su
ubicacin
fsica
o
cuando
haya
que
destruir
los
documentos
o
los
soportes
o
reutilizarlos,
para
garantizar
que
no
se
puedan
conocer
los
datos
por
terceras
personas
no
autorizadas
debido
a
una
mala
destruccin
del
soporte
o
a
una
defectuosa
reutilizacin.
Adems,
estos
ficheros,
debern
someterse,
al
menos
cada
dos
aos,
a
una
auditoria
interna
o
externa
que
verifique
el
cumplimiento
de
las
medidas
de
seguridad
implan-
tadas.
Ficheros
manuales
o
no
automatizados
Las
medidas
de
seguridad
para
los
ficheros
o
tratamientos
que
se
encuentren
nicamente
en
papel
sern
las
mismas
que
para
los
ficheros
automatizados
en
cuanto
a
que
tanto
los
responsables
de
los
ficheros
como
los
encargados
del
tratamiento
debern
implantarlas
con
independencia
de
que
el
fichero
sea
automatizado
o
en
papel.
38
aBOGa.mark
Es
as
que
habr
que
considerar
si
se
trata
de
medidas
de
nivel
bsico,
medio
o
alto
y
realizar
el
correspondiente
documento
de
seguridad
en
la
forma
que
ya
ha
sido
indicada.
Adems,
y
de
manera
especfica
para
los
ficheros
manuales,
en
las
medidas
de
seguridad
de
nivel
bsico
habr
que
considerar
las
siguientes
cuestiones:
1.
Criterios
de
archivo
El
archivo
de
los
soportes
y
documentos
se
realizar
de
forma
que
garantice
la
correcta
conservacin
de
los
documentos,
la
localizacin
y
consulta
de
la
informacin
y
posibilite
el
ejercicio
de
los
derechos
de
oposicin
al
tratamiento,
acceso,
rectificacin
y
cancela-
cin.
Si
no
existe
ninguna
norma
aplicable
al
respecto,
el
abogado
deber
establecer
los
criterios
de
actuacin
que
deben
seguirse
para
el
archivo.
2.
Dispositivos
de
almacenamiento.
Los
dispositivos
de
almacenamiento
de
los
documentos
que
contengan
datos
de
carcter
personal
debern
disponer
de
mecanismos
que
obstaculicen
su
apertura.
Cuando
las
caractersticas
fsicas
de
aquellos
no
permitan
adoptar
esta
medida,
el
abogado
responsa-
ble
del
fichero
o
tratamiento
adoptar
medidas
que
impidan
el
acceso
de
personas
no
autorizadas.
3.
Custodia
de
los
soportes.
Mientras
la
documentacin
con
datos
de
carcter
personal
no
se
encuentre
archivada
en
los
dispositivos
de
almacenamiento
correspondientes,
por
estar
en
proceso
de
revisin
o
tramitacin,
ya
sea
previo
o
posterior
a
su
archivo,
la
persona
que
se
encuentre
al
cargo
de
la
misma
deber
custodiarla
e
impedir
en
todo
momento
que
pueda
ser
accedida
por
persona
no
autorizada.
Adems,
y
de
manera
especfica
para
los
ficheros
manuales,
en
las
medidas
de
seguridad
de
nivel
medio
habr
que
considerar
las
siguientes
cuestiones:
Adems,
y
de
manera
especfica
para
los
ficheros
manuales,
en
las
medidas
de
seguridad
de
nivel
alto
habr
que
considerar
las
siguientes
cuestiones:
39
aBOGa.mark
1.
Almacenamiento
de
la
informacin.
Los
armarios,
archivadores
u
otros
elementos
en
los
que
se
almacenen
los
ficheros
no
automatizados
con
datos
de
carcter
personal
debern
encontrarse
en
reas
en
las
que
el
acceso
est
protegido
con
puertas
de
acceso
dotadas
de
sistemas
de
apertura
median-
te
llave
u
otro
dispositivo
equivalente.
Dichas
reas
debern
permanecer
cerradas
cuan-
do
no
sea
preciso
el
acceso
a
los
documentos
incluidos
en
el
fichero.
En
el
caso
de
que
las
caractersticas
de
los
locales
de
los
que
disponga
el
abogado
impidiera
cumplir
con
esto,
se
adoptarn
medidas
alternativas
que,
debidamente
motivadas,
se
incluirn
en
el
documento
de
seguridad.
2.
Copia
o
reproduccin.
La
generacin
de
copias
o
la
reproduccin
de
los
documentos
nicamente
podr
ser
rea-
lizada
bajo
el
control
de
la,
o
las,
personas
autorizadas
en
el
documento
de
seguridad
y
deber
procederse
a
la
destruccin
de
las
copias
o
reproducciones
desechadas
de
forma
que
se
evite
el
acceso
a
la
informacin
contenida
en
las
mismas
o
su
recuperacin
poste-
rior.
3.
Acceso
a
la
documentacin.
El
acceso
a
la
documentacin
se
limitar
exclusivamente
al
personal
autorizado,
estable-
cindose
mecanismos
que
permitan
identificar
los
accesos
realizados
en
el
caso
de
docu-
mentos
que
puedan
ser
utilizados
por
mltiples
usuarios.
El
acceso
de
personas
no
inclui-
das
en
el
prrafo
anterior
deber
quedar
adecuadamente
registrado
de
acuerdo
con
el
procedimiento
establecido
al
efecto
en
el
documento
de
seguridad.
4.
Traslado
de
documentacin.
Siempre
que
se
proceda
al
traslado
fsico
de
la
documentacin
contenida
en
un
fichero,
debern
adoptarse
medidas
dirigidas
a
impedir
el
acceso
o
manipulacin
de
la
informa-
cin
objeto
de
traslado.
Los
distintos
escenarios
Un
Colegiado
puede
ejercer
su
profesin
en
distintos
marcos
de
trabajo
o
escenarios,
desde
el
Colegiado
que
desarrolla
su
labor
individualmente
en
su
propio
despacho
hasta
el
que
forma
parte
de
un
gabinete
jurdico
de
una
empresa
(seguros,
reclamaciones
de
cantidad,
etc.).
40
aBOGa.mark
Los
escenarios
ms
habituales
con
los
que
nos
podemos
encontrar
son:
a)
Gestin
de
Asuntos
Tipo
de
Informacin:
Fichero
de
Asuntos
y
Expedientes
jurdicos
Celebracin de contratos
Nminas
Entorno
de
trabajo:
Facturacin
41
aBOGa.mark
Entorno
de
trabajo:
42
aBOGa.mark
43