Servicio de diagnóstico y soporte
Ley Orgánica de Protección de Datos
Ley de Servicios de la Sociedad de la Información

Preguntas Frecuentes de LOPD

  1. ¿Es aplicable la normativa de protección de datos a los datos tratados por los profesionales autónomos?
  2. ¿Qué datos son considerados como especialmente protegidos?
  3. ¿Cuándo se puede crear un fichero que contenga datos de carácter personal?
  4. ¿Quiénes están obligados a notificar la creación de un fichero?
  5. ¿Cómo se realiza la notificación de un fichero?
  6. ¿Tiene que cumplir mi empresa con la Ley Orgánica de Protección de Datos?
  7. ¿Cuál es el primer paso que debe seguir mi empresa para comenzar a cumplir con la Ley Orgánica de Protección de Datos?
  8. Una vez notificado el fichero, ¿tiene mi empresa que enviar los datos de carácter personal a la Agencia Española de Protección de Datos?
  9. ¿Qué ocurre si mi empresa no notifica el fichero a la Agencia Española de Protección de Datos?
  10. ¿En qué momento queda inscrito el fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos?
  11. Mi empresa ha modificado algunos de los aspectos recogidos en la notificación del fichero. ¿Debemos comunicar estos cambios?
  12. ¿Puede mi empresa utilizar los datos de carácter personal de las guías telefónicas para enviar publicidad?
  13. ¿Puede mi empresa recabar los datos que quiera a los clientes?
  14. ¿De qué debemos informar a nuestros clientes a la hora de recoger sus datos personales?
  15. ¿Qué ocurre si mi empresa tiene datos como el código de una cuenta bancaria o el número de una tarjeta de crédito?
  16. ¿Puede la Agencia Española de Protección de Datos acceder a las instalaciones de mi empresa para inspeccionar los ficheros que contengan datos de carácter personal?
  17. En la empresa elaboramos y guardamos las nóminas de nuestros trabajadores. ¿Qué debemos hacer con respecto a la normativa protección de datos?
  18. Mi empresa permite el acceso a los datos de mis empleados a una asesoría que se encarga de elaborar las nóminas. ¿Qué debemos hacer para seguir cumpliendo con la Ley Orgánica de Protección de Datos?
  19. Una empresa externa se dedica a gestionar el hosting de la página web de mi empresa. ¿Qué debemos hacer para seguir cumpliendo con la Ley Orgánica de Protección de Datos?
  20. Mi empresa cuenta con una página web, ¿afecta la normativa protección de datos a la web?
  21. ¿Es la dirección de correo electrónico un dato de carácter personal?
  22. Los clientes de mi empresa son otras entidades, no tenemos datos de personas físicas. ¿Tenemos que notificar la existencia del fichero que contiene estos datos?
  23. ¿Qué sanciones corresponden a las infracciones por incumplimiento de la Ley Orgánica de Protección de Datos?
  24. ¿Quién se encarga de sancionar las infracciones?
  25. A nivel informático, ¿el uso de cookies incumple la Ley Orgánica de Protección de Datos?
  26. ¿Es posible que mi empresa ceda a otra los datos de carácter personal que trata?
  27. ¿De qué plazo dispone mi empresa para atender los derechos de rectificación, cancelación y oposición del titular de los datos?
  28. ¿De qué plazo dispone mi empresa para atender los derechos de acceso del titular de los datos?
  29. ¿Cómo afecta la Ley de Protección de Datos a su negocio?
  30. ¿Qué normas legales hay que tener en cuenta para el cumplimiento de la protección de datos de carácter personal?
  31. ¿Qué es considerado un dato de carácter personal?
  32. ¿Qué es un fichero?
  33. ¿Qué se entiende por tratamiento de datos?
  34. ¿Quién es el responsable del fichero o responsable del tratamiento?
  35. ¿Quién es el afectado o interesado?
  36. ¿Quién es el encargado del tratamiento?
  37. ¿Qué es el acceso por cuenta de terceros?
  38. ¿Qué son las medidas de seguridad?
  39. ¿Qué es el documento de seguridad?
  40. ¿Qué es la Agencia Española de Protección de Datos (AEPD)?
  41. ¿Qué derechos pueden ejercitar los titulares de los datos ante mi empresa?
  42. ¿En qué consiste el deber de secreto?
  43. ¿Qué se entiende por transferencia internacional de datos?
  44. ¿Qué se considera como fuente accesible al público?
  45. ¿Protege la Ley Orgánica de Protección de Datos los datos de los autónomos?
  46. ¿Protege la Ley Orgánica de Protección de Datos los datos de las empresas, como su nombre social o el CIF?
  1. ¿Es aplicable la normativa de protección de datos a los datos tratados por los profesionales autónomos?

    Sí. La Ley Orgánica de Protección de Datos es aplicable a todos los datos de carácter personal registrados que los haga susceptibles de tratamiento, por lo tanto, cualquier profesional autónomo que tenga ficheros con datos de carácter personal ha de cumplir con esta normativa.

    Volver arriba

  2. ¿Qué datos son considerados como especialmente protegidos?

    Son datos de carácter personal que revelan:

    • Ideología.
    • Afiliación sindical.
    • Religión.
    • Creencias.
    • Origen racial o étnico.
    • Salud.
    • Vida personal.
    • Comisión de infracciones penales o administrativas.

    Volver arriba

  3. ¿Cuándo se puede crear un fichero que contenga datos de carácter personal?

    Cuando resulte necesario para llevar a cabo la actividad de la empresa y siempre que se respeten las garantías que la normativa de protección de datos establece para la protección de las personas.

    Volver arriba

  4. ¿Quiénes están obligados a notificar la creación de un fichero?

    Las empresas y autónomos que vayan a crear un fichero que contenga datos de carácter personal.

    Volver arriba

  5. ¿Cómo se realiza la notificación de un fichero?

    Rellenando y enviando el formulario electrónico Notificaciones Telemáticas a la Agencia Española de Protección de Datos (NOTA).

    Este formulario permite la presentación de notificaciones a través de:

    • Internet.
    • Soporte informático.
    • Soporte papel.

    Se puede encontrar este formulario en la página web de la Agencia Española de Protección de Datos: www.agpd.es

    Volver arriba

  6. ¿Tiene que cumplir mi empresa con la Ley Orgánica de Protección de Datos?

    Toda entidad que trate datos de carácter personal debe cumplir con la Ley Orgánica de Protección de Datos.

    Volver arriba

  7. ¿Cuál es el primer paso que debe seguir mi empresa para comenzar a cumplir con la Ley Orgánica de Protección de Datos?

    Lo principal es notificar la existencia de un fichero con datos de carácter personal a la Agencia Española de Protección de Datos (AEPD). Esto se lleva a cabo rellenando y enviando el formulario NOTA que se encuentra en la página Web de la AEPD: www.agpd.es. Su empresa debe asegurarse que cuenta con las medidas de seguridad que correspondan según los datos que contengan los ficheros.

    Volver arriba

  8. Una vez notificado el fichero, ¿tiene mi empresa que enviar los datos de carácter personal a la Agencia Española de Protección de Datos?

    No, la Agencia Española de Protección de Datos sólo mantiene un registro de los ficheros existentes pero no de los datos incluidos en estos ficheros.

    Volver arriba

  9. ¿Qué ocurre si mi empresa no notifica el fichero a la Agencia Española de Protección de Datos?

    La no notificación de un fichero puede considerarse una falta leve, o grave si la Agencia Española de Protección de Datos nos ha requerido previamente que notifiquemos el fichero.

    Volver arriba

  10. ¿En qué momento queda inscrito el fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos?

    El Registro inscribe el fichero cuando la notificación contiene todos los requisitos exigibles. En el caso de que no los tenga, el Registro requerirá que se subsanen los datos o se completen. Una vez inscrito, el responsable del fichero recibirá la resolución de inscripción del Director de la Agencia Española de Protección de Datos en la que aparece el código de inscripción.

    Volver arriba

  11. Mi empresa ha modificado algunos de los aspectos recogidos en la notificación del fichero. ¿Debemos comunicar estos cambios?

    Sí, cualquier modificación posterior a la inscripción del fichero debe ser comunicada a la Agencia Española de Protección de Datos, utilizando el modelo de solicitud de modificación o supresión de la inscripción que puede encontrarse en la misma web de la Agencia.

    Volver arriba

  12. ¿Puede mi empresa utilizar los datos de carácter personal de las guías telefónicas para enviar publicidad?

    Estos datos son obtenidos de una fuente accesible al público y, por tanto, pueden ser utilizados para el envío de publicidad o prospección comercial. Hay que tener en cuenta que en toda comunicación realizada debe informarse al interesado del origen de los datos, de la identidad del responsable del fichero y de sus derechos de información, acceso, rectificación, cancelación y oposición.

    Volver arriba

  13. ¿Puede mi empresa recabar los datos que quiera a los clientes?

    No, sólo puede recabar aquellos datos que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. El hecho de recoger más información de la necesaria puede hacer incurrir a la empresa en una infracción del principio de calidad de los datos.

    Volver arriba

  14. ¿De qué debemos informar a nuestros clientes a la hora de recoger sus datos personales?

    Se ha de informar de forma expresa, precisa e inequívoca de:

    • La existencia del fichero, de la finalidad de la recogida de los datos y de los destinatarios de la información.
    • El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
    • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

    El método idóneo, aunque no único, para cumplir con este deber de información es incluyendo a los formularios y a los contratos cláusulas informativas.

    Volver arriba

  15. ¿Qué ocurre si mi empresa tiene datos como el código de una cuenta bancaria o el número de una tarjeta de crédito?

    En el caso de que la empresa preste servicios financieros, deberá aplicar las medidas de nivel medio para el fichero que contenga estos datos.
    Si la empresa no presta servicios de carácter financiero, aplicará a estos datos las medidas de nivel básico.

    Volver arriba

  16. ¿Puede la Agencia Española de Protección de Datos acceder a las instalaciones de mi empresa para inspeccionar los ficheros que contengan datos de carácter personal?

    Sí, los inspectores de la Agencia, previa exhibición de la autorización expedida por el Director de la Agencia Española de Protección de Datos, pueden acceder a las instalaciones para comprobar si se está cumpliendo o no la normativa de protección de datos.

    Volver arriba

  17. En la empresa elaboramos y guardamos las nóminas de nuestros trabajadores. ¿Qué debemos hacer con respecto a la normativa protección de datos?

    La información que aparece en las nóminas de los trabajadores es considerada como de carácter personal y hay que tener especial cuidado puesto que suele ser frecuente que las empresas apliquen a esta información medidas de seguridad de nivel básico cuando, en ocasiones, las medidas de seguridad correspondiente a la información que aparecen en las mismas deberían ser de nivel alto. Un claro ejemplo es encontrar en la nómina alguna referencia al pago de la cuota de afiliación sindical de un trabajador o a una baja por enfermedad. Esta información requiere medidas de seguridad de nivel alto, no básico.

    Volver arriba

  18. Mi empresa permite el acceso a los datos de mis empleados a una asesoría que se encarga de elaborar las nóminas. ¿Qué debemos hacer para seguir cumpliendo con la Ley Orgánica de Protección de Datos?

    La gestoría estaría realizando las funciones de encargado del tratamiento por lo que su empresa está obligada a suscribir un contrato en el que debe reflejarse que la gestoría sólo puede tratar esos datos conforme a las instrucciones dadas por su empresa, que no podrá cederlos ni comunicarlos a otras personas o empresas y deberán aparecer las medidas de seguridad que deban aplicar.

    Volver arriba

  19. Una empresa externa se dedica a gestionar el hosting de la página web de mi empresa. ¿Qué debemos hacer para seguir cumpliendo con la Ley Orgánica de Protección de Datos?

    Se trata del mismo caso anterior, habría que suscribir el contrato con la empresa que gestiona el hosting estableciendo que sólo podrá tratar los datos conforme a las instrucciones dadas por su empresa, que no podrá cederlos ni comunicarlos a otras personas o empresas y deberán aparecer las medidas de seguridad que deba aplicar según los datos cedidos.

    Volver arriba

  20. Mi empresa cuenta con una página web, ¿afecta la normativa protección de datos a la web?

    En el caso de que la página web obtenga o almacene datos de carácter personal, por ejemplo, de un cliente que solicite un servicio, la propia página debe cumplir con las obligaciones del responsable del tratamiento, como son la de informar al titular de los datos, requerimiento de su consentimiento para tratar sus datos, facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición del titular de los datos, ...

    Se deben introducir cláusulas informativas en los formularios que se utilicen para recabar los datos. En ellas debe aparecer de forma genérica el nombre de la empresa o responsable del tratamiento, una dirección en la que se pueda ejercer los derechos de acceso, rectificación, cancelación y oposición del titular de los datos, la finalidad del fichero y la información sobre la cesión de los datos en el caso de que haya intención de hacerla. Esto es de aplicación también a las cookies que tengan datos personales del usuario y permita identificarlo.

    Asimismo, en la página inicial de la web se debe poder acceder a toda esta información sobre la protección de datos junto con la manera de la que disponen los titulares de los datos de ejercer sus derechos.

    Volver arriba

  21. ¿Es la dirección de correo electrónico un dato de carácter personal?

    En los casos en que la dirección electrónica esté personalizada, es decir, que contenga por ejemplo el nombre y los apellidos de una persona, es un dato de carácter personal por sí mismo.

    Volver arriba

  22. Los clientes de mi empresa son otras entidades, no tenemos datos de personas físicas. ¿Tenemos que notificar la existencia del fichero que contiene estos datos?

    No hay que notificar este fichero siempre y cuando no contenga ningún dato de persona física.

    Volver arriba

  23. ¿Qué sanciones corresponden a las infracciones por incumplimiento de la Ley Orgánica de Protección de Datos?

    Las sanciones oscilan entre 601,01€ y 601.012€.

    Son sanciones similares las derivadas del incumplimiento de la Ley de Servicios de la Sociedad de la Información, que oscilan entre 3.000€ y 600.000€.

    Volver arriba

  24. ¿Quién se encarga de sancionar las infracciones?

    La Agencia Española de Protección de Datos es la encargada de sancionar las infracciones en materia de protección de datos de carácter personal.

    Volver arriba

  25. A nivel informático, ¿el uso de cookies incumple la Ley Orgánica de Protección de Datos?

    Si las cookies están vinculadas a datos de carácter personal, se incumplirá la Ley Orgánica de Protección de Datos cuando no se hayan tenido en cuenta los preceptos legales sobre el consentimiento del afectado y su derecho de información.

    Volver arriba

  26. ¿Es posible que mi empresa ceda a otra los datos de carácter personal que trata?

    En principio no es posible esta cesión, salvo que el titular de los datos esté informado de la actividad a la que se dedica el tercero o la finalidad del tratamiento que este tercero va a dar sobre los datos y que haya prestado su consentimiento previamente.

    En los casos en los que la cesión de los datos esté amparada por una ley que la autorice, será una cesión legal, sin necesidad de que se informe al afectado ni se obtenga su consentimiento previo para la cesión, como es el caso de la comunicación de datos de los trabajadores de la empresa a la Seguridad Social.

    Volver arriba

  27. ¿De qué plazo dispone mi empresa para atender los derechos de rectificación, cancelación y oposición del titular de los datos?

    Un plazo máximo de 10 días a contar desde la recepción de la solicitud.

    Volver arriba

  28. ¿De qué plazo dispone mi empresa para atender los derechos de acceso del titular de los datos?

    Un plazo máximo de 30 días a contar desde la recepción de la solicitud.

    Volver arriba

  29. ¿Cómo afecta la Ley de Protección de Datos a su negocio?

    La Ley de Protección de Datos de Carácter Personal es de obligado cumplimiento para aquellas empresas y profesionales que traten datos de carácter personal y su no cumplimiento afecta directamente a su negocio no sólo por la aplicación de importantes sanciones pecuniarias sino también porque por la desconfianza que puede provocar en sus clientes presentes y futuros.

    Volver arriba

  30. ¿Qué normas legales hay que tener en cuenta para el cumplimiento de la protección de datos de carácter personal?

    Son dos: la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto por el que se aprueba el Reglamento de desarrollo de la LOPD.

    Volver arriba

  31. ¿Qué es un dato de carácter personal?

    Cualquier información sobre una persona que la haga identificable. Esta información puede ser el nombre y los apellidos, el DNI, una fotografía, datos sobre la personalidad que aparezcan en su currículo,...

    Volver arriba

  32. ¿Qué es un fichero?

    Es el conjunto organizado de datos de carácter personal que puede encontrarse en soporte papel o informático.

    Es lo que contiene a los datos de carácter personal, como por ejemplo una carpeta en la que tengamos todos los currículos de los empleados de una empresa o un archivo informático en el que tengamos todos los nombres y números de teléfono de los empleados.

    Volver arriba

  33. ¿Qué se entiende por tratamiento de datos?

    Son las acciones que nos permitan obtener los datos, conservarlos, modificarlos, destruirlos o comunicarlos.

    Si los clientes de una empresa rellenan un formulario en el que se les pide su nombre, dirección y número de teléfono estaremos ya realizando un tratamiento. El hecho de modificar un cambio de domicilio de un cliente también supone un tratamiento en sí.

    Volver arriba

  34. ¿Quién es el responsable del fichero o responsable del tratamiento?

    Es la persona que decide la finalidad que se le va a dar al fichero, el contenido que tendrá y el uso del tratamiento.

    Lo habitual es que el responsable del fichero de una empresa sea la empresa misma, la razón social y en el caso de un autónomo él mismo.

    Volver arriba

  35. ¿Quién es el afectado o interesado?

    Es la persona titular de los datos personales que se estén tratando, es decir, si una empresa tiene los datos personales de un empleado éste sería el afectado o interesado.

    Volver arriba

  36. ¿Quién es el encargado del tratamiento?

    Es la persona o empresa que realiza un tratamiento de los datos personales por cuenta del responsable del tratamiento.

    El encargado del tratamiento realiza un servicio para el cual necesita acceder a los datos personales que trata la empresa que contrata sus servicios. Un caso habitual es el de la gestoría que está contratada para elaborar las nóminas de los empleados de una empresa y para ello esta entidad permite que acceda a los mismos para poder llevar a cabo su servicio, siempre bajo las indicaciones del la empresa contratante.

    Volver arriba

  37. Qué es el acceso por cuenta de terceros?

    Es permitir que un tercero acceda y trate los datos de carácter personal que trata la empresa responsable del fichero con la finalidad de prestar un servicio para ésta. Al tercero que accede se le denomina encargado del tratamiento.

    Volver arriba

  38. ¿Qué son las medidas de seguridad?

    Son medidas que proporcionan seguridad a los datos de carácter personal para evitar su alteración o el acceso no autorizado a ellos.

    Dependiendo de la sensibilidad de los datos tratados, las medidas de seguridad serán de nivel básico, medio o alto.

    Una medida de seguridad común para un fichero en soporte papel sería colocar este fichero en un armario bajo llave impidiendo así el acceso a quien no tenga autorización o establecer contraseñas en los ordenadores en los que se encuentren los ficheros en soporte informático.

    Volver arriba

  39. ¿Qué es el documento de seguridad?

    Es un documento, en soporte papel o informático, en el que aparecen las medidas de seguridad que han de ser tenidas en cuenta para el cumplimiento de la protección de datos en una organización.
    Una empresa puede tener un único documento de seguridad para todos los ficheros, un documento para cada fichero o varios documentos agrupando ficheros.

    Volver arriba

  40. ¿Qué es la Agencia Española de Protección de Datos (AEPD)?

    Es un ente cuya principal función es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.

    Volver arriba

  41. ¿Qué derechos pueden ejercitar los titulares de los datos ante mi empresa?

    Los titulares de los datos que se estén tratando tienen derecho a acceso, rectificación, cancelación y oposición a sus datos y la empresa debe atender debidamente el ejercicio de estos derechos.

    La empresa debe contar con unos formularios tipo para recoger la solicitud para el ejercicio de cada uno de estos derechos y debe quedarse con copia del DNI de la persona que reclama su derecho.

    Volver arriba

  42. ¿En qué consiste el deber de secreto?

    La empresa y las personas que tengan acceso a los datos tratados por ella están obligados al secreto profesional respecto de los mismos, permaneciendo esta obligación incluso una vez finalizada la relación con el titular del fichero.

    La empresa debe encargarse de comunicar este deber a las personas que tengan acceso a los datos y las consecuencias de su incumplimiento. Esta información suele suministrarse a través de cláusulas de confidencialidad anexas a los contratos.

    Volver arriba

  43. ¿Qué se entiende por transferencia internacional de datos?

    Es la exportación de los datos de carácter personal a Estados que no cuentan con un nivel de protección equiparable al español.

    Los países pertenecientes al Espacio Económico Europeo tienen este nivel de protección equiparable.

    Si una empresa quiere realizar una transferencia internacional de datos a países en los que no está reconocida una protección similar a la ofrecida en España, deberá pedir autorización previa a la Agencia Española de Protección de Datos.

    Volver arriba

  44. ¿Qué se considera como fuente accesible al público?

    Son los ficheros que pueden ser consultados por cualquier persona. Estas fuentes de acceso público son básicamente el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los Diarios y Boletines oficiales y los medios de comunicación.

    Volver arriba

  45. ¿Protege la Ley Orgánica de Protección de Datos los datos de los autónomos?

    Sí. La Ley Orgánica de Protección de Datos sí es aplicable a los datos de los autónomos, puesto que son personas físicas.

    Volver arriba

  46. ¿Protege la Ley Orgánica de Protección de Datos los datos de las empresas, como su nombre social o el CIF?

    No. Las empresas son personas jurídicas que no se encuentran amparadas por la protección de esta Ley.

    Volver arriba

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI © 2008 Todos los derechos reservados. Aviso Legal.
Esta web ha sido desarrollada por la Confederación de Empresarios de Andalucía con la colaboración de la Consejería de Innovación, Ciencia y Empresa.