Ámbito de aplicación de la lopd ¿Qué datos/ficheros se regulan por la lopd y cuáles no?

Una de las principales dudas que se encuentran los empresarios y profesionales con respecto a la LOPD es la determinación de qué Ficheros o Datos de Carácter Personal tratados se encuentran amparados por la normativa.

Por: María González Moreno de Manaca Consulting, S.L.

A) Ámbito de Aplicación Material, ¿Qué datos se encuentran incluidos en la LOPD?

La LOPD establece su ámbito de aplicación en el artículo 2, al establecer que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”

Así, para la determinación de qué concretos Ficheros o Datos de carácter personal entran dentro del ámbito de aplicación de la LOPD debemos tener en cuenta tres conceptos: “dato personal”, “fichero” y “tratamiento”.

-“Dato de carácter personal”, entendido como cualquier información concerniente a personas físicas, identificadas o identificables; es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisión concerniente a una persona física identificada o identificable.

Así, de cara a la ley, dato de carácter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad física, fisiológica, psíquica, económica, cultural o social de una persona física.

-“Fichero”, entendido como conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Es, por tanto, el soporte físico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la información.

-“Tratamiento”, entendido como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Si bien entendemos que los ficheros de datos de carácter personal que se mantengan en soporte informático o telemático no presentan grandes dudas para su determinación, puesto que para su creación se exige, con carácter previo, la grabación, depuración y estructuración de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados).

Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el ámbito de aplicación de la LOPD, hay que atender a los siguientes requisitos:

-Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel.

-Y, que dichos datos se encuentren organizados estructurados u ordenados por criterios específicos. no considerándose, en consecuencia Fichero, la existencia de carpetas no estructuradas, aunque estás contengan datos de carácter personal (por ejemplo: en una consulta médica las carpetas o fichas de pacientes ordenadas alfabéticamente por el nombre de los mismos, se consideraría un fichero susceptible de tratamiento, siéndole por tanto de aplicación la LOPD).

De este modo, la Ley concibe los Ficheros protegidos desde una perspectiva dinámica; es decir, no los entiende como un mero depósito de datos, sino, como una globalidad de procesos o aplicaciones que se llevan a cabo con los datos almacenados (por ejemplo: en la consulta médica en la que los datos de los pacientes están recogidos en fichas, las mismas no suponen un mero deposito de datos, sino que permiten al médico efectuar un análisis de las distintas visitas que ha efectuado el paciente, revisar la historia clínica del paciente, y ofrecer un tratamiento o diagnóstico que se adapte a las circunstancias concretas de cada paciente).

B) Ámbito de Aplicación Temporal. ¿Qué plazo existe para la adaptación de los Ficheros a la LOPD?

Todos los ficheros de datos de carácter personal, automatizados o no, creados después de la entrada en vigor de la Ley deberán adecuarse a la normativa. Según la Disposición Final Tercera, la LOPD entró en vigor el 14 de Enero de 2000.

El principal problema reside en la adecuación de los ficheros de datos preexistentes a dicha fecha. La Ley vino a establecer un régimen transitorio para los mismos en su Disposición Adicional Primera:

- Para ficheros automatizados preexistentes al 14 de Enero de 2000, se establece que -“los ficheros y tratamientos automatizados inscritos o no en el Registro de Protección de Datos deben adecuarse a la LOPD dentro del plazo de tres (3) años a contar desde su entrada en vigor...”. Este plazo adicional para la adecuación a la LOPD finalizó el pasado 14 de Enero de 2003.

- En relación a los Ficheros no automatizados preexistentes a la entrada en vigor de la LOPD –“su adecuación a la LOPD deberá cumplimentarse en el plazo de doce (12) años a contar desde el 24 de Octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados”. De este modo, los ficheros no automatizados preexistentes a la entrada en vigor de la LOPD no se encuentran incluidos en el ámbito de aplicación de la LOPD hasta el 24 de Octubre de 2007, pero si les son de aplicación las obligaciones descritas para el ejercicio de los derechos de los usuarios (derechos de acceso, rectificación, cancelación y oposición).

C) Ficheros excluidos del ámbito de aplicación de la LOPD.

El régimen de protección de los datos de carácter personal establecido por la LOPD no será de aplicación a:

-A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domesticas.

-A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

-A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos.

D) Ficheros regulados por normas específicas.

El artículo 2.3. de la LOPD establece que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la LOPD, los siguientes tratamientos de datos personales:

-Los ficheros regulados por la legislación de régimen electoral.

-Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

-Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las fuerzas armadas.

- Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

- Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Busque un experto en TI

Contacte con un especialista en TI de Microsoft para que le ayude a implementar la solución tecnológica adecuada para su negocio.

¿Quiere un ejemplo de contrato de acceso a datos?

Modelo de contrato de acceso a datos por cuenta de terceros

María González Moreno, Socia Consultora Manaca Consulting

María González Moreno

Si lo desea puede escribir un mail
Indique la persona a la que desea hacer la pregunta y realice cuantas preguntas, sugerencias o comentarios desee.
Recibirá su contestación lo antes posible.
Muchas gracias.

Guía LOPD

Introducción

La Protección de Datos de Carácter Personal, una nueva Obligación para las Empresas y Profesionales

Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal.

La importancia de la Protección de la Información Corporativa.

Objeto y ámbito de aplicación de la LOPD

Bien jurídico protegido por la normativa sobre protección de datos de carácter personal

¿Qué datos/ficheros se regulan por la lopd y cuáles no?

Obligaciones básicas de la LOPD

Legalización

Inscripción de ficheros localización y determinación de los ficheros a inscribir

Procedimiento de inscripción y notificación de ficheros en la agencia española de protección de datos.

Inscripción de los ficheros temporales

Legitimización

Obtención del consentimiento de los titulares de los datos y otros principios básicos de la LOPD

El derecho de información en la recogida de los datos (art.5)

Calidad de los datos (art.4 lopd)

Consentimiento del afectado (art.6)

Deber de secreto (art.10)

Protección

Las medidas de seguridad en la protección de datos de carácter personal.

Las medidas de seguridad de Nivel Básico.

Las medidas de seguridad de Nivel Medio.

Las medidas de seguridad de Nivel Alto.

Otros aspectos de la LOPD

El acceso a datos por cuenta de terceros

La cesión de datos: supuestos permitidos

Las transferencias internacionales de datos