5 Pasos Obligatorios Para Adaptarte A La LOPD

y no morir en el intento

1. Alta Fichero en AEPD ................................................................................................................. 3

2. Medidas de Seguridad desarrolladas en el “Documento de seguridad” .................................. 6
3. Consentimiento para la recabación de datos e información de derechos ............................... 8
 Consentimiento del afectado ............................................................................................ 8
 Información de derechos ................................................................................................ 10
4. Deber de confidencialidad ...................................................................................................... 11
5. Politica de privacidad, cookies y aviso legal. ........................................................................... 13
 Aviso legal........................................................................................................................ 13
 Política de privacidad ...................................................................................................... 13
 Cookies ............................................................................................................................ 14
 Condiciones generales de la contratación ...................................................................... 16

https://www.raulflorido.com
1
Quiero que sea un ebook que te sirva como guía y no exponer aquí una
tesis, sino que sea CLARO, CONCRETO Y LO VAYAS A LEER.

Lo primero que vamos a ver a modo de introducción es QUE ES Y PARA QUE

SIRVE LA LEY ORGANICA DE PROTECCION DE DATOS.

Al ser una Ley Orgánica significa que lo que viene a transponer o desarrollar
es un derecho fundamental recogido en la Constitución Española, por lo que
puedes ir empezando a hacerte una idea de la importancia o del calibre que
puede tener esta ley, y si en tu caso la incumples, supondrás que las
sanciones a las que te enfrentas por lógica son elevadas, demasiado, pero
es un derecho que está a flor de piel que con la globalización y la aparición
de Internet cada día se ve más vulnerado.

Viene a garantizar el derecho al honor y la intimidad personal, ahí es nada,

pero sobre todo el fin último es salvaguardar los datos que hoy por hoy
fluctúan por la red sobre todo. ¿Cuántas veces has cogido el teléfono y has
dicho, de donde ha sacado este mis datos?

Pues en numerosas ocasiones lo ha hecho de forma ilegal y te acribillan a

publicidad por lo que esta Ley lo que viene a hacer es eso, intentar que toda
publicidad o tráfico de datos se realice de una manera legal, con el
consentimiento sobre todo del afectado y hayas sido informado acerca del
uso que van a darse de tus datos. Además de todo esto, lógicamente se han
desarrollado una serie de derechos que tienen los usuarios, entre otros:

- Derecho a ser informado del uso de sus datos.

- Derecho a cancelar los datos o modificarlos (la típica coletilla de … si
quieres ejercer sus derechos de accesos, rectificación, cancelación u
oposición …) seguramente le suene.

https://www.raulflorido.com
2
 - Derecho a conocer quién es la persona que maneja sus datos y para
qué.

1. Alta Fichero en AEPD

Este supongo que será el único paso que te pueda sonar, o igual los conoces
todos, tampoco te preocupes, pero muchos piensan que con esto ya
cumplen la LOPD, varios clientes han venido al despacho diciéndome que
ellos están dados de alta en la Agencia de Protección de Datos, para qué
van a hacer nada más.

Bueno como verás a continuación es un largo camino por recorrer y muy

tedioso, porque vas a tener que identificar problemas de seguridad
debiendo establecer las medidas oportunas para que no surjan y en caso
contrario, como paliarlos.

Paso 1. Lo primero es dirigirse al servicio NOTA en la página oficial de la

Agencia Española de Protección de Datos.
Paso 2. Inicias una nueva notificación y dependiendo de si tienes certificado
electrónico o no, elegirás una u otra opción.
Paso 3. Rellenas tus datos en un archivo que te aparecerá como este

https://www.raulflorido.com
3
Paso 4. Rellenas igualmente los datos del responsable del fichero seleccionando
a la actividad que te dediques y te aparecerá una página como esta donde habrá
que darle a ALTA DE FICHERO, salvo caso contrario.

Paso 5. Posteriormente le darás a alta Normal o formulario Tipo, este es

interesante si tratas datos como los que te exponen que te redactan

https://www.raulflorido.com
4
automáticamente el formulario, si estas en unos de estos casos, dale así y
ahorras tiempo.

Si le das a NORMAL, te aparecerán unas casillas para rellenar con:

- Identificación (nombre y y descripción) y finalidad del fichero (te
vienen varias casillas para marcar)
- Origen y procedencia de los datos
- Tipos de Datos, estructura y organización del fichero, es decir si
recoges datos especialmente protegidos como ideología, religión o
creencias asi como los datos de carácter identificativo, DNI, Nombre
y Apellidos, etc
- Nivel de seguridad
- Cesión o comunicación de datos, en el caso que trabajéis con una
gestoría por ejemplo, deberíais rellenarlo porque cedéis esos datos a
terceros con su correspondiente acuerdo de cesión de datos que se
debe de firmar aparte.
- Transferencias internacionales

Como ves, es un procedimiento sencillo pero que requiere su tiempo y es

muy importante establecer bien los tipos de ficheros, ya que puedes tenerlo
todo bien pero no especificas en realidad el tipo de datos que recabas, por
lo que al final, estarás haciendo mal el trabajo.

https://www.raulflorido.com
5
 2. Medidas de Seguridad
desarrolladas en el
“Documento de seguridad”

Este documento es fundamental y

se recoge en el art. 88 del Reglamento que regula la Ley Orgánica de
Protección de Datos donde debes tenerlo siempre a mano a buen recaudo
porque es una hoja de ruta que tendrás que realizar en caso de tener algún
problema a consecuencia de incumplir alguna norma en materia de
protección de datos.

En este documento, tal y como ya hemos visto y exige la normativa de

manera expresa, deben recogerse todas las medidas, y procedimientos de
actuación para garantizar la seguridad de los datos de carácter personal
teniendo el mismo carácter interno y obligatorio para todo aquel que tenga
acceso a datos de carácter personal.

Las medidas de seguridad son diferentes dependiendo del tipo de nivel de

datos ante el que nos encontremos, recogiéndose en la Ley de 3 tipos, Nivel
Básico, Nivel Medio y Nivel alto. Hay que diferenciar:

https://www.raulflorido.com
6
 - Ficheros automatizados que se recogen en la LOPD en los artículos
89 a 114 y se refiere a aquellos que se utilizan procedimientos de
búsqueda automatizados, básicamente en soporte informático,
refiriéndose a carpetas, bases de datos, archivos.

- Ficheros no automatizados, que son aquellos que se encuentran en

formato papel, y se recoge en el Reglamento que desarrolla la LOPD
en los artículos 105 a 114, es sencillo de entender pero a modo de
ejemplo podéis haceros una idea con un despacho de abogados
donde la información se recoge en expedientes físicos.

El contenido mínimo que deber

tener el documento de seguridad
seria el siguiente:
- Ámbito de aplicación del
documento.
- Medidas, normas,
procedimientos, reglas y
estándares encaminados a
garantizar los niveles de seguridad
exigidos en este documento.
- Información y obligaciones del
personal.
- Procedimientos de
notificación, gestión y respuestas ante las incidencias.
- Procedimientos de revisión.

El punto más importante de este documento de seguridad no es realizarlo,

sino ACTUALIZARLO, de nada te sirve hacerlo una vez y que pasen 5 años
donde tu forma de recoger datos o se ha actualizado la normativa debiendo
adoptar unas u otras medidas y no se recoge en este documento, por eso
es de vital importancia, porque no tiene que ser una carpeta con polvo que
hagas una vez … es más, la LOPD te lo exige en su art. 88.7.

¿Qué ocurre normalmente con este documento?

https://www.raulflorido.com
7
Cada vez que hacemos una auditoría a determinadas empresas que ya le
hemos realizado el servicio de adaptación a la Ley Organica de Protección
de Datos y a pesar de habérselo advertido con anterioridad, lo que ocurre
en casi el 90 % de las ocasiones es que el documento se queda tal y como
lo redactamos el primer día, sin que haya sufrido modificación alguna ni tan
si quiera nos hayan informado de ello para actualizárselo nosotros, por lo
que entonces no sirve de nada porque queda obsoleto y la sanción va a
venir igualmente.

3. Consentimiento para la recabación de datos e información de

derechos

 Consentimiento del afectado

La definición del consentimiento viene regulado expresamente en la Ley

Orgánica de Protección de Datos como:

“ toda manifestación de voluntad, libre, inequívoca, específica e

ART. 3H LOPD informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernen”

La ley además dice que este consentimiento debe ser INEQUIVOCO. No

obstante, la Ley permite que el consentimiento pueda realizarse de varias
formas:

- Expreso, declaración de voluntad por la que se manifiesta que acepta

el acuerdo (podemos plasmarlo en un contrato mediante una
cláusula que se incorpora al mismo y se firma).

- Tácito, se le advierte de los derechos que tiene el afectado y en caso

de no impugnarlo en el plazo de 30 días, se le entiende que consiente
los datos.

- Especialmente protegidos: Debe ser expreso y escrito.

https://www.raulflorido.com
8
Los que nos dedicamos a esto, entendemos que tiene muchísima
importancia este aspecto, debido a que en muchas ocasiones recabamos
datos de carácter personal sin que exista este consentimiento, o lo
hacemos de forma equivocada.

IMPORTANTE: la multa por saltarte esto, algo que la gran

mayoría lo incumple, asciende a la friolera de 60.000 € a
300.000 € y si has recogido algún dato especialmente
protegido (ideología, religión, creencias, afiliación sindical)
la multa va desde 300.000 € a 600.000 €.

Además de este consentimiento para recabar datos, es necesario que la

persona que va a concedernos sus datos también nos autorice en caso que
vayamos a ceder los datos a terceros e informarle para qué fines se van a
ceder.

Esto se recoge en el art. 11 de la LOPD, donde manifiesta que estos datos

únicamente podrán ser cedidos para los fines relacionados con las
funciones del cedente y cesionario.

Esto viene a colación por el contrato que ya se ha mencionado que debe

firmarse entre la persona a la que vas a cederle los datos, si incumple los
fines de ese contrato, no puede obtenerse el consentimiento, parece un

https://www.raulflorido.com
9
poco lioso pero tiene su lógica, ya que si una gestoría necesita solo ciertos
datos de un cliente como nómina y poco más, no puedes ofrecerle otro tipo
de datos que manejes de ese cliente, antecedentes penales,
procedimientos activos, etc.

 Información de derechos

La ley lo que recoge como uno de los fundamentos de la Protección de

Datos sería el deber de información que se exige en el art. 5 de la LOPD,
aquí tendríamos la obligación de informar acerca de los famosos derechos
ARCO, Acceso, Rectificación Cancelación y Oposición.

Lo importante es que debe ser un consentimiento EXPRESO o TACITO ya

que el fundamento de este derecho radica en otorgar al usuario un poder
de de control sobre sus datos personales, lo que solo es posible con esta
imposición a la persona que va a recabar sus datos.

El contenido mínimo que debe tener la información es la siguiente tal y

como recoge la ley expresamente:

“Los interesados a los que se soliciten datos personales deberán ser

previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter

personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
ART. 5 LOPD b) Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante”.

https://www.raulflorido.com
10
Cuando el responsable del tratamiento no esté establecido en el territorio
de la Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, deberá designar, salvo que tales medios se utilicen con
fines de trámite, un representante en España, sin perjuicio de las acciones
que pudieran emprenderse contra el propio responsable del tratamiento.

4. Deber de confidencialidad

Es una de las obligaciones que más quebraderos de cabeza están dando a

los Tribunales de Justicia en aras de marcar cual es la línea que define este
deber ya que existen contratos que deberíamos firmar para cubrirnos las
espaldas pero que no están muy claro hasta qué punto llegan.

Debes saber que la AEPD solo sanciona al responsable del fichero, y no a la

persona que incumple, lógicamente no puede quedar impune esta persona
ya que derivarían acciones civiles y penales, lo que nos referimos con esto
es que es básico un documento que se recoja que has informado a tus
trabajadores o a las personas que debas informar para salvaguardarte de
una posible sanción.

El responsable del fichero y quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al
Art. 10 LOPD secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con
el titular del fichero o, en su caso, con el responsable del mismo.

Es FUNDAMENTAL y obligatorio la redacción de cláusulas de

confidencialidad ya sea entre trabajadores si es que los tienes y los
encargados del tratamiento, ya que como exige la normativa es obligatorio
GUARDAR SECRETO por lo que deben informar de esa obligación.

Como expondremos a continuación, no es algo tan sencillo como incluir

cláusulas en los contratos porque tenemos que conocer hasta que límites
podría conculcar con determinados derechos constitucionales, véase el

https://www.raulflorido.com
11
caso del derecho a la intimidad personal o el derecho al secreto de las
comunicaciones.

Por todo esto la normativa recoge la existencia del documento de

seguridad, donde deberán recogerse las medidas a adoptar en caso de
incumplimiento, además de aquellas medidas para su cumplimiento,
cumpliendo dos fórmulas, preventiva y proactiva.

DELITO.- Este deber es tan importante que ay que saber que además de una sanción
administrativa como puede ser la sanción de la AEPD te enfrentarás a un delito tipificado en el
Código Penal con penas de prisión de uno a cinco años, por lo que hay que ser conscientes de
este incumplimiento.

Puedes saltarte este súper párrafo … ya que es un caso polémico y que suele
ser tema de consulta, acerca del deber de confidencialidad del trabajador
en el ámbito laboral cuando éste, por ejemplo, recibe un ordenador y email
corporativo, ¿hasta qué punto puede el empresario “controlar” lo que éste
hace por el uso de tales medios? Hay que dejar constancia en el contrato de
trabajo que el uso de esos sistemas debe hacerse únicamente para fines
laborales, por lo que el empresario tiene la posibilidad de controlar y
establecer los mecanismos de seguridad necesarios para observar lo que
ocurre dentro del ámbito empresarial, aunque si bien es cierto es un derecho
que confrontaría con el derecho a la intimidad personal, lo que ocurre que
el Tribunal Supremo ya ha dictaminado en varias Sentencias a favor del
empresario. A pesar de todo, no es una carta de libertad hacia el empresario
para ver en todo momento lo que hace su trabajador con el uso de dichos
medios, porque si bien es cierto se le permite cierta vulneración a la

https://www.raulflorido.com
12
intimidad personal, tiene unos límites, en tanto en cuanto la empresa debe
establecer PREVIAMENTE las reglas de uso así como informar a los
trabajadores que va a existir un control y la forma en que va a realizarlo
para el correcto uso de los medios. Además conculcaría con otro derecho, el
secreto de las comunicaciones, que igualmente para poder salvaguardarlo,
el empresario tiene que informar que sus comunicaciones van a poder ser
revisadas, siempre dentro del ámbito laboral.

5. Politica de privacidad, cookies y aviso legal.

Si tienes una página web y recabas información personal ya sea mediante

suscripción a newsletter o porque realizas determinados servicios, es
necesario que sepas para que sirve cada una, si puedes tenerlas todas en
una sola página o tienes que tenerla por separado.

 Aviso legal

Te lo voy a decir de forma resumida, imagina que la AEPD o un usuario

necesita identificarte, ¿Dónde lo hace? En este apartado, por lo cual, debes
recoger:

- Datos que identifiquen al titular de la página web, con DNI o si es una

sociedad su CIF e inscripción en el Registro Mercantil.
- Si se realiza una actividad que necesita de autorización
administrativa previa, se debe hacer constar estos datos.
- Si eres un profesional colegiado, debes recoger tu número de
colegiación y colegio inscrito.
- Precios (si vendes servicios)
- Si estás regido por un código de conducta, debes recoger como
encontrarlo y si estás adherido al mismo.

 Política de privacidad

https://www.raulflorido.com
13
En este apartado, debes ser identificable, es decir, tienes que establecer
cuáles son tus datos, quien es el dueño de la página así como tu domicilio
social, que si eres autónomo y trabajas desde casa, éste sería el domicilio.

Aquí debes exponer para qué recoges sus datos de carácter personal así
como la finalidad con la que los recoges. Asimismo, si el responsable del
fichero es una persona diferente, debes indicarlo también además de
establecer que en cumplimiento del art. 5 LOPD.
En realidad se trata de dar cumplimiento a lo establecido en ese artículo

1. Los interesados a los que se soliciten datos personales deberán ser

previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter

personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
Art. 5.1 LOPD c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante. Cuando el responsable del tratamiento no
esté establecido en el territorio de la Unión Europea y utilice en el
tratamiento de datos medios situados en territorio español, deberá
designar, salvo que tales medios se utilicen con fines de tránsito, un
representante en España, sin perjuicio de las acciones que pudieran
emprenderse contra el propio responsable del tratamiento..

 Cookies

No basta con recoger en tu página

web el típico plugin que dice que la
web usa cookies y que das tu
consentimiento …. ERROR!!!! Porque
han existido sanciones en este
sentido.

https://www.raulflorido.com
14
Si te interesa la historia de por qué surgió esta normativa respecto a las
cookies lee este párrafo, y sino salta al siguiente. Todo viene a colación de
las páginas web tipo rumbo, booking y demás, donde al intentar buscar un
vuelo hacia Londres por ejemplo, te ponían que su precio era de 60 euritos,
muy baratito, no te decidías y te salías de la página web, con la mala suerte
que volvías a entrar.

Estas webs, te instalaban una especie de “localizador” por llamarlo así en

tu pc donde sabían que ya habías aparecido y buscado precio, por lo que si
volvías a buscar vuelo hacia Londres, te costaba esta vez 80 euros,
pensando tú de buena fe, que ya quedaban menos plazas, pero es que si
volvías a entrar, te costaba 100 euros, y así iban subiendo.

A raíz de varias sentencias, lo que se ha venido a establecer es que no sólo

hay que informar acerca de la existencia de cookies, sino que hay que
identificarlas y establecer si son propias o de terceros, lo que no se suele
hacer o veo en muy pocas webs. Así lo recoge el artículo 22 de la LSSI.

2. Los prestadores de servicios podrán utilizar dispositivos de

almacenamiento y recuperación de datos en equipos terminales de los
destinatarios, a condición de que los mismos hayan dado su
Art. 22.2 LSSI consentimiento después de que se les haya facilitado información clara
y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la LOPD de 13
de diciembre.

https://www.raulflorido.com
15
  Condiciones generales de la contratación

Es sencillo, si vendes servicios o es un ecomerce, debes recoger este

apartado obligatoriamente estableciendo igualmente tus datos personales
o de la sociedad que realice la venta para evitar posibles engaños, así como
las condiciones de devolución, que es un derecho que tenemos como
usuarios.

El quid de la cuestión que suele preguntarse la mayoría de la gente es si

todo esto hay que hacerlo en diferentes páginas o en una sola.

La respuesta es que a gusto del consumidor, como queráis, pero si vendéis

servicios o es un eCommerce, lo aconsejable es tener una política de
privacidad (donde puedes incluir la de cookies) y aparte una de condiciones
generales de contratación, ya que el cliente tiene que aceptar las
condiciones para poder realizar la compra y tener acceso a las mismas de
manera sencilla, por lo que para evitar líos, es mejor hacerlo así la verdad.

Puedes encontrarme en https://www.raulflorido.com

https://www.raulflorido.com
16