• El objeto y la filosofía de toda la normativa marcan una conducta que hay que implantar en la forma de trabajar con programas informáticos y ficheros documentales. Una filosofía que comienza por considerar la privacidad de los datos personales como un derecho fundamental , y actuar en consecuencia, es decir de acuerdo con la Ley
  
• La Protección de Datos de carácter Personal no es sólo la LOPD , existe más normativa, además de otras leyes sectoriales que muchas veces tienen que "convivir" con estas leyes. Por ello cada sector y campo profesional debe tratarse de manera particular, sobre todo si se tratan o almacenan datos especialmente protegidos. Un ejemplo es la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), una normativa que obliga a los prestadores de servicios por Internet a cumplir ciertas medidas y actuaciones. Algunos de estos puntos entran en esta convivencia con la protección de datos personales
  
• Las medidas a adoptar son de diversa índole: técnicas, jurídicas y organizativas . A ello hay que sumarle la gestión . Los procedimientos, la actualización del documento de seguridad, los registros, deben ser elementos vivos que configuran la política de seguridad de la organización
  
• Para adecuar su organización a la normativa, no basta con registrar los ficheros ante la Agencia de Protección de Datos. Hay que aplicar la Ley en la empresa, en todas las áreas y actividades que puedan tratar datos personales.

Obligaciones del responsable de un fichero privado

Las personas, empresas o entidades privadas de cualquier tipo que pretendan crear legítimamente ficheros que contengan datos de carácter personal, deben cumplir una serie de formalidades que son las siguientes:

a).- Notificación e inscripción del fichero . Con carácter previo a la creación de un fichero de datos de carácter personal, la persona que pretenda crearlo debe comunicarlo a la Agencia de Protección de Datos. Por otra parte, una vez creado también debe notificarse a la Agencia cualquier cambio que afecte a la finalidad del fichero, al responsable del mismo o a su ubicación física. Una vez notificado y si cumple lo establecido en la Ley, el fichero quedará inscrito en la Agencia de Protección de Datos.

b).- Medidas de Seguridad y redacción del Documento de Seguridad . El Responsable del Fichero y, en su caso, el Encargado del Tratamiento de los datos, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, de forma que se evite su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas que se adopten deben ser acordes con el estado de la técnica en cada momento, con la naturaleza de los datos de carácter personal almacenados en los ficheros y con los riegos a que estén expuestos tales datos, ya sean riesgos procedentes de la acción humana o del medio natural.

Las medidas de seguridad que se adopten deben constar en el llamado Documento de Seguridad que debe redactar el Responsable del Fichero.

c).- Contrato de autorización de tratamiento de datos por terceros . En aquellos casos en que sea necesario el acceso a los datos de carácter personal por parte de terceras personas distintas del Responsable del Fichero o del Encargado del Tratamiento, como consecuencia de la prestación de un servicio profesional o empresarial que realice dicho tercero a favor del Responsable del Fichero, es necesario que ambas partes (Responsable del Fichero y Tercero) celebren un contrato autorizando dicho acceso así como las condiciones del mismo.

El contrato deberá constar por escrito o por cualquier medio que permita acreditar su celebración y contenido.

El contrato deberá contener al menos las siguientes disposiciones :

• Que el tratamiento de los datos por parte del tercero autorizado se hará siempre conforme a las instrucciones que indique el Responsable del  Tratamiento.

• Que no se utilizarán los datos por el tercero para fines distintos de los que figuren en el propio contrato.

• Que los datos no se comunicarán por el tercero autorizado a ninguna otra persona, ni siquiera para su conservación.

• Que el tercero autorizado debe establecer las medidas de seguridad de los datos que establece la Ley de Protección de Datos de Carácter Personal.

Una vez cumplida la finalidad establecida en el contrato, el tercero autorizado deberá devolver los datos y cualquier soporte o documento en que consten tales datos.

d ).- Auditoría bianual . Si se trata de ficheros que exijan medidas de seguridad de nivel medio o alto atendida la naturaleza de los datos almacenados en los mismos, ha de hacerse al menos cada dos años una auditoría interna o externa de los sistemas de información que contienen los datos de carácter personal, así como del grado de cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad de los Ficheros. Para los ficheros que requieran medidas de seguridad de nivel bajo la Ley no exije auditoría.

• a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
• b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
• c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
• d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la Ley.
• e) Incumplir el deber de secreto, salvo que constituya infracción grave.

• a) Crear ficheros de titularidad pública o iniciar la recogida de datos para los mismos sin que exista una disposición general que lo autorice, publicada en el Boletín Oficial del Estado o Diario oficial correspondiente.
• b) Crear ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad que crea el fichero.
• c) Recoger datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que dicho consentimiento sea exigible.
• d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley o con incumplimiento de las medidas de protección que se establezcan reglamentariamente, cuando no constituya infracción muy grave.
• e) Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
• f) Mantener datos inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan.
• g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
• h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
• i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
• j) La obstrucción al ejercicio de la función inspectora.
• k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.
• l) Incumplir el deber de información que establece la Ley cuando los datos hayan sido recabados de persona distinta del afectado.

• a) La recogida de datos en forma engañosa y fraudulenta.
• b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
• c) Recabar y tratar datos de carácter personal que revelen ideología, afiliación sindical, religión y creencias sin el consentimiento expreso del afectado, así como recabar y tratar datos referentes a la raza, salud o vida sexual sin que lo disponga una ley o medie el consentimiento expreso del afectado. Igualmente es infracción grave la creación de ficheros que tengan como única finalidad el almacenamiento de datos que revelen ideología, afiliación sindical, religión, creencias, raza o vida sexual.
• d) No cesar en el uso legítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
• e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
• f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
• g) La vulneración del deber de guardar secreto sobre los datos de carácter personal que revelen ideología, afiliación sindical, religión, creencias, raza o vida sexual, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
• h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
• i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.