AGM Abogados - Ley de proteccion de datos LOPD

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

INTRODUCCIÓN

INTRODUCCIÓN

Tres IDEAS clave:

1. La protección de datos es un derecho fundamental de todos los ciudadanos, y como tal, hay que tenerlo en consideración y respetarlo (art. 18.4 CE).

2. Los datos que tratamos o tratan, no son nuestros, son de su titular.

3. Tenemos la Ley de Protección de Datos más dura del mundo: sanción de más de 600.000,00.- €.

DATOS DE CARÁCTER PERSONAL

DATOS DE CARÁCTER PERSONAL Dato de carácter personal: cualquier información

que se refiera a alguien identificado o identificable.

Datos de fallecidos: únicamente están protegidos por el derecho de cancelación que pueden ejercer los herederos.

Datos genéticos y biométricos: La información obtenida de análisis, las huellas dactilares, palma de la mano, huella plantar, iris del ojo, modulación de la voz.

Imágenes: son datos de carácter personal. Especial caso; cámaras de video-vigilancia.

¿E-mail como dato personal?: sólo será considerado dato de carácter personas cuando el “login” pueda identificar a la persona.

NORMAS SOBRE PROTECCIÓN DE DATOS


1) CONSTITUCIÓN ESPAÑOLA.

2) LEY ORGÁNICA 15/1999 DE 13 DE DICIEMBRE DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

3) REAL DECRETO 1332/1994 DE 20 DE JUNIO, DE 29 DE OCTUBRE, DE REGULACIÓN DE TRATAMIENTO AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL.

4) REAL DECRETO 994/1999, DE 11 DE JUNIO, POR EL QUE SE APRUEBA EL REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL.

5) INSTRUCCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SOBRE EL TRATAMIENTO DE DATOS INTERNACIONALES.


6) LEY 5/2002 DE 19 DE ABRIL DE LA AGENCIA CATALANA DE PROTECCIÓN DE DATOS.

7) DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 24 DE OCTUBRE, RELATIVO AL TRATAMIENTO DE DATOS Y A LA LIBRE CIRCULACIÓN DE LOS MISMOS.

8) DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 12 DE JULIO, RELATIVO AL TRATAMIENTO DE DATOS PERSONALES EN LAS COMUNICACIONES ELECTRÓNICAS.

9) CONVENIO PARA LA PROTECCIÓN DE DATOS DE LAS PERSONAS CON RESPECTO AL TRATAMIENTO AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL, DE ESTRASBURGO DEL 28 DE ENERO DE 1981.

DECÁLOGO SOBRE PROTECCIÓN DE DATOS

DECÁLOGO, SOBRE PROTECCIÓN DE DATOS1) CONSENTIMIENTO. El titular es el único que puede

decir cuándo, dónde, cómo y por quién se tratan sus datos.

2) INFORMACIÓN. Información de forma expresa, precisa e inequívoca de quién es el responsable del fichero y cuál será el uso y destino del tratamiento de los datos.

3) INSCRIPCIÓN DE LOS FICHEROS. Hay que inscribir los ficheros de datos en el Registro de Protección de Datos de la AEPD / ACPD.

4) CALIDAD DE LOS DATOS. Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades legítimas para las que se hayan obtenido.

5) DATOS ESPECIALMENTE PROTEGIDOS. Cuyo tratamiento exige mayores garantías.

DECÁLOGO, SOBRE PROTECCIÓN DE DATOS6) SEGURIDAD. Impedir el acceso a los datos a personas

no autorizadas y evitar su alteración o pérdida.

7) DEBER DE SECRETO. El responsable del fichero y todos los que intervengan en cualquier fase del tratamiento.

8) COMUNICACIÓN O CESIÓN DE DATOS. No se pueden comunicar o ceder datos a terceros sin el consentimiento del interesado.

9) DERECHOS DEL INTERESADO O AFECTADO. Derecho a acceder a sus datos y a conocer el tratamiento, así como oponerse y a exigir su rectificación, y/o cancelación en los casos en que proceda.

10) FORMACIÓN E INFORMACIÓN. Formar e informar a todas las personas que manejan los datos sobre las responsabilidades de la protección de datos.

CONSENTIMIENTO

CONSENTIMIENTO Los datos son de su titular.

Nosotros únicamente tenemos el derecho a tratarlos si se cumplen los requisitos legales.

Siempre será necesario el consentimiento.

Artículo 6.1 LOPD: “El tratamiento de los datos requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

Excepciones: - Te encuentras en una situación de excepción legal. - Cuando los datos se refieran a las partes de un contrato y

sea necesario su mantenimiento para el cumplimiento del mismo.

- Cuando los datos figuren en una fuente accesible al público.

CONSENTIMIENTO

PREGUNTAS FRECUENTES

1) ¿Es siempre necesario el consentimiento para el tratamiento de datos?

Como norma general si. Excepciones: - Datos referentes a las partes de un contrato. - Datos que figuren en una fuente accesible al público. En cualquier caso, el titular de la información tiene que tener

conocimiento de que sus datos han sido incluidos en una base de datos.

2) ¿Es válido el consentimiento tácito para el tratamiento de datos?

Como norma general si. Excepciones: - Para los datos especialmente protegidos (ideología, afiliación sindical,

religión y creencias, origen racial, salud y vida sexual), es necesario el consentimiento expreso y por escrito.

INFORMACIÓN

INFORMACIÓN El tratamiento de datos debe de ser legal y leal.

Artículo 4.7 LOPD: “se prohíbe la recogida de datos por medios, fraudulentos, desleales o ilícitos.”

Aunque se tenga el consentimiento, o éste no sea necesario, SIEMPRE se debe de informar al interesado del que se recaban los datos.

Información de modo expreso, preciso e inequívoco de los

siguientes aspectos:

- De la existencia del fichero, finalidad del mismo y de los destinatarios de dicha información.

- De las consecuencias de la obtención de los datos. - De la posibilidad de ejercitar los derechos de acceso /

rectificación / cancelación y oposición. - De la identidad y dirección del responsable del tratamiento del

fichero o de su representante.

INFORMACIÓN


1) ¿Siempre tiene que informarse de la recogida de datos? Si. Si los datos no se obtienen directamente del interesado, deberá

informarle dentro de los tres (3) meses siguientes al registro de datos.

Se tiene que informar con independencia del medio de recogida de datos.

2) ¿Cómo se informa al interesado sobre el tratamiento de datos?

La información tendrá que proporcionarse al interesado previamente y, de modo expreso, preciso e inequívoco.

La información tiene que figurar, en forma claramente legible, en los cuestionarios u otros impresos que se utilicen para la recogida de datos.

Artículo 5.1. LOPD.

INSCRIPCIÓN DE FICHEROS

INSCRIPCIÓN DE FICHEROS Es obligación del responsable del fichero o tratamiento su

inscripción en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (o en su caso ACPD).

Artículo 26 LOPD: “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.”

AEPD: es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones, entre las que se encuentra velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.

Considerandos 62 y 63 de la Directiva Europea sobre Protección de Datos: Indica que el responsable del tratamiento deberá notificar a la autoridad de control los tratamientos de datos que vaya a realizar.

INSCRIPCIÓN DE FICHEROS


1) ¿En qué Agencia de Protección de Datos hay que inscribir los ficheros, en la española o la catalana?

Los ficheros que contengan datos de carácter personal y sean creados por una entidad privada > AEPD.

Los ficheros creados o gestionados por una entidad pública para el ejercicio de potestades de derecho público > Agencia Catalana.

2) ¿Cómo se inscriben los ficheros en la AEPD? Formularios en la página web: www.apgpd.es. La presentación se

puede hacer en soporte papel magnético y telemático y es totalmente gratuita.

3) ¿Todo el que trata datos o accede a ellos tiene que inscribir los ficheros?

Es únicamente el responsable del fichero. Artículo 26.1 LOPD: “Toda persona o entidad que proceda a la

creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.

CALIDAD DE LOS DATOS

CALIDAD DE LOS DATOS Principio de pertinencia: Datos adecuados, pertinentes y no

excesivos para los fines para los que se recaban. (art. 4.1 LOPD).

Deber de actualización y rectificación: los datos deben reflejar con veracidad la situación actual del afectado. (art. 4.3 LOPD). Plazo actualización: 10 días.

Deber de cancelación de datos innecesarios: El responsable del fichero tendrá que actualizar los datos y cancelarlos cuando ya no sean necesarios. (art. 4.5 LOPD).

Deberes éticos en la recogida de datos: se prohíbe la recogida por medios: Fraudulentos, desleales o ilícitos. (art. 4.7 LOPD)

Utilización de los datos para la finalidad para la que fueron recabados: Los datos sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento. Excepciones: fines históricos; estadísticos; científicos.

CALIDAD DE LOS DATOS


1)¿La actualización de los datos supone un deber de actualización constante por parte del responsable del fichero?

Dependerá de la fuente de origen del dato:

- Cuando el dato es facilitado por el propio afectado, se considerarán exactos los facilitados por éste (art. 8.5 LOPD). El afecto es quién debe de notificar los cambios.

- Cuando el dato es obtenido de fuentes públicas, el responsable del fichero, deberá recoger de oficio los cambios que sucedan sobre la información facilitada.

2) ¿Se pueden utilizar los datos para otras finalidades diferentes a aquella para la que fueron recabados?

Si, siempre que no sean incompatibles dichas finalidades entre sí.

DATOS ESPECIALMENTE PROTEGIDOS

DATOS ESPECIALMENTE PROTEGIDOS Los datos que revelen: - Ideología. - Afiliación sindical. - Religión y creencias.

Consentimiento expreso y por escrito.

- Origen racial. - Salud. - Vida sexual.

Consentimiento expreso. Excepciones: cuando se recaben datos por seguridad pública por profesional sanitario obligado al secreto profesional.

Mayores garantías en el tratamiento: Derecho a no informar sobre ideología, religión o creencias (art. 16.2 CE).

Nivel de protección: Alto.

NIVELES DE SEGURIDAD

NIVELES DE SEGURIDAD

Adopción o aplicación de las medidas técnicas y organizativas necesarias para que garanticen la seguridad de los datos de carácter personal, o la protección de los datos personales. Nivel de seguridad adecuado.

NIVEL BÁSICO: Documento de Seguridad. - De aplicación a todos los tratamientos de datos.- Documento de Seguridad:

- Descripción de las medidas de seguridad adoptadas por la empresa; accesos, alteraciones, pérdida de datos, etc…

- Redactado por el responsable del tratamiento. - Debe mantenerse actualizado.

NIVELES DE SEGURIDAD NIVEL MEDIO: Responsable de Seguridad.

- Supuestos: - Infracciones administrativas o penales. - Administraciones tributarias. - Entidades financieras. - Entidades Gestoras y Servicios Comunes de la Seguridad

Social. Mutuas de accidentes de trabajo. - Conjunto de datos que sean capaces de determinar aspectos de la personalidad o del comportamiento de un individuo.

- Se designará a una persona responsable de la seguridad del fichero.

- Obligación de auditoria con periodicidad mínima de dos (2) años.

- Emplazamiento de los equipos que contengan la información, en un lugar aislado con un sistema de control y acceso.

- Control de acceso a los equipos informáticos. - Registro de incidencias.

NIVELES DE SEGURIDAD NIVEL MÁXIMO DE SEGURIDAD:

- Cifrado de la información. - Registro de accesos. - Copias de seguridad. - Ficheros que contengan datos de:

- Ideología.- Afiliación sindical. - Religión y creencias. - Salud. - Vida sexual.- Datos policiales recabados sin consentimiento. - Datos derivados de actos de violencia de género.- Excepciones: bastará el nivel básico o medio cuando:

- Transferencia dineraria a las entidades de las que los afectados sean asociados.

- Cuando dichos datos se contengan de forma accidental en otros documentos.

- Datos de salud referentes exclusivamente al grado de discapacidad

DEBER DE SECRETO

DEBER DE SECRETO Responsable del fichero y todos los que

intervengan en cualquier fase del tratamiento están obligados a guardar secreto profesional respecto de los datos que traten. (art. 10 LOPD).

La obligación subsiste incluso después de finalizar sus relaciones con el titular del fichero.

Es recomendable incluir una cláusula en el contrato de trabajo, sobre el deber de confidencialidad de los datos.

Diferencia con la cesión de datos: no existe una voluntad de que los datos sirvan para ser tratados por parte del destinatario.

PROHIBICIÓN DE CESIÓN DE DATOS

PROHIBICIÓN DE LA CESIÓN DE LOS DATOS Cesión: cualquier consulta que un tercero realice a los

datos.

Prohibida sin consentimiento expreso de su titular. Para el otorgar el consentimiento; el titular tiene que conocer la finalidad a qué se destinarán los datos cuya comunicación se autoriza y a quién se comunican.

Excepciones: - Autorización legal. - Datos procedentes de fuentes accesibles al público. - Cesión necesaria para el desarrollo de una relación jurídica. - Destinatario: Defensor del Pueblo, Ministerio Fiscal, Jueces

o Tribunales, Tribunal de Cuentas. - Cesión a Administraciones Públicas para fines históricos,

estadísticos o científicos. - Datos relativos a la salud para casos de urgencia o para

realizar estudios epidemiológicos.

TRANSFERENCIAS INTERNACIONALES A Estados no miembros de la UE.

Lista Blanca: Elaborada por la AEPD.- Incluye la relación de países cuyo nivel de protección haya sido

equiparable al establecido por la legislación española. - No es necesario autorización de la AEPD para efectuar la

transferencia.

Países no incluidos en la Lista Blanca: Autorización singular por la AEPD > plazo de 3 meses + Ofrecimiento de garantías.

Autorizaciones legales: - Auxilio judicial internacional. - Prevención o diagnóstico médico, asistencia sanitaria, tratamiento médico.- Transferencias dinerarias. - Ejecución de un contrato. - Salvaguardar el interés público. - Reconocimiento, ejercicio o defensa de un proceso judicial.

TRANSFERENCIAS INTERNACIONALES Transferencias de datos a Estados Unidos.

Acuerdo “SAFE HARBOR”:

- Acuerdo entre la Comisión Europea y el Departamento de Comercio de EEUU.

- En EEUU no existe una legislación sobre protección de datos. Se deja al arbitrio de cada empresa.

- Todas las empresas o sectores adheridos al acuerdo de “SAFE HARBOR” se considerará > “PUERTO SEGURO.

- Las entidades del sector financiero están fuera de este acuerdo.

DERECHOS DE LOS INTERESADOS (ARCO)

DERECHO DE ACCESO (ART. 15 LOPD Y 27.1 Y 2 RPD).

Forma de hacer la petición de acceso: - Por cualquier medio y dirigida al responsable del fichero. - El responsable deberá comunicar la información en el plazo de un

(1) mes.- Derecho de acceso en intervalos de 12 meses, salvo acreditación

de la existencia de un interés especial. - Exhibición de la información mediante:

- Visualización en pantalla. - Escrito, copia, fotocopia. - Correo electrónico, etc…

Excepciones: cuando exista una norma que prohíba al responsable del fichero revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN DERECHO DE RECTIFICACIÓN (art. 31.1 RPD):

Los datos deben reflejar la imagen fiel de la realidad.

La rectificación debe de hacerse en el plazo de 10 días.

DERECHO DE CANCELACIÓN (art. 31.2 RPD):

Excepciones (art. 33.1 RPD): “la cancelación no procederá cuando los datos de carácter personal deban de ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

La cancelación debe de hacer en el plazo de 10 días.

DERECHO DE OPOSICIÓN (ART. 6.4 LOPD Y 30.4 RPD) Diferencia con la cancelación: la oposición es

una cancelación genérica de todos los datos que pudieran estar sometidos al mismo.

Supuestos de oposición: - Cuando se trate de datos respecto de los cuales

no sea necesario su consentimiento. - Cuando se trate de ficheros que tengan por

finalidad la realización de actividades de publicidad y prospección comercial.

Ejercicio del derecho de oposición: - Solicitud dirigida al responsable del fichero. - Cancelación de datos en el plazo de 10 días.

DERECHOS DEL INTERESADO

NORMAS COMUNES

o Derechos personalísimos: sólo ejercitables por su titular. Excepciones:

- Incapacidad o minoría de edad. - Representante voluntario.

o Derechos independientes.

o Principio de gratuidad de los derechos.

o Acceso universal al ejercicio de los derechos.

o Tutela de la Agencia de Protección de Datos

FORMACIÓN E INFORMACIÓN

FORMACIÓN E INFORMACIÓN El que trabaja y tiene acceso a datos de carácter personal, debe

de cumplir con los principios de protección de datos.

Se debe de garantizar la confidencialidad y la integridad de la información.

Deber de secreto.

Informar a través de medios que dejen constancia del cumplimiento de esta obligación por parte del responsable del fichero.

Recomendación a través de:

- Cláusulas contractuales incluidas en los contratos de trabajo. - Cláusulas de confidencialidad específica. - Circulares. - Elaboración de normas de funcionamiento interno.

INFRACCIONES Y SANCIONES

INFRACCIONES Y SANCIONES INFRACCIÓN DE OBLIGACIONES FORMALES:

- Falta de autorización normativa para iniciar el tratamiento de datos > MUY GRAVE.

- Falta de adopción de medidas de seguridad > GRAVE.

- Incumplimiento del objeto social > recogida de los datos con fines distintos al objeto social de la empresa > GRAVE.

- Desobediencia al requerimiento del cese del tratamiento > MUY GRAVE.

- Obstrucción del ejercicio de la función inspectora > GRAVE.

- Transferencias Internacionales sin autorización > MUY GRAVE.

INFRACCIONES Y SANCIONES INFRACCIÓN DE OBLIGACIONES MATERIALES:

- Infracción del deber de secreto:- LEVE: como norma general. - GRAVE: datos relativos a infracciones administrativas, penales, Hacienda Pública

servicios financieros, prestación de solvencia patrimonial y crédito, conjunto de datos que permitan una evaluación de la persona.

- MUY GRAVE: datos especialmente protegidos, así como los recabados para fines policiales.

- Infracción del deber de información y notificación al interesado: - LEVE: cuando los datos hayan sido recabados de los interesados. - GRAVE: cuando los datos hayan sido recabados de persona distinta del interesado.

- Respeto a la voluntad del interesado: - Recogida de datos en forma engañosa y fraudulenta > MUY GRAVE. - Consentimiento para iniciar el tratamiento y alteración y finalidad > GRAVE. - Consentimiento para continuar el tratamiento: oposición y cancelación > MUY GRAVE. - Comunicación o cesión de datos > MUY GRAVE (dependiendo de las circunstancias).

- Atención al derecho de acceso > MUY GRAVE.

- Rectificación de datos > LEVE – GRAVE (dependiendo de las circunstancias).

TRATAMIENTOS ESPECIALES

FICHEROS SOBRE SOLVENCIA PATRIMONIAL Y CRÉDITO Finalidad: información relativa a la situación patrimonial y crediticia de las personas.

Fuentes: Comunicaciones de los Acreedores + Boletines Oficiales + Censo Electoral + Repertorios telefónicos + lista de personas de grupos profesionales.

- No se consideran fuentes públicas la información que consta en: - Registros (salvo la información que se publica en los Boletines). - Edictos. - Resoluciones judiciales.

Requisitos para la anotación de deudas: previa + cierta + vencida + exigible + reclamada + impagada + que provengan de un contrato – procedimiento judicial, arbitral o administrativo.

Responsabilidad de la calidad de los datos: - Información facilitada por el acreedor > EL ACREEDOR. - Información obtenida de fuentes públicas > EL RESPONSABLE DEL FICHERO.

Deber de información sobre la inclusión de los datos: - Información previa por el acreedor: al celebrar el contrato + al requerimiento de pago.- Información por el titular del fichero en el plazo de 30 días.

MARKETING DIRECTO

o Finalidad: Publicidad directa, promoción y prospección de mercado.

o Empresas especialmente dedicadas al marketing directo.

o Fuentes: públicas + propios interesados + obtenidas con su consentimiento.

o Listas Robinson: es un servicio de exclusión publicitaria a disposición de los consumidores que tiene como objetivo disminuir la publicidad que éstos reciben. (www.listarobinson.es)

REDES SOCIALES (WEB 2.0.)

o La extimidad. o Teoría de los seis grados de separación.o Relación Contractual. o El interés principal es la PUBLICIDAD. o Iniciativas de regulación.o Riesgos de las redes sociales, en tres fases:

- Registro en la red social: problemas:- Registro de acceso a terceros.- Valor del consentimiento.

- Desarrollo de actividades de la red social: problemas:- Mayor definición e identificación más precisa del usuario. - Usuarios SPAM (usuarios empresa)

- Baja del servicio: problema: - conservación de los datos.

APORTACIÓN DE DOCUMENTOS CON DATOS PERSONALES A PROCESOS JUDICIALES

APORTACIÓN DE DOCUMENTOS CON DATOS PERSONALES EN PROCEDIMIENTOS JUDICIALES Conclusiones personales en atención a todo lo expuesto.

Cuando los documentos son requeridos por el Juzgado > no hay problema = cesión legítima recogida por la Ley.

Cuando los documentos los presentamos a instancia de parte = cesión de datos > confrontación del derecho a la protección de datos derecho a la defensa.

Recomendaciones:

- A la firma del presupuesto por cualquier servicio, indicar que la información podrá ser facilitada a registros de morosos y procedimientos judiciales.

- Obtener el consentimiento expreso antes de producirse la cesión.

- Informar en la demanda de la especial protección de los datos aportados.

- Aportación de los documentos en sobre sellado.

DUDAS Y PREGUNTAS

Ana I. García [email protected]

+34 93 487 11 26

AGM Abogados - Ley de proteccion de datos LOPD

Business

Transcript of AGM Abogados - Ley de proteccion de datos LOPD