LOPD Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

LOPDLOPD

Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de

Carácter Personal

Agenda

• Leyes antecesoras• LOPD

1. Objetivo. Finalidad2. Datos de carácter personal3. Obligaciones básicas

• Niveles de seguridad• Datos estadísticos• Sanciones• Aplicación en casos reales

Leyes antecesoras

LOPD. Objetivo

REGULAR

1. el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados

2. los derechos de los ciudadanos sobre ellos3. las obligaciones de aquellos que los crean o

tratan

LOPD. Finalidad

GARANTIZAR y PROTEGER

1. las libertades públicas

2. los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar

LOPD. Datos de carácter personal

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

LOPD. Obligaciones básicas

1. LEGALIZAR

2. LEGITIMAR

3. PROTEGER


1. LEGALIZAR

Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.


2. LEGITIMAR

Todos los datos de carácter personal recogidos deben cumplir 3 principios básicos:

a) Principio del consentimiento del afectadob) Principio de informaciónc) Principio de calidad de los datos


a) Principio del consentimiento del afectado

• Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que son recabados.

• El consentimiento deberá ser precedido por una declaración del Responsable del fichero en la que se indiquen, de forma clara y fácilmente comprensible:

– los datos que van a ser objeto de tratamiento– las finalidades a que van a ser destinados, para que los interesados

indiquen, sin ningún género de dudas, su conformidad con su tratamiento o su oposición al mismo


b) Principio de información• Obligación que tienen las empresas de informarnos, de forma previa a

la recogida, de modo expreso, inequívoco y preciso de lo siguiente:

1. De la existencia de un fichero al que serán incorporados los datos que nos solicitan

2. Del carácter obligatorio o facultativo de consignar determinados datos

3. De las consecuencias de la obtención de los datos4. De la posibilidad del ejercicio de los derechos de acceso,

rectificación, cancelación u oposición al tratamiento de los datos5. De la identidad y dirección del responsable del tratamiento o, en su

caso, de su representante


c) Principio de calidad de los datos

• Hace referencia a que los datos son recogidos para una finalidad concreta, y no podrán ser destinados por el Responsable del fichero a otras finalidades. La finalidad también nos permite reconocer qué fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley.


3. PROTEGEREstablecer una serie de medidas con el fin de garantizar la seguridad de los datos de carácter personal recopilados.Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.

LOPD. Video y test

Video y test

Niveles de seguridad

• Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideración de mínimos legales exigibles

• Cada Empresa podrá incrementarlas de acuerdo a otros criterios de Seguridad Informática, ofreciendo de esta forma mayores garantías, tanto para el tratamiento de sus ficheros como para el resto de la información corporativa


• El Reglamento establece los niveles de seguridad de forma acumulativa

• Nivel medio = nivel básico + nivel medio• Nivel alto = nivel medio + nivel alto

Niveles de seguridad• Nivel Básico: Para todos los ficheros de datos de carácter

personal.• Nivel Medio: Serán adoptadas para ficheros que contengan

datos:a) relativos a la comisión de infracciones administrativas o penales.b) sobre Hacienda Pública.c) sobre Servicios Financieros.d) sobre solvencia patrimonial y crédito.e) un conjunto de datos suficientes que permitan elaborar un perfil del

afectado (se les aplican las medidas descritas en los art.17 a 20).• Nivel Alto: Aquellos que contengan datos de ideología,

religión, creencias, origen racial, salud, vida sexual.

Sanciones

Existen 3 tipos de sanciones cuya cuantía varia por:

• naturaleza de los derechos personales afectados• volumen de los tratamientos efectuados• beneficios obtenidos• grado de intencionalidad• reincidencia• daños y perjuicios causados a las personas

interesadas

Sanciones

• Leves (601,01€ - 60.101,21€)

– No solicitar la inscripción del fichero en la AEPD– Recopilar datos personales sin informar previamente – No atender a las solicitudes de rectificación o cancelación – No atender las consultas por parte de la AEPD

Sanciones• Graves (60.101,21€ - 300.506,25€)

– No inscribir los ficheros en la AEPD ni permitir el acceso– Utilizar los ficheros con distinta finalidad con la se crearon– No tener el consentimiento del interesado para recabar

sus datos personales– No permitir el acceso a los ficheros– Mantener datos inexactos o no efectuar las modificaciones

solicitadas – No remitir a la AEPD las notificaciones previstas en la LOPD– Mantener los ficheros sin las debidas condiciones de

seguridad

Sanciones• Muy graves (300.506,25€ - 601.012,1€)

– Crear ficheros para almacenar datos que revelen datos especialmente protegidos

– Recogida de datos de manera engañosa o fraudulenta– Recabar datos especialmente protegidos sin la

autorización del afectado– No atender u obstaculizar de forma sistemática las

solicitudes de cancelación o rectificación– Vulnerar el secreto sobre datos especialmente protegidos– La comunicación o cesión de datos cuando ésta no esté

permitida

Sanciones– No cesar en el uso ilegítimo a petición de la AEPD– Tratar los datos de forma ilegítima o con menosprecio de

principios y garantías que le sean de aplicación– No atender de forma sistemática los requerimientos de la

AEPD– La transferencia temporal o definitiva de datos de carácter

personal con destino a países sin nivel de protección equiparable o sin autorización

Datos y estadísticas

Informe de la AEPD sobre sanciones en 2008

• Hechos denunciados se incrementaron en más del 45%– alcanzando la cifra de 2.362

• Resolvió 630 procedimientos sancionadores, – casi un 58% más que en 2007,– 535 culminaron con la imposición de sanción

• Las multas impuestas – ascendieron hasta los 22,6 millones de euros– incremento de un 15% respecto al año anterior

Datos y estadísticas. 2008

Número de reclamaciones

Lugar Sector de actividad económica Procedimientos resueltos

1 Telecomunicaciones 454

2 Entidades Financieras 382

3 Video vigilancia 365

Número de reclamaciones


Número de sanciones por sectores

Lugar Sector de actividad económica Procedimientos resueltos

1 Telecomunicaciones 190

2 Entidades Financieras 111

3Comunicaciones

electrónicas y spam 39

4 Comercio, transporte y hostelería 31

5 Video vigilancia 27

Número de sanciones por sectores


Sectores más sancionados y tipo de denuncia


Ranking de sanciones en 2009 (datos hasta Septiembre)


Comparativa 2008-2009


Conclusiones

• Origen de las sanciones se produce en los ámbitos:– Inclusión en Fichero de morosos (art. 29 LOPD, sector financiero)– Calidad de datos

• mantener los datos inexactos, • no cancelar los datos debidamente (sector telecomunicaciones y otros sectores).

– Consentimiento• falta de consentimiento previo o • falta de consentimiento en la cesión o comunicación de datos

– Publicidad• envío de spam, recepción de publicidad sin consentimiento

– Deber de secreto• revelación de información por parte de personal de la organización

– Seguridad de los sistemas • ataques informáticos, intrusismo, pérdida de información…

– Video-vigilancia: falta de información y/o consentimiento .


Empresas más sancionadas en 2009

La empresa sancionada con la cuantía más elevada en una multa hasta el momento ha sido “Saberlotodo” Internet S.L. con 360.607,32 €.

Aplicación en casos reales: Infracción muy grave

“Saberlotodo” Internet S.L. con 360.607,32 €.

• Título de la sentencia– Sanción protección de datos.

• Año de la sentencia– Madrid, a doce de julio de dos mil seis.

• Exposición de los hechos– Un Colegio Profesional de Fisioterapeutas

• Tiene un convenio suscrito con una escuela de osteopatía:– Le cede etiquetas con el nombre y dirección de sus colegiados– Para que puedan remitirles cursos sobre osteopatía.


Ley aplicada– Artículos 11, 44, 45 de la Ley Orgánica 15/1999, de 13 de

diciembre (LOPD)• articulo 11.doc• artículos 44, 45.doc

– La resolución considera tal conducta • una cesión sin consentimiento del art.11 de la LOPD, • calificándola como falta muy grave del art. 44.b) de dicho texto

legal.• si bien se aminora la sanción en aplicación del art.45.5 de la

misma norma.


• Resultado– Finalmente, se confirma la culpabilidad del colegio recurrente en la infracción que se le imputa que además se ha visto atenuada de forma cualificada con la Aplicación del indicado art.45.4 de la LOPD.

• Se le impone a dicha entidad una sanción de 60.101,21 euros.

• La ley es muy dura con este tipo de actos• Cada día más rigurosa en cuanto su aplicación

Aplicación en casos reales:Sanción leve

Multa de 600 euros por dejar a la vista 42 direcciones de correo electrónico

• Fin lucrativo (no un uso doméstico o personal del correo)– en tanto que se enviaba un mensaje promocional de telefonía móvil

por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.

• Uno de los destinatarios de este mensajesintió que se violaba su intimidad al exponersu dirección por no haber sido utilizada la opción de copia oculta (CCO).

Aplicación en casos reales

• Ayuntamiento de ARGES – Envío de felicitaciones de cumpleaños contando con los datos del padrón municipal.

• Ayuntamiento de Oviedo– Cesión de datos a la UTE (Unión Temporal de Empresas)

• con la que tenía contratados los servicios

– Con las exigencias legales que esto conlleva y que el Ayuntamiento no llevó a cabo.

• Ayuntamiento de GRADO– No incluir una leyenda informativa LOPD en un formulario – para recabar datos personales que se distribuyó en el 2004 durante

una competición internacional de Hockey sobre patines.

Ejemplos de sanciones a entidades públicas


• Protección de Datos recibe 30 denuncias contra redes sociales en 2009. 24/12/2009

• La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales. 31/12/2009

• La video-vigilancia deja de ser servicio exclusivo de las empresas de seguridad. 31/12/2009

– Hasta ahora era necesario que la instalación de las videocámaras y sistemas de vigilancia fueran realizadas por una empresa de seguridad.

– A partir de 27 de diciembre de 2009 con la ley 25/2009 49, (Conocida como ley Ómnibus) la instalación puede realizarla cualquier empresa siempre y cuando no implique conexión con central de alarma.

• Diariamente se producen cambios y actualizaciones de las leyes de protección de datos

Más ejemplos de sanciones


• Estos son pequeños ejemplos entre los cientos de ellos que se pueden encontrar cada día:

• Abarcan:– desde las empresas privadas hasta las instituciones públicas,– desde las más pequeñas, a las mayores Compañías y Empresas, – desde una PYME, hasta una gran multinacional.

• Hay que ser conscientes de que esta ley – nos protege como usuarios en todo ámbito y – debemos hacer uso de nuestros derechos y obligaciones


http://www.apdasesores.com/apd/index.php?option=com_content&task=view&id=28&Itemid=41

Test para calcular las sanciones



Conclusiones• Internet ofrece infinitas posibilidades:

– infraestructura económica y cultural • para facilitar muchas de las actividades humanas • y contribuir a una mejor satisfacción de nuestras necesidades y a nuestro desarrollo

personal.

• El uso de Internet también conlleva riesgos. • El avance vertiginoso de la tecnología hace que, por ejemplo,

– los peligros para nuestra privacidad son cada vez más sofisticados e invisibles

• se hacen muy difíciles de detectar para la mayoría de usuarios.

• El uso indiscriminado de datos personales de usuarios una práctica muy habitual en los últimos tiempos.

• Mayor éxito la persecución de esta violación de privacidad.

Conclusiones• Importancia a la protección de datos

– 28 de enero de 2007 == primera jornada dedicada a asuntos vinculados a la privacidad informática y la protección de datos

– Consejo de Europa – La fecha se volvió un evento anual

• al que se unieron en 2008 Estados Unidos y Canadá.

• Ante la gravedad de estos riesgos y la relativa novedad que supone Internet en nuestra sociedad– Deberían hacerse campañas informativas a nivel nacional

• a través de todos los medios de comunicación.

http://www.hoy.com.ec/tag/222/estados-unidos

Conclusiones

• Debe continuar:– La legislación que regule el uso de Internet – Las medidas policiales dirigidas a la captura de los delincuentes del

ciberespacio

• Comercios, gobiernos y organizaciones deben involucrarse en el tema:– enseñando a los usuarios de computadoras a proteger su información en línea, – Y fomentando políticas de salvaguardia de la privacidad.

Bibliografía

• Páginas de ayuntamientos y otras instituciones: – http://dialnet.unirioja.es/servlet/articulo?codigo=2937324– http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm

• Boletín Oficial del Estado: – Real Decreto 994/1999 del 11 de Junio.

• Trabajo de Andrés, C. y Núñez, M.– Ley Orgánica de Protección de Datos

• Internet:– http://www.inter-ius.com/html/modules/news/index.php?storytopic=2 -casos reales – http://www.arcanumdata.com/ley-proteccion-datos/ley-proteccion-de-datos_lopd.htm– Wikipedia: http://es.wikipedia.org/wiki/LOPD– http://www.lopd-proteccion-datos.com/sanciones-lopd.php – http://jurisprudencia.vlex.es/vid/11-lopd-45-5-12-as-4-24301854#ixzz0dc8HaHFA – http://www.emagister.com/de-8-12-anos-que-peligros-beneficios-tiene-internet-para-ninos-cursos-

314246.htm#programa

http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm

¡Gracias!

LOPD Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

Documents

Transcript of LOPD Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.