LOPD

Santiago de Compostela

23 de septiembre de 2011

Jose Mª Lozoya Pérez

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de

Datos de Carácter Personal

Objeto: Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente su honor e intimidad personal y familiar.

Qué es la LOPD

• Derecho Fundamental a la protección de datos:

- Constitución Española (Art. 18.4)

- Carta de los Derechos Fundamentales de la Unión Europea (art. 8)

Dato de carácter personal

• Cualquier información concerniente a personas físicas “identificadas”

o “identificables”.

• Cualquier información numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo concerniente a personas físicas

identificadas o identificables.

• Persona identificable: toda persona cuya identidad pueda

determinarse, directa o indirectamente, mediante cualquier información

referida a su identidad física, fisiológica, psíquica, económica, cultural o

social. Una persona física no se considerará identificable si dicha

identificación requiere plazos o actividades desproporcionados.

• Datos de carácter personal relacionados con la salud: las

informaciones concernientes a la salud pasada, presente y futura,

física o mental, de un individuo. En particular, se consideran datos

relacionados con la salud de las personas los referidos a su porcentaje

de discapacidad y a su información genética.

Definiciones

Fichero de datos de carácter

personal

• Conjunto organizado de datos de carácter personal,

• cualquiera que fuere la forma o modalidad de su creación,

almacenamiento, organización y acceso.

• Fichero público: ficheros de los que sean responsables las

Administraciones Públicas y sus organismos vinculados, siempre que

su finalidad sea el ejercicio de potestades de derecho público.

• Fichero privado: ficheros de los que sean responsables las personas,

empresas o entidades de derecho privado y corporaciones de derecho

público, en cuanto dichos ficheros no se encuentren estrictamente

vinculados al ejercicio de potestades de derecho público

Definiciones

Tratamiento de datos de carácter

personal

• Operaciones y procedimientos técnicos de carácter automatizado o no,

que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos

que resulten de comunicaciones, consultas, interconexiones y

transferencias.

Definiciones

• Afectado o titular de los datos

• Responsable del fichero

– Quien decida sobre la finalidad, contenido y uso del

tratamiento

• Encargado del tratamiento

– Quien trate datos personales por cuenta del

responsable del tratamiento.

Sujetos

Calidad de los datos

• Los datos de carácter personal sólo se podrán recoger y tratar

cuando sean adecuados, pertinentes y no excesivos en relación con

el ámbito y las finalidades determinadas, explícitas y legítimas para

las que se hayan obtenido.

• No podrán usarse para finalidades incompatibles con aquéllas para

las que fueron recogidos.

• Datos exactos y puestos al día.

Principios

Derecho de Información

• Los interesados a los que se soliciten datos personales deberán ser

previamente informados de modo expreso, preciso e inequívoco:

– De la existencia de un fichero o tratamiento de datos de carácter personal,

de la finalidad de la recogida de éstos y de los destinatarios de la

información.

– Del carácter obligatorio o facultativo de su respuesta a las preguntas que les

sean planteadas.

– De las consecuencias de la obtención de los datos o de la negativa a

suministrarlos.

– De la posibilidad de ejercitar los derechos de acceso, rectificación,

cancelación y oposición.

– De la identidad y dirección del responsable del tratamiento o, en su caso, de

su representante.

Principios

Consentimiento del afectado

• El tratamiento de los datos de carácter personal requerirá el

consentimiento inequívoco del afectado, salvo que la ley disponga otra

cosa.

• Excepciones:

– Ejercicio de las funciones propias de las Administraciones públicas;

– Cuando se refieran a las partes de un contrato o precontrato de una relación

negocial, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento;

– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital

del interesado o

– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción de un interés legítimo

• Datos especialmente protegidos: consentimiento expreso o expreso y por

escrito.

Principios

Seguridad de los datos

• El responsable del fichero, y, en su caso, el encargado del tratamiento

deberán adoptar las medidas de índole técnica y organizativas

necesarias que garanticen la seguridad de los datos de carácter

personal y eviten su alteración, pérdida, tratamiento o acceso no

autorizado, habida cuenta del estado de la tecnología, la naturaleza de

los datos almacenados y los riesgos a que estén expuestos, ya

provengan de la acción humana o del medio físico o natural.

• No se registrarán datos de carácter personal en ficheros que no reúnan

las condiciones que se determinen por vía reglamentaria con respecto

a su integridad y seguridad y a las de los centros de tratamiento,

locales, equipos, sistemas y programas

• RLOPD

Principios

Deber de secreto

• El responsable del fichero y quienes intervengan en cualquier

fase del tratamiento de los datos de carácter personal están

obligados al secreto profesional respecto de los mismos y al

deber de guardarlos, obligaciones que subsistirán aun después

de finalizar sus relaciones con el titular del fichero o, en su

caso, con el responsable del mismo.

Principios

• Acceso

• Rectificación y cancelación

• Oposición

• Consulta del Registro General de Protección de

Datos.

• Impugnación de valoraciones

• Derecho a indemnización

Derechos

Creación de ficheros

• Podrán crearse ficheros de titularidad privada que contengan

datos de carácter personal cuando resulte necesario para el

logro de la actividad u objeto legítimos de la persona, empresa

o entidad titular y se respeten las garantías que esta Ley

establece para la protección de las personas.

• Obligación de notificar previamente a la Agencia Española de

Protección de Datos.

Inscripción

Han de inscribirse en el Registro General de Protección

de Datos:

• Los ficheros de las Administraciones Públicas

• Los ficheros de titularidad privada

• Las autorizaciones de transferencias internacionales de datos de

carácter personal con destino a países que no presten un nivel de

protección equiparable.

• Los códigos tipo.

• Los datos relativos a los ficheros que sean necesarios para el ejercicio

de los derechos de información, acceso, rectificación, cancelación y

oposición.

Inscripción

Notificación de ficheros

• Presentación gratuita de notificaciones a

través de Internet.

• Con o sin firma electrónica

• Posibilidad de formato XML

• Papel

• Notificaciones tipo

Inscripción

Inscripción

Documento de seguridad

• Obligatorio para todos los Responsables de

ficheros.

• Único o individualizado por fichero

• Documento interno.

• Actualización permanente

• Recogerá las medidas de índole técnica y

organizativa acordes a la normativa de

seguridad vigente

• De obligado cumplimiento para el personal

con acceso a los sistemas de información.

D.Seguridad

Contenido mínimo DS

• Ámbito de aplicación del documento y recursos protegidos.

• Medidas, normas, procedimientos de actuación, reglas y estándares

encaminados a garantizar el nivel de seguridad exigido en el RLOPD.

• Funciones y obligaciones del personal en relación con el tratamiento de los

datos de carácter personal incluidos en los ficheros.

• Estructura de los ficheros con datos de carácter personal y descripción de los

sistemas de información que los tratan.

• Procedimiento de notificación, gestión y respuesta ante las incidencias.

• Los procedimientos de realización de copias de respaldo y de recuperación de

los datos en los ficheros o tratamientos automatizados.

• Las medidas que sea necesario adoptar para el transporte de soportes y

documentos, así como para la destrucción de los documentos y soportes, o en

su caso, la reutilización de estos últimos.

D.Seguridad

Contenido DS

Medidas de seguridad de nivel medio o alto, el documento de

seguridad deberá contener además:

• La identificación del responsable o responsables de seguridad.

• Los controles periódicos que se deban realizar para verificar el cumplimiento

de lo dispuesto en el propio documento.

D.Seguridad

Contenido DS

Si existen encargados del tratamiento:

• Identificación de los ficheros o tratamientos que se traten en concepto de encargado

• Referencia expresa al contrato o documento que regule las condiciones del

encargo, así como de la identificación del responsable y del período de vigencia del

encargo.

Si los datos se tratan de modo exclusivo en los sistemas del

encargado:

• El responsable deberá anotarlo en su DS.

• Podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en

lo relativo a aquellos datos contenidos en recursos propios.

D.Seguridad

Mantenimiento DS

• Actualizado

• Revisado siempre que se produzcan cambios relevantes en el

sistema de información, en el sistema de tratamiento empleado, en

su organización, en el contenido de la información incluida en los

ficheros o tratamientos o, en su caso, como consecuencia de los

controles periódicos realizados.

• Se entenderá que un cambio es relevante cuando pueda repercutir

en el cumplimiento de las medidas de seguridad implantadas.

• Adecuado, en todo momento, a las disposiciones vigentes en

materia de seguridad de los datos de carácter personal

D.Seguridad

Guía de Seguridad de la AEPD

D.Seguridad

Cambios internos

• Difusión interna de la política de protección de datos

• Comprobación del deber de información, consentimiento, uso de

los datos y confidencialidad. – Contratos con clientes y proveedores

– Contratos de trabajo

– Ofertas publicitarias y promociones, comunicaciones comerciales por vía

electrónica

– Formularios

• Información y formación a los trabajadores sobre protección de

datos

• Nombramiento de responsables. Asignación de funciones

• Procedimientos para gestión de ejercicio de derechos

Organización

Muchas gracias. Jose Mª Lozoya Pérez

Lozoya y Torres, Abogados.

jmlozoya@lozoyaytorres.es

www.lozoyaytorres.es