José M. Baños

Abogado de J. DUTILHLEGAL

PRINCIPAL NORMATIVA SOBRE PROTECCIÓN DE DATOS PERSONALES

COMUNITARIA

- Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («Directiva de Protección de Datos»).

- Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas («Directiva sobre la privacidad y las comunicaciones Electrónicas»).

3

PRINCIPAL NORMATIVA SOBRE PROTECCIÓN DE DATOS PERSONALES

NACIONAL

La Constitución Española en su artículo 10 reconoce el derecho a la dignidad de la persona. Por su parte, el artículo 18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD).

4

¿Qué es la protección de datos y en qué afecta a las empresas?

CONCEPTO DE PROTECCIÓN DE DATOS

Es la protección al derecho a la intimidad personal, el honor y a la privacidad (concepto anglosajón de Privacy).

LA INCIDENCIA DE LA PROTECCIÓN DE DATOS EN LAS EMPRESAS

Cualquier empresa, ya sea gran empresa o PYME, se encuentra con varios ámbitos de su actividad que inciden sobre la protección de datos.

6

Motivos para adecuar la empresa a la protección de datos

7

Motivos para adaptarse a la protección de datos

8

Fases del tratamiento de datos:

9

Fases del tratamiento: Vida del datoVIDA DEL DATO

PERSONAL SITUACIONES

RECOGIDA

Deber de información durante la recogida. Recabar el consentimiento de los interesados. Solicitar únicamente datos adecuados, pertinentes y no excesivos (principio de calidad). Notificación de ficheros AEPD.

TRATAMIENTO

Implantación de medidas de seguridad. Encargados del tratamiento. Gestión y respeto derechos ARCO. Tratar los datos para las finalidades consentidas.

SALIDA Ó CANCELACIÓN

Cesiones y transferencias internacionales de datos. Cancelación (y bloqueo ) de datos cuando lo solicite el afectado. Cancelación de ficheros y/o borrado físico de datos que resulten innecesarios. Supresión/modificación ficheros AEPD.

10

Transferencias internacionales de datos

TRANSFERENCIA INTERNACIONAL

NIVEL ADECUADO DE PROTECCIÓN

NIVEL NO ADECUADO DE PROTECCIÓN

NOTIFICACIÓN AL DIRECTOR AEPD

NO SI

PAÍSES

Países del EEE: Unión Europea + Noruega, Islandia + Liechtenstein + países a los que la Comisión Europea ha declarado nivel de protección (Suiza, Argentina, Hungría, Canadá) respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de «puerto seguro» («safe harbor»).

Resto de países

11

Información exigida a comunicaciones comerciales por vía electrónica

12

Ámbito de aplicación LSSI Vs LOPD

13

Internet. Sitio Web y protección de datos

SITUACIÓN SOLUCIÓN

14

Los derechos de los interesados (ARCO)

16

Problemática LOPD en las distintas áreas de la empresa

17

DEPARTAMENTO DE MÁRKETING

Solicitud del consentimiento en el marco de una relación

contractual para fines no relacionados directamente

con la misma.

Solicitud del consentimiento en el marco de una relación

contractual para fines no relacionados directamente

con la misma.

Deberá permitirse al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

Se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

18

Graduación de infracciones

EL IMPORTE DE LAS SANCIONES SE GRADUARÁ EN FUNCIÓN DE:

Naturaleza de los

derechos afectados

Volumen de tratamientos efectuados

Beneficios obtenidos y

daños y perjuicios causados

Grado de intencionalidad

Reincidencia

19

SANCIONES LOPD

20

Plazos de prescripción

MUY GRAVES 3 AÑOS

GRAVES 2 AÑOS

LEVES 1 AÑO

21

Sanciones AEPD

2005 2006 2007

21.105.083,99 €24.422.292,48

€ 19.674.480,33

€

22

INSPECCIONES AEPD POR SECTORES (2006-2007)

ACTIVIDAD 2006 2007

Telecomunicaciones 272

290

Entidades financieras 454 248

Servicios de Internet 27 32

Comunicaciones no solicitadas (Spam)

53 78

Comercio, transporte, hostelería 25 54

Recursos humanos 9 9

Publicidad y prospección comercial

45 29

Profesionales 14 32

Otros 383 491

Total 1.282 1.263

23

Resoluciones de tutela de derechos

24

Sentencias de la Audiencia Nacional 2007

25