Ud 1.1

UD1.1. Introducción a la Protección de Datos

2

1.1. Introducción a la Protección de Datos

Contenidos:

Tema 1: Antecedentes Históricos y situación actual en España

Tema 2: Evolución Legislativa Legislación aplicable al tratamiento de datos de carácter

personal. Objeto de la LOPD y ámbito de aplicación. Objeto y ámbito del RD 1720/2007 Tema 3: Los Datos de Carácter personal

Tema 1: Antecedentes Históricos y Situación Actual en España

Antecedentes Históricos: La protección jurídica que se ofrece a los datos de

carácter personal tiene una conexión intrínseca con el Derecho a la Intimidad regulado en el artículo 18 de la Constitución Española.

El Derecho a la intimidad nace en Norteamérica, a raíz de un artículo publicado por dos juristas norteamericanos: Samuel D. Warren y Louis D. Brandeis en la prestigiosa revista Harvard Law Review en el año 1890.

3


Antecedentes Históricos: Buscaban ofrecer alguna respuesta, con suficientes

garantías jurídicas, ante las intromisiones que, las "nuevas tecnologías" de la época, como las cámaras fotográficas, provocaban por parte de la prensa norteamericana a personas relevantes de la vida pública del momento.

En la época:

Derecho a la intimidad=Derecho a la Propiedad

4


Antecedentes Históricos: Novedad Introducida por estos dos Juristas y que es

el origen del articulo 18 de la Constitución Española:

Derecho a la intimidad= Derecho personal

5

Protección de datos de Carácter Personal, servicios de la sociedad de la información …

¿Por qué?, ¿Qué?, ¿Cuándo?, ¿Cómo?

6



¿Por qué? El desarrollo de las Nuevas Tecnologías. “Toda persona tiene derecho a saber por qué, quién,

para qué y cómo son tratados sus datos personales y decidir sobre su tratamiento”.

El derecho fundamental a la protección de datos de carácter personal busca el equilibrio entre el derecho de las personas, a preservar el control sobre sus datos personales y, la aplicación de las Nuevas Tecnologías de la Información.

7


¿Qué? ¿Qué debemos proteger? ¿Existe la intimidad de las personas jurídicas? Los datos de carácter personal son los que pueden

permitir una intromisión en nuestra vida privada, nuestra intimidad.

8


¿Cuándo? ¿Por qué especialmente ahora? Exposición de motivos de la (LORTAD):

“El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. […] la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.”

La distancia y el tiempo tienen hoy poca importancia en el acceso a la información.

Hoy, 13 años después

9


¿Cómo? Concienciación. Formación obligada y Sanciones. Leyes y especialmente sus Reglamentos de

desarrollo debido al continuo cambio tecnológico.

10


SITUACIÓN ACTUAL EN ESPAÑA

... más del 80% de las empresas y profesionales no cumple con la legislación vigente, ¿Por qué?

11


Existe un conocimiento creciente de la normativa de protección de datos por parte de las empresas como lo acredita tanto el numero de ficheros inscritos en la APD, mas de 500.000,como las notificaciones diarias que han pasado de 250 a 600.

Las grandes empresas, a diferencia de las pymes, tienen un conocimiento mas profundo porque son los titulares de los ficheros con mayor numero de datos y el nivel de protección superior.

12


13

No me aporta valor...

...otro impuesto...

...quéseguridad me da...

...para los datos que tengo yo.


14

No me aporta valor...

...otro impuesto...

...quéseguridad me da...

...para los datos que tengo yo.

Generación de prestigio

confianza socialObligación legal

Unaseguridad

real


Las situaciones reales… Robo en las instalaciones de los equipos informáticos Caída del equipo o servidor No se realizan copias de seguridad Mal tratamiento de la información Cambios de personal o sistema informático

….

15


16

Es la última innovación en seguridad en la oficina, cuando el ordenador se cuelga, un airbag se activa para que no te golpees la cabeza por la frustración.


Implicaciones y responsabilidad de la protección de datos:

El deber de las empresas debe consistir en una adaptación teórica y practica de los principios de protección de datos en toda la organización, ya no las sanciones ya no sólo son administrativas y dirigidas a la Organización en sí, sino que además de ellas se pueden derivar responsabilidades civiles, penales y laborales.

17


Administrativas:

Multas impuestas por la AGPD de 900 a 600.000 Euros.

Civiles:

Artículos del Código Civil relativos a la Responsabilidad

Contractual y Extracontractual (acceso a datos)

Penales:

El Código Penal tipifica los delitos contra la intimidad y

concretamente el descubrimiento y revelación de secretos en los artículos 197 y siguientes.

18


Laborales:

La fuga de datos, un tratamiento inadecuado de los ficheros de datos de carácter personal, un acceso no autorizado a los datos del fichero, una protección inadecuada de los ficheros, pueden venir derivadas de cualquier puesto laboral dentro del seno de la Organización.

19


Es necesario el establecimiento de medidas adicionales para la correcta aplicación de la Ley de Protección de Datos en las empresas, tendentes principalmente a informar y formar al personal que trata los datos, independientemente de su cargo o función.

1.Establecimiento de una Política de Tratamiento de Datos en la Organización.

2.Formación en materia de Protección de Datos.

20

Tema 2: Evolución legislativa

Constitución Española. Artículo 18“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la

propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial , salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial , de las postales, telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”

21


1992 – LORTAD. Ley Orgánica de Regulación del tratamiento Automatizado de Datos de carácter personal.

Así el art. 1 de la LORTAD, pretendía limitar el uso de la informática y otros medios de tratamiento automatizados, en aras de la protección del derecho al honor, la intimidad y la propia imagen, siendo de aplicación la norma sobre los Ficheros automatizados o bases de datos tratadas por medios informáticos, dejando fuera los Ficheros en cualquier otro soporte o medio de tratamiento.

22


1995 Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea .

Nace norma BS17799 precursora de ISO27001 1999 RMS. Reglamento de medidas de Seguridad. RD

994/1999 de 11 de Junio. 1999 LOPD. L.O.15/99 de 13 de diciembre de

Protección de Datos de Carácter Personal. 2002 LSSICE. LEY 34/2002 de 11 de Julio de Servicios

de la sociedad de la información y de comercio electrónico.

2008 R.D 1720/07 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la LOPD

23


Concretamente, la legislación que actualmente esta vigente y que tendremos en cuenta en el desarrollo del curso es:LOPD. L.O.15/99 de 13 de diciembre de Protección de Datos de Carácter Personal.R.D 1720/07 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la LOPD LSSICE. LEY 34/2002 de 11 de Julio de Servicios de la sociedad de la información y de comercio electrónico.

Otra normativa:Instrucción 1/2006 de la Agencia Española de Protección de Datos sobre el tratamiento de datos con fines de videovigilancia.

24


OBJETO DE LA LOPD

“Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

El Bien Jurídico Protegido, es el denominado Habeas Data, o el “control que a cada uno de nosotros nos corresponde sobre la información que nos concierne personalmente, sea íntima o no, para preservar, en último extremo, el libre desarrollo de nuestra personalidad”, también denominada “Libertad Informática”.

25


Posteriormente a la aprobación de la LOPD, y al objeto de dotar de mayor importancia y protección a los datos de carácter personal, la Sentencia 292/2000 del Tribunal Constitucional viene a reconocer el Derecho a la Protección de Datos o Habeas Data, como un derecho fundamental independiente del derecho al honor, intimidad e imagen, dotando a la Protección de Datos de Carácter Personal, de este modo, de identidad propia e independiente de cualquier otro derecho fundamental.

26


El art. 1 de la LOPD habla de los “….derechos fundamentales de las personas físicas…”

¿las personas jurídicas no pueden ser titulares de Derechos fundamentales?

Los derechos fundamentales nacen como garantía de los individuos frente a los poderes públicos. Para contestar ésta cuestión tendremos que tener en cuenta la naturaleza del Derecho.

Existen derechos que por su naturaleza no podrían ser titularidad nunca de una persona jurídica, como por ejemplo: derecho a la intimidad familiar, derecho a la vida…

27


No obstante, en caso del Derecho al honor, entendido como reputación o imagen social si que seria posible, y así lo reconoce expresamente el Tribunal Constitucional, el máximo interprete de la Constitución Española en una sentencia.(STC 135/1995.BOE nº 246 de 14/10/1995)

Podemos afirmar entones que dentro del objeto de la LOPD se incluye :

-Derecho al honor e intimidad personal y familiar de las personas físicas.

-Derecho al Honor de las personas jurídicas de Derecho Privado, entendido el honor como reputación

28


ÁMBITO DE APLICACIÓN DE LA LOPD

Ámbito de Aplicación Material:

¿Qué datos se encuentran incluidos en la LOPD?

La LOPD establece en su artículo 2,que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”

29


Así, para la determinación de qué concretos Ficheros o Datos de carácter personal entran dentro del ámbito de aplicación de la LOPD debemos tener en cuenta tres conceptos: “dato personal”, “fichero” y “tratamiento”.“Dato de carácter personal”, entendido como cualquier información concerniente a personas físicas, identificadas o identificables; es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisión concerniente a una persona física identificada o identificable.

30


“Fichero”, entendido como conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Es, por tanto, el soporte físico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos.

“Tratamiento”, entendido como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

31


Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el ámbito de aplicación de la LOPD, hay que atender a los siguientes requisitos:

Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel.

Que dichos datos se encuentren organizados estructurados u ordenados por criterios específicos. no considerándose, en consecuencia Fichero, la existencia de carpetas no estructuradas, aunque estás contengan datos de carácter personal.

32


Ámbito de Aplicación Temporal:

¿Qué plazo existe para la adaptación de los Ficheros a la LOPD?

Todos los ficheros de datos de carácter personal, automatizados o no, creados después de la entrada en vigor de la Ley deberán adecuarse a la normativa. Según la Disposición Final Tercera, la LOPD entró en vigor el 14 de Enero de 2000.

33


El principal problema reside en la adecuación de los ficheros de datos preexistentes a dicha fecha. La Ley vino a establecer un régimen transitorio para los mismos en su Disposición Adicional Primera:

Para ficheros automatizados preexistentes al 14 de Enero de 2000, “se establece un plazo de tres (3) años a contar desde su entrada en vigor...”. Este plazo adicional para la adecuación a la LOPD finalizó el pasado 14 de Enero de 2003.

34


En relación a los Ficheros no automatizados preexistentes a la entrada en vigor de la LOPD –“su adecuación a la LOPD deberá cumplimentarse en el plazo de doce (12) años a contar desde el 24 de Octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados”. De este modo, los ficheros no automatizados preexistentes a la entrada en vigor de la LOPD no se encuentran incluidos en el ámbito de aplicación de la LOPD hasta el 24 de Octubre de 2007, pero si les son de aplicación las obligaciones descritas para el ejercicio de los derechos de los usuarios (derechos de acceso, rectificación, cancelación y oposición).

35


Ficheros excluidos del ámbito de aplicación:

A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domesticas.

A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos.

36


Ficheros regulados por normas especificas: Los ficheros regulados por la legislación de régimen

electoral. Los que sirvan a fines exclusivamente estadísticos, y

estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las fuerzas armadas.

37


Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.

Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

38


RD 1720/2007 de desarrollo de la LOPDEl nuevo reglamento auna en una única norma las medidas legales, técnicas y organizativas a aplicar en toda entidad —pública o privada— que traten datos de carácter personal en sus sistemas de informaciónLos datos en soporte papel se encuentran regulados expresamente, estableciéndose para ellos unas medidas técnicas y organizativas propias.Objeto:Desarrollo de la Ley Orgánica 15/1999.Desarrolla las disposiciones relativas al ejercicio por la Agencia Española de Protección de Datos de la potestad sancionadora.

39


Ámbito de aplicación: El presente reglamento será de aplicación a los datos de

carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Excepciones del ámbito de aplicación: Este reglamento no será de aplicación a los datos

referidos a personas fallecidas.

*Las personas vinculadas familiarmente podrán ejercer el derecho de cancelación.

40


No se aplicara a los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su

calidad de comerciantes, industriales o navieros. Este reglamento no será aplicable a los tratamientos de

datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales

41


Ámbito de Aplicación Temporal:

Todos los ficheros de datos de carácter personal, automatizados o no, creados después de la entrada en vigor del RD 1720/ 2007 deberán adecuarse a la normativa.

El RD 1720/2007 entró en vigor el 19 de Abril de 2008.

42


Para ficheros automatizados preexistentes: Con carácter general el plazo de adaptación es de 1 año

(hasta el 19 de abril de 2009):

Ficheros de entidades Gestoras de la SS, ficheros responsabilidad de mutuas de accidente de y enfermedades profesionales, ficheros que contengan datos de características de la personalidad de la ciudadanía.

Para los ficheros de Violencia de genero y los servicios de comunicaciones electrónicas:

12 meses para establecer las medidas de nivel medio.

18 meses para establecer las medidas de nivel alto.

43


En relación a los Ficheros no automatizados preexistentes al 19 de abril de 2008:

1 año para adaptar las medidas de nivel básico 18 meses para adaptar las medidas de nivel medio 2 años para adaptar las medidas de nivel alto

44

RESUMEN NORMATIVA APLICABLE. PLAZOS

45

NORMATIVAENTRADA EN

VIGOR FECHA LIMITE DE ADAPTACION PARA FICHEROS PREEXISTENTES

LOPDL.O 15/99 de 13 de diciembre de Protección de Datos de Carácter Personal

14 DE ENERO DE 2000

FICHEROS AUTOMATIZADOS FICHEROS EN PAPEL

14 DE ENERO DE 2003 24 DE OCTUBRE DE 2007

REGLAMENTOR.D 1720/07 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la LOPD

19 DE ABRIL DE 2008

FICHEROS AUTOMATIZADOS FICHEROS EN PAPEL

NIVEL BASICO Y MEDIO

NIVEL ALTO NIVEL BASICO NIVEL MEDIO NIVEL ALTO

19 DE ABRIL DE 2009

19 DE OCTUBRE DE 2009

19 DE ABRIL DE 2009


19 DE ABRIL DE 2010

RESUMEN NORMATIVA APLICALE. PLAZOS

46

NORMATIVA ENTRADA EN VIGOR

LSSICELEY 34/2002 de 11 de Julio de Servicios de la sociedad de la información y de comercio electrónico


Instrucción 1/2006 de 8 de noviembre de la Agencia Española de Protección de Datos sobre el tratamiento de datos con fines de videovigilancia

9 DE NOVIEMBRE DE 2006

RESUMEN NORMATIVA APLICALE

LOPD REGLAMENTO

OBJETO

Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las

libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad

personal y familiar.

Desarrollo de la Ley Orgánica 15/1999 medidas técnicas, legales y organizativas.

Desarrolla las disposiciones relativas al ejercicio por la Agencia Española de Protección de Datos de la potestad

sancionadora.

AMBITO DE APLICACION

Datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y

privado

47

RESUMEN NORMATIVA APLICABLE

LOPD REGLAMENTO

EXCEPCIONES A LA APLICACION

Personas físicas en el ejercicio de actividades personales o domesticas.Materias clasificadas.Investigación del terrorismo y de delincuencia organizada.

Personas fallecidas.Empresarios individualesPersonas jurídicas y personas físicas que presten sus servicios en aquéllas (algunos datos).

NORMAS ESPECIFICAS

Régimen electoral.Fines exclusivamente estadísticosInformes personales de calificación de las fuerzas armadas.Derivados del Registro Civil y del Registro Central de Penados y Rebeldes.Imágenes y sonidos de videocámaras de Fuerzas y Cuerpos de Seguridad.

48

49

Tema 3: Los Datos de carácter personal

¿Qué es un dato de carácter personal?

“Dato de carácter personal”, entendido como cualquier información concerniente a personas físicas, identificadas o identificables; es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisión concerniente a una persona física identificada o identificable.

50


¿Qué es un dato de carácter personal?

Los datos de carácter personal se tienen que entender en un sentido amplio, atendiendo no solo al dato en si, sino al contexto en el que se recoge, solo así podremos determinar ante que tipo de dato personal estamos y como tendremos que aplicar el principio de Seguridad (ver en la siguiente unidad didáctica)

51


Tipología de Datos de Carácter Personal: Datos especialmente protegidos:

Ideología, Afiliación sindical, religión, creencias Otros datos especialmente protegidos:

Origen racial o étnico, Salud y Vida Sexual. Datos de carácter identificativo:

DNI/NIF, Nº SS/Mutualidad ,Nombre y apellidos, Tarjeta sanitaria, Dirección postal, Email, Teléfono, Firma/huella digitalizada, Imagen/Voz, Marcas físicas, Firma electrónica.

52


Tipología de Datos de Carácter Personal: Datos de características personales:

Datos de estado civil, Datos de familia, edad , sexo, fecha de nacimiento ,nacionalidad ,lugar de nacimiento, lengua materna, características físicas, firma electrónica.

Datos de circunstancias sociales:

Aficiones y estilos de vida, pertenencia a clubes, asociaciones, licencias, permisos, autorizaciones, características de alojamiento, vivienda, situación familiar, propiedades, posesiones.

53


Tipología de Datos de Carácter Personal: Datos Académicos y Profesionales:

Formación, titulaciones, Historial de estudiante, experiencia profesional ,pertenencia a colegios o asociaciones profesionales.

Datos de detalle de empleo:

Profesión ,puesto de trabajo, datos no económicos de nomina, historial del trabajador.

Datos de información comercial:

Actividades y negocios, licencias comerciales, suscripciones a publicaciones, medios de

54


comunicación, creaciones artísticas, literarias, científicas o técnicas.Datos Económicos-Financieros:

Ingresos, rentas, inversiones , bienes patrimoniales , créditos, prestamos avales, datos bancarios , planes de pensiones, jubilación, datos económicos de nomina , datos deducciones impositivas, impuestos , seguros, hipotecas ,subsidios , beneficios , historial de créditos, tarjetas de créditoDatos de transacciones:

Bienes y servicios suministrados o recibidos por el afectado, transacciones financieras, indemnizaciones

RESUMEN TIPOLOGÍA DE DATOS PERSONALES

55

Ud 1.1

Documents

Transcript of Ud 1.1