3ª SESIÓN ANUAL ABIERTA DE LA AEPD

Transcripción

1 3ª SESIÓN ANUAL ABIERTA DE LA AEPD Consultas planteadas por los asistentes Agustín Puente Escobar Jesús Rubí Navarrete María José Blanco Antón José López Calvo Ricard Martínez Martínez Madrid, 20 de octubre de

2 CON LA RECIENTE LEY 10/2010 DE 28 DE ABRIL, DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO, ENTIENDO QUE SE TIENE DE DECLARAR UN NUEVO FICHERO EN LAS ENTIDADES FINANCIERAS DE NIVEL ALTO ES CORRECTO? Y OBLIGATORIO? QUÉ CAMPOS DEBE DE LLEVAR EL FICHERO? QUÉ MEDIDAS DE SEGURIDAD SON NECESARIAS PARA ESTE TIPO DE FICHERO DE "NIVEL ALTO"? La Ley 10/2010 impone a los sujetos obligados una serie de deberes que implican el tratamiento de datos personales de los clientes. En concreto, se deben tener en cuenta las medidas de diligencia debida y examen especial de operaciones. Lo sujetos obligados deberán contar además con un órgano específico para la prevención que, lógicamente, llevará a cabo los tratamientos de estos datos y creará a tal efecto sus propios ficheros Estos ficheros estarán sujetos a un régimen especial, cuyas características aparecen recogidas en los artículos 32 y 33 de la Ley. SU extensión será la necesaria para el cumplimiento de las obligaciones que aquélla impone Las medidas de seguridad habrán de ser las de nivel alto, tal y como establece la propia Ley, siendo de aplicación para ello las normas generales de la LOPD y el RLOPD. 2

3 SE CONSIDERA QUE SE ATENTA CONTRA EL ARTÍCULO 4 DE LA LOPD, POR EJEMPLO, SI SE LE INFORMA AL AFECTADO DE QUE LOS DATOS DE SU CURRICULO SE MANTENDRÁN DURANTE 5 AÑOS PARA TENERLO EN CUENTA EN FUTURAS SELECCIONES DE PERSONAL? La conservación de los datos deberá ir vinculada a la finalidad para la que los datos fueros tratados y que fue informada al afectado conforme exige la LOPD Además, el tratamiento al que se refiere la pregunta, aún vinculado en parte a la existencia de una relación jurídica con la empresa debería ser objeto de información específica al interesado, de forma que pudiera decidir si quiere que los datos sigan siendo objeto de tratamiento durante el plazo de cinco años. Si no se informase claramente de esta circunstancia y no se diera al interesado la posibilidad de manifestar su opinión el tratamiento podría contravenir los artículos 4 y 6 de la LOPD 3

4 SE CONSIDERAN DATOS DE SALUD LOS QUE SE ENCUENTRAN DESCRIBIENDO EL ACCIDENTE Y LA PARTE DAÑADA DEL CUERPO (SIN DIAGNÓSTICO MÉDICO) EN LOS INFORMES DE INVESTIGACIÓN DE ACCIDENTES QUE LA LEY DE PREVENCIÓN DE RIESGOS LABORALES OBLIGA A CUMPLIMENTAR A LA EMPRESA ANTE UN ACCIDENTE DE SUS TRABAJADORES? Sí, conforme al amplio concepto de datos de salud previsto en el RLOPD EL EMPRESARIO DEBE DE OBTENER EL CONSENTIMIENTO DEL TRABAJADOR PARA TRATAR LOS DATOS DE SALUD CUANDO AQUEL CUMPLE CON SU OBLIGACIÓN LEGAL DE ENVIAR POR EL SISTEMA DELT@ LA COMUNICACIÓN DE ACCIDENTES (CON O SIN BAJA MÉDICA) Y FALLECIMIENTOS DE ACCIDENTADOS, CUYA COMUNICACIÓN CONTIENE DATOS DE SALUD? O PODRÍA ENTENDERSE QUE ES UNO DE LOS SUPUESTOS RECOGIDOS EN EL ART. 6.2 DE LA LOPD Y 12.1 DEL REGLAMENTO? La LPRL impone al empresario una serie de deberes de información, entre los que se encuentra la comunicación de la información a la que se refiere esta cuestión a la autoridad laboral En consecuencia, la cesión está amparada por una norma con rango de Ley y por tanto es conforme al artículo 7.3 de la LOPD. El artículo 6 no es aplicable, porque se está haciendo referencia a datos de salud 4

5 EL ARTÍCULO 256.6º DE LA LEY DE ENJUICIAMIENTO CIVIL PERMITE A LAS ASOCIACIONES DE CONSUMIDORES INSTAR DILIGENCIAS PRELIMINARES PARA AVERIGUAR LOS INTEGRANTES DE UN GRUPO AFECTADO POR UN DETERMINADO HECHO DAÑOSO. PUEDE LA PARTE DEMANDADA FACILITAR A LA ASOCIACIÓN DEMANDANTE LOS DATOS PERSONALES DE LOS INTEGRANTES DE ESE GRUPO SIN EL CONSENTIMIENTO DE ÉSTOS? ACLARACIÓN DE LOS LÍMITES DE LOS SUPUESTOS EXCLUIDOS La LEC prevé que el juicio podrá prepararse Por petición de quien pretenda iniciar un proceso para la defensa de los intereses colectivos de consumidores y usuarios al objeto de concretar a los integrantes del grupo de afectados cuando, no estando determinados, sean fácilmente determinables En ese caso, añade que A tal efecto el tribunal adoptará las medidas oportunas para la averiguación de los integrantes del grupo, de acuerdo a las circunstancias del caso y conforme a los datos suministrados por el solicitante, incluyendo el requerimiento al demandado para que colabore en dicha determinación Por tanto no es necesaria la comunicación a la asociación de consumidores, sino que la misma podrá provenir de un requerimiento judicial, en cuyo caso la cesión estará amparada por el artículo 11.2 d) de la LOPD 5

6 SI EL RESPONSABLE DEL FICHERO ES NO RESIDENTE Y EL ENCARGADO DEL TRATAMIENTO ES RESIDENTE Y EL CONTRATO DE PRESTACIÓN DE SERVICIOS ESTÁ SOMETIDO A LA LEGISLACIÓN ESPAÑOLA. EN MATERIA DE PROTECCIÓN DE DATOS, QUÉ LEY SE APLICA: LA LOPD O LA LEY DE PROTECCIÓN DE DATOS DEL PAIS EN QUE TIENE SU RESIDENCIA EL RESPONSABLE DEL FICHERO? A los efectos de la aplicación de la legislación de protección de datos resulta irrelevante el fuero al que se sometan las partes en el contrato de encargo del tratamiento La legislación aplicable en el caso planteado dependerá del lugar en que se encuentre el establecimiento del responsable para el que se traten los datos: Si estuviera en el Espacio Económico Europeo, sería aplicable la Ley del Estado del responsable, salvo en lo referente a las medidas de seguridad, en que se aplicarían la LOPD y el RLOPD Si estuviera fuera del Espacio Económico Europeo, el tratamiento estaría íntegramente sometido a la LOPD 6

7 SE PUEDE EN UN SITIO WEB, TENER UNA OPCIÓN DE MENÚ CON LOS CLIENTES QUE HA TENIDO SU NEGOCIO? SI LA RESPUESTA ES SI QUE RESTRICCIONES EXISTEN? Como premisa se parte de que no nos encontramos ante las excepciones de los artículos 2.2 y 2.3 del RLOPD En este caso se estaría realizando un tratamiento de los datos de los clientes, consistente en la difusión de su condición de tales a través de Internet Ese tratamiento excede de la relación jurídica del cliente con la empresa, por lo que necesitará el consentimiento del cliente 7

8 OBLIGACIONES RESPECTO A LA LEY ORGANICA 15/1999, EN LOS OBISPADOS, SI DEBEN DE CUMPLIR, QUE FICHEROS NO DEBEN DE CUMPLIRLA POR NO ESTAR DENTRO DE SU AMBITO DE APLICACIÓN, ETC... Con carácter general no existe ninguna norma ni pronunciamiento judicial que excluya a los Obispados de la aplicación de las normas de protección de datos de carácter personal En consecuencia, sería aplicable la Ley siempre que la actividad realizada se encuentre dentro del ámbito de aplicación de la misma; es decir: Siempre que se realice un tratamiento automatizado de datos Cuando se realice un tratamiento no automatizado de datos y los mismos estén incluidos o estén destinados a ser incluidos en un fichero En el segundo caso, deberá tenerse en cuenta la doctrina derivada de la STS de 19 de octubre de 2008 y las que la reproducen 8

9 A LOS EFECTOS DE DETERMINAR LEGALMENTE LA REPRESENTATIVIDAD DE UNA ASOCIACIÓN EN UN PROCEDIMIENTO ESPECÍFICO CONVOCADO A ESE EFECTO, Y TENIENDO EN CUENTA QUE EL CRITERIO PREDOMINANTE A TENER EN CUENTA ES LA AFILIACIÓN: TIENE LA ADMINISTRACIÓN ALGUNA LIMITACIÓN A LA HORA DE SOLICITAR A LA ASOCIACIÓN LOS DATOS PERSONALES DE LOS AFILIADOS? La transmisión a la Administración competente supondrá una cesión de datos de carácter personal. En consecuencia, deberá encontrarse amparada en el artículo 11 de la LOPD para poder ser conforme a la misma Por ello, habrá que estar a la regulación aplicable al procedimiento concreto en que se solicita la información y si existe una norma con rango de Ley que habilita la cesión En todo caso, deberá tenerse en cuenta el principio de proporcionalidad, de forma que si la representatividad puede determinarse sin acceder a la relación nominal de asociados debería optarse por esta opción En caso de que la información implique el tratamiento de datos especialmente protegidos, debería estarse a las especialidades del artículo 7 de la LOPD 9

10 LA EMPRESA A DISPONE DE UN FICHERO CON DATOS DE CONTACTO DE SUS CLIENTES, CON LOS CAMPOS DEL ART DEL REGLAMENTO. SERÍA UN FICHERO A EFECTOS DE LOPD SI SE ENVÍA PUBLICIDAD DE LOS PRODUCTOS A DICHOS CLIENTES? Y SI FUERA UN FICHERO SÓLO DE CONTACTOS AÚN NO CLIENTES DE A? Con independencia de la condición concreta de los afectados, el artículo 2.2 de la LOPD únicamente será aplicable en caso de que los datos se limiten a los citados en ese artículo y la referencia a la persona que ocupa el puesto sea meramente incidental ; es decir, la finalidad no sea contactar con la persona sino con el puesto Por ello, habrá que estar a esa finalidad en cada caso EN UN FICHERO CON EL CONTENIDO DE UNA LISTA DE CONTACTOS CUYA FINALIDAD EXCLUSIVA ES MANEJAR EL PLAN DE CONTINUIDAD DE NEGOCIO DE UNA INSTITUCIÓN SE PUEDEN CONSIDERAR EL TELEFONO Y EL PARTICULAR COMO PROFESIONALES? SI bien no aparece clara la finalidad a la que se refiere la pregunta, dado que se hace referencia al teléfono y correo particular de los interesados no sería aplicable la excepción del artículo 2.2 del RLOPD LOS DATOS RELATIVOS AL NÚMERO DE DNI Y LA FIRMA MANUSCRITA DEL REPRESENTANTE LEGAL DE UNA SOCIEDAD INCORPORADOS A UN CONTRATO SON DATOS PERSONALES O SE ENCONTRARÍAN EXCLUIDOS DEL ÁMBITO DE APLICACIÓN DE LA LOPD? Estos datos exceden de los enumerados en el artículo 2.2, por lo que no sería aplicable la excepción 10

11 EN UNA ENTIDAD FINANCIERA QUE GESTIONA SU CONTRATACIÓN Y TRAMITES A TRAVÉS DE LA LÍNEA TELEFÓNICA, PUEDE UN CLIENTE QUE SE ENCUENTRA EN MOROSIDAD EJERCITAR EL DERECHO DE OPOSICIÓN A RECIBIR LLAMADAS TELEFÓNICAS DEL DEPARTAMENTO DE RECOBROS? LA RELACIÓN COMERCIAL NO SE ENCUENTRA EXTINGUIDA. El acreedor está legitimado para el tratamiento de los datos del deudor en virtud de la relación jurídica que les vincula (art. 6.2 LOPD). Por tanto, puede realizar las gestiones oportunas para el cobro de la deuda, incluidas las llamadas telefónicas. No obstante, vulneraría la LOPD si dirigiera las llamadas a terceros distintos del deudor (vulneración del deber de secreto) 11

12 PUEDE UN AGENTE DE RECOBRO LOCALIZAR DATOS TELEFÓNICOS DE UN CLIENTE CON BUSCADORES DE INTERNET? La SAN de 14 de mayo de 2009, sintéticamente, señala: El deudor presta consentimiento para el tratamiento de datos en el marco de la relación contractual con el acreedor. Manteniéndose la relación contractual los datos quedaron desactualizados. La relación jurídica legitima el tratamiento de datos sin consentimiento. La empresa de recobro encargada del tratamiento- por cuenta del acreedor puede obtener datos para el cumplimiento del contrato como el domicilio y el número de teléfono para poder comunicar con él, especialmente, si está en mora y no cumple sus obligaciones. 12

13 DÓNDE ESTÁ EL LÍMITE AL DERECHO DE INFORMACIÓN SOBRE LOS DATOS DE LOS TRABAJADORES/AS DE UNA ADMINISTRACIÓN QUE SE DEBEN SUMINISTRAR A LAS CENTRALES SINDICALES DE CARA A LAS ELECCIONES SINDICALES? El Tribunal Constitucional ha señalado que el envío de información incluido a través del correo electrónico- constituye un derecho de los sindicatos (libertad sindical) Los trabajadores pueden ejercer el derecho de oposición a recibir tales comunicaciones, excepto en los períodos de elecciones sindicales, en los que prevalece el derecho a la libertad sindical (TD/01119/2008). 13

14 UN ENCARGADO DE TRATAMIENTO TIENE ALGUNA RESPONSABILIDAD SI GESTIONA ADECUADAMENTE LOS DATOS DE SU CLIENTE, PERO EL CLIENTE NO LE HIZO FIRMAR CONTRATO RELATIVO AL MODO EN QUE DEBEN GESTIONARSE ESOS DATOS? HA INCUMPLIDO SU DEBER EL CLIENTE O TAMBIÉN EL ENCARGADO DE TRATAMIENTO? CUÁL DE LOS DOS ES SANCIONABLE? El artículo 12 LOPD exige para la lícita prestación de servicios que se regule en un contrato que permita acreditar su celebración y contenido. La Audiencia Nacional ha señalado que no basta con acreditar la relación jurídica sino que debe poder acreditar su celebración y un contenido mínimo que incorpore las garantías del art. 12 LOPD. La obligación principal de celebrar el contrato es de quien encarga la prestación del servicio. El encargado también ha de ser diligente en el cumplimiento de la LOPD y podría ser sancionado. La apreciación de la diligencia y la culpabilidad sólo puede realizarse caso a caso. 14

15 PODRÁN LAS ADMINISTRACIONES PÚBLICAS REALIZAR UNA CESIÓN DE DATOS LIBRE ENTRE ELLAS GRACIAS A LA LEY 11/2007, DE MANERA QUE SE PUEDA USAR NORMALMENTE LOS DATOS DE LOS CIUDADANOS PARA CUALQUIER TRÁMITE ADMINISTRATIVO SEA O NO EL RELACIONADO CON EL ÁMBITO DE LA RECOGIDA DE LOS DATOS? EN QUÉ CASOS SE PUEDE CEDER DATOS A TERCEROS? Y CUÁL ES EL PROCEDIMIENTO? Las Administraciones públicas podrán ceder los datos de los ciudadanos cuando estos ejerzan su derecho a no aportar los datos y documentos que obren en poder de dichas Administraciones y presten su consentimiento para ello. La disponibilidad de los datos estará limitada a aquellos que les son requeridos (art. 6.2.b y 9 de la Ley 11/2007). En los restantes casos, la cesión de datos entre AAPP puede llevarse a cabo sin consentimiento cuando se realice para el ejercicio de funciones similares o exista una habilitación legal, o la comunicación tenga por objeto el tratamiento de datos con fines históricos, estadísticos o científicos (art. 21 LOPD). 15

16 GARANTÍAS A ADOPTAR POR EMPRESA ANUNCIANTE PARA LA CONTRATACIÓN CON UN TERCERO DEL ENVÍO DE UN ING O SMS A BASES DE DATOS EXTERNAS, PROPIEDAD DE ESE TERCERO PARA PROMOCIONAR UN PRODUCTO O SERVICIO DE LA ENTIDAD QUE CONTRATA Y QUE ACTÚA COMO ANUNCIANTE Y BENEFICIARIO DEL ENVÍO Y PROPONE AL 3 LOS PARÁMETROS IDENTIFICATIVOS DE LOS DESTINATARIOS. Si es una base de datos con direcciones de correo electrónico se aplicaría la LSSI y se sancionaría a quien realice los envíos (titular de la base de datos o anunciante, en su caso). El anunciante que fija los parámetros debe adoptar las medidas necesarias para asegurarse de que la entidad contratada cumple la LOPD (art RLOPD). SAN 21-Mayo-2009 La existencia de culpa requiere la falta de control por el anunciante en realizar las comprobaciones. El anunciante suscribió un contrato que incluía: Los datos son recogidos de fuentes accesibles al público o de los afectados con su consentimiento. El anunciante debía devolver o destruir los datos sin poder guardar copia. Se previó que los datos fueran de mayores de 18 años. Las precauciones adoptadas por el anunciante fueron máximas. 16

17 GARANTÍAS PARA PROCEDER A CESIONES DE DATOS ENTRE EMPRESAS DE UN MISMO GRUPO Las cesiones de datos entre empresas del grupo han de estar legitimadas por el consentimiento del afectado, existir una habilitación legal o ser necesarias para el cumplimiento o control de una relación jurídica previa. 17

18 EL DATO RELATIVO AL NÚMERO DE MATRÍCULA DE UN VEHÍCULO, POR SÍ SÓLO, ES UN DATO PERSONAL? El número de matrícula de un vehículo es un dato personal, ya que puede asociarse a una persona identificable sin un esfuerzo desproporcionado, acudiendo al Registro de Vehículos regulado por el RD 2822/1998, de 23 de diciembre, de titularidad de la Dirección General de Tráfico, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante (Informe de Gabinete Jurídico 0425/2006 en aptdo. Web Conceptos Generales ). 18

19 SE NECESITA INSCRIBIR LOS FICHEROS DE LAS UNIONES TEMPORALES DE EMPRESAS? QUÉ RESPONSABILIDAD TIENEN CADA UNA DE LAS EMPRESAS? En una Unión Temporal de Empresas cada empresa conserva su personalidad jurídica y su responsabilidad individual. Sólo será necesario inscribir ficheros nuevos en el caso de que el objeto de la UTE requiera realizar tratamientos de datos diferentes de los notificados por parte de cada una de las empresas. 19

20 DEBE UN PARTICULAR O LA COMUNIDAD DE PROPIETARIOS REGISTRAR SUS ARCHIVOS DE DATOS? Sólo se encuentran excluidos de la LOPD, y por lo tanto de la notificación al RGPD, los ficheros o tratamientos realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Los ficheros que pueda crear una persona física fuera del ámbito estrictamente personal o doméstico, en el desarrollo de una actividad profesional, mercantil, comercial, están sujetos a la LOPD y son objeto de inscripción en el RGPD. Los ficheros de la comunidad de propietarios no se consideran ficheros de uso personal o doméstico. 20

21 POR QUÉ LA AEPD EXIGE REQUISITOS ADICIONALES PARA LA AUTORIZACIÓN DE UNA TRANSFERENCIA INTERNACIONAL A LA SUSCRIPCIÓN DE LOS MODELOS DE CONTRATO BASADOS EN LAS CLÁUSULAS CONTRACTUALES APROBADAS POR LA COMISIÓN, P.E. CLÁUSULA 12 RELATIVA A LAS OBLIGACIONES UNA VEZ FINALIZADA LA PRESTACIÓN DE LOS SERVICIOS DE TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL? Las Decisiones de la Comisión establecen modelos de cláusulas contractuales tipo. Es necesario adaptar el modelo a la situación concreta de la transferencia: descripción de la transferencia, finalidades, categorías de colectivos, categorías de datos,. datos especialmente protegidos o no, medidas a adoptar en la conclusión del contrato. Cláusula 12 (Obligaciones una vez finalizada la prestación de los servicios de tratamiento): devolver los datos personales, o destruirlos por completo y certificar, salvo que la legislación aplicable al importador le impida devolver o destruir los datos transferidos Si al celebrarse el contrato se definen las medidas a adoptar cuando éste concluya, la cláusula 12 debe adecuarse a la situación. En caso de que esto no sea posible mantener la redacción de la cláusula

22 SE CONSIDERAN TRANSFERENCIAS INTERNACIONALES DE DATOS LAS COMUNICACIONES A LA CIUDAD DEL VATICANO, Y CÓMO ACTUAR EN ESTOS CASOS? Constituye una transferencia internacional de datos cualquier tratamiento de datos que requiera la transmisión de datos fuera del Espacio Económico Europeo. La Ciudad del Vaticano no forma parte del Espacio Económico Europeo ni es un país con nivel adecuado de protección. Las transferencias a terceros países requieren: Autorización del Director de la Agencia, o Encontrarse amparadas en un supuesto del art. 34 LOPD (excepciones a la Autorización), entre los que se encuentran la existencia de consentimiento del interesado, la existencia de un Convenio internacional en el que España forme parte. 22

23 SE MODIFICARÁ LA NORMATIVA SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS, A RAÍZ DE LA NUEVA DECISIÓN 2010/87/UE SOBRE ENCARGADOS DEL TRATAMIENTO Y LA PROBLEMÁTICA DE LOS CONTRATOS DE OUTSOURCING DE CLOUD COMPUTING? Las transferencias internacionales de datos están reguladas por la LOPD y el RLOPD La Decisión 2010/87/UE aporta flexibilidad en relación con las prestaciones de servicios fuera del territorio español y la subcontratación posterior La Decisión 2010/87/UE permite a las autoridades de control aplicar este modelo de cláusulas a situaciones en las que la prestación de servicios se realice en territorio español siempre que se adopten las garantías que establece la propia Decisión en las subcontrataciones posteriores en terceros países (considerando 23) El RLOPD define al exportador de datos como la entidad establecida en España que realiza transferencias internacionales de datos Posibilidad: autorización de transferencias internacionales a encargados de tratamiento (exportadores de datos establecidos en España) basadas en un acuerdo marco con subencargados (fuera de España) que recojan todas las garantías de la Decisión 2010/87/UE para encargados notificación posterior de los ficheros objeto de transferencias internacionales por cada responsable, que firma un contrato de prestación de servicios autorizando la subcontratación con un encargado que tiene otorgada una autorización 23

24 EXISTEN RESOLUCIONES DE LA AGENCIA DONDE DISPONEN QUE DATOS PERSONALES QUE APARECEN EN PÁGINAS WEB DEBEN SER SUPRIMIDOS. EN EL CASO QUE HAGAN CASO OMISO, ACTÚA LA AGENCIA DE PROTECCIÓN DE DATOS PARA QUE SE CUMPLA DICHA RESOLUCIÓN? En el supuesto de que el solicitante haya requerido la supresión de imágenes suyas y no se haya realizado se darían las circunstancias para requerir la tutela de la Agencia o solicitar la iniciación de una procedimiento sancionador que se inicia por el Director de oficio en función de las circunstancias concurrentes (identificabilidad, imágen en prensa ) 24

25 SANCIONARÁ LA AEPD A PARTICULARES POR GRABACIÓN DE IMÁGENES YA SEAN RECOGIDAS POR VIDEOVIGILANCIA O POR CÁMARAS FOTOGRÁFICAS MÓVILES, ETC..? ES SANCIONABLE QUE UN PARTICULAR SUBA A LA RED LA IMAGEN DE OTRO PARTICULAR SIN SU PERMISO? La captación de imágenes encuentra una excepción, desde el régimen de protección de datos personales, en el ámbito doméstico. En tal exclusión se encontraría la captación de imágenes con cámaras fotográficas móviles personales. No obstante, la inclusión en Internet desborda el ámbito doméstico con lo que deben mantenerse únicamente si disponen del consentimiento de las personas cuya imagen se incluye. 25

26 VIDEOVIGILANCIA: INSTALACIÓN MUY FRECUENTE DE MONITORES DE VISUALIZACIÓN DEL CIRCUITO EN ZONA DE COMERCIOS DONDE PUEDEN VER LAS IMÁGENES TODOS LOS CLIENTES Y TRABAJADORES QUE ACCEDEN A LA TIENDA. SUELEN INSTALARSE EN ESAS ZONAS COMO ELEMENTO DISUASORIO. ES SANCIONABLE QUE EL MONITOR NO ESTÉ EN UNA ZONA DE ACCESO CONTROLADO Y RESTRINGIDO? El principio de proporcionalidad debe aplicarse también a la visualización de imágenes captadas con cámaras. Así, no concuerda con tal principio la opción de visionado por todos los vecinos de una comunidad de las imágenes de las cámaras en el portal a través de un canal de televisión. Tampoco lo sería la visualización indiscriminada instalando el monitor en una zona de acceso no restringido y controlado. 26

27 FICHEROS DE VIDEOVIGILANCIA QUE CAPTEN IMÁGENES SUSCEPTIBLES DE INVESTIGACION POLICIAL. BLOQUEO Y CUSTODIA. OBLIGACIONES. Rige con carácter general el deber de bloqueo. Los ficheros privados de videovigilancia: no tienen por finalidad vigilar la vía pública. Pueden notificarse en el marco de la denuncia presentada por el interesado. La cesión de datos puede estar amparada por el artículo 22 LOPD. Debería documentarse: El requerimiento de la autoridad policial o judicial. La salida y entrega de datos. 27

28 QUÉ LIMITACIONES TIENE COLOCAR CAMARAS IP DE VIDEO EN EL PUESTO DE TRABAJO? Y EN LA OFICINA EN GENERAL, DONDE PUEDO COLOCARLAS? Legitimación (artículo ET). Deber de información previa: Representación sindical: delegados de personal. comité de empresa o Información al afectado. Proporcionalidad. Respeto a la dignidad del trabajador. Intervención mínima: medida menos gravosa. Idoneidad: medida más adecuada. Garantía de los derechos y principios de protección de datos. Nunca se colocarán espacios de vida privada como baños o vestuarios. 28

29 EN LA SALIDA DE SOPORTES INFORMÁTICOS, SI SE TRATA DE UN SOPORTE QUE SALE DIARIAMENTE, ES NECESARIO INTRODUCIR DIARIAMENTE SU SALIDA O SE PUEDE MARCAR "DIARIAMENTE" Y NO TENER QUE RELLENARLO DÍA A DÍA?. Existen elementos en una salida de soportes diaria que suelen ser comunes: autorización del responsable, tipo de datos, medio o soporte con el que se envían, destinatario Nada obsta a la presencia en el documento de seguridad de una autorización general que recoja estos elementos comunes. Sin embargo, el registro provee de trazabilidad por tanto los elementos variables, -que salgan en horas distintas, que por una situación de ILT cambie el usuario que lo realiza etc.-, deberán registrarse. 29

30 QUE MEDIDAS DE SEGURIDAD HAY QUE APLICAR A UN FICHERO DE PAPEL QUE CONTIENE CURRICULUM, LAS DE NIVEL BÁSICO O MEDIO? En este ámbito deben diferenciarse distintos elementos: La naturaleza de los datos que requieran. La finalidad que se persiga. La capacidad de tratamiento en relación con la finalidad. Si expresamente se excluye por la empresa que se incluyan datos a los que se deba aplicar un nivel básico o alto se podría dar una situación de incidentalidad, y un nivel básico. Si no se dispone de medios para tratar los datos con el fin de obtener una evaluación de la personalidad y si además no se persigue tal finalidad el fichero podría ser de nivel básico. Si se dispone de medios, o se persigue el establecer aspectos como proactividad, capacidad de trabajo en equipo, liderazgo etc., el fichero sería de nivel medio. Si se oferta un puesto a personas con discapacidad podría ser de nivel alto. 30

31 REQUISITOS PARA ESTABLECER LOS INVENTARIOS DEL SOPORTE PAPEL. Las medidas relativas a la gestión de soportes y documentos se aplican a los ficheros no automatizados. Evidentemente, los requisitos se ajustarán a las condiciones del fichero concreto del que se trate, del soporte etc. No es lo mismo un fichero con currículos, con historias clínicas o con negativos fotográficos. Lo que con toda seguridad incidirá en el inventario va a ser el criterio de archivo que se establezca. 31

32 QUÉ MEDIDA DE SEGURIDAD SERÍA EQUIVALENTE A LOS REQUISITOS DEL ARTÍCULO DEL RD 1720/2007? BASTARÍA CON UN REGISTRO DE ACCESOS O DEBERÍAN INCLUIR SISTEMAS DE IDENTIFICACIÓN PARA EL ACCESO A LOS ARMARIOS CON DOCUMENTACIÓN? El precepto se refiere al acceso a documentos, de un interpretación sistemática del RD se derivaría que: Debe existir una lista de usuarios autorizados. La profundidad de la trazabilidad alcanza al expediente o incluso al documento. Hay que disponer de algún registro que alcance al expediente, cuando este se retira completo, o al documento según los casos. 32

33 ES NECESARIO DETALLAR EXPRESAMENTE TODAS Y CADA UNA DE LAS CONCRETAS MEDIDAS DE SEGURIDAD A ADOPTAR EN UN CONTRATO DE ENCARGADO DEL TRATAMIENTO O ES SUFICIENTE CON INDICAR ÚNICAMENTE EL NIVEL DE MEDIDAS DE SEGURIDAD QUE EL ENCARGADO DEL TRATAMIENTO DEBE CUMPLIR? La LOPD señala que en el contrato se estipularán las medidas de seguridad (art. 12.3) El RLOPD parte de distintas premisas: La diligencia en la elección del encargado (art. 20.2). La diferencia desde el punto de vista de la seguridad de distintos tipos de encargado y el deber de fijar políticas específicas (art. 82). La recogida en el documento de seguridad del encargo (art. 88). La posibilidad de delegar la llevanza del documento en el propio encargado (art. 88). Todos los preceptos apuntan en la misma dirección: no basta con una mera referencia al nivel de medidas a satisfacer, deben definirse las condiciones de seguridad concretas. 33

34 LAS MEDIDAS DE SEGURIDAD DE PROTECCIÓN DE DATOS DE NIVEL ALTO EN LA EMPRESA, SE CUMPLEN PLENAMENTE CON LA IMPLANTACIÓN DE LAS ISO Y 27002? La aplicación de este u otros estándares de seguridad puede contribuir al cumplimiento del RLOPD. Pero, las obligaciones fijadas en el Reglamento, y el modo de documentarlas poseen un carácter normativo y deben cumplirse en sus propios términos. 34

35 DE ACUERDO CON EL ARTÍCULO 96.1 DEL REAL DECRETO 1720/2007, SE CONSIDERA LA FUSIÓN, ABSORCIÓN O ESCISIÓN DE EMPRESAS, MODIFICACIONES SUSTANCIALES EN EL SISTEMA DE INFORMACIÓN, Y SERÍA NECESARIO REALIZAR UNA AUDITORÍA DE CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD DEL REAL DECRETO? Si de lo que se trata es de anotar en el documento de seguridad un cambio de responsable: NO Si se trata de la implantación de una nueva cultura corporativa, migraciones de datos a otros servidores, integración de carteras de clientes, cambios físicos o cualesquiera otros siempre que el proceso de que se trate pudiera poner en riesgo la seguridad de los datos: SI 35

36 COMO REGLA GENERAL, QUÉ NIVEL DE SEGURIDAD AFECTA A LAS REDES SOCIALES QUE PIDEN DATOS BÁSICOS CON LOS CUALES HACEN SEGMENTACIÓN DE PERFILES CON FINES PUBLICITARIOS? BÁSICO, MEDIO O ALTO? Si la segmentación de perfiles alcanza a definir como destinatario de la campaña un usuario concreto: MEDIO. Si esa segmentación que alcanza a definir como destinatario de la campaña un usuario concreto se basa en datos especialmente protegidos como salud o vida sexual: ALTO. 36

37 UNA MANERA DE INFORMAR A LA CIUDADANÍA SOBRE SUS TRÁMITES CON LOS DISTINTOS ORGANISMOS DE UNA ADMINISTRACIÓN ES LLEVAR LA INFORMACIÓN RELEVANTE A UN PUNTO Y MANTENERLA ACTUALIZADA. CUÁL ES LA MEJOR MANERA DE REGULAR ESA POSIBLE "CESIÓN" (O NO) ENTRE LOS ORGANISMOS Y EL PUNTO CENTRAL SIN "BUROCRATIZAR" LA GESTIÓN Y SIN EXIGIR NECESARIAMENTE EL CONSENTIMIENTO DEL CIUDADANO, PENSANDO SIEMPRE QUE EL OBJETIVO ES CUMPLIR LA ATENCIÓN ON-LINE? Si la información online sobre trámites no requiere identificar a un ciudadano no se aplicaría la LOPD. Si se requiere identificación, al ir referida la pregunta a las consultas sobre el estado de tramitación, existen distintos escenarios: Que el ciudadano se dirija al informador y se trate de un sistema que edite información tomada directamente, actuando como encargado. Que se cedan datos. La LAE establece para la interoperabilidad consentimiento expreso o habilitación legal. 37

38 COMO AFECTA EL ESQUEMA NACIONAL DE SEGURIDAD (RD 3/2010) AL CONTENIDO DEL DOCUMENTO DE SEGURIDAD? Y SI LOS FICHEROS DE LA SEDE ELECTRÓNICA DEBEN INSCRIBIRSE POR SEPARADO DE LOS YA INSCRITOS ANTERIORMENTE Y CON IGUAL FINALIDAD EN LA ADMINISTRACIÓN? El Esquema Nacional integra sus políticas de seguridad con las del RLOPD. El documento de seguridad previsto en esta norma podría ampliarse e integrarse con los del ESN pero siempre que garantice los objetivos de documentación del RLOPD. Será necesario inscribir o modificar el fichero cuando se trate de una nueva aplicación con características diferenciadas o bien se incorporen nuevas finalidades, usos, cesiones etc. 38

39 PUEDE LA ADMINISTRACIÓN PÚBLICA PROHIBIR EXTRAER FICHEROS INFORMÁTICOS EN SOPORTES EXTRAÍBLES. Debe fijar una política de autorizaciones para la salida de soportes fuera de la organización. El RLOPD exige autorización previa por el responsable o en el documento de seguridad y, en el nivel alto, cifrado de los soportes portátiles. 39

40 EL FUNCIONARIO QUE TELETRABAJE, SERÁ ENCARGADO DE TRATAMIENTO, CESIONARIO O USUARIO AUTORIZADO DEL FICHERO?, DEBERÁ IMPLANTAR EN SU DOMICILIO (PC Y ARCHIVO FÍSICO, EN SU CASO) LAS MEDIDAS DE SEGURIDAD APLICABLES A LOS EXPEDIENTES INCLUIDOS EN EL FICHERO DE LA ADMINISTRACIÓN? En principio será usuario del sistema de información. Deberán implantarse medidas de seguridad. De hecho, y a título de ejemplo, una de ellas podría consistir en definir un entorno de trabajo remoto con prohibición de guardar documentación en el domicilio y/o de permitir su visionado a usuarios no autorizados. 40

41 SOLICITUD DE DERECHOS ARCO A TRAVES DEL PORTAL WEB Se somete a los requisitos generales pero con el deber de asegurar el carácter personalísimo del ejercicio disponiendo de métodos de verificación de la identidad o la representación que se ostente. 41

42 EXISTE ALGUNA INICIATIVA PARA REGULAR LA PROTECCIÓN DE DATOS PERSONALES CUANDO SE UTILICEN SERVICIOS DE CLOUD COMPUTING EN LOS QUE ES DIFÍCIL DETERMINAR LA LOCALIZACIÓN DE LOS DATOS FÍSICAMENTE? Se está estudiando implementar procedimientos en el marco de las TID La contratación de un proveedor de Servicios de Cloud Computing es un supuesto de tratamiento de los datos por cuenta de terceros y corresponde al responsable cumplir aquellos aspectos de la normativa vigente que le sean exigibles y en particular la relativa a: La formalización de un contrato en los términos exigibles conforme a la legislación española. El cumplimiento, en su caso, de las reglas que rigen las transferencias internacionales de datos. 42

43 LA CUENTA DE CORREO ELECTRÓNICO Y RECURSO DE RED PERSONAL ASIGNADO A EMPLEADO PÚBLICO (ADMINISTRACIÓN), JURÍDICAMENTE ES DE USO EXCLUSIVO CORPORATIVO, Y ASÍ POR MOTIVOS DE IT, VACACIONES, ETC., SE PUEDE AUTORIZAR ACCEDER A ELLOS PARA CONSULTAR SU CONTENIDO SIN NECESIDAD DE SU AUTORIZACIÓN? PROCEDIMIENTO LEGAL? Debe definirse de modo preciso y con información previa el carácter corporativo de las cuentas. Deben fijarse las políticas que se seguirán en los supuestos de ausencia del trabajador/funcionario por un determinado periodo o en casos de urgencia. Es recomendable: Desarrollar procesos de formación donde se informe adecuadamente. Documentar esta política. Atribuir identidades no nominativas. 43

44 SI FINALIZA LA RELACIÓN LABORAL, EVENTUAL, FUNCIONARIAL, SE PUEDE ORDENAR ELIMINAR LA CARPETA DE RED? Debe ser una política preestablecida y clara que: Defina los usos de la carpeta. Defina las condiciones que darán lugar al borrado. Tenga en cuenta posibles obligaciones de conservación y/o bloqueo. Contemple sistemáticamente una política rigurosa de altas y bajas de usuarios. 44

45 Muchas gracias 45