índice general y ámbito de aplicación de la lopd) PRÓLOGO... 9 RELACIÓN ALFABÉTICA Y SECTORES DE ACTIVIDAD ÍNDICE ANALÍTICO...

Transcripción

1 índice general PRÓLOGO... 9 RELACIÓN ALFABÉTICA Y SECTORES DE ACTIVIDAD ÍNDICE ANALÍTICO TEMA 1. introducción A LA PROTECCIÓN DE DATOS (Objeto, definiciones y ámbito de aplicación de la lopd) Protección de datos Dato personal Datos de salud Correo electrónico Datos de teléfono y dirección Matrícula de vehículos Dirección IP DNI como dato personal Inscripción en el Registro de la Propiedad Concepto de fichero Datos en los programas de gestión de correo electrónico Fichero público y privado Datos disociados Tratamiento de datos Responsable del fichero y/o tratamiento Afectado o interesado Datos de personas jurídicas Datos de contacto Empresarios individuales o autónomos Identidad del nombre de un establecimiento o marca y su titular Datos de fallecidos Tratamiento y cesión de datos de fallecidos por parte de las funerarias Ficheros domésticos No aplicación de la LOPD Responsable fuera de España Fuentes accesibles al público Datos en Internet

2 Guía práctica sobre Protección de datos Publicación de datos personales en un periódico o en una web Datos del censo electoral Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés TEMA 2. obligaciones formales (INSCRIPCIÓN, MODIFICACIÓN Y SU- PRESIÓN DE FICHEROS EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS) Obligados a notificar ficheros Contenido de la notificación Coste de la notificación Inscripción de ficheros temporales Requisitos de inscripción de ficheros. Sistemas de control Agrupación de ficheros para la inscripción Inscripción de ficheros en una UTE Creación, modificación y supresión de ficheros de titularidad pública Formulario NOTA Obtención del formulario NOTA Cuestiones iniciales del formulario NOTA Formulario NOTA. Responsable del fichero y encargado del tratamiento Formulario NOTA. Identificación y finalidad del fichero Formulario NOTA. Origen y procedencia de los datos Formulario NOTA. Tipos de datos, estructura y organización del fichero Formulario NOTA. Medidas de seguridad Formulario NOTA. Cesiones de datos Formulario NOTA. Transferencias internacionales de datos Modificación de la inscripción del fichero Supresión de los ficheros inscritos Aclaraciones en el formulario electrónico NOTA Formas de presentación del formulario electrónico NOTA Momento formal de la inscripción Notificación de ficheros robinson Ficheros log y de usuarios Procedimiento de inscripción, modificación o supresión de ficheros Normativa específica de aplicación Documentos de interés Formularios y modelos

3 Índice general TEMA 3. PRINCIPIOS EN PROTECCIÓN DE DATOS (CONSENTIMIENTO. CALI- DAD. INFORMACIÓN. COMUNICACIÓN DE DATOS) Requisitos que debe tener el consentimiento Excepciones a la necesidad de consentimiento del afectado para tratar datos Revocación del consentimiento válidamente prestado. Efectos Consentimiento para tratar datos especialmente protegidos Consentimiento tácito La prueba del consentimiento Solicitud del consentimiento para finalidades distintas Consentimiento de menores de edad Prueba de comprobación de la edad del menor Consentimiento de los socios para publicar sus datos en la página web del club Certificados electrónicos y consentimiento Localización de datos en Internet de morosos, por parte de una entidad de recobro Principio de protección de datos vs. libertad de expresión e información Principios de calidad, veracidad y finalidad de los datos Contenido de la historia clínica. Proporcionalidad Principios de información Prueba del cumplimiento de la obligación de informar Excepciones a la obligación de informar al interesado Procedimiento de exención del deber de informar Información a través de una página web cuando se recogen los datos por vía telefónica Información en supuestos de reestructuración societaria Cesión o comunicación de datos a terceros Cesionarios Excepciones a la necesidad de consentimiento para ceder datos a terceros Cesiones de datos a entidades financieras Cesión de datos y grupos de empresas Servicio de hosting Cesión de datos de atestado a compañía aseguradora Cesión de datos de atestado a los interesados Grabación de una llamada telefónica Grabación sonora de los Plenos en un Ayuntamiento y su difusión en Internet Comunicaciones de datos entre Administraciones públicas Comunicaciones de datos, por medios electrónicos, en la e-administración Cesión de datos en procedimiento administrativo sancionador

4 Guía práctica sobre Protección de datos Control de acceso a edificios Información contenida en el catastro Información urbanística Cesión de datos de personas hospedadas a la Policía Recogida de matrículas con fines policiales Cesión de datos del Padrón a las Administraciones públicas y a las Fuerzas y Cuerpos de Seguridad Cesión de datos del Padrón a un particular con fines de investigación Cesión de datos del Registro de vehículos a la policía Cesión de datos en los Sistemas Institucionales de Protección Publicación de propietarios morosos en un tablón de anuncios Cesión de datos de asociados a una federación Cesión de la historia clínica a un Tribunal Eclesiástico Cesión de datos a la Administración tributaria Conservación de datos por los operadores de telecomunicaciones Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 4. ACCESO A DATOS POR CUENTA DE TERCEROS EN EL MARCO DE UNA PRESTACIÓN DE SERVICIOS Concepto de acceso a datos por cuenta de terceros Encargado del tratamiento Consideración de la existencia de una cesión de datos Necesidad de un contrato escrito Contrato escrito de acceso a datos por cuenta de terceros en el ámbito de la contratación pública Iniciativa para suscribir el contrato Medidas de seguridad en el contrato Verificación por el responsable del fichero Contratos previos al RLOPD Subcontratación de los servicios Principio de información en un acceso a datos por cuenta de terceros Conservación de datos por parte del encargado del tratamiento Inscripción de ficheros en el Registro General de Protección de Datos Ejercicio de derechos ante un encargado del tratamiento

5 Índice general Responsabilidad del encargado del tratamiento Asesoría o gestoría como encargados del tratamiento Empresa de destrucción documental como encargada del tratamiento Empresa dedicada a servicios de geolocalización como encargada del tratamiento Empresa de trabajo temporal como encargada o responsable del tratamiento Ayuntamiento como responsable del fichero y empresa pública que gestiona el abastecimiento de aguas como encargado del tratamiento. Cesión del padrón Servicios de hosting Servicio telefónico de asistencia a víctimas de violencia de género Intermediación en adopción internacional Encargados del tratamiento de control de acceso a edificios Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 5. EJERCICIO DE DERECHOS ARCO (acceso, rectificación, cancelación y oposición) Ejercicio de derechos por parte de un interesado Excepciones a los derechos ARCO Reclamaciones a la AEPD por no atención de los derechos ARCO Ejercicio de derechos si no se tratan datos del afectado Contenido de la solicitud de ejercicio de derechos Cómputo de los plazos de respuesta Gratuidad del ejercicio de derechos ARCO Representante del interesado para el ejercicio de derechos Ejercicio de derechos ARCO ante un encargado del tratamiento. Acción comercial del encargado Ejercicio del derecho de acceso Plazo de respuesta del derecho de acceso Contenido de la respuesta de un ejercicio del derecho de acceso Acreditación del envío y recepción de los derechos ARCO Denegación de un ejercicio del derecho de acceso El responsable del fichero y encargado del tratamiento ante un ejercicio de derechos ARCO Acceso a los datos de los fallecidos por los herederos Acceso a la historia clínica

6 Guía práctica sobre Protección de datos Acceso a la historia clínica de un menor por uno de los padres Acceso a las historias clínicas por parte del personal sanitario y por el personal de gestión Acceso por parte de los padres a las calificaciones de sus hijos Ejercicio de derechos ante un colegio público por parte de un alumno menor de edad Derecho de acceso a informe psicológico por parte de un preso Acceso a datos de miembros de una asociación Derecho de acceso a documentos administrativos Derecho de rectificación Procedimiento y plazos del derecho de rectificación Denegación del derecho de rectificación Derecho de cancelación Bloqueo de los datos Procedimiento y plazos del derecho de cancelación Denegación del derecho de cancelación Cancelación de antecedentes penales Derecho de cancelación frente a la Dirección General de Instituciones Penitenciarias 231 Apostasía. Cancelación de datos ante la Iglesia Conservación del historial clínico. Cancelación Derecho de oposición Procedimiento y plazos del derecho de oposición Derecho de cancelación en boletines oficiales por Internet Derecho de oposición frente a buscadores. Derecho al olvido en Internet Derecho de oposición frente a un sitio web que recopila datos de boletines oficiales Eliminación de fotos de menores de la web de un colegio Base de datos genéticos de uso policial Ejercicio de derechos ante ficheros policiales de investigación Prevención y bloqueo de la financiación del terrorismo Impugnación de valoraciones Información consecuencia de la impugnación de valoraciones Impugnación de valoraciones en procesos de adopción Derecho de exclusión de guías telefónicas Derecho de consulta al Registro General de Protección de Datos Derecho de indemnización Prescripción de la acción de indemnización Derecho de los ciudadanos en la Administración Electrónica Sentencias de interés Resoluciones de la AEPD

7 Índice general Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 6. VIDEOVIGILANCIA Imágenes como dato personal Aplicación de la LOPD a grabación de imágenes No aplicación de la LOPD al uso de videovigilancia Publicación de fotos en Internet Instalación de cámaras Prohibición de videovigilancia Videovigilancia en portales Monitores de vigilancia en centro comercial Videovigilancia conectada a central de alarmas Empresa instaladora del sistema de videovigilancia como encargada del tratamiento Instalación interna de videovigilancia Obligaciones de la videovigilancia Inscripción de fichero de videovigilancia Instalación de cámaras que no graban Derechos de los videovigilados Período de conservación de las grabaciones Nivel de seguridad Copia de seguridad de las grabaciones Control de acceso a edificios Sanciones en materia de videovigilancia Videovigilancia en comunidades de vecinos Cámaras en centros infantiles Cámaras en piscina en el transcurso de una actividad Videocámaras IP y webcams Webcams sobre exteriores Cámaras en el centro de trabajo Oposición a ser grabado Acceso a las imágenes por los representantes de los trabajadores Grabación por un detective Grabación de asambleas en una asociación Cámaras de las Fuerzas y Cuerpos de Seguridad del Estado

8 Guía práctica sobre Protección de datos Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 7. FICHEROS DE «SOLVENCIA PATRIMONIAL Y CRÉDITO» y «de cumplimiento o incumplimiento de obligaciones dinerarias» Qué son los ficheros de solvencia patrimonial y crédito Ficheros de morosos Requisitos de inclusión en un fichero de morosos Notificación de la inclusión en un fichero de morosos Acceso al fichero de morosos Responsabilidad Ejercicio de derechos ARCO ante un fichero de morosos El saldo cero Regímenes matrimoniales y ficheros de morosos Indemnización por daños y perjuicios debido a la inclusión no veraz en un fichero de morosos Fichero de morosos inmobiliarios y listas negras Empresas de recobro Central de Información de Riesgos del Banco de España (CIRBE) Sentencias de interés Resoluciones de la AEPD Normativa de aplicación Documentos de interés Formularios y modelos TEMA 8. TRATAMIENTOS DE DATOS CON FINES DE PUBLICIDAD Y PROS- PECCIÓN COMERCIAL Tratamiento de datos con fines publicitarios Caducidad de las fuentes accesibles al público Censo promocional Resoluciones judiciales como fuente accesible al público Campañas publicitarias realizadas por el propio responsable del fichero Responsabilidad por campañas publicitarias encomendadas a un tercero Cláusulas de exoneración de responsabilidad Notificación de ficheros al RGPD Llamadas telefónicas no solicitadas con fines de venta directa

9 Índice general Comunicaciones comerciales por vía electrónica: LSSICE Remisión de SMS y MMS por parte de una fundación Campañas publicitarias por medios electrónicos en las que es el propio usuario el que recomienda un producto a sus conocidos Sanciones por infracciones en relación con las llamadas comerciales con fines de venta directa Sanciones por infracciones en relación con las comunicaciones comerciales electrónicas Cruce de ficheros con datos personales con fines comerciales Ficheros de exclusión del envío de comunicaciones comerciales Listas robinson Ejercicio de derechos ARCO Prácticas comerciales desleales Envío de comunicaciones comerciales a personas y entidades que aparecen en guías telefónicas o en las guías de colegiados Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 9. OBLIGACIONES EN PROTECCIÓN DE DATOS PARA ABOGADOS Y PROCURADORES Inscripción de ficheros en el RGPD Consentimiento de los clientes para el tratamiento Tratamientos de datos de la contraparte Medidas de seguridad en el despacho Contrato de acceso por cuenta de terceros Cesión de datos del turno de oficio Repertorios de jurisprudencia Resoluciones de la AEPD Documentos de interés TEMA 10. PROTECCIÓN DE DATOS EN LAS RELACIONES LABORALES Procesos de selección de personal Portales de empleo a través de Internet Solicitud de antecedentes penales en un proceso de selección Información en los contratos de trabajo

10 Guía práctica sobre Protección de datos Control sobre el absentismo laboral Seguros de vida y planes de pensiones Prevención de riesgos laborales Servicios de prevención de riesgos laborales Acceso de los delegados de prevención a datos de salud Cesión de datos a organizaciones sindicales Cesiones de datos de cuota sindical impagada Envío de información sindical por Oposición a recibir información sindical por Comunicación de datos al comité de empresa Publicaciones de datos en tablones de anuncios o en la intranet Cesión de datos de trabajadores a contratistas Empresas de trabajo temporal Aportación de datos de salud en juicios Control empresarial del correo electrónico y del material informático Datos de geolocalización Sistema de denuncias internas en las empresas (whistleblowing) Control de asistencia a cursos de formación Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 11. TRANSFERENCIAS INTERNACIONALES DE DATOS Transferencia internacional de datos (TID) Datos con destino a una embajada Operadores en una TID Requisitos para realizar una TID Autorización del Director de la AEPD para una TID Estados con nivel adecuado de protección Suspensión de TID TID a Estados que no tienen un nivel adecuado de protección Indicación de la TID en la inscripción del fichero TID y principios en protección de datos Normas Corporativas Vinculantes Estándares internacionales de privacidad Encargado del tratamiento y TID

11 Índice general Subcontrataciones por parte del encargado del tratamiento y TID web y base de datos en servidor en EE.UU Ámbito de aplicación de la LOPD. Empresa americana Sanciones por irregularidades en TID Sentencias de interés Resoluciones significativas de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 12. MEDIDAS DE SEGURIDAD EN MATERIA DE PROTECCIÓN DE DATOS Aspectos positivos de las medidas de seguridad Obligaciones generales de medidas de seguridad Seguridad en ficheros en papel Niveles de seguridad Medidas de seguridad en un fichero de titularidad pública Datos de menores de edad Medidas de seguridad a datos de alumnos de un colegio Medidas de seguridad a datos de alumnos que cursan la asignatura de religión Medidas de seguridad en una página web que trata datos con fines publicitarios. Redes sociales Medidas de seguridad en el sistema de registros administrativos de apoyo a la Administración de Justicia Medidas de seguridad en la Administración Electrónica Medidas de seguridad en medios de comunicación audiovisuales Medidas de seguridad en una asesoría fiscal Custodia y conservación de la historia clínica Medidas de seguridad en un fichero de implantes Medidas de seguridad en fichero de horas sindicales Aplicación de medidas de seguridad de distinto nivel a un mismo fichero Documento de seguridad y su contenido Actualización del documento de seguridad El responsable de seguridad Presentación del documento de seguridad Plazo de implantación de las medidas de seguridad Medidas de seguridad en ficheros automatizados Medidas de seguridad en ficheros en soporte papel Delegación de la gestión de la seguridad

12 Guía práctica sobre Protección de datos Funciones y obligaciones del personal Empleado que incumple las medidas de seguridad Medidas de seguridad por parte del prestador de un servicio Medidas de seguridad por parte de un prestador de un servicio de seguridad o de limpieza Seguridad en redes de comunicaciones Seguridad cuando se trabaja fuera de los locales del responsable Medidas de seguridad en ficheros temporales o copias de documentos Identificación y autenticación Control de acceso a los ficheros Gestión de soportes para un nivel básico de seguridad Registro de entrada y salida de soportes Gestión y distribución de soportes para un nivel alto de seguridad Copias de seguridad Incidencias de seguridad Registro de incidencias Detalle del registro de incidencias Medidas de seguridad en ficheros en soporte papel Deber de secreto Auditoría de seguridad Figura del auditor de seguridad Informe de auditoría Qué hacer con el informe de auditoría Medidas de seguridad en el software de gestión de clientes Esquema Nacional de Seguridad en la e-administración Declaración de prácticas de certificación Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 13. AUTORREGULACIÓN Y CÓDIGOS TIPO Concepto de código tipo Obligación de adhesión a un código tipo Clases de códigos tipo Ventajas de un código tipo Contenido de un código tipo

13 Índice general Aprobación de los códigos por la AEPD Códigos tipo de ámbito europeo Obligaciones después de la inscripción en el RGPD Sanciones por incumplimiento Práctica engañosa respecto a la adhesión de un código de conducta Documentos y normas de interés Esquema procedimental de los códigos tipo TEMA 14. infracciones, SANCIONES Y PROCEDIMIENTOS EN MATERIA DE PROTECCIÓN DE DATOS Infracciones y sanciones Infracciones por parte de la Administración pública Graduación de las sanciones Atenuación de la sanción Sanción de apercibimiento Presunción de inocencia Prescripción de las infracciones y sanciones Régimen de responsabilidad Procedimientos ante la AEPD Procedimiento de tutela de derechos ante la AEPD Actuaciones previas de la AEPD Procedimiento sancionador Legitimación para recurrir en vía jurisdiccional Valor de las actas de inspección Inmovilización de ficheros Procedimiento para conservación de datos con fines históricos, estadísticos o científicos Sentencias de interés Resoluciones de la AEPD Normativa específica de aplicación Documentos de interés Formularios y modelos TEMA 15. AUTORIDADES DE PROTECCIÓN DE DATOS (Nacionales, comunitarias e internacionales) Agencia Española de Protección de Datos Director de la AEPD

14 Guía práctica sobre Protección de datos Consejo Consultivo de la AEPD Funciones del Registro General de Protección de Datos Subdirección General de Inspección Secretaría General de la AEPD Régimen económico, patrimonial y de personal de la AEPD Agencias autonómicas de protección de datos Agencia de Protección de Datos de la Comunidad de Madrid Autoridad Catalana de Protección de Datos Agencia Vasca de Protección de Datos El Supervisor Europeo de Protección de Datos Comité Consultivo del Convenio Grupo de Trabajo del artículo Grupo de Berlín Autoridad de control Europol Autoridad Común de Control de Schengen Autoridad Común de Control en el Sistema de Información Aduanero Autoridad Común de Control Eurojust Normativa específica de aplicación Documentos de interés FORMULARIOS y modelos Formulario nota para la inscripción, modificación y supresión de ficheros de titularidad privada Formulario nota para la inscripción, modificación y supresión de ficheros de titularidad pública Cláusula para incluir en formularios de recogida de datos Cláusula para incluir en presupuestos o facturas Cláusula para incluir en cada una de las comunicaciones al interesado cuando sus datos se obtuvieron de una fuente de acceso público (FAP) Cláusula informativa cuando los datos no se obtuvieron del interesado Cláusula de regularización sobrevenida en protección de datos Modelo de parte de entrada de viajeros en un establecimiento hotelero Modelo de contrato de acceso a datos por cuenta de terceros (en el marco de una prestación de servicios de mantenimiento técnico informático) Contrato de acceso por cuenta de terceros entre una comunidad de propietarios y un administrador de fincas Modelo para ejercer el derecho de acceso Ejercicio de derecho de acceso al historial clínico Ejercicio de derecho de acceso al historial clínico en centro penitenciario

15 Índice general 14. Reclamación de tutela ante la AEPD por denegación del derecho de acceso Modelo de contestación ante un ejercicio de acceso por parte del responsable del tratamiento Modelo para ejercer el derecho de rectificación Reclamación de tutela ante la AEPD por denegación del derecho de rectificación Modelo de contestación ante un ejercicio de rectificación por parte del responsable del tratamiento Modelo para ejercer el derecho de cancelación Reclamación de tutela ante la AEPD por denegación del derecho de cancelación Modelo de contestación ante un ejercicio de cancelación por parte del responsable del tratamiento Modelo para ejercer el derecho de oposición Modelo de contestación ante un ejercicio de oposición por parte del responsable del tratamiento Modelo para ejercer el derecho de impugnación de valoraciones Modelo de contestación ante una impugnación por parte del responsable del tratamiento Modelo para ejercer el derecho de exclusión de uso de los datos para fines de publicidad y prospección comercial (aplicable solamente a los listados públicos de Colegios Profesionales y a los repertorios telefónicos) Modelo para ejercer el derecho de exclusión en los repertorios telefónicos de acceso público Modelo de solicitud de cancelación de inscripciones en sistema de registros admininistrativos de apoyo a la Administración de Justicia Modelo de solicitud de acceso a datos registrados en ficheros policiales (Guardia Civil y Policía Nacional) Modelo de solicitud de cancelación de datos registrados en ficheros policiales (Guardia Civil y Policía Nacional) Contestación por parte de un responsable de un fichero de videovigilancia frente a un ejercicio del derecho de acceso Escrito para comunicar a los trabajadores la instalación de cámaras de videovigilancia en el trabajo Escrito para comunicar a los representantes de los trabajadores la instalación de cámaras de videovigilancia en el trabajo Modelos de cláusulas informativas en el ámbito de la videovigilacia Ejercicio del derecho de acceso ante el fichero común de la entidad ASNEF EQUIFAX Ejercicio del derecho de cancelación ante el fichero común de la entidad AS- NEF EQUIFAX

16 Guía práctica sobre Protección de datos 37. Cláusula para incluir en cada comunicación que se realice al interesado si sus datos han sido obtenidos de fuentes accesibles al público y el tratamiento de los datos tiene un fin publicitario o comercial Modelo de contrato de acceso a datos por cuenta de terceros con finalidades comerciales o publicitarias Cláusula de contestación ante solicitudes de empleo Cláusula informativa para incorporar en los contratos de trabajo, o bien como un anexo a éstos Cláusula informativa de protección de datos sobre control de los medios informáticos en la empresa Cláusula informativa de protección de datos sobre geolocalización Contrato de transferencia internacional de datos entre un responsable y un encargado del tratamiento, de conformidad con lo establecido en la decisión de la Comisión Europea, de 5 de febrero de Modelo de documento de seguridad de una clínica odontológica Modelo de documento de seguridad de una empresa que posee ficheros de clientes y proveedores, de recursos humanos, de videovigilancia y de control de acceso a las instalaciones Modelo de documento de seguridad de una comunidad de propietarios Modelo de informe de Auditoría del Cumplimiento del Reglamento de Desarrollo de la LOPD para ficheros de datos de carácter personal Modelo de cláusula de confidencialidad incluyendo una política de seguridad, para suscribir por parte del personal que accede a los ficheros de datos personales Cláusula de protección de datos para el personal de mantenimiento y/o limpieza que desempeña sus funciones en la organización y no tiene acceso a los ficheros de datos personales Modelo de certificado de destrucción de soportes Listado de comprobación o checklist, para las Auditorías de Seguridad Modelo de denuncia ante la Agencia Española de Protección de Datos Definiciones y conceptos Bibliografía