LA AEPD, AUTORIDAD INDEPENDIENTE PARA LA PROTECCIÓN DE DATOS PERSONALES. Dr. Artemi Rallo Catedrático de Derecho Constitucional Universidad Jaume I

Transcripción

1 LA AEPD, AUTORIDAD INDEPENDIENTE PARA LA PROTECCIÓN DE DATOS PERSONALES Dr. Artemi Rallo Catedrático de Derecho Constitucional Universidad Jaume I 1

2 LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS QUÉ ES - La Agencia es la autoridad de control independiente que vela por el cumplimiento sobre la normativa de protección de datos, garantizando y tutelando el derecho fundamental a la protección de datos de carácter personal CÓMO ACTÚA - Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones 2

3 LOS TRES PILARES DE LA ACTIVIDAD DE LA AEPD 1.CAPACIDAD DE APLICACIÓN DE LA LEY Informes e inspecciones Tutela de derechos Registro 2. ASESORÍA Servicio Legal Servicio de atención al ciudadano 3. COMUNICACIÓN 3

4 SUBDIRECCIÓN GENERAL DE INSPECCIÓN Engloba tanto las labores de inspección como las de instrucción: UNIDAD DE INSPECCIÓN (FUNCIONES) 1. Estudiar y analizar las reclamaciones formuladas por los ciudadanos 2. Colaborar en el desarrollo de planes de oficio sectoriales UNIDAD DE INSTRUCCIÓN (FUNCIONES) - Incoa tres clases de procedimientos: 1. Procedimiento sancionador contra responsables de fichero de titularidad privada por infracción de la LOPD 2. Procedimiento por infracciones de las Administraciones Públicas 3. Procedimiento de tutela de derechos 4

5 PROCESOS DE INSPECCIÓN: 20% ACTUACIONES PREVENTIVAS: Inspecciones sistemáticas en el sector público y en el sector privado. Implican la investigación de un sector específico Normalmente derivan en recomendaciones de buenas prácticas, guías, o consultas. 80% ACTUACIONES REACTIVAS: La norma general establece la obligación legal de tramitar cada queja que llegue a la AEPD. Se resuelve por lo general mediante una petición de remisión de información de forma voluntaria. Sanciones por infracción. Las multas se establecen en la ley española y se basan en la gravedad de la infracción, pudiendo ésta ser leve, grave, o muy grave. 5

6 INSPECCIONES SECTORIALES PREVENTIVAS: PLANES Y RECOMENDACIONES DE OFICIO. 2008: 2009: 2010: 1. Llamadas telefónicas no solicitadas con fines de venta directa. 2. Mensajes electrónicos comerciales no solicitados y servicios premium en telefonía móvil. 3. Identificación de menores en servicios de Internet. 1. Videocámaras en Internet. 2. Datos de tráfico y localización por operadores de telecomunicaciones y proveedores de acceso a Internet. 3. Datos de control en identificación y autenticación de personas. 1. Hospitales. 2. Inclusión en ficheros de morosidad de empresas que han adquirido deuda. 6

7 SUBDIRECCIÓN GENERAL DE INSPECCIÓN SECTORES: Comunicaciones electrónicas comerciales spam. Asociaciones, clubes, colegios profesionales, partidos políticos y ONGs. Comercio, transporte, y hostelería Recursos humanos y asuntos laborales Servicios de Internet Sanidad Suministro de gas, electricidad o agua Seguros Medios de comunicación Publicidad y prospección comercial Ficheros de solvencia patrimonial y crediticia 7

8 ACTUACIONES DE INSPECCIÓN INICIADAS: 8

9 9

10 SANCIONES DECLARADAS * POR SECTORES

11 CUANTÍA SANCIONES: * POR SECTORES: 11

12 SANCIONES SECTOR PRIVADO CUANTÍA SANCIONES (EN MILES ) En 2010 aplicación art y 5 LOPD, en el 31,64% y el 41,96% de las resoluciones sancionadoras, respectivamente, graduando la sanción dentro de la escala, bien aplicando la escala inferior en grado en razón de las circunstancias concurrentes de disminución cualificada de la culpabilidad del infractor, como: Fallo excepcional de entidad que dispone protocolos adecuados Regularización de la infracción de forma diligente en tiempo prudencial Infracción consecuencia de falta diligencia o de corresponsabilidad propio afectado Falta de cualificación técnica y distinta diligencia exigible a personas físicas o PYMES frente a entidades que profesionalmente realizan tratamientos masivos de datos 12

13 PROCEDIMIENTOS DE TUTELA DE DERECHOS * INICIADOS: * CONCLUIDOS: 13

14 EL DERECHO DE ACCESO Ejemplos: Imágenes de videocámaras en vía pública. Valoraciones de solvencia económica realizadas por entidades financieras. Imágenes en programas de televisión por parte de personajes públicos. Historial clínico de familiar fallecido. Historial clínico que se considera se ha suministrado de manera incompleta. 14

15 EL DERECHO DE OPOSICIÓN Ejemplo: Recepción de publicidad de una empresa con la que se tiene un contrato. EL DERECHO DE RECTIFICACIÓN Ejemplos: Base de cotización contenida en ficheros de la Seguridad Social. Datos bancarios disponibles por una empresa telefónica. 15

16 EL DERECHO DE CANCELACIÓN Ejemplos: Inclusión indebida por parte de las entidades financieras en ficheros de información sobre solvencia patrimonial y crédito. Supresión de datos una vez concluida la prestación de los servicios contratados con operadores de telecomunicaciones Baja en los ficheros de operadores de telecomunicaciones en casos de cambio de operador no consentido por el abonado Cancelación de datos en Internet (derecho al olvido) -buscadores, You Tube-. Cuando se trata de información en Diarios Oficiales se configura como derecho de oposición. Supresión de antecedentes policiales, penales y penitenciarios de las Administraciones Públicas competentes Cancelación de datos que figuran en el historial clínico. 16

17 17

18 EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS Funciones: - Inscribir ficheros de datos carácter personal, de titularidad pública o privada. - Inscribir los Códigos Tipo. - Registrar las transferencias internacionales de datos. - Velar por la publicidad de la existencia de los ficheros. 18

19 FICHEROS INSCRITOS

20 DISTRIBUCIÓN DE FICHEROS DE VIDEOVIGILANCIA 20

21 SECTORES CÓDIGOS TIPO Hospitales y sanidad 3 Industria farmacéutica 1 Intermediación inmobiliaria CÓDIGOS TIPO INSCRITOS Sector asistencial 1 Universidad 1 Administración Local 1 Establecimientos financieros de crédito Comercio electrónico 1 Seguros automóvil 1 TOTAL

22 Autorización Director AEPD transferencias internacionales de datos a países que no disponen de un nivel adecuado de protección (garantías cláusulas contractuales) 22

23 Consulta Registro General de Protección de Datos FICHEROS TITULARIDAD PÚBLICA TITULARIDAD PRIVADA TOTAL

24 DEPARTAMENTO JURÍDICO. INFORMES: 24

25 VISITAS WEB AEPD Visitas Promedio diario

26 OFICINA DE PRENSA (2010): Número de comunicados de prensa emitidos a los medios: 67 Entrevistas y demandas de información atendidas:750 Notas de la agenda informativa (WEB):65 Temas principales: Derecho al olvido Captación de datos por wifi (Google) Informe cumplimiento LOPD hospitales Denuncias y sanciones Privacidad y menores en redes sociales. Videovigilancia Ficheros de morosos Cookies identificativas usuarios Internet Etiquetas RFID 26

27 REPERCUSIÓN MEDIÁTICA EN MATERIA DE PRIVACIDAD. EJEMPLOS: 27

28 28

29 29

30 30

31 La AEPD critica al buscador por no responder <<satisfactoriamente>> al expediente abierto por su rastreo de redes WIFI// El director de la agencia estatal también ataca a Facebook por ceder información de sus usuarios a empresas de márketing 31

32 32

33 LA PROTECCIÓN DE LA PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN 33

34 34

35 35

36 36

37 37

38 38

39 39

42 42

43 43

44 44

45 45

46 46

47 LA PRIVACIDAD EN RIESGO:_ LOS GRANDES INTERROGANTES A. La videovigilancia: garantías ante un fenómeno omnipresente. B. Internet Vs. Privacidad: página en construcción? C. Especial atención a los menores. D. Proteger los datos en el entorno laboral. El equilibrio entre obligaciones y derechos. E. La privacidad en un mundo globalizado e interconectado. 47

48 La videovigilancia: garantías ante un fenómeno omnipresente. La instalación de cámaras de videovigilancia por razones de seguridad se está incrementando de manera exponencial en los últimos años. Especial relevancia en el ámbito privado (pequeño comercio, comunidades de vecinos, ). Notable ampliación del número de ficheros inscritos en la AEPD con esta finalidad. Importante concienciación y reacción ciudadana reflejadas en el aumento de las denuncias. La AEPD reaccionó ante este fenómeno con la publicación de la Instrucción 1/2006 de 8 de noviembre para adecuar los principios y garantías de la LOPD a estas actividades y con la organización y celebración de las II Jornadas Abiertas. 48

49 Internet Vs. Privacidad: página en construcción? La oferta de servicios de los buscadores de Internet presupone un tratamiento masivo y selectivo de los datos de los usuarios cuyas implicaciones no suelen ser conocidas por ellos. La AEPD ha afrontado el reto de adaptar las garantías de la normativa de protección de datos al desarrollo de los servicios de Internet, especialmente YouTube y las Redes sociales y P2P. Estudio de redes sociales (INTECO) Reuniones con los principales prestadores de servicios. Casos relevantes (Ej: caso Calle Montera). Conclusiones: a) la imagen es un dato personal. b) la captación y difusión de imágenes de terceros en portales de Internet requiere su consentimiento. c) la responsabilidad será del titular de la línea telefónica que tiene asignada la dirección IP desde la que se subieron las imágenes. 49

50 Especial atención a los menores Tema de atención preferente para la AEPD. Presentación de la Guía sobre derechos de niños y niñas y deberes de padres y madres. El RLOPD ya ha establecido un especial deber de diligencia en la comprobación de la edad. - 1er caso de tratamiento ilícito de datos de un menor sin verificación previa de su edad imposición de sanción. Desarrollo de herramientas eficaces para conocer si los usuarios de servicios de Internet son menores. 50

51 Proteger los datos en el entorno laboral. El equilibrio entre obligaciones y derechos. Tendencia a intensificar la vigilancia sobre la actividad de los empleados. El desarrollo de nuevas tecnologías utilizadas en el entorno laboral, como la videovigilancia, el uso de datos biométricos, o el correo electrónico han potenciado el debate sobre los límites y garantías que deben acompañar al ejercicio de las facultades de control sobre el trabajador. En lo referente a la implantación de sistemas de denuncia internos (Whistleblowing), la AEPD ha afirmado que podrían encontrar encaje en 6.2 y 11.2c) LOPD, siempre que exista pleno conocimiento de la existencia de esos mecanismos por las personas cuyos datos serán objeto de tratamiento, quedando la existencia de dichos procedimientos incorporada a la relación contractual. 51

52 La privacidad en un mundo globalizado e interconectado. Los estándares internacionales de privacidad El crecimiento de los flujos internacionales de información ha multiplicado las solicitudes de autorización de transferencias internacionales de datos. La prestación de servicios de la sociedad de la información en un mundo globalizado ha hecho preciso reflexionar sobre la necesidad de impulsar estándares internacionales mínimos que permitan garantizar los derechos de los ciudadanos cualquiera que sea el lugar donde residen. Los Estándares Internacionales de Privacidad, aprobados en el marco de la 31 Conferencia Internacional de Protección de Datos y Privacidad celebrada en Madrid en noviembre de 2009 suponen ya un referente a escala internacional: Apoyo por Congreso y Senado para su promoción y difusión (Proposición No de Ley y Moción de 13 y 28 de abril 2010, respectivamente). Inspirado legislación otros países (México). 52