qué es la protección de datos?

Transcripción

1 1 qué es la protección de datos? qué es la protección de datos? Sentencia 292/2000 del Tribunal Constitucional La poteccó protección de datos es un derecho ec fundamental......que persigue garantizar a las personas un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir sutráfico ilícito y lesivo para la dignidad y derecho del afectado. Todos los derechos reservados 1

2 dónde esta regulada? Normativa básica aplicable Unión Europea Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos Nacional Ley Orgánica de Protección de datos (LO 15/1999 ) Reglamento Lopd (Real Decreto 1720/2007) Instrucciones de la Agencia Española de Protección de Datos Articulo 18.4 Constitución Española. La protección de datos nace en nuestra legislación en cumplimiento del mandato impuesto por el artículo 18 de la Constitución Española de 1978: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. 2 LOPD Aspectos clave Todos los derechos reservados 2

3 Qué es la ley orgánica de protección de datos? La ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (Lopd) es la norma que, desde el 14 de Enero del año 2000,, regula en España el régimen jurídico aplicable al tratamiento de los denominados datos de carácter personal. Estructura y contenido de la Lopd La ley orgánica de protección de datos (Lopd) está estructurada en 49 artículos, 7 títulos, 6 disposiciones adicionales, 3 disposiciones transitorias, 1 disposición derogatoria y 3disposiciones finales. I. Disposiciones generales II. Principios de la protección de datos III.Derechos de las personas IV.Disposiciones sectoriales V. Movimiento Internacional de Datos VI.Agencia Española de Protección de Datos VII.Infracciones y sanciones Todos los derechos reservados 3

4 cuál es el objetivo de la LOPD? Garantizary proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar qué son los Datos de Carácter Personal? Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria...etc...etc...etc Todos los derechos reservados 4

5 qué es un tratamiento de datos? Operaciones y procedimientos técnicos de carácter automatizado o no,, que permitan la recogida,,g grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Recogida Grabación Elaboración Modificación Bloqueo Cancelación Cesiones A que datos se aplica la LOPD? La Lopd se aplica a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Datos de carácter personal. Registrados en soporte físico. Susceptibles de tratamiento. Sector público y privado. Todos los derechos reservados 5

6 A que datos se NO SE APLICA la LOPD? Datos de las PERSONAS JURIDICAS. Datos de las PERSONAS DE CONTACTO de las empresas. Únicamente quedan fuera de la ley su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Datos de los EMPRESARIOS INDIVIDUALES. Solamente cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros. Datos de PERSONAS FALLECIDAS. Sin embargo los familiares pueden solicitar la cancelación de los datos. Articulo 2 Reglamento Lopd ( Real Decreto 1720/2007) Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. qué es un Fichero? Ficheros automatizados Ficheros no automatizados Todos los derechos reservados 6

7 Ficheros excluidos (1) Ficheros realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. (2) Ficheros sometidos a la normativa sobre protección de materias clasificadas. (3) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. quién vigila que se cumpla la Lopd? Calle Jorge Juan nº 6 Apartado de correos Madrid. La Agencia Española de Protección de Datos es el organismo encargado de velar por el cumplimiento i de la legislación sobre protección de datos y controlar su aplicación, especialmente en lo relativo al ejercicio de los derechos esenciales de los ciudadanos (los derechos de acceso, rectificación, cancelación y oposición). Se trata de un ente público con personalidad jurídica propia y plena capacidad pública y privada que actúa con plena independencia de las Administraciones Públicas y se relaciona con el Gobierno a través del Ministerio de Justicia. Todos los derechos reservados 7

8 quién debe cumplir la LOPD? El responsable del fichero:es la persona física o jurídica, de naturaleza pública o privada, que decidesobre la finalidad, contenido y uso del tratamiento(aunque no lo realice materialmente). El encargado del tratamiento: Es quien trata los datos personales por cuenta del responsable del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio Qué hay que hacer para cumplir la Lopd? Todos los derechos reservados 8

9 Las obligaciones del responsable del fichero 1 2 Notificar e inscribir los ficheros Aplicar los Principios de la protección de datos 1. Calidad 2. Información 3. Consentimiento 4. Datos especialmente protegidos 5. Datos relativos a la salud 6. Seguridad de los datos 7. Deber de secreto 8. Comunicación de datos 9. Acceso a los datos por cuenta de terceros Facilitar el ejercicio de los derechos Arco Legalizar la transferencia internacional de datos Colaborar con la Agencia en el ejercicio de sus funciones 1 Notificación e inscripción de ficheros La notificación de ficheros es el procedimiento a través del cual se informa a la Agencia Española de Protección de Datos de la existencia de un fichero de datos de carácter personal para que, una vez comprobado que cumple con los requisitos legalmente establecidos, se acuerde su inscripción en el Registro General de Protección de Datos Articulo 26. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos. Todos los derechos reservados 9

10 Como se notifica un fichero? 1. Descarga. Descarga del Formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA) desde la web de la Agencia ( gratuito ) 2. Cumplimentación 3. Envío. Envío del formulario a la Agencia a través de una de las siguientes vías: Internet con firma electrónica. Internet sin firma electrónica Soporte papel Todos los derechos reservados 10

11 2 Los principios dela protección de datos Articulo Principio 4 Calidad de los datos 5 Información en la recogida de datos 6 Consentimiento del afectado 7 Datos especialmente protegidos 8 Datos relativos a la salud 9 Seguridad de los datos 10 Deber de secreto 11 Comunicación de datos 12 Acceso a los datos por cuenta de terceros Los principios de la protección de datos son el conjunto de reglas que regulan como se deben recoger, tratar y ceder los datos de carácter personal para que su utilización no afecte a la intimidad y demás derechos fundamentales de las personas. Art.4 Principios Lopd La calidad de los datos Los datos personales deben ser recogidos y tratados aplicando las siguientes REGLAS: Proporcionalidad de los datos. Solo se recogerán para su tratamiento aquellos datos que sean adecuados, pertinentes y no excesivos en relación a la finalidad determinada, explicita y legitima que motiva su recogida. Uso de los datos. Los datos de carácter personal no podrán utilizarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. Exactitud de los datos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado Cancelación de los datos. Los datos de carácter personal serán cancelados cuando hayan djd dejado de ser necesarios o pertinentes t para la finalidad d para la cual hubieran sido recabados o registrados. Almacenamiento de los datos. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso. Forma de obtener los datos. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Todos los derechos reservados 11

12 Art.5 Principios Lopd Información en la recogida de datos Este principio obliga al responsable del fichero a informar al titular de los datos de determinados aspectosque lepermitanconocer: quien recoge sus datos, para que los recoge, quienes son los destinatarios de la información, y cuales son sus derechos. Dicha información debe prestarse de diferente manera en función de cual sea el origen de los datos diferenciando entre dos supuestos: (5.1) Datos recogidos directamente del titular (5.2) Datos obtenidos de otras fuentes Art.6 Principios Lopd El consentimiento del afectado Excepciones al consentimiento. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa No será necesario el consentimiento en los supuestos previstos en el artículo 6.2 Lopd por ejemplo; No será preciso el consentimiento cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento Todos los derechos reservados 12

13 Consentimiento del afectado Revocación del Consentimiento. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. Oposición al tratamiento de los datos. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. Art.7 Principios Lopd Los datos especialmente protegidos Son una categoría de datos que por su especial vinculación con la intimidad de las personas deben ser tratados aplicando mayores garantías: Ideología, afiliación sindical, religión y creencias (consentimiento expreso y por escrito) Origen racial, a la salud y a la vida sexual (consentimiento expreso) Comisión s ó de infracciones penales es o administrativas. El tratamiento de este tipo de datos exige la aplicación de las garantías generales y, además, de las garantías especiales previstas en el artículo 7 Lopd. El tratamiento de estos datos requiere la aplicación de un NIVEL ALTO de seguridad. Todos los derechos reservados 13

14 Art.8 Principios Lopd Datos relativos a la salud Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. Art.9 Principios Lopd La seguridad de los datos El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal yevitensualteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural. Las medidas de seguridad aplicables para cumplir este principio se encuentran reguladas en el Titulo VIII del Real Decreto 1720/2007 Todos los derechos reservados 14

15 Los niveles de seguridad Nivel Alto Nivel Medio Nivel Básico Nivel básico: se aplica a todos los ficheros Nivel medio: se aplica a los ficheros relacionados en el artículo 81.2 Nivel alto: se aplica a los ficheros relacionados en el artículo 81.3 Medidas de seguridad en ficheros automatizados Medidas de seguridad Nivel Básico Nivel Medio Nivel Alto Art 89. Funciones y obligaciones del personal Art 90. Registro de incidencias Art 91. Control de acceso Art 92. Gestión de soportes y documentos Art 93. Identificación y autenticación Art 94. Copias de respaldo y recuperación Art 95. Responsable de seguridad Art 96. Auditoria Art 97. Gestión de soportes y documentos Art 98. Identificación y autenticación Art 99. Control de acceso físico Art 100. Registro de incidencias Art 101. Gestión y distribución de soportes Art 102. Copias de respaldo y recuperación Art 103. Registro de accesos Art 104. Telecomunicaciones Todos los derechos reservados 15

16 Medidas de seguridad en ficheros NO automatizados Medidas de seguridad Nivel Nivel Nivel Básico Medio Alto Art 89. Funciones y obligaciones del personal Art 90. Registro de incidencias Art 91. Control de acceso Art 92. Gestión de soportes y documentos Art 106. Criterios de archivo Art 107. Dispositivos de almacenamiento Art 108. Custodia de los soportes Art 109. Responsable de seguridad Art 110. Auditoria Art 111. Almacenamiento de la información Art 112. Copia o reproducción Art 113. Acceso a la documentación Art 114. Traslado de la documentación El documento de seguridad El documento de seguridad es un documento de carácter interno quedebereflejarpor escrito todo lo relacionado con las medidas, dd normas, procedimientos de actuación, reglas y estándares encaminados a garantizar la seguridad de los datos en una organización determinada. Dicho documento debe ser elaborado por el responsable del fichero y, en su caso, por el encargado del tratamiento, y es de obligado cumplimiento para todo el personal que tenga acceso a los sistemas de información. El documento de seguridad se encuentra regulado en el capítulo II del Título VIII (artículo 88) del Reglamento que desarrolla la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007) Todos los derechos reservados 16

17 Art.10 Principios Lopd El deber de secreto El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Del descubrimiento y revelación de secretos ( 197 a 201 del código penal ) Art.11 Principios Lopd La comunicación de los datos Qué es la Comunicación o cesión de datos?. toda revelación de datos realizada a una persona distinta del interesado Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de (1) fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el (2) previo consentimiento del interesado Excepciones al consentimiento. No será necesario el consentimiento del afectado en los supuestos previstos en el artículo 11.2 de la Lopd...pero siempre hay que informarle de la identidad de los destinatarios de sus datos!! Todos los derechos reservados 17

18 Art.12 Principios Lopd Acceso a los datos por cuenta de terceros Gestorías asesorías empresas de marketing mantenimiento informático, etc... No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento (encargado del tratamiento) EL CONTRATO. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. 3 Los derechos ARCO Los derechos Arco (ACCESO, RECTIFICACIÓN, CANCELACIÓN y OPOSICIÓN) son un conjunto de derechos que resultan esenciales para el desarrollo del derecho fundamental a la protección de datos ya que permiten a las personas controlar por si mismos el uso que se hace de sus datos personales. El responsable del fichero tiene la obligación de facilitar a las personas el ejercicio de sus derechos Arco y atender las solicitudes dentro de los plazos establecidos poniendo a su disposición los medios necesarios (sencillos y gratuitos) para que estos puedan formalizar sus solicitudes. Todos los derechos reservados 18

19 Título III LOPD Titulo III Real Decreto 1720/2007 Acceso Derecho del titular de los datos a obtener información de que datos se están tratando (plazo de 1 mes). Rectificación Derecho del titular de los datos a rectificar los datos inexactos o incompletos (plazo de 10 días). Cancelación Derecho del titular de los datos a cancelar los datos inadecuados o excesivos (plazo de 10 días). Oposición Derecho del titular de los datos a oponerse al tratamiento de sus datos en determinados supuestos (plazo de 10 días). Computo de plazos. En los supuestos en que este reglamento señale un plazo por días se computarán únicamente los hábiles. Cuando el plazo sea por meses, se computarán de fecha a fecha. 4 La transferencia internacional de datos Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (Unión Europea (27), Islandia, Liechtenstein y Noruega).. Autorización previa (Art.33) t33) No podrán dá realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. Excepciones. No será necesaria la autorización previa en los supuestos previstos en el artículo 34 Lopd. Todos los derechos reservados 19

20 5 Colaboración con la Agencia en el ejercicio de sus funciones Las funciones de la Agencia se encuentran reguladas en el artículo 37 de la Lopd Tanto el responsable del fichero como el encargado del tratamiento deben colaborar con la Agencia en el ejercicio de sus funciones, en caso contrario, podrán ser ser sancionados con multas de 600 a euros en función de la gravedad de la infracción cometida Potestad de inspección (art 40) Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán : 1. Solicitar la exhibición o el envío de documentos y datos. 2. Examinarlos en el lugar en que se encuentren depositados, 3. inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos. 4. Acceder a los locales donde se hallen instalados. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Todos los derechos reservados 20

21 Infracción Leve (multa de 600 a euros) No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. Infracción Grave (multa de a euros) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquel a tales efectos. La obstrucción al ejercicio de la función inspectora. Infracción muy grave (multa de a euros). No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso. Infracciones & sanciones Todos los derechos reservados 21

22 El Titulo VII de la LOPD clasifica las infracciones en tres categorías (Leves Graves Muy Graves ) en función de la gravedad de la acción cometida, estableciendo una serie de sanciones que van desde los 600 euros por la infracción más leve hasta los euros por la más grave Graduación de las infracciones y multas aplicables Las infracciones leves (5) serán sancionadas con multade 601,01 a ,21 euros. ( de a de pesetas). Las infracciones graves (12) serán sancionadas con multade ,21 a ,05 euros. ( de a de pesetas) Las infracciones muy graves (9) serán sancionadas con multa de ,05 a ,10 euros. ( de a de pesetas) Todos los derechos reservados 22

23 quién será sancionado en caso de incumplimiento? Ficheros privados Ficheros públicos ElResponsable del fichero El Encargado del tratamiento Quien corresponda en función de lo dispuesto en la legislación sobre régimen disciplinario de las Administraciones públicas.(*) (*) El Director de la Agencia podrá proponer la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. Criterios Criterios para de calcular la Agencia la cuantía de para las sanciones graduar la cuantía de las sanciones La Agencia Española de Protección de Datos graduará la cuantía de las sanciones atendiendo a las siguientes circunstancias a. La naturaleza de los derechos personales afectados. b. Al volumen de los tratamientos efectuados. c. A los beneficios obtenidos. d. Al grado de intencionalidad. e. A la reincidencia. f. A los daños y perjuicios causados a las personas interesadas y a terceras personas. g. Y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. DISMINUCIÓN DE LA CULPABILIDAD. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. Todos los derechos reservados 23