Consultas. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

Transcripción

1 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

2 Jesús Rubí Navarrete Adjunto al Director 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

3 Puede el proceso de anonimización para la investigación científica basarse en la causa del interés legítimo del art. 7.f) de la Directiva 95/46/CE, en la medida en que el riesgo de reidentificación no exista o sea muy bajo según se demuestre a través de una PIA (Privacy Impact Assessment)? El artículo 7. f) de la Directiva 95/46/CE no legitima el tratamiento de datos de salud. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

4 Agustín Puente Escobar Abogado del Estado-Jefe del Gabinete Jurídico 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

5 Qué criterios de aplicación se aplicarán a la videovigilancia tras la aprobación de la Ley de Seguridad privada: legitimación, conservación, finalidad y uso de los datos. Como punto de partida, la actuación de la Agencia en relación con la aplicación en este punto de la LSP se limita a analizar el tratamiento de datos que implica la instalación de cámaras. La videovigilancia está regulada expresamente en el artículo 42 de la LSP. El párrafo segundo del apartado 1 señala que Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de seguridad o, en su caso, por guardas rurales Esta disposición debe interpretarse a la luz del ámbito de aplicación de la LSP El artículo 5 considera actividades de seguridad privada la instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia y la explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así como la monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos. El artículo 6 establece una serie de actividades excluidas de la aplicación de la Ley, sin perjuicio de que puedan ejercerse, de forma complementaria por empresas y personal de seguridad privada. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

6 Por tanto, el criterio relativo a la existencia de libre competencia en la prestación de este servicio tras la aprobación de la Ley Omnibus no ha cambiado. En cuanto a la aplicación de la LOPD, tampoco cabe considerar alterados los criterios adoptados en relación con ella y la Instrucción de videovigilancia. Únicamente cabe añadir que, como reconoce el TJUE, la legitimación para el tratamiento se ampara en el artículo 7 f) de la Directiva 95/46/CE, criterio que ya había mantenido la Agencia y había sido igualmente sustentado por la AN 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

7 Una entidad privada solicita instalar sistema de alarma con cámara que realiza fotografías por intento de entrada no autorizada. Esa fotografía es grabada por la central de alarmas. La empresa que ha solicitado la instalación no accede a la imagen. En que situación están ambas entidades con respecto a la LOPD? Que entidad debe atender los derechos ARCO? Qué entidad debe colocar el cartel de aviso de zona video vigilada? Como punto de partida, el sistema estaría sometido a la LOPD y a la Instrucción 1/2006, aunque no se tratase de imágenes en movimiento. En este supuesto la entidad que contrata el servicio sería la responsable del tratamiento de las imágenes y la empresa de seguridad privada sería encargada del tratamiento. La entidad que contrata el servicio estará obligada a informar en los términos establecidos en la Instrucción 1/2006. Los derechos podrían ejercitarse ante la responsable que debería dar traslado a la encargada para que responda por cuenta de aquélla. También podría establecerse en el contrato que los derechos serán atendidos directamente por la empresa de seguridad (Art. 26 RLOPD). 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

8 Traspaso de oficina de farmacia o consulta médica: Es cesión de datos de salud de pacientes sujeta a principios de consentimiento, o se puede amparar en el art. 19 del RLOPD, que no considera que hay cesión de datos (sin perjuicio del cumplimiento art. 5 LOPD), y por tanto no existe la obligación de consentimiento? Como regla general, el artículo 19 sí sería aplicable en el caso de traspaso de una oficina de farmacia. En el caso de la consulta médica es preciso diferenciar un gran número de supuestos atendiendo a la forma jurídica de dicha consulta y a la vinculación de los pacientes con un determinado médico. En general cabría aplicar el artículo 19 en caso de adquisición de una consulta con personalidad jurídica propia respecto de los datos de los pacientes que lo sean de ese centro y no de un médico en particular. Si de lo que se trata es de un médico con consulta particular que deja de ejercer la profesión y quiere traspasar sus pacientes a otro médico no será de aplicación el artículo 19 y debería recabarse el consentimiento de los pacientes para que acceda a su historia clínica el médico al que se refiera el que deja de ejercer u otro que ellos decidan 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

9 Empresa de Reciclaje, usa el sistema de comunicación telemática de residuos metálicos de la Guardia Civil APLES. Comunica el fichero de forma diaria y telemática. Sólo hay habilitación legal para comunicar el material de cobre: Art. 1 de la Orden INT/1920/2011, de 1 de julio, y Orden de 2 de nov. De Está habilitado por ley para ceder los datos de las personas que vendan cualquier material de forma telemática? Te obliga la Guardia Civil El informe 359/2011 consideró que esta cesión se encontraba amparada por el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana que establecía las obligaciones de registro documental e información de diversos obligados, de la que es desarrollo la Orden INT/1920/2011. Estas obligaciones se reiteran por el artículo 25.1 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, que se refiere expresamente a las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de ( ) alquiler o desguace de vehículos de motor, ( ), centros gestores de residuos metálicos, establecimientos de comercio al por mayor de chatarra o productos de desecho ( ). La Ley Orgánica entrará en vigor el 1 de julio de 2015 Por tanto cabe apreciar que existe habilitación legal para la cesión 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

10 Las universidades públicas que ofrecen servicios de comunicaciones electrónicas (conectividad wifi, acceso a internet, correo electrónico, etc.) a los miembros de la comunidad universitaria y visitantes (eduroam), deben notificar a la AEPD "la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales" en cumplimiento de lo previsto en el artículo 41 de la Ley 9/2014? La obligación de notificación de quiebras de seguridad es aplicable (art LGT) a los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, incluidas las redes públicas de comunicaciones que den soporte a dispositivos de identificación y recopilación de datos. Es operador, según el apartado 26 del Anexo de la LGT, la persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro de operadores. La explotación de una red de comunicación electrónica es definida por el apartado 17 del Anexo como la creación, el aprovechamiento, el control o la puesta a disposición de dicha red. A la vista de estas definiciones el artículo 41 no es aplicable en este caso 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

11 A raíz de la reforma del Código Penal (responsabilidad de las personas jurídicas), han cambiado las conclusiones de la Agencia en relación con el tratamiento de los datos en el marco de un canal de denuncias (Informe ). En particular, estaría legitimado el tratamiento de los datos de clientes y proveedores en el marco de la prevención de delitos? La AEPD ha venido considerado posible el establecimiento de los canales de denuncia siempre que se cumplan los requisitos establecidos en la LOPD. La legitimación para el establecimiento de estos canales podría fundarse en el artículo 7 f) de la Directiva 95/46/CE. Por ello, la mera referencia al colectivo afectado no sería suficiente para dar una respuesta definitiva a la cuestión, siendo necesario conocer qué tipo de actuaciones serían susceptibles de denunciarse por estos medios. La reforma de la legislación penal podría ayudar a justificar el interés legítimo prevalente, pero no bastaría por sí sola para fundar el tratamiento. En particular, la Agencia ha considerado necesario que las denuncias tengan carácter confidencial y no anónimo, si bien cabría la contratación de un encargado del tratamiento que conservase los datos identificativos de los denunciantes sin comunicarlos en ningún momento a la empresa. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

12 Como puede una persona obligar a eliminar datos e imágenes de sus hijos menores de edad, que haya detectado están en internet? No es posible dar una respuesta general a esta pregunta, dado que sería necesario atender a la legitimación que ha justificado la inclusión de las imágenes o datos en Internet y resolver caso por caso. Con carácter general, la solicitud debería dirigirse al responsable del tratamiento que puede ser, según los casos, la plataforma en que se incluyeron los datos o el propio usuario de esa plataforma (por ejemplo, si un usuario de una red social ha incluido fotografías de menores en su perfil profesional, sería a éste al que correspondería eliminar las imágenes y al que debería dirigirse la solicitud). Muchas plataformas ya establecen sistemas para denunciar los contenidos ante las mismas. También sería posible ejercer el derecho de oposición frente a los motores de búsqueda que indexasen información asociada al nombre de los menores, operando en ese caso la doctrina establecida en la sentencia del TJUE de 13 de mayo de ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

13 José López Calvo Subdirector General de Inspección de Datos 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

14 Cuando una entidad quiere utilizar datos personales a los que accede en calidad de encargado del tratamiento, para otra finalidad. puede ponerse en contacto directamente con las personas de las cuales tiene datos para solicitarles consentimiento para el tratamiento de datos ya como responsable del fichero, para esa nueva finalidad, o tiene que pedir autorización al responsable el fichero original? El encargado del tratamiento sólo puede utilizar los datos para los fines establecidos por el responsable del fichero y conforme a sus instrucciones. Si un encargado utiliza los datos para otra finalidad responde personalmente de las infracciones en las que hubiera incurrido, en el caso planteado podría incurrir en una infracción del artículo 6 de la LOPD. Un encargado del tratamiento, respecto de los datos que trata en su condición de encargado, nunca puede actuar como responsable del fichero o tratamiento. Por ello el artículo 14 del Reglamento de la LOPD, al regular el procedimiento para la obtención del consentimiento de los afectados, indica expresamente que es el responsable del tratamiento el que podrá utilizar dicho procedimiento. Si el responsable del fichero o tratamiento pretende obtener el consentimiento de los afectados para finalidades distintas a las consentidas, puede encomendar a un encargado del tratamiento que lleve a cabo esta tarea, pero tal encargo no puede suponer el establecimiento de un nuevo vínculo para el que presta el servicio, ya que si se crea un nuevo vínculo no sería de aplicación lo dispuesto en el artículo 12 de la LOPD y se consideraría, por tanto, una cesión de datos el acceso que realizara este tercero a los ficheros del responsable. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

15 Cuál sería la responsabilidad del Encargado de Tratamiento (ET) cuando se producen brechas de seguridad en las instalaciones del Responsable del Fichero (RF) en los siguientes casos? (1) el responsable del fichero proporciona al ET portátiles/usb sin cifrar con acceso a datos altamente confidenciales, y el ET los pierde. (2) el RF asigna accesos a través de usuarios genéricos a los equipos de soporte a producción con acceso a datos altamente confidenciales. En qué casos de los citados procedería una sanción al ET? Según art. 9 LOPD y arts. 20 y 79 RLOPD, tanto el RF como el ET asumen su parte de responsabilidad por las posibles quiebras de seguridad en los tratamientos. En cada caso, la responsabilidad deberá asumirla aquel que realizó la acción que ha provocado la quiebra, siempre que el encargo de tratamiento cumpla los requisitos formales previstos. De los supuestos planteados, el ET será responsable de la infracción en el (1). 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

16 Un encargado de tratamiento puede destruir los datos de un responsable cuando la relación finaliza unilateralmente? (el cliente no paga, desaparece la empresa). La pregunta planteada se ha suscitado en ocasiones en relación con los administradores (Encargados de Tratamiento) de una Comunidad de Propietarios (responsable) en que el ET plantea la existencia de pagos pendientes. Como prevé el artículo 12 los datos deben ser devueltos o destruidos una vez cumplida la prestación contractual. En caso de discrepancia sobre si sigue vigente o no el contrato prevalecería el criterio del responsable de acuerdo con lo dispuesto en el apartado 2 del artículo 12. No obstante, el encargado podría disponer de una copia bloqueada con los datos imprescindibles a los efectos únicamente de la defensa de sus derechos y responsabilidades. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

17 Para que no se considere SPAM, se podría enviar un primer correo por parte de la organización, presentando a la misma y solicitando permiso para enviar publicidad a través de consentimiento tácito estableciendo en el mensaje si en un plazo X no se opone, da su consentimiento para recibir publicidad de nuestra organización?. De tal manera que si no se da de baja expresamente se podría proceder al envío de correos publicitarios? Cuando se pretenda enviar publicidad artículo 21 de la LSSI exige que a través de medios electrónicos el a) el consentimiento sea expreso o a) se refiera a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación por el cliente. El primer correo aludido u otros mensajes como SMS- en ausencia de a) o b) es una comunicación comercial indebida. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

18 Rafael García Gozalo Jefe del Departamento Internacional 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

19 Cómo será la figura del futuro delegado de protección de datos? será independiente de las entidades? será exigible una formación específica? la AEPD tendrá un registro de DPOs? No es posible conocer aún cómo se configurará el DPO en el futuro Reglamento. La propuesta de la COM y la Posición Común del PE lo definen como una figura que debe existir obligatoriamente en las entidades públicas y en las privadas que cumplan una serie de requisitos relacionados con su tamaño, con el tipo de datos que se traten o con la naturaleza de los tratamientos. El Consejo, por su parte, ha incluido esta cuestión en una de sus Orientaciones Generales Parciales y lo regula como una figura optativa para todo tipo d entidades, salvo que dispongan lo contrario legislaciones nacionales o de la UE. 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

20 En otros aspectos hay mayor coincidencia en las características del DPO: Todas las propuestas coinciden, aunque con matices, en que las entidades deberán asegurar que el DPO actúa con independencia en el desarrollo de sus tareas y no recibe instrucciones en el ejercicio de sus funciones. También todas coinciden en que el DPO debe reportar directamente al nivel más alto de la gerencia. Todas las propuestas coinciden en que el DPO deberá seleccionarse atendiendo a sus cualidades profesionales y a su experiencia y conocimientos en el derecho y práctica de la protección de datos Todas las propuestas coinciden en que las entidades deberán comunicar la identidad de su DPO a las autoridades de protección de datos, con lo que, en principio, es razonable pensar que estas comunicaciones se incluirán en algún tipo de registro 7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de

21 7.ª Sesión Anual Abierta de la Agencia Española de Protección de Datos