LOPD. 1. Introducción a la LOPD. 2. Resoluciones y Sentencias

Transcripción

1 LOPD 25 FEBRERO 2010 Cómo prevenir sanciones Objetivos 1. Introducción a la LOPD. 2. Resoluciones y Sentencias 1. Presentación Informe del 2008 de la Agencia de Protección de Datos. 2. Resoluciones y sentencias del El incumplimiento por ignorancia o desidia. 4. Situaciones de riesgo. 5. Acciones de prevención. 2

2 Introducción Referencias legales Directiva Europea 95/46/CE Constitución española, art Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD. Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). Ley 32/2003 de Telecomunicaciones y Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios Ley 2/2004 de la Agencia Vasca de Protección de Datos (administración pública de Euskadi). 4

3 Referencias legales Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD. Algunas consideraciones: Par indivisible. La ley explica QUE obligaciones se deben cumplir. El Reglamento desarrolla la ley y vincula QUE y COMO. Existe un órgano de vigilancia del cumplimiento con potestad sancionadora: AGENCIA DE PROTECCION DE DATOS 5 Glosario Datos de carácter cter personal: Concerniente a personas físicas identificadas o identificables. 6

4 Glosario Fichero: Conjunto organizado de datos Cualquiera que fuera la modalidad de su creación, almacenamiento, organización y acceso. Fichero Automatizado Fichero No Automatizado 7 Glosario Responsable de Fichero o Tratamiento Se considera responsable del fichero a: la persona física o jurídica, pública o privada, u órgano administrativo, que decida sobre: finalidad, contenido, y uso del tratamiento, aunque no lo realizase materialmente El Responsable de Fichero puede delegar la llevanza del Documento de Seguridad en un Responsable de Tratamiento 8

5 Glosario Tratamiento Se entiende por tratamiento: las operaciones y procedimientos, de carácter automatizado o no, que permiten la: recogida, grabación, conservación, elaboración, modificación, bloqueo, cancelación, así como las cesiones de datos que resulten de: comunicaciones, consultas, interconexiones, y transferencias 9 Una obligación Una necesidad Muy pocas circunstancias de una persona a lo largo de su vida, e incluso después de su muerte, no terminan por convertirse en un Dato de Carácter Personal, así: Cuando nacemos, se nos asigna el dato del nombre y dos apellidos, junto con el dato de nuestros padres, el lugar y fecha de nacimiento determina nuestra residencia, nacionalidad o raza y edad como nuevos datos. 10

6 Una obligación una necesidad Nuestro desarrollo y mientras se forma nuestra personalidad se van incorporando nuevos datos, como son nuestros estudios académicos o nuestras convicciones personales y creencias. Nuestro esfuerzo concluye en nuevos datos, como son nuestra profesión y nuestra capacidad económica. Nuestras relaciones personales determinan el dato de nuestro estado civil. Nuestro sufrimiento representa un dato de salud. 11 Una obligación una necesidad El conocimiento y tratamiento de esos datos por personas distintas de su titular, ofrece ventajas competitivas: Identificar perfiles, Seleccionar destinatarios, Valorar aceptaciones de consumos 12

7 Objeto de la LOPD La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar 13 Objeto de la LOPD La legislación articula un principio fundamental: Las personas tienen la tutela de sus datos personales. Las empresas y la sociedad en general tienen la obligación de custodiar los datos personales con el fin de proteger la intimidad de las personas 14

8 Ámbito de aplicación La LOPD es de aplicación a los datos de carácter personal registrados en cualquier soporte físico susceptible de tratamiento. 15 Cumplir con la legislación Las tres patas de la ley: los aspectos jurídicos, los aspectos organizativos y los aspectos técnicos. Teniendo en cuenta: Principios de la Ley. Derechos de las personas. Obligaciones del Responsable de Fichero. Las medidas de seguridad. 16

9 Cumplir con la legislación Principios de la ley: 4. Calidad de datos. 5. Derecho de Información. 6. Consentimiento del afectado. 7. Datos Especialmente protegidos 8. Datos de Salud 9. Medidas de seguridad. 10.Deber de secreto. 11.Comunicación de datos. 12.Acceso a datos por cuenta de Terceros. 17 Cumplir con la legislación Derechos de las personas: 13.Impugnación de valoraciones. 14.Acceso al Registro General de Protección de Datos (RGPD). 15.Derecho de Acceso. 16.Derecho de Rectificación y Cancelación. 17.Derecho de Oposición. ARCO 18

10 Derechos del Interesado 19 Cumplir con la legislación Obligaciones del Responsable de Fichero: a) Inscripción de ficheros en el RGPD. Titularidad Privada. Titularidad Pública. b) Tratamiento leal y legal. c) Deber de secreto. d) Establecer medidas de seguridad: Articulo 9 de la LOPD Desarrollo de la LOPD mediante su Reglamento (RD 1720/2007) 20

11 Órganos de Control Amparo legislativo Las personas afectadas están amparadas mediante: Actuación mediante tribunales. Actuación mediante denuncia ante la Agencia Española de Protección de Datos o Agencia Vasca de Protección de Datos (administración pública). Actuación preventiva de la APD mediante los Planes de Inspección

12 23 Resoluciones y Sentencias

13 Sanciones Informe de la Agencia sobre sanciones 2008: Las multas impuestas por la AEPD ascendieron a 22,6 millones de euros, lo que supone un incremento de un 15% respecto al año anterior. Los tipos de sanciones fueron: El 75% graves El 18% leves El 7% muy graves 25 Sanciones Informe de la Agencia sobre sanciones 2008: Hubo denuncias de las cuales 535 terminaron en multa (un 22,5%). En 2008 se atendieron tutelas de derechos lo que supone un incremento del 44% respecto al año anterior. El número de consultas aumentó un 52,17% 26

14 Sanciones Ranking de sanciones 2008 Nº sanciones Incumplimiento 199 Calidad de datos 162 Consentimiento 41 Spam 39 Deber de secreto 37 Seguridad de datos 33 Clausulas informativas 24 Otros 27 Sanciones Ranking de sanciones 2008 Nivel de infracción LEVE Descripción del tipo de Infracción 1. No atender la solicitud de rectificación o cancelación por motivos formales. 2. No proporcionar información a APD. 3. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave). 4. Recoger datos personales sin proporcionar información a los afectados. 5. Incumplir el deber de secreto (puede ser infracción grave). Sanciones previstas

15 Sanciones Ranking de sanciones 2008 Nivel de infracción GRAVE Descripción del tipo de Infracción 1. Recoger datos personales sin consentimiento expreso de los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). 3. Mantener datos inexactos, sin rectificar o cancelar. 4. Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad. 5. Vulnerar el deber de secreto en ficheros de nivel medio. Sanciones previstas Sanciones Ranking de sanciones 2008 Nivel de infracción MUY GRAVE Descripción del tipo de infracción 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. 3. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber de notificación de la inclusión de datos personales. Sanciones previstas

16 Sanciones Sectores con mayor incumplimiento y tratamiento más sancionado durante el 2008: SECTOR Telecomunicaciones Financiero Comunicaciones electrónicas comerciales Comercio, transporte y hostelería TRATAMIENTO Publicidad telefónica, Atención a los derechos, Calidad de datos. Inclusión de afectados en fichero de morosos (art. 29) Spam Publicidad, cesión de datos, videovigilancia 31 Sanciones Ranking de sanciones del 2009 (datos hasta Diciembre) Nº sanciones Incumplimiento 154 Consentimiento 101 Calidad de datos 31 Spam 30 Clausulas informativas 28 Deber de secreto 26 Seguridad de los sistemas 46 Otros 32

17 Sanciones Comparación Incumplimiento Consentimiento Calidad de datos Spam Clausulas informativas Deber de secreto Seguridad de los sistemas Otros 33 Sanciones Sanciones durante el 2009: Las empresas más multadas: Empresa Cuantía Nº sanciones France Telecom España S.A ,27 34 Telefónica Móviles S.A ,59 20 Cable Europa S.A.U ,11 19 La empresa multada con la cuantía más elevada en una multa: Saberlotodo Internet S.L. con ,32 34

18 Conclusiones El origen de las sanciones dependen mayoritariamente de los tratamientos siguientes: 1. Inclusión en Fichero de morosos (art. 29 RLOPD, sector financiero) 2. Calidad de datos: regida de datos desleal, mantener los datos inexactos, no cancelar los datos debidamente (sector telecomunicaciones y otros sectores). 3. Consentimiento: falta de consentimiento previo o falta de consentimiento en la cesión o comunicación de datos (varios sectores). 4. Publicidad: envío de spam, recepción de publicidad sin consentimiento (varios sectores) 35 Conclusiones El origen de las sanciones depende mayoritariamente de los tratamientos siguientes: 5. Deber de secreto: revelación de información por parte de personal de la organización (varios sectores). 6. Seguridad de los sistemas: ataques informáticos, intrusismo, pérdida de información 7. Videovigilancia: falta de información y/o consentimiento (varios sectores). 36

19 Conclusiones El origen de las sanciones CUMPLIMIENTO LEGAL CUMPLIMIENTO ORGANIZATIVO CUMPLIMIENTO TECNICO 37 Sanciones EJEMPLOS DE SANCIONES LISTADO DE EMPRESAS SANCIONADAS NOTICIAS EN PRENSA 38

20 Análisis de Riesgos Consideraciones para el análisis del riesgo Para cumplir la LOPD y tomar acciones de prevención ES NECESARIO realizar un análisis del riesgo en la organización. Considerar: Sector al que pertenece. Tratamientos que realiza cada departamento. Conocimientos de LOPD por parte de los responsables. Sensibilización del personal 40

21 Gestionar la LOPD ELEMENTOS CLAVE Incidir en la gestión de la LOPD en la organización. Incidir en la sensibilización y responsabilidad de las personas con acceso a datos personales. Incidir en acciones preventivas para evitar sanciones. 41 Elementos clave Formación Divulgación de las obligaciones del Responsable de Fichero a través del organigrama de la organización: Responsables de RRHH Responsables de Seguridad y Salud laboral Responsables de marketing, comercial o publicidad Responsables de los Sistemas de Información Sensibilización a todo el personal con acceso a datos personales 42

22 Elementos clave Disponer de una infraestructura organizativa de cumplimiento de la LOPD: Responsable de Seguridad. Comité de Seguridad (según tamaño y complejidad de la organización). Disponer de Procedimientos de actuación: Para asegurar el cumplimiento de las obligaciones como Responsable de Fichero Para el cumplimiento de los derechos de los afectados Los obligatorios en el reglamento 43 Elementos clave Revisión del sistema de LOPD Revisiones periódicas y actualización del Documento de Seguridad. Auditorías centradas en el cumplimiento de la ley y del reglamento. Disponer de un plan de mejora como consecuencia de la auditoria que incluya la priorización de las acciones según el riesgo de sanción, el sector al que pertenece y los tratamientos que realiza la organización. Trabajar con BUENAS PRACTICAS 44

23 Ejemplos de interés Nivel de seguridad en ficheros de RRHH y Asesorías fiscales (Informe 0511/2009 de la Agencia Española) Los ficheros de RRHH (incluido Nominas) pueden ser de nivel BASICO siempre y cuando los datos de salud se refieran al porcentaje de minusvalía, apto o no apto y aquellas necesarias para la SS. En el caso de Asesorías con datos de clientes u organizaciones con datos de salud en RRHH, el nivel de seguridad puede ser BASICO si los datos especialmente protegidos se limitan a la discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado. 45 BUENAS PRACTICAS Guía de relaciones laborales publicada por la Agencia Española que incluye recomendaciones para la gestión de: Recursos humanos, Prevención de riesgos laborales, Controles empresariales, Relaciones con los sindicatos. aciones/common/pdfs/guia relaciones laborales.pdf 46

24 Ejemplos Grupos de empresas y la LOPD Informe 0498/2008 Las empresas de un grupo, estén éstas participadas o no, compartan propietario o no, en cualquiera de las formas de relación mercantil posibles deben cumplir la LOPD cada una de ellas. Un NIF tiene una responsabilidad legal de cumplimiento de la LOPD independientemente de las relaciones fiscales, mercantiles e internacionales que pudiera tener. 47 Ejemplos Responsable de Fichero vs Responsable de Tratamiento Situación ejemplo: un corredor de seguros extingue unilateralmente su contrato con una empresa aseguradora. Empresa aseguradora: responsable de fichero. Corredor de seguros: responsable de tratamiento. puede tratar los datos de las pólizas de sus clientes? De acuerdo a la LOPD, debe cancelar sus datos pero significaría la esclavitud frente a las empresas aseguradoras y la imposibilidad de atender a sus clientes. Según informe 0463/2009 la solución está en que el corredor de seguros asuma las obligaciones como Responsable de Fichero y gestione el consentimiento de sus clientes. 48

25 Ejemplos Videovigilancia Guia publicada por la agencia: aciones/common/pdfs/guia videovigilancia.pdf Hasta ahora era necesario que la instalación de las videocámaras y sistemas de vigilancia las realizara una empresa de seguridad. A partir de 27 de diciembre de 2009 con la ley 25/2009 (conocida como ley Omnibus) la instalación puede realizarla cualquier empresa siempre y cuando no implique conexión con central de alarma. 49 Preguntas? 50

26 Contacto Muchas gracias por su atención Montserrat Segarra 51