Reglamento RD-1720/2007, de desarrollo de la LOPD

Transcripción

1 Reglamento RD-1720/2007, de desarrollo de la LOPD Medidas de seguridad y otros aspectos novedosos Pedro Alberto González Encargado del Registro de Ficheros y NNTT

2 Contenido del Reglamento RD-1720/2007 Objeto, ámbito y definiciones Principios de Protección de Datos Derechos A.R.C.O Ficheros especiales Obligaciones previas al tratamiento de datos Transferencias internacionales Códigos tipo Medidas de Seguridad Procedimientos tramitados por la AEPD Plazos del Régimen transitorio Pedro Alberto González Reglamento RD.1720/2007 2

3 Índice de la presentación Principios de Protección de Datos Medidas de Seguridad en el Reglamento Plazos del Régimen transitorio Obligaciones previas al tratamiento de datos La AVPD Pedro Alberto González Reglamento RD.1720/2007 3

4 La cosa viene de lejos "Juro que no he sido republicano, que no acepto la expulsión del Emperador ni su reemplazo por el Anticristo Que no acepto el matrimonio civil ni la separación de la Iglesia del Estado ni el sistema métrico decimal. Que no responderé a las preguntas del censo. Que nunca más robaré ni fumaré ni me emborracharé ni apostaré ni fornicaré por vicio. Y que daré mi vida por mi religión y el Buen Jesús [El Beatito, en La Guerra del Fin del Mundo ] (Novela basada en hechos reales ocurridos en Brasil, 1897). Pedro Alberto González Reglamento RD.1720/2007 4

5 Intimidad / Privacidad La intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, Delimitación de la intimidad: Ámbito espacial: Mis cuatro paredes Ámbito subjetivo Persona / personaje Ámbito objetivo Conducta privada / pública Derecho a que me dejen en paz La privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Delimitación de la privacidad: Yo decido lo que me atañe Mis datos son míos Pedro Alberto González Reglamento RD.1720/2007 5

6 El circulo de la privacidad Pedro Alberto González Reglamento RD.1720/2007 6

7 El temor al tratamiento masivo de datos personales Constitución Portuguesa, 1976 se prohíbe atribuir un número nacional único a los ciudadanos Constitución Española, 1978 la Ley limitará el uso de la informática para garantizar la intimidad de los ciudadanos Sentencia del Tribunal Constitucional Alemán contra la Ley del Censo (1983) Concepto de Autodeterminación Informativa Pedro Alberto González Reglamento RD.1720/2007 7

8 La base de la Autodeterminación Informativa Consentimiento Manifestación de la voluntad de forma libre, inequívoca, específica e informada Ya sea para la captación, almacenamiento, tratamiento o cesión Podrá revocarse con posterioridad Habilitación Legal, como excepción al consentimiento Las generales, contenidas en la LOPD Las sectoriales, contenidas en Leyes específicas Pedro Alberto González Reglamento RD.1720/2007 8

9 Los principios de la Protección de Datos en la Ley Orgánica 15/1999 (LOPD) Calidad de los Datos Información previa Consentimiento del afectado Protección especial de ciertos datos Seguridad y deber de secreto Limitación de las cesiones de datos Pedro Alberto González Reglamento RD.1720/2007 9

10 Índice de la presentación Principios de Protección de Datos Medidas de Seguridad en el Reglamento Plazos del Régimen transitorio Obligaciones previas al tratamiento de datos La AVPD Pedro Alberto González Reglamento RD.1720/

11 Título VIII. Medidas de seguridad Definiciones (art. 5 en el título I) Capítulo I. Disposiciones generales (arts ) Capítulo II. Del documento de seguridad (art. 88) Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos automatizados Sección Primera. Medidas de seguridad de nivel básico (arts ) Sección Segunda. Medidas de seguridad de nivel medio (arts ) Sección Tercera. Medidas de seguridad de nivel alto (arts ) Capítulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados Sección Primera. Medidas de seguridad de nivel básico (arts ) Sección Segunda. Medidas de seguridad de nivel medio (arts ) Sección Tercera. Medidas de seguridad de nivel alto (arts ) Pedro Alberto González Reglamento RD.1720/

12 Definiciones a destacar (art. 5.1 en el título I) Encargado del Tratamiento: También pueden serlo Órganos Administrativos (relación jurídica en vez de contrato) Entes sin personalidad jurídica (UTEs): Pueden ser Responsables o encargados de tratamiento, cuando actúen como sujetos diferenciados Fichero no automatizado: Conjunto de datos estructurado con criterios específicos que permitan acceder sin esfuerzos desproporcionados Pedro Alberto González Reglamento RD.1720/

13 Definiciones a destacar (art. 5.2 en el título I) Documento: Escrito, gráfico, etc., que pueda ser tratado como una unidad diferenciada Ficheros temporales: Ficheros creados para un tratamiento ocasional o como paso intermedio Perfil de Usuario Accesos autorizados a un grupo de usuarios Sistema de tratamiento: Clasificación de los Sistemas en automatizados, no automatizados y parcialmente automatizados (o sea, mixtos) Transmisión de documentos: Traslado, comunicación, envío, entrega o divulgación de información Usuario: Sujeto o proceso que permite acceder a datos o recursos Pedro Alberto González Reglamento RD.1720/

14 Disposiciones generales: Niveles de seguridad Básico Cualquier otro fichero o tratamiento de datos de carácter personal Medio Infracciones administrativas o penales Servicios de información sobre solvencia patrimonial y crédito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboración de perfiles Medio (+ registro de accesos) Operadores TELECO tráfico y localización Alto Datos especialmente protegidos Fines policiales sin consentimiento de las personas afectada Violencia de género Pedro Alberto González Reglamento RD.1720/

15 Excepciones a la aplicación de medidas de Nivel Alto Bastará con nivel básico en los siguientes casos: Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, para: transferencia dineraria a entidades de las que los afectados sean asociados o miembros, tratamiento manual de forma incidental o accesoria, sin guardar relación con la finalidad Salud (grado o condición de discapacidad o invalidez), para: cumplimiento de deberes públicos Pedro Alberto González Reglamento RD.1720/

16 Otras disposiciones generales Encargado del tratamiento (art. 82) Prestaciones de servicios sin acceso a datos personales (art. 83). Delegación de autorizaciones (art. 84). Acceso a datos a través de redes de comunicaciones (art. 85). Trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (art. 86). Ficheros temporales o copias de trabajo de documentos (art. 87). Pedro Alberto González Reglamento RD.1720/

17 Aplicación de las medidas, con independencia de QUIÉN realice el tratamiento Encargado del tratamiento: Diferentes modos de prestación del servicio (local, remoto, externo) (art. 82) Prestación de servicios sin acceso a datos personales: Cláusula en el contrato (limpieza, seguridad, ) (art. 83) Posibilidad de delegación de autorizaciones (art. 84) DÓNDE (o desde donde) se realice Acceso a datos a través de redes de comunicaciones, sean o no públicas (art. 85) Régimen de trabajo fuera de los locales del responsable o encargado del tratamiento: Dispositivos portátiles (art. 86) CÓMO se realice Ficheros temporales o copias de documentos (art. 87) Pedro Alberto González Reglamento RD.1720/

18 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Sólo no automatizados Art. 93. Identificación y autenticación Art. 94. Copias de respaldo y recuperación Art Criterios de archivo - posibilitar derechos ARCO Art Dispositivos de almacenamiento - mecanismos apertura Art Custodia de los soportes - en el proceso de tramitación Pedro Alberto González Reglamento RD.1720/

19 Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Sólo automatizados Sólo no automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art Registro de incidencias Pedro Alberto González Reglamento RD.1720/

20 Resumen medidas nivel Alto Sólo automatizados Art Gestión y distribución de soportes Cifrado de datos. Evitar dispositivos que no permitan el cifrado Art Copias de respaldo y recuperación Art Registro de accesos Excepción: Responsable persona física y único usuario Art Telecomunicaciones Cifrado en redes públicas o inalámbricas Sólo no automatizados Art Almacenamiento de la información Archivadores, áreas restringidas Art Copia o reproducción Personal autorizado Art Acceso a la documentación Mecanismo identificación accesos por diferentes usuarios Art Traslado de documentación Impedir acceso, manipulación Pedro Alberto González Reglamento RD.1720/

21 El Decálogo de las medidas de seguridad 1. Disponer de un Documento de Seguridad, y aplicarlo!!! 2. Designar un Responsable de Seguridad 3. Efectuar Controles periódicos y Auditorías 4. Definir y documentar las funciones y obligaciones del personal 5. Identificar y autenticar a los usuarios 6. Disponer de controles y registros de accesos 7. Gestionar adecuadamente soportes y documentos 8. Procedimentar las copias de respaldo y recuperación 9. Prever y gestionar las incidencias de seguridad 10. Gestionar los accesos a través de la redes de comunicaciones Pedro Alberto González Reglamento RD.1720/

22 1.a- Documento de Seguridad: Nivel Básico contenido Establece y recopila: El Ámbito de aplicación. Las medidas, normas, procedimientos y estándares de seguridad. Las funciones y obligaciones del personal. La estructura de los ficheros y la descripción de los sistemas de información. Los procedimientos de gestión y respuesta ante incidencias. Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes. Nivel Medio Aplicable a ficheros automatizados y manuales N. Alto Además debe contener: La Identificación del responsable de seguridad. Los Controles periódicos del cumplimiento del documento. Pedro Alberto González Reglamento RD.1720/

23 1.b- Documento de Seguridad: cambios que mejoran su utilización Nivel Básico Nivel Medio N. Alto Segregación de ficheros por niveles (art. 81.8) Único, para todos los ficheros, agrupado o individualizado por cada fichero, en función de sistemas de tratamiento u otros criterios Carácter Interno. Controlado y actualizado periódicamente Recogerá las situaciones excepcionales: Prestaciones de servicios, uso de dispositivos portátiles, Medidas compensatorias, imposibilidad aplicación medidas previstas Delegación de autorizaciones (art. 84) Ficheros externalizados completamente Ficheros gestionados como Encargado de Tratamiento Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento Aplicable a ficheros automatizados y manuales Pedro Alberto González Reglamento RD.1720/

24 2.- Responsable de Seguridad Nivel Básico Nivel Medio Nivel Alto Debe existir uno o varios, designados por el responsable del fichero. Es el encargado de coordinar y controlar las medidas del documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero Aplicable a ficheros automatizados y manuales Pedro Alberto González Reglamento RD.1720/

25 3.- Controles periódicos del Documento Nivel Básico de Seguridad y Auditorías Nivel Medio Realizar controles periódicos Mantener actualizado el Documento de Seguridad Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable del fichero A disposición de la AVPD Aplicable a ficheros automatizados y manuales Nivel Alto Pedro Alberto González Reglamento RD.1720/

26 4.- Funciones y obligaciones Nivel Básico del Personal Nivel Medio Aplicable a ficheros automatizados y manuales Nivel Alto Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Pedro Alberto González Reglamento RD.1720/

27 5.- Identificación y Autenticación Nivel Básico Se identificará univoca y personalmente a cada usuario Procedimiento de asignación y gestión de contraseñas Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Nivel Medio Nivel Alto Existirá un límite al número de intentos reiterados de acceso no autorizado. Aplicable solo a ficheros automatizados Pedro Alberto González Reglamento RD.1720/

28 6.a- Controles y Registros de Accesos para ficheros automatizados Nivel Básico Acceso únicamente a los datos y recursos necesarios para sus funciones. Relación actualizada de usuarios y perfiles y sus accesos autorizados. Mecanismos para evitar el acceso con distintos derechos. Concesión de derechos por personal autorizado. Nivel Medio Existirán controles de acceso físico a los locales donde se encuentren ubicados los sistemas de información. Nivel Alto Existirá un Registro de Accesos donde figurará: usuario, hora, fichero, tipo acceso registro accedido. Bajo el control del responsable de seguridad. Se hará un informe mensual. Se conservará al menos durante 2 años. Excepción: Accede una única persona física Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales Pedro Alberto González Reglamento RD.1720/

29 6.b- Controles y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Acceso únicamente a los datos y recursos necesarios para sus funciones. Relación actualizada de usuarios y perfiles y sus accesos autorizados. Mecanismos para evitar el acceso con distintos derechos. Concesión de derechos por personal autorizado. Nivel Alto El acceso se limitará al personal autorizado. Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuarios Procedimiento en el Documento de Seguridad para registrar los accesos de otras personas Aplicable a ficheros automatizados y manuales Aplicable solo a ficheros manuales Pedro Alberto González Reglamento RD.1720/

30 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Inventario de soportes Acceso restringido. Salida autorizada de soportes, incluso . Medidas en el traslado para impedir pérdidas, Medidas para impedir la recuperación de datos de soportes desechados o reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y manuales Nivel Medio Habrá un registro de entrada y salida de soportes. Nivel Alto Cripto-Etiquetado Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso. Cifrado de dispositivos portátiles. Excepciones, al DS Aplicable solo a ficheros automatizados Pedro Alberto González Reglamento RD.1720/

31 7.b- Gestión de Soportes y Documentos Nivel Básico para ficheros manuales Nivel Medio Se aplicarán criterios de archivo que permitan la conservación, localización y consulta Los dispositivos de almacenamiento tendrán mecanismos que obstaculicen su apertura Cuando la documentación no se encuentre archivada, su depositario deberá custodiarla e impedir accesos no autorizados Aplicable solo a ficheros manuales Nivel Alto El acceso a armarios, archivadores, etc. estará protegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas. Soluciones alternativas, motivadas en el Documento de Seguridad Siempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación Pedro Alberto González Reglamento RD.1720/

32 8.- Procedimientos de Respaldo y Recuperación Nivel Básico Nivel Medio Procedimientos de copia para respaldo y recuperación, al menos semanalmente Garantizar la reconstrucción de los datos al mismo estado en que se encontraban en el momento de la pérdida o destrucción. Verificación semestral de su definición, funcionamiento y aplicación Pruebas con datos reales con mismo nivel de seguridad y con copia de seguridad Nivel Alto Las copias de respaldo y los procedimientos de recuperación se conservarán en un lugar diferente de donde se encuentren los equipos. Aplicable solo a ficheros automatizados Pedro Alberto González Reglamento RD.1720/

33 9.- Procedimiento de Gestión de Incidencias Nivel Básico Debe existir un Registro de Incidencias con: tipo de incidencia, cuándo se ha producido, persona que la notificia, persona a quien se comunica efectos derivados. Aplicable a ficheros automatizados y manuales Nivel Medio Nivel Alto Además, debe contener: Procedimientos efectuados para recuperación de los datos, persona que lo ejecuta, datos restaurados datos grabados manualmente. Es necesaria la autorización por escrito del responsable del fichero para su recuperación. Aplicable solo a ficheros automatizados Pedro Alberto González Reglamento RD.1720/

34 10.- Acceso y transmisión mediante Nivel Básico Telecomunicaciones Nivel Medio Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones, sean públicas o privadas, deberán de garantizar un nivel de seguridad equivalente al los accesos en modo local Aplicable solo a ficheros automatizados Nivel Alto La transmisión de datos a través de redes de telecomunicaciones Públicas Inalámbricas se realizará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Pedro Alberto González Reglamento RD.1720/

35 Resumen de novedades Se incluye el concepto de tratamiento no automatizado (ficheros manuales) Niveles de seguridad de los ficheros Nivel básico: queda igual Nivel medio: se incluyen los ficheros de perfiles Nivel alto: violencia de género Documento de Seguridad Puede ser único para toda la organización, individual para cada fichero o tratamiento o agrupado por sistema de tratamiento. Art 5: identificación de los ficheros tratados por cuenta de terceros Art 6: delegación del Documento de Seguridad al encargado del tratamiento Identificación y autenticación La identificación inequívoca y personalizada de todo usuario pasa del nivel medio al básico. Art 93.1 Control de acceso Se incluye el concepto de usuario, perfil de usuario y acceso autorizado. Gestión y distribución de soportes y documentos Las medidas para impedir la recuperación de datos en caso de desecho de bajan del nivel medio al básico. Se incluye el concepto de etiquetado inteligente para el nivel alto (art 101.1) Se incluye el concepto de documento además del de soporte Copias de respaldo y recuperación Se incluye una verificación semestral de los procedimientos de copia Se incluye la cláusula de las pruebas con datos reales Registro de accesos Se incluye una excepción (art 103.6) a la existencia de este registro Además de lo anterior se añade toda la parte de las medidas de seguridad para los tratamientos no automatizados Pedro Alberto González Reglamento RD.1720/

36 Índice de la presentación Principios de Protección de Datos Medidas de Seguridad en el Reglamento Plazos del Régimen transitorio Obligaciones previas al tratamiento de datos La AVPD Pedro Alberto González Reglamento RD.1720/

37 Plazos del régimen transitorio Entrada en vigor: (tres meses tras su publicación) Ficheros nuevos (sean manuales o automatizados) Aplicación de las medidas correspondientes a su nivel desde su creación Ficheros Automatizados preexistentes Medidas adicionales: (1 año tras entrada en vigor) Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas Nivel medio: (1 año tras entrada en vigor) Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio Nivel alto: (18 meses tras entrada en vigor) Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos) No automatizados preexistentes Nivel Básico: (1 año tras entrada en vigor) Nivel Medio: (18 meses tras entrada en vigor) Nivel Alto: (2 años tras entrada en vigor) Pedro Alberto González Reglamento RD.1720/

38 Plazos del régimen transitorio Entrada en vigor: (tres meses tras su publicación) Ficheros nuevos (sean manuales o automatizados) Aplicación de las medidas correspondientes a su nivel desde su creación (1 año tras entrada en vigor) Medidas adicionales Ficheros Automatizados preexistentes : Art. 93: personalización de usuarios, de medio a básico Art. 94: pruebas con datos reales, de medio a básico Art. 101: cifrado de dispositivos y soportes portátiles fuera de instalaciones Art. 104: cifrado redes inalámbricas Nivel medio Ficheros Automatizados preexistentes Seguridad Social, Mutuas, Perfiles personalidad, Telecos (tráfico, localización) medidas de nivel medio Nivel Básico Ficheros NO Automatizados preexistentes (18 meses tras entrada en vigor) Nivel alto Ficheros Automatizados preexistentes : Violencia de género, Telecos (tráfico, localización) art. 103, Registro de accesos) Nivel Medio Ficheros NO Automatizados preexistentes (2 años tras entrada en vigor) Nivel Alto Ficheros NO Automatizados preexistentes Pedro Alberto González Reglamento RD.1720/

39 Índice de la presentación Principios de Protección de Datos Medidas de Seguridad en el Reglamento Plazos del Régimen transitorio Obligaciones previas al tratamiento de datos La AVPD Pedro Alberto González Reglamento RD.1720/

40 El cumplimiento de la LOPD, paso a paso 1. Documéntese 2. Cumpla con los requisitos formales 3. Cumpla con las obligaciones materiales 4. Vigile y haga vigilar las medidas de seguridad Pedro Alberto González Reglamento RD.1720/

41 Documentándose sobre la LOPD 1. Como punto de partida, examine nuestra página web ( 2. Lea la Ley Orgánica de Protección de Datos (LOPD, Ley 15/1999), 3. Lea la Ley Autonómica de Creación de la Agencia Vasca de Protección de Datos (LAVPD, Ley 2/2004), 4. Lea el nuevo Reglamento (RD-1720/2007), de Desarrollo de la LOPD Pedro Alberto González Reglamento RD.1720/

42 Cumplimiento de los requisitos formales: 1. Efectuar el inventario más completo posible de los posibles ficheros de datos personales 2. Identificar las características necesarias para su declaración, recogidas en el artículo 20 de la LOPD y desarrolladas en el artículo 54 del RD-1720/ Cumplimentar, a modo de borrador, el Programa de Autodeclaración que facilita la AVPD en su página web 4. Confeccionar la disposición de regulación de ficheros 5. Aprobar dicha disposición y publicarla en el Boletín Oficial que corresponda 6. Cumplimentar definitivamente el Programa de Autodeclaración y remitir la declaración a la AVPD Pedro Alberto González Reglamento RD.1720/

43 Cumplimiento de las obligaciones materiales 1. Tratar adecuadamente los Datos Personales Recogida de datos Mantenimiento y actualización. Secreto Profesional 2. Facilitar a quienes figuren en los ficheros el ejercicio de sus derechos A.R.C.O. (Acceso, Rectificación, Cancelación y Oposición) 3. Otras Recomendaciones: Adopción de Códigos Tipo o Manuales de Buenas Prácticas Prestar atención a los contratos con terceros Proporcionar apoyo y formación al personal Pedro Alberto González Reglamento RD.1720/

44 Índice de la presentación Principios de Protección de Datos Medidas de Seguridad en el Reglamento Plazos del Régimen transitorio Obligaciones previas al tratamiento de datos La AVPD Pedro Alberto González Reglamento RD.1720/

45 AVPD: Quienes somos Naturaleza La AVPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Régimen jurídico Se crea por la Ley 2/2004 del Parlamento Vasco (LAVPD) Actúa como Autoridad de Control en la aplicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). En tanto que Administración Pública, se rige por la Ley 30/1992, de Régimen Jurídico de las AAPP y del Procedimiento Administrativo Común. Sus bienes y derechos pertenecen al patrimonio de la Comunidad Autónoma del País Vasco. Pedro Alberto González Reglamento RD.1720/

46 Donde estamos Dirección de la Agencia Vasca de Protección de Datos: C/ Beato Tomás de Zumárraga, 71, 3ª Planta Vitoria - Gasteiz Tel. + (34) Fax. + (34) avpd@avpd.es Como llegar: La sede de la AVPD se encuentra en el ala oeste del antiguo Seminario de Vitoria-Gasteiz En el mismo edificio tienen también su sede el Tribunal Vasco de Cuentas e Izenpe, la entidad de certificación de las Administraciones Vascas En internet: Pedro Alberto González Reglamento RD.1720/

47 Ámbito de actuación de la AVPD Ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por: La Administración General de la Comunidad Autónoma, Los Órganos Forales de los Territorios Históricos Las Administraciones Locales del ámbito territorial de la Comunidad Autónoma del País Vasco, Los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público. El Parlamento Vasco, El Tribunal Vasco de Cuentas Públicas, El Ararteko, El Consejo de Relaciones Laborales, El Consejo Económico y Social, El Consejo Superior de Cooperativas, La Agencia Vasca de Protección de Datos. La Comisión Arbitral, Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco. Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario. Pedro Alberto González Reglamento RD.1720/

48 Excepciones No obstante, la Agencia Vasca de Protección de Datos NO incluye en su ámbito de actuación a los ficheros: Sometidos a la normativa sobre protección de materias clasificadas. Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Regulados por la legislación de régimen electoral. Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia. Pedro Alberto González Reglamento RD.1720/

49 Funciones Ejecutivas de la AVPD Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación Emitir las autorizaciones previstas en las leyes y reglamentos. Atender las peticiones y reclamaciones formuladas por los afectados Requerir a los responsables y a los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento Ordenar la cesación de los tratamientos y la cancelación de los ficheros no ajustados a derecho. Inmovilizar ficheros Ejercer la potestad sancionadora y proponer la iniciación de procedimientos disciplinarios Velar por la publicidad de la existencia de los ficheros de datos con carácter personal Pedro Alberto González Reglamento RD.1720/

50 Otras Funciones de la AVPD Funciones Normativas Dictar instrucciones para adecuación de los tratamientos Regular el procedimiento de inscripción en el Registro de Ficheros Desarrollo legislativo de la LAVPD Estatuto de la AVPD Reglamento de tutela de derechos y de control de los ficheros de datos de carácter personal. Norma de organización y funcionamiento del Consejo Consultivo Consultivas Proporcionar información a las personas acerca de sus derechos Atender a las consultas que formulen las administraciones públicas, así como otras personas físicas o jurídicas Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la LAVPD. Pedro Alberto González Reglamento RD.1720/

51 Estructura de la AVPD Director Consejo Consultivo Asesoría Jurídica e Inspección Registro de P.D. y Nuevas Tecnologías Secretaría General Pedro Alberto González Reglamento RD.1720/

52 El Consejo Consultivo El director de la Agencia Vasca de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: Un representante del Parlamento Vasco, designado por éste. Un representante de la Administración de la Comunidad Autónoma del País Vasco, designado por el Consejo de Gobierno. Un representante de los territorios históricos, designado por éstos de común acuerdo. Un representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, designado por la asociación más representativa de las mismas en el citado ámbito territorial. Dos expertos, uno en informática y otro en el ámbito de los derechos fundamentales, designados por la Universidad del País Vasco previa consulta a las corporaciones de derecho público de la Comunidad Autónoma del País Vasco. Pedro Alberto González Reglamento RD.1720/

53 Asesoría Jurídica e Inspección Funciones de Instrucción. instrucción de los procedimientos de tutela de derechos a que den lugar las reclamaciones de los ciudadanos instrucción de los procedimientos sancionadores y de infracción incoados a las Administraciones Públicas, Instituciones, Entidades y Corporaciones Funciones de Inspección. Efectuar inspecciones probatorias o circunstanciales, relacionadas con la instrucción de expedientes, de cualesquiera de los ficheros a comprendidos en el ámbito de la AVPD, se hallen o no inscritos en el Registro de Protección de Datos Colaborar con el Registro de Protección de Datos en las Inspecciones Sectoriales Funciones de Informe, Resolución de Consultas y Asesoría Jurídica. Elaboración de informes jurídicos sobre disposiciones relacionadas con la Protección de Datos Responder a consultas planteadas por ciudadanos o Administraciones Asesoramiento jurídico a la Agencia Vasca de Protección de Datos Pedro Alberto González Reglamento RD.1720/

54 Unidad de Registro de Protección de Datos y Nuevas Tecnologías Funciones relacionadas con el Registro de Protección de Datos. Gestión del Registro de Protección de Datos previsto en el artículo 18 de la Ley 2/2004 Promover la publicidad de la existencia de ficheros de datos de carácter personal. Funciones relacionadas con la Inspección: Efectuar Inspecciones sectoriales Colaborar con la Asesoría Jurídica en las Inspecciones Probatorias Otras Funciones: Realización de estudios relacionados con las nuevas tecnologías Planificación de Sistemas de la propia Agencia. Coordinación de la red de colaboradores en materia de protección de datos Pedro Alberto González Reglamento RD.1720/

55 Secretaría General Funciones de Gestión. Gestión de los recursos humanos y materiales de la Agencia. Gestión económico-administrativa de su presupuesto Instrucción de los procedimientos relacionados con lo anterior Funciones de información general, formación y documentación. Informar al ciudadano de los derechos que la Ley le reconoce Organizar eventos sobre protección de datos. Funciones instrumentales para el resto de la Agencia. Notificar las resoluciones del Director o Directora de la Agencia. Coordinar las relaciones con los medios de comunicación. Ejercer la Secretaría del Consejo Consultivo. Pedro Alberto González Reglamento RD.1720/

56 Los Colaboradores en Protección de Datos Como apoyo al Responsable del Fichero: Consultores de su propia organización en P.D. Dinamizar y controlar los aspectos formales de los propios ficheros (registro y seguridad) Integrados en la política de seguridad de la Organización Canalizar el ejercicio de derechos por los ciudadanos Como colaboradores de la AVPD: Relación directa con la A.V.P.D. Receptores de información especializada Formación orientada a su perfil Como miembros de la Red: Intercambio de experiencias entre las diversas administraciones Una Red de Colaboradores en Protección de Datos en el Gobierno Vasco? Pedro Alberto González Reglamento RD.1720/