LOPD y reglamento para emprendedores. Juan Luis García Rambla Director Técnico de seguridad Microsoft MVP Security

Transcripción

1 LOPD y reglamento para emprendedores Juan Luis García Rambla Director Técnico de seguridad Microsoft MVP Security

2 Agenda Agencia de protección de datos Principios Figuras de la empresa Tipos de datos Medidas de seguridad Obligaciones ante la AEPD Relaciones con terceros Comunicaciones internacionales Derechos de los usuarios Infracciones Sanciones El día a día en la empresa Casos prácticos

3 Introducción

4 Introducción Atender y velar por los intereses de los ciudadanos en materia de protección de datos de carácter personal Determinar las obligaciones de las personas físicas y jurídicas Establecer mecanismo sancionador 7 títulos y 49 artículos más 12 disposiciones

5 LOPD: Leyes y reglamentos

6 LOPD: Leyes y reglamentos (i) Constitución Española de 1978 Artículo La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Artículo Estas libertades tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las leyes que lo desarrollen y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia.

7 LOPD: Leyes y reglamentos (ii) LORTAD: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Problemas: Tecnología Directiva 95/46/CE

8 LOPD: Leyes y reglamentos (iii) Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Artículo 17. Seguridad del tratamiento 1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ílícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ílícito de datos personales.

9 LOPD: Leyes y reglamentos (iv) Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Objetivo: Regular las medidas de seguridad de los ficheros automatizados

10 LOPD: Leyes y reglamentos (v) La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. Objetivos: Derogar y complementar la LORTAD Ampliar el ámbito de aplicación Definir derechos y deberes

11 LOPD: Leyes y reglamentos (vi) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Objetivos: Derogar el antiguo reglamento Desarrollar la aplicación de la LOPD Definir las medidas de aplicación

12 LOPD: Leyes y reglamentos (vii) Ley: Figuras Definición de ficheros y niveles Derechos, deberes y obligaciones Infracciones y sanciones Reglamento: Mecanismos y procedimientos Derechos protegidos Ámbitos de aplicación Niveles de seguridad Medidas de seguridad Procedimientos AEPD Y quién regula la LOPD?

13 Agencia de protección de datos

14 Agencia de protección de datos (i) Servicios: Atención al ciudadano Sede electrónica Resoluciones Guías oficiales FAQs

15 Agencia de protección de datos (ii)

16 Principios Ley 15/99

17 Principios (i) Calidad de los datos (art. 4) Exactos y únicamente los necesarios Actualizados Usados para lo que se recogieron Cancelados si no se van a usar Art. 3.a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. RD Art. 5.f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. RD Art. 5.o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

18 Principios (ii) Derecho de información (art. 5) Existencia y finalidad del fichero Destinatarios del fichero Derechos que se pueden ejercitar sobre los datos Identidad del responsable del tratamiento Si se han recabado los datos por medio de una tercera parte Art. 3.b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. RD Art. 5.k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

19 Principios (iii) Derecho de información (art. 5) Fuentes de acceso públicas: indicar la procedencia en cada comunicación Art. 3.j) Fuentes accesibles al público: [ ] Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. Dicho esto, Tengo que crear siempre un fichero?

20 Principios (iv) La Ley Orgánica no será de aplicación A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

21 Principios (v) Consentimiento (art. 6) En todo caso salvo que la ley diga lo contrario No necesario: Contrato de una relación laboral o administrativa Fuentes de acceso público Revocación: A través de un método sencillo y gratuito 10 días de plazo Art. 3.h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

22 Principios (vi) Datos especialmente protegidos (art. 7) Necesario un consentimiento expreso para datos de ideología, afiliación sindical, religión o creencias Excepto determinadas asociaciones (religiosas, sindicatos, ) Origen racial, vida sexual o salud No está permitido crear ficheros específicos sobre estos datos

23 Principios (vii) Datos relativos a la salud (art. 8) Únicamente si el paciente acude voluntariamente

24 Principios (viii) Seguridad de los datos (art. 9) El responsable del fichero deberá encargarse de establecer las medidas técnicas y organizativas necesarias Los ficheros deben reunir las condiciones necesarias para poder albergar información de carácter personal

25 Principios (ix) Deber de secreto (art. 10) No divulgar datos de carácter personal a aquellas personas o entidades no autorizadas

26 Principios (x) Comunicación de datos (art. 11) Únicamente para el desarrollo de la actividad para la que se cedieron los datos y con el consentimiento del interesado Es posible si los datos son disociados Art. 3.f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Art. 3.c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

27 Principios (xi) Acceso a datos por cuenta de terceros (art. 12) Si un tercero presta un servicio, no es considerada comunicación Necesario un contrato que indique: Que el encargado implementará las medidas adecuadas Las acciones a llevar a cabo al finalizar el contrato: destrucción o devolución No usará los datos para otra finalidad diferente Si en encargado del tratamiento destina los datos a otra finalidad, será considerado responsable del tratamiento Qué figuras intervienen?

28 Figuras de la empresa

29 Figuras de la empresa (i) Interesado/afectado Nuestros clientes ante nosotros Nosotros ante otros Art. 3.e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

30 Figuras de la empresa (ii) Responsable del fichero/tratamiento Decide sobre la finalidad de los datos Establece el tipo de tratamiento de los datos Gestionar el contenido de los ficheros Toma de decisión en los procedimientos Establecer las medidas de seguridad sobre los ficheros Art. 3.d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

31 Figuras de la empresa (iii) Encargado del tratamiento Trata/gestiona los datos en nombre del responsable del fichero Implementa las medidas de seguridad necesarias Deberá ser notificado Art. 3.g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Art. 9.1) El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural. Art. 12.2) [ ] el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, [ ]

32 Figuras de la empresa (iv) Responsable de seguridad Ficheros de nivel medio/alto Evaluar las auditorias realizadas Realizar un informe mensual de incidencias derivadas del tratamiento de datos de nivel alto Deberá ser notificado

33 Figuras de la empresa (v) Tercero Persona que realiza acciones en nombre del responsable del fichero Implementará las medidas necesarias Deberá ser notificado Contrato (artículo 12) Qué datos van a tratar estas figuras?

34 Tipos de datos

35 Tipos de datos (i) 3 tipos de datos de carácter personal Nivel básico Nivel medio Nivel alto

36 Tipos de datos (ii) Nivel básico Todos Todos?

37 Tipos de datos (iii) Nivel medio Aquellos que definan características o la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de su personalidad o de su comportamiento Aquellos a cargo de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social Prestación de servicios de información sobre solvencia patrimonial y crédito Infracciones administrativas o penales Aquellos datos a cargo de administraciones tributarias o financieras

38 Tipos de datos (iv) Nivel alto Datos de: Ideología Afiliación sindical Religión Creencias Origen racial Salud Vida sexual (*) Básicos si tienen la finalidad de realizar una transferencia dineraria a las entidades correspondientes (Ej. Cuotas) Datos relacionados con los servicios de comunicaciones electrónicas Datos con fines policiales Datos derivados de actos de violencia de género Y ahora, cómo los protejo?

39 Medidas de seguridad

40 Medidas de seguridad (i) Nivel básico Definir las funciones y obligaciones del personal Registro de incidencias Controlar el acceso Gestión de soportes Controlar e identificar los soportes Evitar perdidas de dispositivos Borrado seguro Identificación y autentificación Copias de respaldo y recuperación

41 Medidas de seguridad (ii) Nivel medio Medidas de seguridad de nivel básico Responsable de Seguridad Auditoría Gestión de soportes y documentos Registro de entrada/salida Identificación y autenticación Prevención de intentos de acceso reiterados Control de acceso físico Registro de incidencias Procedimientos Responsable

42 Medidas de seguridad (iii) Nivel alto Medidas de seguridad de nivel básico y medio Gestión y distribución de soportes Etiquetado no identificable Copias de respaldo y restauración Diferentes localizaciones Registro de accesos Guardar información sobre los intentos de acceso Telecomunicaciones Cifrado de datos Ya tengo las medidas implantadas. Y ahora qué?

43 Obligaciones ante la AEPD

44 Obligaciones ante la AEPD (i) Definición del documento de seguridad Responsabilidad del responsable del fichero Debe contener: Ámbito de aplicación Medidas, normas, procedimientos y estándares Personal autorizado Funciones y obligaciones del personal Estructura de los ficheros Relaciones con terceros Detalles de las auditorias realizadas

45 Obligaciones ante la AEPD (ii) Registro del fichero (i) Antes de utilizar los datos!! No mandar los datos a la AEPD!! Indicar: Responsable Finalidad Ubicación Tipo de datos Medidas de seguridad Cesiones previstas Transferencias internacionales previstas Registro usando el sistema NOTA: Internet con certificado digital Internet sin certificado Mediante formulario en papel Comunicar los cambios en el fichero

46 Obligaciones ante la AEPD (iii) Notificación de responsabilidades Responsable de seguridad (datos de nivel medio y alto)

47 Obligaciones ante la AEPD (iv) Realización de auditorías Aplicable para ficheros de nivel medio y alto Bianual Interna o externa Y si trabajo con otras personas?

48 Relaciones con terceros

49 Relaciones con terceros (i) Tercero Persona que realiza acciones en nombre del responsable del fichero Implementará las medidas necesarias Art. 12.2) La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con el fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad [ ] que el encargado del tratamiento está obligado a implementar. Art. 12.4) En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

50 Relaciones con terceros (ii) El acceso a los datos por parte del encargado del tratamiento no se considera comunicación (RD Art ) El encargado del tratamiento no podrá subcontratar la gestión de los datos salvo indicación expresa Deberá existir un contrato entre las partes Que el encargado implementará las medidas adecuadas Al finalizar el contrato: destrucción o devolución No usará los datos para otra finalidad diferente Si en encargado del tratamiento destina los datos a otra finalidad, será considerado responsable del tratamiento Al hilo de las relaciones con terceros.

51 Comunicaciones internacionales

52 Comunicaciones internacionales El país de destino debe proporcionar un nivel de protección equiparable El director de la agencia ha aprobado la transferencia internacional de datos Permitido cuando: Exista un convenio o tratado internacional Exista el consentimiento del afectado Sea necesaria para la prestación de un servicio Ya lo tengo todo preparado, seguro?

53 Derechos de los usuarios

54 Derechos de los usuarios (i) Derecho de acceso (art. 15) Plazo máximo de 1 mes De forma gratuita Se podrá denegar el acceso si: Ya se ha solicitado en los 12 meses anteriores La ley o el deber de secreto impida satisfacer el derecho Comunicación en cualquier caso, se tengan o no datos del solicitante RD Art. 27.1) El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

55 Derechos de los usuarios (ii) Derecho de rectificación y cancelación (art. 16) Cambiar y suprimir los datos Necesaria documentación justificativa Plazo de 10 días Trasladar la modificación/cancelación a los posibles cesionarios (los terceros receptores de los datos) La cancelación no supone eliminación inmediata RD Art. 31.1) El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. RD Art. 31.2) El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento Art ) La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales [ ]

56 Derechos de los usuarios (iii) Derecho de indemnización (art. 19) Derecho al honor y a la intimidad 1) Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

57 Derechos de los usuarios (iv) Derecho de oposición (RD. Capítulo IV) Solicitar la no utilización de los datos para determinados fines Necesaria documentación/motivos fundados Plazo de 10 días Comunicación en cualquier caso, se tengan o no datos del solicitante Art. 34. El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: a) Cuando no sea necesario su consentimiento para el tratamiento[ ] b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial[ ] c) [ ] Qué pasa si no tengo en cuenta la LOPD?

58 Infracciones

59 Infracciones (i) Leves No notificar a la AEPD No solicitar la inscripción del fichero Incumplir el deber de información Transmisión de datos a un encargado del tratamiento sin cumplir el art. 12

60 Infracciones (ii) Graves Recoger datos sin el consentimiento si éste es necesario Tratar datos de carácter personal o usarlos posteriormente incumpliendo la ley No guardar el deber de secreto No atender los derechos de los interesados No informar al interesado cuando se han recabado los datos del mismo Mantener los ficheros y soportes de los mismos sin las debidas condiciones de seguridad No atender los requerimientos de la Agencia La obstrucción al ejercicio de la función inspectora La comunicación o cesión de los datos sin contar con legitimación para ello

61 Infracciones (iii) Muy graves La recogida de datos en forma engañosa o fraudulenta. Tratar o ceder los datos especialmente protegidos Crear archivos específicos de datos especialmente protegidos No dejar de tratar datos previo requerimiento de la Agencia Transferencia internacional de datos a países sin la protección adecuada sin autorización Qué me puede pasar si comento alguna infracción?

62 Sanciones

63 Sanciones (i) Dependerán de la infracción Leve: de 900 a Grave: de a Muy grave: de a Cómo las evito?

64 Sanciones (ii) Cumpliendo la ley Comprobando los procedimientos Evaluando mi forma de trabajar Parándome a pensar lo estoy haciendo bien? Teniendo presente la LOPD Cómo las minimizo?

65 Sanciones (iii) Teniendo la menor intencionalidad Sin reincidir Colaborando con la Agencia Resolviendo las infracciones adecuada y diligentemente Cumpliendo la ley (cuanto más, mejor) Ahora veamos como tenemos que trabajar

66 El día a día en la empresa

67 El día a día en la empresa (i) Antes de nada Sé cómo actuar en cada caso? He implementado correctamente la LOPD? Tengo definidos unos procedimientos o políticas de actuación? Mis empleados saben cómo tratar la información que utilizan? Recopilación de información La información es apta para incorporarla en el fichero? Informo a los usuarios sobre la recogida de datos? Guardo únicamente la información necesaria? Atención a los usuarios Cumplo los plazos? Llevo un control de quién me pide qué y las fechas de solicitud y respuesta?

68 El día a día en la empresa (ii) Movimiento/comunicación de información Comprobar el destinatario Comprobar la información a mandar Comprobar el método de envío Se puede disociar? El usuario está autorizado a ver dicha información? El método de envío es seguro? Tengo contrato con los terceros? Ahora veamos casos prácticos

69 Casos prácticos

70 Casos prácticos (i) Dirección IP aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos. common/pdfs/ _car-aa-cter-de-dato-personal-de-la-direcci-oo-n-ip.pdf

71 Casos prácticos (ii) Correo electrónico Matrícula Dirección postal CVs Grado de discapacidad / declaración de condición de discapacidad o invalidez del afectado motivo del cumplimiento de deberes públicos Ejemplos de Fuentes de acceso publico

72 Contacto Juan Luis García Rambla legalidadinformatica.blogspot.com