Aspectos de Protección

Documentos relacionados
Sujetos que intervienen

Normativa Canal de Denuncias SENER.

XI ENCUENTRO IBEROAMERICANO DE PROTECCION DE DATOS 15, 16 Y 17 OCTUBRE 2013 CARTAGENA DE INDIAS, COLOMBIA

CÓDIGO TIPO DE INVESTIGACIÓN CLÍNICA Y FARMACOVIGILANCIA ASPECTOS GENERALES

Jesús Rubí Navarrete Adjunto al Director Agencia Española de Protección de Datos. Agencia Española de Protección de Datos

EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING)

Tratamiento de datos en el ámbito sanitario Captura de imágenes y videovigilancia

Aprobación del Nuevo Reglamento Europeo de Protección de Datos

Gabinete Jurídico. Informe 0035/2010

REGISTRO DE MOROSOS: NORMAS DE FUNCIONAMIENTO

AVISO DE PRIVACIDAD INTEGRAL EMPLEADOS

PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS. Plan de Adecuación LOPD. Servicio Andaluz de Salud

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO DECRETO NÚMERO DE 2012 ( )

RESPUESTA A LA CONSULTA PLANTEADA POR UNA EMPRESA EN RELACIÓN CON LA POSIBILIDAD DE DELEGACIÓN O SUBCONTRATACIÓN DE LOS SERVICIOS DE REPRESENTACIÓN

CONDICIONES DE LA PROMOCIÓN PENCIL LIPGLOSS

NOVEDADES DE LA LEY DE CONTRATOS DEL SECTOR PÚBLICO

Protección de datos en la empresa

LOPD E N L A E M P R E S A

Política de uso de la CAFe: proveedores de servicio. DAGSer Dirección Adjunta de Gerencia de Servicios

AUTORIZACIÓN PARA PARTICIPAR EN EL CONCURSO DE RELATOS UN PAÍS DE CAPACIDADES

I: Formación complementaria en TI

Conferencia Anual de Recursos Humanos 2015 Actualidad en materia de Protección de Datos y Recursos Humanos

MANUAL DE OPERACIÓN DE LA NORMATECA INTERNA DE LA SECRETARÍA DE DESARROLLO ECONÓMICO

AVISO LEGAL. Domicilio Social: Plaza del Conde del Valle de Suchil 16, Madrid

FORMULARIO DE INSCRIPCIÓN DE BANCO DE DATOS PERSONALES DE ADMINISTRACIÓN PRIVADA- PERSONA NATURAL

Responsabilidad de los administradores en relación con las cuentas anuales

RAFAEL ANGEL H Y CIA LTDA MANUAL DE POLITICAS Y PROCEDIMIENTOS DE PRIVACIDAD

Los siguientes términos y condiciones aplican a todo trabajo solicitado por nuestros clientes.

SELECCIÓN DE PROVEEDORES

Deberes y derechos de los pacientes. Ley

Anuncio de información previa

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

LEGAL FLASH I SEGUROS Y PREVISIÓN SOCIAL

REGISTRO CIVIL GOBIERNO MUNICIPAL DE CHAPALA ADMINISTRACION MANUAL DE PROCESOS Y PROCEDIMIENTOS

RESUMEN DE LA POLÍTICA DE CONFLICTOS DE INTERÉS GRUPO CIMD

AVISO LEGAL. Domicilio Social: Plaza del Conde del Valle de Suchil 16, Madrid

Cesiones de datos en acciones formativas subvencionadas. Informe 50/2006

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

LA GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA ADMINISTRACIÓN ESPAÑOLA

3. Ot r a s disposiciones

TOURING & AUTOMÓVIL CLUB DE COLOMBIA

Solicitud de ayudas para la compensación de cuotas a la Seguridad Social a emprendedores que contraten a trabajadores

Política de Privacidad de Younique

PROCEDIMIENTO DE COMPRAS

Así, el artículo 40 se titula: Modalidades y principios generales del ejercicio privado, regula el libre ejercicio de la profesión:

II CONCURSO DE FOTOGRAFÍA DE ESQUÍ Y SNOWBOARD DEL PIRINEO SKIMETRAJE 2015

Modalidades del comercio electrónico

PERFIL DE INGRESO. CAPTACIÓN, SELECCIÓN Y ADMISIÓN DE ESTUDIANTES

PROCEDIMIENTO NEGOCIADO SIN PUBLICIDAD PNSP 2016/009 (BIS): Suministro de Medicamentos Exclusivos {Ce/genes) Página 1 de 45

ANEXO I: AVISO LEGAL Y CONDICIONES GENERALES AVISO LEGAL. Domicilio Social: Calle Valderribas nº 71, planta Madrid.

SEMINARIO SOBRE LA OBRA AUDIOVISUAL: CREACIÓN PRODUCCIÓN Y EXPLOTACIÓN

JORNADA SOBRE LA OBLIGACIÓN DE ACTUALIZACIÓN Y EL FUTURO DE LA PROTECCIÓN DE DATOS

MANUAL SOBRE USO DEL NOMBRE Y LOGOTIPO DE LA FEDERACION NACIONAL DE COOPERATIVAS DE AHORRO Y CREDITO DEL PERU

ACCESO Y UTILIZACIÓN DE LOS RECURSOS GENÉTICOS Y REPARTO JUSTO Y EQUITATIVO DE LOS BENEFICIOS (ABS) EN ESPAÑA I JORNADA SOBRE ABS EN ESPAÑA

Directrices Voluntarias sobre la gobernanza responsable de la tenencia de la tierra, la pesca y los bosques en el contexto de la seguridad

Aviso Legal y Politica de Privacidad

POLÍTICAS DE TRATAMIENTO PARA LA PROTECCIÓN DE DATOS PERSONALES

MCA-01-D-10 GESTION ESTRATEGICA FECHA VERSIÓN MATRIZ DE AUTORIDADES Y RESPONSABILIDADES 12/10/ MANUAL DE GESTION

CONTRATACIÓN Y ADQUISICION. Asunto: ADQUISICION DE ÚTILES Y MATERIALES DE ESCRITORIO NO PREVISTOS EN EL CONVENIO MARCO

Entidades de distribución Entidades de intermediación

El acceso y uso de este sitio web se rige bajo los términos descritos a continuación.

CONTRATACIÓN Y ADQUISICION. Asunto: ADQUISICION DE EQUIPOS Y MATERIAL QUE AYUDEN Y FACILITEN LOS TRABAJOS DE INVENTARIO

Gabinete Jurídico. Informe 0624/2009

Notas legales. Titularidad. Política de cookies (CN00302A)

TEMA IV LOS PODERES EMPRESARIALES EN EL TRABAJO SUBORDINADO

Norma ISO 9001:2000. Espacio empresarial Ltda.

CONSERVACIÓN N DE LA HISTORIA CLÍNICA

REGLAMENTO PROMOCIÓN Promerica te Premia Mas en Belleza, Simply Beauty. Para los efectos de este Reglamento se establecen las siguientes definiciones:

Curso Superior en Gestión de Contratos en el Sector Público. Nivel Profesional

LA LEY DE SUBCONTRATACIÓN EN EL SECTOR DE LA CONSTRUCCIÓN

A V I S O D E P R I V A C I D A D

Transferencias Internacionales de Datos tras la anulación de SAFE HARBOUR

Aprobado por : Elaborado y revisado por : Comité de Seguridad y Salud OFICINA DE PREVENCIÓN DE RIESGOS LABORALES. Fecha: 14 de diciembre de 2011

MANUAL DE POLITICAS INTERNAS DE USO DE CORPORACIÓN TEXTILGRUPO BOGOTÁ

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

ENTRADA DE DOCUMENTOS A TRAVES DEL CORREO CERTIFICADO

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

5. TOTAL AYUDA SOLICITADA AYUDA (4) INCREMENTO DEL 10% (5) AYUDA TOTAL (4) Equivalente al 50% de los costes laborales totales, incluida la cotización

ASESORÍA LABORAL DE EMPRESA

MINISTERIO DE ECONOMÍA Y COMPETITIVIDAD SECRETARÍA DE ESTADO DE ECONOMÍA Y APOYO A LA EMPRESA DIRECCIÓN GENERAL DE SEGUROS Y FONDOS DE PENSIONES

FUNCIONES Y PERFIL DE CARGO

BASES PRIMER CONCURSO MAPFRE VALORES PARA TRIUNFAR

Política de Responsabilidad Social Corporativa

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

6. El Estatuto Básico del Empleado Público se aplica, en lo que proceda, al personal laboral al servicio de:

REGLAMENTO SERVICIO DE ATENCIÓN AL CLIENTE DE LA ASOCIACIÓN MUTUALISTA DE AHORRO Y CRÉDITO PARA LA VIVIENDA AZUAY CAPITULO I

ACTIVOS GESTIÓN INMOBILIARIA MANUAL DE POLITICAS Y PROCEDIMIENTOS DE PRIVACIDAD

LECCIÓN 5. LOS PRINCIPIOS CONSTITUCIONALES DEL DERECHO FINANCIERO. (I)

1. Quién encomienda a los poderes Públicos, velar por la seguridad e higiene en el trabajo?

SSCE0109 Información Juvenil. Cualificaciones Profesionales y Certificados de Profesionalidad

AVISO LEGAL OBJETO PROPIEDAD INTELECTUAL E INDUSTRIAL

Versión 02. Fecha Versión Nivel Confidencialidad Público. PC Política de Calidad. PC_Versión 02 Página 1 de 5

Asunto: SERVICIO DE TRASLADO DE SERVIDORES AL NUEVO DATA CENTER

En este sentido entre las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la

SEMINARIO SOCINFO: COMPARTICIÓN DE RECURSOS Y CLOUD COMPUTING

Política de Protección de Datos Personales en el Ministerio de Minas y Energía

Qué he de mantener actualizado en el Documento de Seguridad?

Asunto: ADQUISICIÓN LICENCIA DE SISTEMA DE GESTIÓN DE CORREOS NO DESEADOS

PROGRAMA FIDES-AUDIT

Pliego de prescripciones técnicas del contrato DE UNA HERRAMIENTA DE LECTURA AUTOMÁTICA DE TEXTO PARA AYUDAR AL APRENDIZAJE DE PERSONAS CON DISLEXIA

Transcripción:

Computación en la Nube y Redes Sociales Aspectos de Protección de Datos Rafael García Gozalo Jefe del Departamento Internacional 1

Computación en Nube Modalidades de computación en nube: Privada Pública Híbrida Comunitaria Modalidades de servicio: Infraestructura como servicio (IAAS) Plataforma como servicio (PAAS) Software como servicio (SAAS) Las modalidades de computación y las modalidades de servicio condicionan la aplicación de la LOPD 2

Posición jurídica de los participantes El cliente como responsable del tratamiento Decisión sobre la finalidad, contenido y uso del tratamiento Decisión sobre optar por la computación en nube (total o parcial) Decisión sobre la modalidad de computación en nube (en particular sobre TID) Decisión sobre las modalidades de servicios de computación en nube Responsabilidad sobre el tratamiento de los datos personales El prestador como encargado de tratamiento 3

Posición jurídica de los participantes Consecuencias de la posición jurídica de los participantes Ley aplicable: Ley nacional del responsable/cliente (Salvo medidas de seguridad en otro EM UE) Inexistencia de obligación de informar a los interesados Garantías contractuales ex art. 12 LOPD 4

Conceptos clásicos La relación tradicional responsable/encargado (art. 12 LOPD) Instrucciones del responsable al encargado No comunicación a terceros ni siquiera para su conservación Estipulación de las medidas de seguridad a implementar por el encargado Destrucción o devolución de datos al término de la prestación 5

Conceptos clásicos Criterios tradicionales en la subcontratación Especificación de los servicios a subcontratar Indicación de las empresas subencargadas Autorización del responsable/cliente sobre los subencargados Contrato entre encargados y subencargados 6

Nuevas condiciones Autonomía del prestador Contratos de adhesión Selección subencargados (proceso dinámico) Oferta de medidas de seguridad Opción sobre TID 7

Nuevas interpretaciones Diligencia exigible al responsable Velar por que el encargado reúna las garantías exigibles (art. 20.2 RLOPD) Obtener información sobre las garantías del contrato conforme al art. 12 LOPD Ejercer diligentemente su posición de responsable sobre el tratamiento de los datos de los interesados Ejercicio de derechos ARCO Responsabilidad por daños 8

Nuevas interpretaciones Diligencia exigible al encargado (por defecto) Información detallada sobre la tipología de computación en nube y de servicios que ofrece (tipología de nube, tipología de servicios, participantes en la prestación de servicios, TID) Información sobre medidas de seguridad (niveles de seguridad, auditoría, encriptación, incidencias de seguridad). Análisis funcional, no estrictamente formal Información sobre portabilidad 9

Nuevas interpretaciones Instrucciones del responsable Selección del tipo de computación en nube y de los servicios a contratar Decisión sobre los tratamientos que no se contratan al prestador (naturaleza de la información, posible pérdida de control, ) Decisión sobre la información solicitada y/o ofrecida por el prestador Selección del prestador 10

Nuevas interpretaciones Medidas de seguridad Auditoria externa e independiente (incluso cuando no se exijan medidas de seguridad de nivel medio) Comunicación de las incidencias de seguridad que afecten al cliente/responsable Portabilidad (art. 20.3 RLOPD) Devolución o migración a un nuevo prestador de servicios designado por el responsable 11

Nuevas interpretaciones Autorización previa sobre empresas subencargadas Especificación funcional de los servicios susceptibles de subcontratación Especificación de los niveles de calidad exigibles Relación actualizada de entidades subencargadas (p.ej. Accesible en sitio web con indicación de países en que opera) Tipología de garantías a exigir (incluidas TID) Contratos jurídicamente vinculantes en todos los procesos de tratamiento, conforme a la ley aplicable (Responsable/Encargado. Encargado/Subencargado) Posibilidad de actuación de la AEPD 12

Transferencias Internacionales País adecuado Contrato de prestación de servicios Contrato basado en Decisión 2010/87/UE cláusulas contractuales tipo de responsable (cliente CC) a encargado (prestador SCC) Ofrecen garantías en la transferencia de EEE al tercer país Cláusula 11, subcontratación del encargado importador Encadenamiento de garantías de protección de datos Autorización y conocimiento de la subcontratación por parte del Responsable Información de los subencargados disponible para la AEPD BCR válidas para movimiento intra-grupo Nube privada BPR para encargados En desarrollo 13

Redes sociales Quién es el responsable del tratamiento? Los proveedores de SRS son responsables del tratamiento de datos en virtud de la Directiva relativa a la protección de datos Los proveedores de aplicaciones también pueden ser responsables del tratamiento de datos En la mayoría de los casos, los usuarios se consideran personas interesadas La Directiva no impone las obligaciones de un responsable del tratamiento de datos a una persona que trata datos personales «en el ejercicio de actividades exclusivamente personales o domésticas» 14

Redes sociales Quién es el responsable del tratamiento? En algunos casos, la exención doméstica puede no cubrir las actividades de un usuario de SRS Si actúa en nombre de una empresa o de una asociación o como una plataforma con fines comerciales, políticos o sociales Un gran número de contactos puede indicar que no se aplica la excepción doméstica Si un usuario decide ampliar el acceso más allá de los «amigos» elegidos, asume las responsabilidades de un responsable del tratamiento de datos 15

Redes sociales Quién es el responsable del tratamiento? Si un usuario de SRS actúa en nombre de una empresa o de una asociación o utiliza el SRS principalmente como una plataforma con fines comerciales, políticos o sociales, la exención (domestica) no se aplica. En este caso, el usuario asume la plena responsabilidad de un responsable del tratamiento de datos que revela datos personales a otro responsable del tratamiento de datos (SRS) y a terceros (otros usuarios de SRS o incluso, potencialmente, a otros responsables del tratamiento de datos que tienen acceso a ellos). En tales circunstancias, el usuario necesita el consentimiento de las personas interesadas u otra base legítima que figure en la Directiva relativa a la protección de datos (WP 163) 16

Un responsable especial El uso se limita exclusivamente al alta en la red social y al empleo de las herramientas que en ella existen No existe ninguna capacidad de decisión sobre la estructura, ordenación o gestión material de los datos distinta de la propia de la red social No se incorporan datos personales a recursos propios No se utiliza ningún recurso de indexación o se integra una aplicación propia No se contrata ninguna prestación de servicios para el desarrollo o mantenimiento del espacio con el proveedor de la red social No se pactan condiciones específicas de uso con el proveedor: como análisis del comportamiento, seguimiento o elaboración de perfiles de usuario, o publicidad comportamental 17

Información - Transparencia Tratamiento Principios y obligaciones derivados del artículo 5 LOPD Ubicar una información básica en el espacio de la cuenta que facilite la red social con detalles sobre la identidad y localización del responsable, finalidad que se persigue, formas de ejercicio de los derechos Procedimiento de bienvenida a nuevos amigos con un mensaje de correo-e que incluya esta información Enlazar a políticas de privacidad corporativas Informar en particular sobre posible Utilización de los datos con fines de comercialización directa Distribución de datos a categorías específicas de terceros Uso de datos sensibles 18

Consentimiento En principio el consentimiento se manifiesta cuando se solicita hacerse amigo de El consentimiento únicamente afecta a los datos de la persona que se agrega nunca a otros relacionados con él La posible existencia de excepciones a la regla del consentimiento deberán examinarse caso por caso y con pleno respeto a la regulación Un perfil abierto no implica consentimiento 19

Derechos Rigen los derechos de acceso, rectificación, cancelación y oposición. No obstante El contenido del derecho de acceso vendrá definido por las posibilidades que ofrezca la red El derecho de oposición, rectificación y cancelación se encontrará modulado El responsable del tratamiento debería satisfacerlo sobre aquellos aspectos de la aplicación que se encuentren bajo su control (modificar o eliminar datos un comentario del propio muro) La rectificación de aspectos relativos al perfil del usuario normalmente se ejercen ante el SRS La cancelación u oposición cuando consiste en dejar de ser amigos podría ser ejercida por ambas partes 20

Límites Principio de finalidad como límite infranqueable definido por Condiciones de uso de la red social. Información disponible y efectivamente facilitada al hacerse amigos La incorporación de datos, como la dirección de e-mail, a los propios sistemas constituye un nuevo tratamiento sujeto a la LOPD El uso de aplicaciones de terceros o propias insertas en el entorno de la red social obliga al cumplimiento de la legislación vigente cuando dé lugar al tratamiento de datos Rigen los principios de seguridad y secreto para cualquier usuario del responsable del tratamiento pero deberán adaptarse a las condiciones propias del entorno y afectarán únicamente a los tratamientos efectivamente realizados El estímulo a los usuarios para difundir mediante la estrategia de enviar a un amigo o invitar a más amigos, en particular cuando opere algún tipo de bonificación puede constituir una actividad sujeta a las reglas vigentes en materia de protección de datos personales 21

Gracias por su atención! rgarciag@agpd.es www.agpd.es 22

23

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback