NUEVO REGLAMENTO DE PROTECCION DE DATOS RD 1720/2007 PRINCIPALES NOVEDADES Y SUS CONSECUENCIAS AUREN Av. Constitución, 162 46009 VALENCIA msanchez@vlc.auren.e s 96 366 40 50 www.auren.es 1
POR QUÉ UN NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS? La LOPD carece de normas reglamentarias que específicamente desarrollen su contenido. El reglamento de la LORTAD, además de ser anterior a la LOPD, contempla tan sólo aspectos parciales de la Ley por lo que, en ningún caso, proporcionan un conjunto normativo suficiente y global de la materia. La creciente importancia del derecho a la protección de datos personales configurado expresamente a partir de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre 2
POR QUÉ UN NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS? Inexistencia de una exposición de motivos en la LOPD 15/1999 de 13 diciembre. El incesante desarrollo que experimentan, día a día, las tecnologías de la información. (Derechos ARCO) La globalización, con las consecuencias que de ella derivan, en cuanto a los movimientos internacionales de datos. La regulación de determinados aspectos relacionados con los ficheros no automatizados, y en particular de las medidas de seguridad aplicables a este tipo de ficheros, o la regulación del derecho de oposición, por citar algunos casos concretos. Las lagunas de la ley han convertido a la Sala de lo contencioso administrativo de la audiencia nacional en un referente a la hora de interpretar y aplicar la ley. 3
POR QUÉ UN NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS? Además, a través del Reglamento se llevará a cabo la incorporación de antecedentes ya consolidados de las resoluciones, informes y recomendaciones de la Agencia y de las sentencias de la Audiencia Nacional y del Tribunal Supremo que han venido a dar respuesta a ciertas cuestiones que han suscitado problemas en la aplicación práctica de la Ley. Todo lo anteriormente expuesto pone de manifiesto la necesidad de contar con un Reglamento de la LOPD que incluya una exposición de motivos clara y detallada que palie la ya referida ausencia de preámbulo de la Ley. 4
MARCO REGULADOR 2007 1992 1995 1999 RD 994/1999 Reglamento de Medidas de Seguridad de ficheros automatizados. Desarrollo Art. 9 LORTAD DIRECTIVA 95/46/CE DE PROTECCIÓN DE DATOS Reglamento de desarrollo LOPD. Título VIII. Medidas de Seguridad LOPD Medidas de seguridad técnicas y organizativas ficheros y tratamientos de datos personales automatizados y no automatizados LORTAD 5
NOVEDADES DEL NUEVO REGLAMENTO Objeto y Ámbito de aplicación 1. Aplicación de la ley a tratamientos automatizados en soporte papel. 2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 6
NOVEDADES DEL NUEVO REGLAMENTO Objeto y Ámbito de aplicación 3. No aplica a los datos relativos a empresarios individuales. 4. Este Reglamento no será de aplicación a los datos referidos a personas fallecidas. 5. La ubicación territorial de la ley (encargado de tratamiento). Nota: Se puede descargar una copia del reglamento desde el siguiente enlace: https://www.agpd.es/upload/canal_documentacion/legislacion/estatal/rd_1720_2007.pdf 7
NOVEDADES DEL NUEVO REGLAMENTO Consentimiento: Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este Reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento. 8
NOVEDADES DEL NUEVO REGLAMENTO Consentimiento: Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. 9
NOVEDADES DEL NUEVO REGLAMENTO Consentimiento: Finalmente se aclara la situación en lo relativo a operaciones de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la LOPD. 10
NOVEDADES DEL NUEVO REGLAMENTO Regulación de actividades de publicidad y prospección comercial Las personas de las que se recaben datos para la realización de acciones de publicidad y prospección comercial, deben facilitar su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley. 11
NOVEDADES DEL NUEVO REGLAMENTO Regulación de actividades de publicidad y prospección comercial Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios. Se regulan las denominadas listas de exclusión o listas Robinson Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. 12
NOVEDADES DEL NUEVO REGLAMENTO Ficheros sobre solvencia patrimonial y crédito Existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada No se haya entablado una reclamación de tipo judicial, arbitral o administrativa. En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado saldo cero. 13
NOVEDADES DEL NUEVO REGLAMENTO Ficheros sobre solvencia patrimonial y crédito Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero. Se regula de forma detallada el deber de información al deudor. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión. 14
NOVEDADES DEL NUEVO REGLAMENTO Transferencia Internacional de Datos: Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea. También se aclaran los supuestos en que se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director: Códigos internos de los grupos multinacionales de empresas. 15
NOVEDADES DEL NUEVO REGLAMENTO Transferencia Internacional de Datos: Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías. 16
NIVELES DE SEGURIDAD NOVEDADES BÁSICO -Cualquier fichero de datos personales MEDIO -Infracciones admtvas. y penales -Solvencia patrimonial y crédito -Administraciones Tributarias -Entidades financieras -Cuota sindical. Transferencia dineraria -Deber público. Grado discapacidad -Datos sensibles. Tratamiento incidental o accesorio -Seguridad Social, Mutuas -Elaboración de perfiles ALTO -Datos especialmente protegidos -Policiales sin consentimiento -Violencia de género -Datos de tráfico y localización Segregación información facilidad para la aplicación de los distintos niveles de seguridad 17
NOVEDADES DEL NUEVO REGLAMENTO Datos de nivel ALTO que pasan a nivel BASICO: Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. (Afiliación Sindical) Se trate de ficheros o tratamientos no automatizados que de forma incidental o accesoria contengan aquellos datos sin guardar relación con su finalidad. (Curriculum) Datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. (Cálculo de retenciones) 18
NIVEL DE SEGURIDAD. APLICACIÓN El nivel de medidas que corresponde aplicar a un fichero, implica que éstas se aplican: Con independencia del modo de acceso a la información: Local A través de una red de comunicaciones Con independencia del régimen de trabajo: Fuera de los locales del responsable A través de dispositivos portátiles Por personal externo Prestaciones de servicios sin acceso a datos personales. Ficheros temporales o copias de trabajo de documentos 19
DOCUMENTO DE SEGURIDAD Interno. Buenas prácticas. Política de seguridad de la organización Ámbito de aplicación: ficheros y recursos Procedimientos y normas: funciones y obligaciones del personal, incidencias, respaldo y recuperación, transporte, destrucción, reutilización Participación del personal. Información y concienciación 20
DOCUMENTO DE SEGURIDAD Único, comprensivo de todos los ficheros, o individualizados por ficheros, por sistemas de tratamientos, criterios de organización En nivel medio,además: Responsable de seguridad Control y verificación 21
MEDIDAS DE SEGURIDAD PARA FICHEROS AUTOM. Y PLAZOS DE IMPLANTACION Nivel de Seguridad BASICO Medidas de seguridad Novedades Plazo de Implantación Documento de seguridad Definición de funciones del personal Registro de incidencias Identificación/autentificación Control de acceso Gestión de soportes Copias de respaldo y recuperación Medidas para el transporte de documentos. Delegación Autorizaciones Acciones Correctoras Cambio Contraseñas < 1 año Identificación Inequívoca Control de acceso por perfiles Verificación Copias < 6 meses Prueba con datos reales (CS) 1 año para las medidas adicionales MEDIO Medidas del nivel anterior Responsable de seguridad Auditoria (mínimo bienal) Control de acceso físico Registro de entrada y salida Limitar acceso no autorizado Control de acceso físico Autorizar recuperación de datos 1 año para los nuevos datos calificados de nivel medio y alto ALTO Medidas del nivel anterior Distribución de soportes Registro de accesos Cifrado de telecomunicaciones Copia en lugar diferente equipos Identificación especial de soportes Cifrado de datos en portátiles 18 meses para los nuevos datos calificados de nivel alto Fecha de entrada en vigor del reglamento:(19 de abril de 2008) 22
MEDIDAS DE SEGURIDAD PARA FICHEROS NO AUTOM. Y PLAZOS DE IMPLANTACION Nivel de Seguridad Medidas a Ficheros No Automatizados Plazo para la Implantación BASICO MEDIO Documento de seguridad Definición de funciones del personal Registro de incidencias Control de acceso Gestión de soportes Criterios de Archivo y Procedimiento Dispositivos de Almacenamiento Custodia de los soportes Medidas del nivel anterior Responsable de seguridad Auditoria (mínimo bienal) 1 año 18 meses ALTO Medidas del nivel anterior Almacenamiento de la Información Copia o Reproducción Acceso a la documentación Traslado de documentación. 2 años Fecha de entrada en vigor del reglamento:(19 de abril de 2008) 23
REGISTRO GENERAL DE PROTECCION DE DATOS Registro General de Protección de Datos: Simplificación de la notificación y Procedimientos de Revisión, cancelación de inscripciones. Notificación de ficheros tipo, mediante modelos de estándares de notificación. Necesaria actualización de los ficheros inscritos, aproximadamente el 70% de los ficheros inscritos en 1994 no se han actualizado. 24
REGIMEN SANCIONADOR Nivel de la infracción Descripción de la infracción Sanción prevista LEVE 1. No remitir a la AGPD las notificaciones previstas en esta Ley o Rglam. 2. No solicitar la inscripción del fichero de datos de carácter personal 3. El incumplimiento del deber de información al afectado 4. La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley. 900 40.000 Algunas infracciones son: GRAVE MUY GRAVE 1. Tratar datos de carácter personal sin recabar el consentimiento d 2. La vulneración del deber de guardar secreto (art. 10 de la Ley). 3. El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. 4. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. 5. La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave. Entre otras: 1. La recogida de datos en forma engañosa o fraudulenta. 2. Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley. 3. No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello. 4. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AGPD 40.001-300.000 301.000 600.000 25
REGIMEN SANCIONADOR Graduación de las Sanciones La cuantía de las sanciones se graduará atendiendo a los siguientes criterios: a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) El volumen de negocio o actividad del infractor. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. 26 d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
PROCESO DE IMPLANTACIÓN O ADAPTACIÓN A LA LOPD 1º Diagnóstico Inicial y Determinación Nivel de Seguridad 2º Inscripción de los Ficheros: Alta, Supresión o Modificación 3º Elaboración o Actualización del Documento Seguridad 27
PROCESO DE IMPLANTACIÓN O ADAPTACIÓN A LA LOPD 4º Evaluación de Contratos Cláusulas y Derechos ARCO 5º Implantación de las Medidas y Formación a los empleados 28
PROCESO DE IMPLANTACIÓN O ADAPTACIÓN A LA LOPD 6º Mantenimiento Controles Periódicos 7º Auditoría Bienal 29
Muchas Gracias por su atención D. Miguel Sánchez Masegosa D. Vicente Calvet Tarín Área de Consultoría de Gestión Avenida de la Constitución, 162 46009 Valencia Tel.: 96 366 40 50 msanchez@vlc.auren.es vcalvet@vlc.auren.es 30