Protección de Datos de Carácter Personal Cuestiones Básicas

Luis García Maldonado

Protección de Datos de Carácter Personal

Regulación Básica:

• Artículo 18.4 Constitución Española 1978.

• Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD).

• R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. • Sentencia TC 292/2000

Obliga:

• En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre: • Responsable del Fichero (titular o propietario del mismo) • Encargado del Tratamiento (por cuenta del responsable).

• Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

• www.agpd.es

Control:

• Agencia Española de Protección de Datos y Agencias Autonómicas.

• Cataluña, Pais Vasco, Madrid. No en Andalucía.

Definiciones:

• Art. 3 LO 15/1999

Protección de Datos de Carácter Personal

Principios:

•

Consentimiento

, del afectado o interesado (art. 6).

•

Calidad de los datos

. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas (art. 4).

• Datos especialmente protegidos exigen medidas especiales (cuadro resumen medidas seguridad RD 994/1999).

•

Deber de secreto

•

Básico

, de quienes intervengan aunque temporalmente (art. 10).

• Medidas de Seguridad, dependiendo del nivel de los datos: , nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar) •

Medio

, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personalidad •

Alto

, ideología,

afiliación sindical

, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar) •

Cesión de datos

, únicamente con consentimiento del interesado.

•

Acceso a datos por cuenta de terceros

. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.

Protección de Datos de Carácter Personal • •

Inscripción de Ficheros Obligaciones:

en el Registro General de Protección de Datos (art. 26).

• • Creación del

Documento de Seguridad Deber de información

y actualización constante (art. 9) al interesado (art. 5)

Adopción de medidas de seguridad

de índole técnica y organizativa que garanticen la seguridad de los datos (art. 9 y 10 y RD 1720/2007).

• Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos (ver • ejemplos JA).

Establecimiento de procedimientos para que los interesados puedan

• •

ejercitar sus derechos

: • Información (art 5) • Acceso (art. 15) • Rectificación (art. 16) • Oposición (art. 17) • Cancelación (art. 16)

Auditoría

bienal de protección de datos (art. 110 RD 1720/2007)

Colaborar con la Agencia

de Protección de Datos (art. 37).

Protección de Datos de Carácter Personal • •

Medidas de Seguridad Obligatorias: Datos Básicos:

• Documento de Seguridad • Régimen de Funciones y obligaciones del personal • Registro de incidencias • Identificación y Autenticación de usuarios • Control de acceso • Gestión de Soportes • Copias de respaldo y recuperación •

Datos nivel medio:

• Responsable de Seguridad • Auditoría bianual • Medidas adicionales de identificación y autenticación de usuarios.

• Control de acceso físico

Datos nivel alto:

• Seguridad en la distribución de soportes • Registro de accesos • Medidas adicionales de copias de respaldo • Cifrado de telecomunicaciones

Protección de Datos de Carácter Personal

Inscripción de Ficheros:

•

Registro General de Protección de Datos

. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos • existentes para facilitar al ciudadano el ejercicio de sus derechos.

Ficheros de Titularidad Pública

se crean mediante norma publicada en Diario Oficial y notificar en 30 dias.

Ficheros de Titularidad Privada

simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y • comenzar el tratamiento.

• Inscripción según

procedimiento

RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico)

Información que hay que aportar

: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales.

•

1 mes para dictar Resolución

inscripción o denegación inscripción.

• Responsable

obligado a mantener actualizada

la inscripción.

Protección de Datos de Carácter Personal • • •

Sanciones Administrativas: Leves de 601 a 60.101 €:

• No atender solicitud rectificación o cancelación motivos formales • No informar a la APD • No solicitar inscripción si son datos básicos.

• Recoger información sin proporcionar información a los afectados • Incumplir deber de secreto si son datos básicos.

Graves de 60.101,01 a 300.506 €:

• Recogida sin consentimiento expreso • Tratar incumpliendo legislación (puede ser muy grave) • Mantener datos inexactos, sin rectificar o cancelar.

• Mantener ficheros, locales, programas o equipos sin condiciones seguridad • Vulnerar deber secreto en datos de nivel medio.

Muy Graves de 300.506,01 a 601.012

autorización de la APD u oposición.

€:

• Recoger datos de forma engañosa o fraudulenta • Comunicar o ceder datos de forma no permitida • Transferencia de datos a paises sin nivel de protección equiparable ni • No atender sistemáticamente derechos de acceso, rectificación, cancelación • No atender sistemáticamente deber notificación de la inclusión de datos personales

Protección de Datos de Carácter Personal

Sanciones Civiles:

• Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que: • Limiten facultades de tratamiento • Especifiquen medidas de seguridad • Se determinen las responsabilidades derivadas del incumplimento.

Sanciones Penales:

• Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos.

Sanciones Laborales:

• Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..