Transcript Protección de Datos de Carácter Personal
Protección de Datos de Carácter Personal Cuestiones Básicas
Luis García Maldonado
Protección de Datos de Carácter Personal
Regulación Básica:
• Artículo 18.4 Constitución Española 1978.
• Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD).
• R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. • Sentencia TC 292/2000
Obliga:
• En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre: • Responsable del Fichero (titular o propietario del mismo) • Encargado del Tratamiento (por cuenta del responsable).
• Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
• www.agpd.es
Control:
• Agencia Española de Protección de Datos y Agencias Autonómicas.
• Cataluña, Pais Vasco, Madrid. No en Andalucía.
Definiciones:
• Art. 3 LO 15/1999
Protección de Datos de Carácter Personal
Principios:
•
Consentimiento
, del afectado o interesado (art. 6).
•
Calidad de los datos
. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas (art. 4).
• Datos especialmente protegidos exigen medidas especiales (cuadro resumen medidas seguridad RD 994/1999).
•
Deber de secreto
•
Básico
, de quienes intervengan aunque temporalmente (art. 10).
• Medidas de Seguridad, dependiendo del nivel de los datos: , nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar) •
Medio
, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personalidad •
Alto
, ideología,
afiliación sindical
, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar) •
Cesión de datos
, únicamente con consentimiento del interesado.
•
Acceso a datos por cuenta de terceros
. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.
Protección de Datos de Carácter Personal • •
Inscripción de Ficheros Obligaciones:
en el Registro General de Protección de Datos (art. 26).
• • Creación del
Documento de Seguridad Deber de información
y actualización constante (art. 9) al interesado (art. 5)
Adopción de medidas de seguridad
de índole técnica y organizativa que garanticen la seguridad de los datos (art. 9 y 10 y RD 1720/2007).
• Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos (ver • ejemplos JA).
Establecimiento de procedimientos para que los interesados puedan
• •
ejercitar sus derechos
: • Información (art 5) • Acceso (art. 15) • Rectificación (art. 16) • Oposición (art. 17) • Cancelación (art. 16)
Auditoría
bienal de protección de datos (art. 110 RD 1720/2007)
Colaborar con la Agencia
de Protección de Datos (art. 37).
Protección de Datos de Carácter Personal • •
Medidas de Seguridad Obligatorias: Datos Básicos:
• Documento de Seguridad • Régimen de Funciones y obligaciones del personal • Registro de incidencias • Identificación y Autenticación de usuarios • Control de acceso • Gestión de Soportes • Copias de respaldo y recuperación •
Datos nivel medio:
• Responsable de Seguridad • Auditoría bianual • Medidas adicionales de identificación y autenticación de usuarios.
• Control de acceso físico
Datos nivel alto:
• Seguridad en la distribución de soportes • Registro de accesos • Medidas adicionales de copias de respaldo • Cifrado de telecomunicaciones
Protección de Datos de Carácter Personal
Inscripción de Ficheros:
•
Registro General de Protección de Datos
. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos • existentes para facilitar al ciudadano el ejercicio de sus derechos.
Ficheros de Titularidad Pública
se crean mediante norma publicada en Diario Oficial y notificar en 30 dias.
Ficheros de Titularidad Privada
simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y • comenzar el tratamiento.
• Inscripción según
procedimiento
RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico)
Información que hay que aportar
: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales.
•
1 mes para dictar Resolución
inscripción o denegación inscripción.
• Responsable
obligado a mantener actualizada
la inscripción.
Protección de Datos de Carácter Personal • • •
Sanciones Administrativas: Leves de 601 a 60.101 €:
• No atender solicitud rectificación o cancelación motivos formales • No informar a la APD • No solicitar inscripción si son datos básicos.
• Recoger información sin proporcionar información a los afectados • Incumplir deber de secreto si son datos básicos.
Graves de 60.101,01 a 300.506 €:
• Recogida sin consentimiento expreso • Tratar incumpliendo legislación (puede ser muy grave) • Mantener datos inexactos, sin rectificar o cancelar.
• Mantener ficheros, locales, programas o equipos sin condiciones seguridad • Vulnerar deber secreto en datos de nivel medio.
Muy Graves de 300.506,01 a 601.012
autorización de la APD u oposición.
€:
• Recoger datos de forma engañosa o fraudulenta • Comunicar o ceder datos de forma no permitida • Transferencia de datos a paises sin nivel de protección equiparable ni • No atender sistemáticamente derechos de acceso, rectificación, cancelación • No atender sistemáticamente deber notificación de la inclusión de datos personales
Protección de Datos de Carácter Personal
Sanciones Civiles:
• Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que: • Limiten facultades de tratamiento • Especifiquen medidas de seguridad • Se determinen las responsabilidades derivadas del incumplimento.
Sanciones Penales:
• Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos.
Sanciones Laborales:
• Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..