Protección de Datos de Carácter Personal

Download Report

Transcript Protección de Datos de Carácter Personal

Protección de Datos de Carácter Personal Cuestiones Básicas

Luis García Maldonado

Protección de Datos de Carácter Personal

Regulación Básica:

• Artículo 18.4 Constitución Española 1978.

• Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD).

• R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. • Sentencia TC 292/2000

Obliga:

• En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre: • Responsable del Fichero (titular o propietario del mismo) • Encargado del Tratamiento (por cuenta del responsable).

• Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

• www.agpd.es

Control:

• Agencia Española de Protección de Datos y Agencias Autonómicas.

• Cataluña, Pais Vasco, Madrid. No en Andalucía.

Definiciones:

• Art. 3 LO 15/1999

Protección de Datos de Carácter Personal

Principios:

Consentimiento

, del afectado o interesado (art. 6).

Calidad de los datos

. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas (art. 4).

• Datos especialmente protegidos exigen medidas especiales (cuadro resumen medidas seguridad RD 994/1999).

Deber de secreto

Básico

, de quienes intervengan aunque temporalmente (art. 10).

• Medidas de Seguridad, dependiendo del nivel de los datos: , nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar) •

Medio

, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personalidad •

Alto

, ideología,

afiliación sindical

, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar) •

Cesión de datos

, únicamente con consentimiento del interesado.

Acceso a datos por cuenta de terceros

. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.

Protección de Datos de Carácter Personal • •

Inscripción de Ficheros Obligaciones:

en el Registro General de Protección de Datos (art. 26).

• • Creación del

Documento de Seguridad Deber de información

y actualización constante (art. 9) al interesado (art. 5)

Adopción de medidas de seguridad

de índole técnica y organizativa que garanticen la seguridad de los datos (art. 9 y 10 y RD 1720/2007).

• Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos (ver • ejemplos JA).

Establecimiento de procedimientos para que los interesados puedan

• •

ejercitar sus derechos

: • Información (art 5) • Acceso (art. 15) • Rectificación (art. 16) • Oposición (art. 17) • Cancelación (art. 16)

Auditoría

bienal de protección de datos (art. 110 RD 1720/2007)

Colaborar con la Agencia

de Protección de Datos (art. 37).

Protección de Datos de Carácter Personal • •

Medidas de Seguridad Obligatorias: Datos Básicos:

• Documento de Seguridad • Régimen de Funciones y obligaciones del personal • Registro de incidencias • Identificación y Autenticación de usuarios • Control de acceso • Gestión de Soportes • Copias de respaldo y recuperación •

Datos nivel medio:

• Responsable de Seguridad • Auditoría bianual • Medidas adicionales de identificación y autenticación de usuarios.

• Control de acceso físico

Datos nivel alto:

• Seguridad en la distribución de soportes • Registro de accesos • Medidas adicionales de copias de respaldo • Cifrado de telecomunicaciones

Protección de Datos de Carácter Personal

Inscripción de Ficheros:

Registro General de Protección de Datos

. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos • existentes para facilitar al ciudadano el ejercicio de sus derechos.

Ficheros de Titularidad Pública

se crean mediante norma publicada en Diario Oficial y notificar en 30 dias.

Ficheros de Titularidad Privada

simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y • comenzar el tratamiento.

• Inscripción según

procedimiento

RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico)

Información que hay que aportar

: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales.

1 mes para dictar Resolución

inscripción o denegación inscripción.

• Responsable

obligado a mantener actualizada

la inscripción.

Protección de Datos de Carácter Personal • • •

Sanciones Administrativas: Leves de 601 a 60.101 €:

• No atender solicitud rectificación o cancelación motivos formales • No informar a la APD • No solicitar inscripción si son datos básicos.

• Recoger información sin proporcionar información a los afectados • Incumplir deber de secreto si son datos básicos.

Graves de 60.101,01 a 300.506 €:

• Recogida sin consentimiento expreso • Tratar incumpliendo legislación (puede ser muy grave) • Mantener datos inexactos, sin rectificar o cancelar.

• Mantener ficheros, locales, programas o equipos sin condiciones seguridad • Vulnerar deber secreto en datos de nivel medio.

Muy Graves de 300.506,01 a 601.012

autorización de la APD u oposición.

€:

• Recoger datos de forma engañosa o fraudulenta • Comunicar o ceder datos de forma no permitida • Transferencia de datos a paises sin nivel de protección equiparable ni • No atender sistemáticamente derechos de acceso, rectificación, cancelación • No atender sistemáticamente deber notificación de la inclusión de datos personales

Protección de Datos de Carácter Personal

Sanciones Civiles:

• Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que: • Limiten facultades de tratamiento • Especifiquen medidas de seguridad • Se determinen las responsabilidades derivadas del incumplimento.

Sanciones Penales:

• Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos.

Sanciones Laborales:

• Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..