jornada sobre protecciÓn de datos de carÁcter personal

1Agencia Española de Protección de Datos

JORNADA SOBRE PROTECCIÓN DE JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.DATOS DE CARÁCTER PERSONAL.

Universidad de León

León, 1 y 9 de diciembre de 2004

Álvaro Canales GilSecretario General


ESQUEMA

I. INTRODUCCIÓN.

II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE).

IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

JORNADA SOBRE PROTECCIÓN DE DATOS DE JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.CARÁCTER PERSONAL.


I. INTRODUCCIÓN

•Desarrollo autopistas de la información (cookies...)

versus

derecho a la protección de datos de carácter personal.•El dato personal: su valor económico (...com).•Nuevos riesgos:

Internet («dialers», «cookies», «spam»...).

Sistema Radiofrecuencias.

Telemedicina, ...etc.


I. INTRODUCCIÓN


I. INTRODUCCIÓN

Reto para el Legislador tradicional

• Esfuerzo de conciliación entre:

Imparable avance de las tecnologías (detección)

titularidad de los datos personales.

• Obligación legal (L.O. 15/1999 Directiva 95/46/CEE).

libre circulación

valor económico-equilibrio

consentimiento


La intercomunicación del ciudadano.

I. INTRODUCCIÓN


DATOS

Primer Informe sobre aplicación de la Directiva 95/46.

(15.05.2003)

•Grado de implementación:

•81% insuficiente, reducido, muy reducido.

•3,46% bueno, muy bueno.

•Nivel de necesidad de regulación:

•69,10% necesario, muy necesario.

•2,64% completamente innecesario.

I. INTRODUCCIÓN


Peculiaridades del derecho a la protección de datos de carácter personal:

• Su desconocimiento en el ciudadano.

• Lo inadvertido de su vulneración (envío postal, llamada telefónica).

• Su naturaleza de derecho fundamental.



Modelos Jurídicos de protección de datosde carácter personal


Norteamericano «Habeas Data» Europeo (U.E.)


Modelos jurídicos de protección de datos

de carácter personal (I):

Modelo Norteamericano:

•No derecho fundamental.

•Factor más del mercado: competitividad.

•Desarrollos normativos «verticales» con importantes limitaciones.



II. MODELOS JURÍDICOS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

Modelo denominado genéricamente de «HABEAS DATA» (II):

• No claro apoyo constitucional.(«intimidad»«privacidad»).

• Instrumentos o mecanismos de garantía procesal.• Beneficiarios: personas que han sufrido una lesión

en su intimidad por el uso abusivo de datos e informaciones.

• Mera reglamentación de recursos de «habeas data»:– Propio : «libertad informática».– Impropio: «acceso a la información».

Desarrollo Jurisprudencial, con innecesariedad de leyes horizontales.

• Autoridad de control (?).


Modelos jurídicos de protección de datos

de carácter personal (III):

Modelo Europeo:

•Derecho fundamental de la persona.

•Patrimonio exclusivo.

•Basado en el consentimiento.

•Finalidad.

•Poder de disposición.

•Autoridad de Control independiente.

(interpuesta)



Evolución del Modelo Europeo (I)

Primera Generación (1960-1970):

Resolución 509 de la Asamblea del Consejo de Europa, sobre los derechos humanos y nuevos logros científicos y técnicos.

(incipiente)



Evolución del Modelo Europeo (II)

Segunda Generación (1970-1980):

Resolución del Parlamento Europeo, de 8 de mayo de 1979, sobre la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática.

Leyes nacionales (Alemania 1977, Francia 1978, Austria 1978, Luxemburgo 1979).

Constitución Española 1978 (art. 18,4).



Evolución del Modelo Europeo (III)

Tercera Generación (1981-2004):

Convenio 108 del Consejo de Europa, de 28 de enero de 1981, sobre protección de las personas con respeto al tratamiento automatizado de datos de carácter personal.

Derecho Comunitario.




¿Por qué tercera generación normativa?

Principios

Ciudadano

Derechos




Principios:

•Información.

•Consentimiento. Dato Personal (art. 3,a)):

•Finalidad. «Tradicional».

•Calidad. «Nuevos»:

•Seguridad. dirección e-mail matrículas dirección IP biblioteca seguro ...




Derechos:

•Acceso.

•Rectificación.

•Cancelación (bloqueo).

•Oposición (Lista Robinson).



Derecho Comunitario.

(Tercera generación)

Directiva 95/46, relativa a la protección de datos personales y a la libre circulación de éstos.

Directiva 97/66, relativa al tratamiento de los datos personales y protección de la intimidad en el sector de las

telecomunicaciones.

Directiva 99/93, sobre firma electrónica.

Directiva 00/31, sobre comercio electrónico.

Directiva 02/58, sobre tratamiento de datos personales y la protección de la intimidad en el sector de las

comunicaciones electrónicas.



Régimen Jurídico Interno.

Art. 18.4 Constitución Española

«4. La Ley limitará el uso de la información para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».



Distinción derecho del art. 18.4 del derecho al honor, a la intimidad personal y familiar y a la propia imagen art. 18.1.

art. 18.1: Ley Orgánica 1/1982.

art. 18.4: Ley Orgánica 15/1999.

STC 292/2000, de 30 de noviembre.

art. 18.1: Obligación de no hacer.

art. 18.4: Obligación de no hacer y de hacer.

(poder de disposición)



Reconocimiento Internacional de su naturaleza de derecho fundamental.

Declaración Universal de Derecho Humanos (1948).

Carta de Derechos Fundamentales de la Unión Europea (2000): art. 8.

Constitución Europea: art. 50.



CONTENIDO.- Principales Definiciones.

•Responsable de tratamiento (art. 3,d)).

•Encargado de tratamiento (art. 3,g)).

•Cesión (art. 3,i)).

•Fuentes accesibles al público (art. 3,j)).

(art. 28).




Consentimiento informado.

«Información»•Recogida de los datos (art. 5). C.R.U.E.

•Comunicación de datos (art. 11,3). C.R.U.E. «Consentimiento informado»


Acceso a datos por cuenta de terceros.

art. 12

Responsable del tratamiento

contrato

encargado de tratamiento

vulneración

II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL


Proceso de Implementación de la normativa de protección de datos.

•Análisis de ficheros.

•Determinación de la naturaleza de los datos:

nivel básico.

nivel medio: infracciones administrativas, o penales, Hacienda Pública y servicios financieros.

nivel alto: ideología, religión, creencia, origen racial, salud, vida sexual.

•Implementación medidas de seguridad.

•Inscripción en el RGPD.



Medidas de Seguridad.

•Nivel Básico (arts. 8-14 Real Decreto 994/99):

-documento de seguridad (8):

Recursos protegidos(8).

Medidas... para garantizar la seguridad (8).

Funciones y obligaciones del personal (8 y 9).

Estructura de los ficheros (8).

Registro de incidencias (8 y 10).

Identificación y autenticación (8 y 11).

Control de acceso (8 y 12).

Gestión de soportes (8 y 13).

Copias de Respaldo y Recuperación (8 y 14).




•Nivel Medio (arts. 15-22 Real Decreto 994/99):

Responsable de Seguridad (16).

Auditoría Bianual (17).

Identificación inequívoca y personalizada con limitación de accesos no autorizados (18).

Control de acceso físico (19).

Gestión de soportes: Registro de entrada/salida de soportes informáticos y medidas para impedir la recuperación de información contenida en un soporte desechado o inutilizado (20).

Registro de incidencias: recuperaciones, con autorización del responsable del fichero (21).




•Nivel Alto (arts. 23-26 Real Decreto 994/99):

Distribución de soportes: cifrados o cualquier otro medio que garantice que la información no sea manipulada durante el transporte (23).

Registro de accesos (persona, fecha, hora, fichero, acceso , y denegado o autorizado) (24) -2 años.

Copias de Respaldo y Recuperación: lugar diferente a equipos informáticos.



II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Seguridad “Razonable”

Cumplimiento del Documento de Seguridad con fugas dedatos personales.

problema «personal»

problema Código Penal«organizativo»

Estatuto trabajadores y normativa laboral.

Principioscalidad y/o secreto


III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)

Protocolo de colaboración CRUE-AEPD.(9 de junio de 2003)

Tipología de Ficheros.

Inscripción de Ficheros.

Toma de decisiones sobre LOPD.

Censos electorales.

Derechos de información.

Comunicaciones de datos.


Grupos de Trabajo

«ad hoc»



Consentimiento

No Consentimiento(relación jurídica)

Tratamiento de

Datos Personales

Medidas compensadoras



Reforzamiento exigencias de información o de

transparencia

Medidas compensadoras

(Reunión del Consejo deEuropa 6.10.04)



Recogida de los datos

(art. 5)

Datos matrícula

Consentimiento informado

(art. 11)

Usos y finalidades

Otros usos y finalidades

Relación Jurídica



Gestión Académica y Administrativa

Matrícula

(?) Responsable

Relación Jurídica

(?) Encargado (?) Cesión



Proyecto de Cláusula informativa:

Derecho de información en la recogida de datos (art.5 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).

Los datos personales recogidos en el proceso de matrícula quedarán incorporados en el fichero[1]________ bajo la responsabilidad de[2] ________________ [3] . Dicho fichero se encuentra inscrito en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

-----------[1] Indíquese el nombre del fichero o sistema de información en el que se recogen los datos, que coincidirá con el nombre con que ha sido notificado e inscrito dicho fichero en el RGPD.

[2] Indíquese el nombre completo de la Universidad responsable del fichero.

[3] Indíquese la dirección postal de la Universidad.

“IN

FO

RM

AC

IÓN

RE

CO

GID

A”



La información obtenida será tratada para gestionar los servicios universitarios que la Universidad pone a disposición de los alumnos. (A título no limitativo se pueden señalar los que cada modelo organizativo estime oportunos) y mantener la relación jurídica entre la Universidad y el alumno matriculado.

Los derechos de acceso, rectificación, cancelación y oposición podrán ejercitarse ante [1]___________________.

-----------[1] Indicar el nombre de la Unidad o Departamento que va a atender estas solicitudes, la dirección completa, y en su caso, la forma en que ha de ejercitarse.

“IN

FO

RM

AC

IÓN

RE

CO

GID

A”



El alumno que formaliza la presente matrícula está de acuerdo en que sus datos personales sean cedidos para los siguientes fines:

Promoción del empleo e inserción profesional.

Realización de prácticas formativas no recogidas en el Plan deEstudios.

Elaboración de estudios e investigaciones científicas por laUniversidad.

Ensayos clínicos.

_______________.

“CO

NS

EN

TIM

IEN

TO

IN

FO

RM

AD

O”

(CE

SIO

NE

S)


NATURALEZA JURÍDICA GENERAL.

Entidad Pública Independiente.

Carta de Derechos Fundamentales U.E. (art. 8)

Constitución Europea (art. 50).

IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS



RÉGIMEN JURÍDICO I.

• RANGO LEGALL.O. 15/1999, de 13.12, LOPD.

( dp. final segunda)

L.O. 5/1992, de 29.10, LORTAD.


RÉGIMEN JURÍDICO II.

• RANGO REGLAMENTARIO.

(disposición transitoria tercera LOPD):

* Estatuto A.P.D. (RD 428/1993).

* Desarrollo Parcial (RD 1332/1994).

* Medidas Seguridad (RD 994/1999).

* Instrucciones del Director.



RÉGIMEN JURÍDICO III.

• INSTRUCCIONES DEL DIRECTOR.

* 1/1995 Servicios Solvencia Patrimonial (54).

* 2/1995 Contratación Seguro-Préstamo (110).

* 1/1996 Acceso edificios (62).

* 2/1996 Acceso Casinos y Salas de Bingo (62).

* 1/1998 Ejercicio derechos (25):Acceso.Cancelación.Rectificación.

* 1/2000 Transferencias Internacionales de Datos (301).

(art. 37,c) LOPD).



MANIFESTACIONES DE LA NATURALEZA JURÍDICA DE LA AGENCIA.

Director de la Agencia.• Funciones de Dirección: arts. 12,1 y 16 EAPD y 36,2 LOPD.

• Nombramiento: arts. 36,1 LOPD y 14,3 EAPD.

• Firmeza actos administrativos:* Tutela de Derechos: art. 18,4 LOPD.

* P. Sancionadores: art. 48,2 LOPD.* R. de Reposición: arts. 116-117 LRJPAC.* Suspensión ejecutividad: art. 111 LRJPAC. arts. 34,4 y 39 TRLGP.



Principios Procedimiento SancionadorGenerales

Vulneración

Derechos Procedimiento de Tutela de Derechos



• Procedimiento Sancionador.

Ley 30/1992, 26.11, LRJPAC (arts. 134-138).

Reglamento R.D. 13981993, 4.08.Denuncia (tipos)

“E”

Acuerdo de Inicio (6 meses)(de oficio)

Instrucción Resolución Recurso Cont.-Admvo.

(firme) (2 meses)



• Procedimiento Sancionador.

Superior Jerárquico

Administraciones Públicas (art. 46 LOPD)

Medidas correctoras Defensor del Pueblo

Empresas Privadas

Medidas correctoras Multas



• Procedimiento de Tutela de Derechos.

(art. 18 LOPD, art. 17 R.D. 1332/1994,

Instrucción 1/1998, de 19.01).

Ejercicio derechos LOPD.

Acceso (1 mes) Proced. de Tutela Recurso Cont.-Admvo.

Resto (5 días) de Derechos (6 meses) (2 meses)



ESTRUCTURA

Director

Unidad Apoyo

AsesoríaJurídica

Adjunto alDirector

SG Inspecciónde datos

SG RegistroGeneral de PD

SecretaríaGeneral

Inspección InstrucciónAtención alciudadano

Consejerostécnicos

Consejo Consultivo



CONSEJOCONSULTIVO DIRECTOR

Consejo deUniversidades

Real Academia dela Historia

Congreso de losDiputados

Senado

Ministerio deJusticia

APD MadridFederación de

Municipios y Prov.

Consejo de Consumidores

Consejo Sup.deCámaras de Com.

APD Cataluña

DESIGNACIÓN DEL DIRECTORDESIGNACIÓN DEL DIRECTOR

APD Vasca


jornada sobre protecciÓn de datos de carÁcter personal

Documents