jornada sobre protecciÓn de datos de carÁcter personal
DESCRIPTION
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Universidad de León León, 1 y 9 de diciembre de 2004 Álvaro Canales Gil Secretario General. JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. ESQUEMA INTRODUCCIÓN. - PowerPoint PPT PresentationTRANSCRIPT
1Agencia Española de Protección de Datos
JORNADA SOBRE PROTECCIÓN DE JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.DATOS DE CARÁCTER PERSONAL.
Universidad de León
León, 1 y 9 de diciembre de 2004
Álvaro Canales GilSecretario General
2Agencia Española de Protección de Datos
ESQUEMA
I. INTRODUCCIÓN.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE).
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
JORNADA SOBRE PROTECCIÓN DE DATOS DE JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.CARÁCTER PERSONAL.
3Agencia Española de Protección de Datos
I. INTRODUCCIÓN
•Desarrollo autopistas de la información (cookies...)
versus
derecho a la protección de datos de carácter personal.•El dato personal: su valor económico (...com).•Nuevos riesgos:
Internet («dialers», «cookies», «spam»...).
Sistema Radiofrecuencias.
Telemedicina, ...etc.
4Agencia Española de Protección de Datos
I. INTRODUCCIÓN
5Agencia Española de Protección de Datos
I. INTRODUCCIÓN
Reto para el Legislador tradicional
• Esfuerzo de conciliación entre:
Imparable avance de las tecnologías (detección)
titularidad de los datos personales.
• Obligación legal (L.O. 15/1999 Directiva 95/46/CEE).
libre circulación
valor económico-equilibrio
consentimiento
6Agencia Española de Protección de Datos
La intercomunicación del ciudadano.
I. INTRODUCCIÓN
7Agencia Española de Protección de Datos
DATOS
Primer Informe sobre aplicación de la Directiva 95/46.
(15.05.2003)
•Grado de implementación:
•81% insuficiente, reducido, muy reducido.
•3,46% bueno, muy bueno.
•Nivel de necesidad de regulación:
•69,10% necesario, muy necesario.
•2,64% completamente innecesario.
I. INTRODUCCIÓN
8Agencia Española de Protección de Datos
Peculiaridades del derecho a la protección de datos de carácter personal:
• Su desconocimiento en el ciudadano.
• Lo inadvertido de su vulneración (envío postal, llamada telefónica).
• Su naturaleza de derecho fundamental.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
9Agencia Española de Protección de Datos
Modelos Jurídicos de protección de datosde carácter personal
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
Norteamericano «Habeas Data» Europeo (U.E.)
10Agencia Española de Protección de Datos
Modelos jurídicos de protección de datos
de carácter personal (I):
Modelo Norteamericano:
•No derecho fundamental.
•Factor más del mercado: competitividad.
•Desarrollos normativos «verticales» con importantes limitaciones.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
11Agencia Española de Protección de Datos
II. MODELOS JURÍDICOS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
Modelo denominado genéricamente de «HABEAS DATA» (II):
• No claro apoyo constitucional.(«intimidad»«privacidad»).
• Instrumentos o mecanismos de garantía procesal.• Beneficiarios: personas que han sufrido una lesión
en su intimidad por el uso abusivo de datos e informaciones.
• Mera reglamentación de recursos de «habeas data»:– Propio : «libertad informática».– Impropio: «acceso a la información».
Desarrollo Jurisprudencial, con innecesariedad de leyes horizontales.
• Autoridad de control (?).
12Agencia Española de Protección de Datos
Modelos jurídicos de protección de datos
de carácter personal (III):
Modelo Europeo:
•Derecho fundamental de la persona.
•Patrimonio exclusivo.
•Basado en el consentimiento.
•Finalidad.
•Poder de disposición.
•Autoridad de Control independiente.
(interpuesta)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
13Agencia Española de Protección de Datos
Evolución del Modelo Europeo (I)
Primera Generación (1960-1970):
Resolución 509 de la Asamblea del Consejo de Europa, sobre los derechos humanos y nuevos logros científicos y técnicos.
(incipiente)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
14Agencia Española de Protección de Datos
Evolución del Modelo Europeo (II)
Segunda Generación (1970-1980):
Resolución del Parlamento Europeo, de 8 de mayo de 1979, sobre la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática.
Leyes nacionales (Alemania 1977, Francia 1978, Austria 1978, Luxemburgo 1979).
Constitución Española 1978 (art. 18,4).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
15Agencia Española de Protección de Datos
Evolución del Modelo Europeo (III)
Tercera Generación (1981-2004):
Convenio 108 del Consejo de Europa, de 28 de enero de 1981, sobre protección de las personas con respeto al tratamiento automatizado de datos de carácter personal.
Derecho Comunitario.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
16Agencia Española de Protección de Datos
Evolución del Modelo Europeo (III)
¿Por qué tercera generación normativa?
Principios
Ciudadano
Derechos
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
17Agencia Española de Protección de Datos
Evolución del Modelo Europeo (III)
Principios:
•Información.
•Consentimiento. Dato Personal (art. 3,a)):
•Finalidad. «Tradicional».
•Calidad. «Nuevos»:
•Seguridad. dirección e-mail matrículas dirección IP biblioteca seguro ...
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
18Agencia Española de Protección de Datos
Evolución del Modelo Europeo (III)
Derechos:
•Acceso.
•Rectificación.
•Cancelación (bloqueo).
•Oposición (Lista Robinson).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
19Agencia Española de Protección de Datos
Derecho Comunitario.
(Tercera generación)
Directiva 95/46, relativa a la protección de datos personales y a la libre circulación de éstos.
Directiva 97/66, relativa al tratamiento de los datos personales y protección de la intimidad en el sector de las
telecomunicaciones.
Directiva 99/93, sobre firma electrónica.
Directiva 00/31, sobre comercio electrónico.
Directiva 02/58, sobre tratamiento de datos personales y la protección de la intimidad en el sector de las
comunicaciones electrónicas.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
20Agencia Española de Protección de Datos
Régimen Jurídico Interno.
Art. 18.4 Constitución Española
«4. La Ley limitará el uso de la información para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
21Agencia Española de Protección de Datos
Distinción derecho del art. 18.4 del derecho al honor, a la intimidad personal y familiar y a la propia imagen art. 18.1.
art. 18.1: Ley Orgánica 1/1982.
art. 18.4: Ley Orgánica 15/1999.
STC 292/2000, de 30 de noviembre.
art. 18.1: Obligación de no hacer.
art. 18.4: Obligación de no hacer y de hacer.
(poder de disposición)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
22Agencia Española de Protección de Datos
Reconocimiento Internacional de su naturaleza de derecho fundamental.
Declaración Universal de Derecho Humanos (1948).
Carta de Derechos Fundamentales de la Unión Europea (2000): art. 8.
Constitución Europea: art. 50.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
23Agencia Española de Protección de Datos
CONTENIDO.- Principales Definiciones.
•Responsable de tratamiento (art. 3,d)).
•Encargado de tratamiento (art. 3,g)).
•Cesión (art. 3,i)).
•Fuentes accesibles al público (art. 3,j)).
(art. 28).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
24Agencia Española de Protección de Datos
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
Consentimiento informado.
«Información»•Recogida de los datos (art. 5). C.R.U.E.
•Comunicación de datos (art. 11,3). C.R.U.E. «Consentimiento informado»
25Agencia Española de Protección de Datos
Acceso a datos por cuenta de terceros.
art. 12
Responsable del tratamiento
contrato
encargado de tratamiento
vulneración
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
26Agencia Española de Protección de Datos
Proceso de Implementación de la normativa de protección de datos.
•Análisis de ficheros.
•Determinación de la naturaleza de los datos:
nivel básico.
nivel medio: infracciones administrativas, o penales, Hacienda Pública y servicios financieros.
nivel alto: ideología, religión, creencia, origen racial, salud, vida sexual.
•Implementación medidas de seguridad.
•Inscripción en el RGPD.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
27Agencia Española de Protección de Datos
Medidas de Seguridad.
•Nivel Básico (arts. 8-14 Real Decreto 994/99):
-documento de seguridad (8):
Recursos protegidos(8).
Medidas... para garantizar la seguridad (8).
Funciones y obligaciones del personal (8 y 9).
Estructura de los ficheros (8).
Registro de incidencias (8 y 10).
Identificación y autenticación (8 y 11).
Control de acceso (8 y 12).
Gestión de soportes (8 y 13).
Copias de Respaldo y Recuperación (8 y 14).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
28Agencia Española de Protección de Datos
Medidas de Seguridad.
•Nivel Medio (arts. 15-22 Real Decreto 994/99):
Responsable de Seguridad (16).
Auditoría Bianual (17).
Identificación inequívoca y personalizada con limitación de accesos no autorizados (18).
Control de acceso físico (19).
Gestión de soportes: Registro de entrada/salida de soportes informáticos y medidas para impedir la recuperación de información contenida en un soporte desechado o inutilizado (20).
Registro de incidencias: recuperaciones, con autorización del responsable del fichero (21).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
29Agencia Española de Protección de Datos
Medidas de Seguridad.
•Nivel Alto (arts. 23-26 Real Decreto 994/99):
Distribución de soportes: cifrados o cualquier otro medio que garantice que la información no sea manipulada durante el transporte (23).
Registro de accesos (persona, fecha, hora, fichero, acceso , y denegado o autorizado) (24) -2 años.
Copias de Respaldo y Recuperación: lugar diferente a equipos informáticos.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
30Agencia Española de Protección de Datos
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Seguridad “Razonable”
Cumplimiento del Documento de Seguridad con fugas dedatos personales.
problema «personal»
problema Código Penal«organizativo»
Estatuto trabajadores y normativa laboral.
Principioscalidad y/o secreto
31Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Protocolo de colaboración CRUE-AEPD.(9 de junio de 2003)
Tipología de Ficheros.
Inscripción de Ficheros.
Toma de decisiones sobre LOPD.
Censos electorales.
Derechos de información.
Comunicaciones de datos.
Medidas de Seguridad.
Grupos de Trabajo
«ad hoc»
32Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Consentimiento
No Consentimiento(relación jurídica)
Tratamiento de
Datos Personales
Medidas compensadoras
33Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Reforzamiento exigencias de información o de
transparencia
Medidas compensadoras
(Reunión del Consejo deEuropa 6.10.04)
34Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Recogida de los datos
(art. 5)
Datos matrícula
Consentimiento informado
(art. 11)
Usos y finalidades
Otros usos y finalidades
Relación Jurídica
35Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Gestión Académica y Administrativa
Matrícula
(?) Responsable
Relación Jurídica
(?) Encargado (?) Cesión
36Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Proyecto de Cláusula informativa:
Derecho de información en la recogida de datos (art.5 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
Los datos personales recogidos en el proceso de matrícula quedarán incorporados en el fichero[1]________ bajo la responsabilidad de[2] ________________ [3] . Dicho fichero se encuentra inscrito en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.
-----------[1] Indíquese el nombre del fichero o sistema de información en el que se recogen los datos, que coincidirá con el nombre con que ha sido notificado e inscrito dicho fichero en el RGPD.
[2] Indíquese el nombre completo de la Universidad responsable del fichero.
[3] Indíquese la dirección postal de la Universidad.
“IN
FO
RM
AC
IÓN
RE
CO
GID
A”
37Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
La información obtenida será tratada para gestionar los servicios universitarios que la Universidad pone a disposición de los alumnos. (A título no limitativo se pueden señalar los que cada modelo organizativo estime oportunos) y mantener la relación jurídica entre la Universidad y el alumno matriculado.
Los derechos de acceso, rectificación, cancelación y oposición podrán ejercitarse ante [1]___________________.
-----------[1] Indicar el nombre de la Unidad o Departamento que va a atender estas solicitudes, la dirección completa, y en su caso, la forma en que ha de ejercitarse.
“IN
FO
RM
AC
IÓN
RE
CO
GID
A”
38Agencia Española de Protección de Datos
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
El alumno que formaliza la presente matrícula está de acuerdo en que sus datos personales sean cedidos para los siguientes fines:
Promoción del empleo e inserción profesional.
Realización de prácticas formativas no recogidas en el Plan deEstudios.
Elaboración de estudios e investigaciones científicas por laUniversidad.
Ensayos clínicos.
_______________.
“CO
NS
EN
TIM
IEN
TO
IN
FO
RM
AD
O”
(CE
SIO
NE
S)
39Agencia Española de Protección de Datos
NATURALEZA JURÍDICA GENERAL.
Entidad Pública Independiente.
Carta de Derechos Fundamentales U.E. (art. 8)
Constitución Europea (art. 50).
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
40Agencia Española de Protección de Datos
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
RÉGIMEN JURÍDICO I.
• RANGO LEGALL.O. 15/1999, de 13.12, LOPD.
( dp. final segunda)
L.O. 5/1992, de 29.10, LORTAD.
41Agencia Española de Protección de Datos
RÉGIMEN JURÍDICO II.
• RANGO REGLAMENTARIO.
(disposición transitoria tercera LOPD):
* Estatuto A.P.D. (RD 428/1993).
* Desarrollo Parcial (RD 1332/1994).
* Medidas Seguridad (RD 994/1999).
* Instrucciones del Director.
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
42Agencia Española de Protección de Datos
RÉGIMEN JURÍDICO III.
• INSTRUCCIONES DEL DIRECTOR.
* 1/1995 Servicios Solvencia Patrimonial (54).
* 2/1995 Contratación Seguro-Préstamo (110).
* 1/1996 Acceso edificios (62).
* 2/1996 Acceso Casinos y Salas de Bingo (62).
* 1/1998 Ejercicio derechos (25):Acceso.Cancelación.Rectificación.
* 1/2000 Transferencias Internacionales de Datos (301).
(art. 37,c) LOPD).
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
43Agencia Española de Protección de Datos
MANIFESTACIONES DE LA NATURALEZA JURÍDICA DE LA AGENCIA.
Director de la Agencia.• Funciones de Dirección: arts. 12,1 y 16 EAPD y 36,2 LOPD.
• Nombramiento: arts. 36,1 LOPD y 14,3 EAPD.
• Firmeza actos administrativos:* Tutela de Derechos: art. 18,4 LOPD.
* P. Sancionadores: art. 48,2 LOPD.* R. de Reposición: arts. 116-117 LRJPAC.* Suspensión ejecutividad: art. 111 LRJPAC. arts. 34,4 y 39 TRLGP.
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
44Agencia Española de Protección de Datos
Principios Procedimiento SancionadorGenerales
Vulneración
Derechos Procedimiento de Tutela de Derechos
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
45Agencia Española de Protección de Datos
• Procedimiento Sancionador.
Ley 30/1992, 26.11, LRJPAC (arts. 134-138).
Reglamento R.D. 13981993, 4.08.Denuncia (tipos)
“E”
Acuerdo de Inicio (6 meses)(de oficio)
Instrucción Resolución Recurso Cont.-Admvo.
(firme) (2 meses)
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
46Agencia Española de Protección de Datos
• Procedimiento Sancionador.
Superior Jerárquico
Administraciones Públicas (art. 46 LOPD)
Medidas correctoras Defensor del Pueblo
Empresas Privadas
Medidas correctoras Multas
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
47Agencia Española de Protección de Datos
• Procedimiento de Tutela de Derechos.
(art. 18 LOPD, art. 17 R.D. 1332/1994,
Instrucción 1/1998, de 19.01).
Ejercicio derechos LOPD.
Acceso (1 mes) Proced. de Tutela Recurso Cont.-Admvo.
Resto (5 días) de Derechos (6 meses) (2 meses)
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
48Agencia Española de Protección de Datos
ESTRUCTURA
Director
Unidad Apoyo
AsesoríaJurídica
Adjunto alDirector
SG Inspecciónde datos
SG RegistroGeneral de PD
SecretaríaGeneral
Inspección InstrucciónAtención alciudadano
Consejerostécnicos
Consejo Consultivo
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
49Agencia Española de Protección de Datos
CONSEJOCONSULTIVO DIRECTOR
Consejo deUniversidades
Real Academia dela Historia
Congreso de losDiputados
Senado
Ministerio deJusticia
APD MadridFederación de
Municipios y Prov.
Consejo de Consumidores
Consejo Sup.deCámaras de Com.
APD Cataluña
DESIGNACIÓN DEL DIRECTORDESIGNACIÓN DEL DIRECTOR
APD Vasca
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS