“Protección de Datos: Usuarios y Clientes”

Jesús Yáñez, Socio de ECIJA

3

Evolución de los datos de carácter personal

Cap. II Art. 18.4 Constitución Española

De los derechos fundamentales y de las libertades

públicas

1992 - LORTAD

1993, Aprobación del Estatuto APD

1994 – Correción LORTAD

1995 – Directiva 46 UE, Protección del tratamiento de datos personales y a la libre circulación de éstos

11/06/1999 RD 994 Reglamento de Medidas de Seguridad

13/12/1999 – LOPD

26/03/2000 - Nivel básico

26/06/2000 – Nivel Medio

26/06/2002 – Nivel Alto

12/07/2002 – Directiva 58, Tratamiento de los datos

personales y a la protección de la

intimidad

“La ley limitará el uso de la informática para garantizar

el honor y la intimidad personal y familiar de los

ciudadanos y el pleno ejercicio de sus derechos.”

RD 1720/2007– Reglamento Nacional LOPD

Reglamento 2016/679

Europeo (Mayo 2016)

Obligaciones efectivas

Reglamento Europeo (Mayo 2018)

4

5

Datos de Carácter Personal

¿Qué son los datos personales?

Cualquier información concerniente a personas físicas identificadas o identificables.

Recogida / grabación / conservación

elaboración / modificación / bloqueo

cancelación / cesiones de datos

Tratamiento de los datos

- Operaciones y procedimientos técnicos

- De carácter automatizado o no

-Comunicaciones

- Consultas

- Interconexiones

- Transferencias.

Art.2 RLOPD: Quedan excluido los datos estrictamente profesionales y de autónomo constituidos en forma de empresa

Art.3 LOPD

Datos habituales de clientes:

- Nombre

- Apellido

- Dirección

- Teléfono

- DNI

- Transacciones de bienes y servicios

- Información bancaria

- ¿Imagen?

- ¿IP?

- ¿Biometría?

- ¿Perfil comercial? (big data)

- ¿Perfil de riesgo financiero?

- ¿Datos de salud?

- ¿Datos de raza?

- ¿Datos de ideología?

- ¿Datos de vida sexual?

- ¿Datos de religión?

6

Obligaciones de la empresa

A) CONSENTIMIENTO DEL AFECTADO

(Art.6)- Consentimiento de la persona de la que se recaban los datos. ¿Menores de edad?

- Consentimiento específico para el tratamiento de datos e informado del mismo.

- El consentimiento puede ser revocado

- Consentimiento para comunicaciones comerciales (LSSI)

- Necesariamente expreso y por escrito si tratamos datos especialmente protegidos (prueba)

- No será necesario consentimiento

- Administración Pública en ejercicio de sus funciones.

- Entre las partes en un contrato comercial, laboral o administrativo.

- Para proteger un interés vital del interesado

- Cuando los datos se encuentren en fuentes accesibles al público y haya un interés legítimo del

responsable del fichero o del destinatario de los datos.

- Fuentes accesibles al público

Cliente Vs. Cliente Potencial

7Obligaciones de la empresa

A) CONSENTIMIENTO DEL AFECTADO

(Art.6)FUENTES ACCESIBLES AL PÚBLICO:

Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una

norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de

acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa

específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título,

profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de

acceso público los diarios y boletines oficiales y los medios de comunicación.

REDES SOCIALES – ¿FUENTES ACCESIBLES AL PÚBLICO?

AUNQUE EL PERFIL ESTÉ

ABIERTO

SALVO CONSENTIMIENTO E INFORMACION

PREVIA

8Obligaciones de la empresa

B) INFORMAR AL AFECTADO (Art.5)

- Es distinto a la obtención de consentimiento

- Información previa, expresa precisa e inequívoca de la recogida de datos:

- Finalidad y destinatarios de la información

- Cuando los datos se recaben de persona diferente al interesado, este deberá ser

informado en un plazo máximo de 3 meses de manera expresa ,precisa e

inequívoca. (No válido a partir de 2018)

- Consecuencias de la obtención de los datos o de la negativa

- Identidad del Responsable del Fichero

- Derechos de acceso, rectificación, cancelación y oposición

- ¿Existen transferencias internacionales?

- ¿Existen cesiones?

¿Mi producto o servicio implica cesiones o transferencias?

¿Mis acciones de marketing se comparten con un tercero?

9

Obligaciones de la empresa

B) INFORMAR AL AFECTADO (Art.5)

- ¿Utilizamos Cookies en nuestra web?

- Deberemos informar con un banner visible sobre:

- ¿Qué tipo de cookies utilizamos?

• ¿Recogen datos personales?

• ¿Son sólo para uso técnico?

- Descripción de la Cookie

• Nombre

• Dominio

• Utilidad

• Caducidad

10

Obligaciones de la empresa

C) CALIDAD DEL DATO (Art 4)

- El tratamiento no puede ser arbitrario: Ha de ajustarse a las finalidades definidas.

- Adecuados, pertinentes y no excesivos.

- En relación con la finalidad legítima para la que se obtengan.

- Exactos y puestos al día: Actualización constante.

- Cancelados cuando ya no sean necesarios para la finalidad para la que se recogieron… pero respetando

el periodo de retención legal (bloqueo de datos)

Los plazos de retención según la materia pueden llegar a ser indefinidos

- Nunca deberán recogerse por medios fraudulentos, desleales o lícitos.

11

Obligaciones de la empresa

C) IMPLEMENTAR MEDIDAS DE

SEGURIDAD

NIVEL

MEDIO

NIVEL

ALTO

NIVEL

BÁSICO

• Documento de Seguridad

• Funciones y obligaciones

del personal

• Registro de Incidencias

• Identificación y Autenticación

• Control de Accesos

• Gestión de Soportes

• Copias de Respaldo y

Recuperación

• Responsable de Seguridad

• Auditorías Bienales

• Limitación de intentos de

acceso

• Control de acceso físico

• Registro de entrada y salida

de soportes

• Procedimientar el respaldo y la

recuperación

• Pruebas sin datos reales

• Cifrado de Datos en

almacenamiento y comunicación

• Registro de:

-Quien

-Cuando

-a Qué

-Qué hizo

• Informe Mensual del

Responsable de seguridad

• Respaldo en lugar distinto

12

Obligaciones de la empresa

D) INSCRIBIR EL FICHERO (Hasta mayo de 2018)

No inscribimos los datos personales de nuestros clientes sino una estructura:- Qué datos recogemos y de qué tipo son

- ¿Los tratamos directamente o contamos con un encargado del tratamiento?

- ¿Realizamos cesiones y transferencias internacionales?

13

14Prestadores de Servicio

Encargado del tratamiento

- Persona física o jurídica

- Autoridad pública

- Servicio u organismo

- accede al fichero de datos personales

- Y realiza un tratamiento de los datos

por cuenta del

Responsable del fichero.

Es OBLIGATORIA la firma de un contrato

• El servicio realizado

• Que no pueden ser utilizados los datos para otros fines

• Que los datos serán eliminados o devueltos cuando termine el

servicio

• Confidencialidad de los intervinientes en el servicio

• Prohibición de subcontratación salvo que esté expresamente

autorizada

• LAS MEDIDAS DE SEGURIDAD A APLICAR

Permite depurar responsabilidades y que

el régimen sancionador se aplique sólo al infractor

15

Campañas publicitarias

Tratamiento de datos en campañas pubicitarias (Art 46 RDLOPD)

En caso de que una entidad contrate o encomiende a terceros la realización de una

determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de

determinados datos, se aplicarán las siguientes normas:

• Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la

entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.

• Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas,

dichas entidades serán las responsable del tratamiento.

• Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas

responsables del tratamiento.

La entidad que encargue la realización de la campaña publicitaria deberá

adoptar las medidas necesarias (CONTRATO) para asegurarse de que la

entidad contratada ha recabado los datos cumpliendo las exigencias de la

normativa

16

Novedades en el

Reglamento

General de

Protección de

Datos Europeo

17

• Misma normativa para la Unión y ventanilla única

• Privacidad por diseño y por defecto (Minimización de datos)

• Consentimiento reforzado (no será legal el consentimiento tácito)

• Accountability (prueba de que se está cumpliendo)

• Portabilidad de los datos

• Comunicación de Brechas de seguridad (A la AGPD y al cliente)

• Figura del DPO (en determinados casos)

• Evaluaciones de impacto en materia de privacidad (en determinados casos)

• Medidas de seguridad en función de nuestro riesgo

• Diligencia en la elección de proveedor

Novedades Reglamento General Europeo

OBLIGATORIO EN MAYO DE 2018 !!!

18

¡Muchas gracias por vuestra atención!

Jesús Yáñez, jyanez@ecija.com

Our offices

Torre de Cristal, Pº de la

Castellana, 259C

28046 Madrid, España

T.: +34 917 816 160

Av. Diagonal, 458, Planta 8ª

08006 Barcelona, España

T.: + 34 933 808 255

1444 Biscayne Boulevard.

Suite 205

Miami, FL 33132

T. +1 800 7903085

La Concepción 191,

Providencia,

Santiago de Chile

T.: +56 2 25738521

19

www.ecija.com

Madrid | Barcelona | Santiago de Chile | Miami