tomÁs galera nogueras

TOMÁS GALERA NOGUERAS

La LOPD en las entidades Públicas y Privadas

AGENDA

Los Datos Personales

LOPD. Historia

Conceptos Básicos

AEPD - Problemática de no cumplir con la LOPD

Obligaciones de las Entidades Públicas y Privadas

Componente Legal

Componente Organizativo

Componente Técnico

Derechos ARCO

Actuaciones de la Agencia (Gráficos)

LOS DATOS PERSONALES

¿PORQUÉ DE ESTA LEY?

LOS DATOS PERSONALES NUESTRO DIA A DIA

LOPD

LAS NUEVAS TECNOLOGIAS

ES HABITUAL QUE PRACTICAMENTE PARA

CUALQUIER ACTIVIDAD SEA NECESARIO

RECOGERLOS Y UTILIZARLOS.

Cuando abrimos una cuenta, matriculación en

un curso, en el gimnasio, solicitud de

participación en un concurso, cuando se

reserva un vuelo o un hotel, cuando pide una

cita en el médico, cuando busca trabajo, cada

vez que efectúo un pago con tarjeta, cuando

navego por internet … Constantemente en vida

diaria dejo rastros sobre mis gestiones.

EL DESARROLLO Y APLICACIÓN DE LAS

NUEVAS TECNOLOGIAS EN EL

TRATAMIENTO DE LA INFORMACIÓN,

Ha supuesto comodidad y rapidez en el

tratamiento e intercambio de los datos que

se realiza cotidianamente. La bondad y

progreso que nos aportan las tecnologías

es claro, pero se hace necesario garantizar

el equilibrio entre modernidad y la garantía

de los derechos de los ciudadanos.

LOS DATOS PERSONALES PERMITEN

IDENTIFICAR A UNA PERSONA.

El nombre, apellidos, dirección postal,

e-mail, teléfono, nº matricula del coche,

huella digital, fotografía, grabación video,

ADN, … son datos que identifican a una

persona, ya sea directa o indirectamente

LOPD-HISTORIA

Artículo 10

Se reconoce el derecho a la dignidad de la persona …

Artículo 18

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales

Niveles

Fichero

Objeto y Finalidad

LOPD Historia

Objeto y Finalidad

LOPD-HISTORIA

Esta normativa afecta al 100% de las empresas de nuestro país. (clientes, proveedores o personal).

LOPD-HISTORIA

LA LOPD TIENE POR OBJETO GARANTIZAR Y PROTEGER EN LO QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES, LAS LIBERTADES PÚBLICAS Y LOS DERECHOS FUNDAMENTALES DE LAS PERSONAS FÍSICAS Y ESPECIALMENTE SU HONOR E INTIMIDAD PERSONAL Y FAMILIAR.

EN RESUMEN, PONER LIMITES AL GRADO DE INTRUSIÓN EN NUESTRA INTIMIDAD QUE PUEDEN GENERAR LAS NUEVAS TECNOLOGÍAS

POR TANTO SE REGIRA POR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS TODO TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL REGISTRADOS EN SOPORTE FÍSICO (SOPORTE PAPEL O INFORMÁTICO).

Niveles

Fichero

Objeto y Finalidad

LOPD Historia

Objeto y Finalidad

CONCEPTOS BÁSICOS

TIPOS DE FICHEROS TIPO POR EMPRESA: (e.j.)

SE ENTIENDE POR “FICHERO”, TODO CONJUNTO DE DATOS DE CARÁCTER PERSONAL,

CUALQUIERA QUE FUESE SU FORMA O MODALIDAD DE SU CREACIÓN, ALMACENAMIENTO,

ORGANIZACIÓN Y ACCESO.

¿QUE ES UN FICHERO?

… ETC

CLIENTES

PERSONAL

PROVEEDORESCANDIDATOS

1º Obligación de registrar nuestros

ficheros ante la AEPD

Dentro de la página Web de la Agencia de Protección De datos, podemos conocer si una compañía tiene inscritos ficheros

https://www.agpd.es

CONCEPTOS BÁSICOS

NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA

(enfermedades, deudas, orientación sexual).

ALTO

MEDIO

Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico...

• Datos relativos a la comisión de infracciones administrativas o penales• Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.• Ficheros sobre solvencia patrimonial o de crédito.• Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...)• Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas

• Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.• Datos recabados para fines policiales sin consentimiento de las personas afectadas• Datos de derivados de actos de violencia de género

BASICO

LA AEPD

www.agpd.es Consulta de Ficheros Inscritos pública y gratuita

en el RGPD

LA AEPD

... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia www.agpd.es

Las sanciones impuestas tras la inspección en caso de incumplimiento, son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan entre los 60.000 Y 300.000 € (10 y 50 Millones de Ptas.)

LEVES Multa de 601 €

a 60.101 € (100.000 a 10

Millones de ptas.)

GRAVESMulta de 60.101 €

a 300.506 €(10 a 50 Millones

de pesetas)

MUY GRAVESMulta de 300.506 €

a 601.012 € (50 a 100 Millones

de pesetas)

LA AEPD

Política de la Agencia

No sancionar los registros

Campaña de sensibilización

Se financia con las sanciones

LA AEPD

Nivel de la infracción

Descripción de la infracción Sanción prevista

LEVE

1. No atender la solicitud de rectificación o cancelación por motivos formales.

2. No proporcionar información a APD.3. No solicitar inscripción de fichero en el RGPD (puede ser infracción

grave).4. Recoger datos personales sin proporcionar información a los

afectados.5. Incumplir el deber de secreto (puede ser infracción grave).

601 - 60.101€

(100.000-10 M Ptas.)

GRAVE

Algunas infracciones son:1. Recoger datos personales sin consentimiento expreso de los

afectados.2. Tratar o usar datos de carácter personal incumpliendo la legislación

(puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar4. Mantener ficheros, locales, programas o equipos con datos personales

sin las debidas condiciones de seguridad5. Vulnerar el deber de secreto en ficheros de nivel medio.

60.101 - 300.506€

(10 - 50 M Ptas.)

MUY GRAVE

Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de los casos

en que esté permitido.3. Transferencia de datos a países sin nivel equiparable de protección y

sin autorización de la APD.4. No atender sistemáticamente los derechos de acceso, rectificación,

cancelación u oposición.5. No atender sistemáticamente el deber notificación de la inclusión de

datos personales.

300.506 - 601.012€

(50 - 100 M Ptas.)

OBLIGACIONES DE LAS ENTIDADES

OBLIGACIONES LEGALES

OBLIGACIONES ORGANIZATIVAS

OBLIGACIONES TÉCNICAS


1º MOMENTO: El momento en el que se recaban los datos , bien directamente del interesado o de un tercero

2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos, buscando definir un perfil del afectado, perfil que incluso el mismo puede desconocer

3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos”

• CALIDAD DE DATOS

• CONSENTIMIENTO

• INFORMACIÓN

• DATOS ESPECIALMENTE PROTEGIDOS

• SEGURIDAD Y SECRETO

• COMUNICACIÓN DE DATOS

• ACCESO A DATOS POR TERCEROS

PRINCIPIOS

LOPD



CALIDAD.- Los datos que se recaban deben ser adecuados, pertinentes y no excesivos, exactos y puestos al día

CONSENTIMIENTO.- El interesado ha de otorgar consentimiento para llevar a cabo un tratamiento automatizado de sus datos. En el RLOPD se contempla la posibilidad de que: El responsable del fichero o del tratamiento se dirijan al Interesado informándole y concediéndole un plazo de 30 días hábiles para manifestar su disconformidad.No se requiere consentimiento: • Cuando una ley así lo disponga• Para el ejercicio de las funciones propias de las administraciones públicas.• Cuando se refieren a las partes de un contrato o precontrato de una relación laboral Cuando el tratamiento de los datos tenga por finalidad un interés vital del interesado.• Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios

INFORMACIÓN.- Cumplir con el deber de información dispuesto en la LOPD, informando de modo expreso, preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información, así como de los derechos de que dispone sobre dichos datos. Derecho de Acceso, rectificación, cancelación y Oposición (especial atención a los plazos)

1º MOMENTO: RECOGIDA DE LOS DATOS

Seguridad y Secreto

Datos Especialmente protegidos

Principio de consentimiento

Principio de información en la recogida de datos

Principio de Calidad de Datos


DOCUMENTO DE SEGURIDAD. Se reflejarán en el citado documento las medidas de índole técnico y organizativas establecidas y relacionadas con el Reglamento de Medidas deSeguridad

MEDIDAS DE INDOLE TÉCNICO Y ORGANIZATIVO.- Se deben establecer aquellas medidas necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD.

DEBER DE SECRETO Y CONFIDENCIALIDAD respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo

Principio de Acceso a Datos por Cuenta de Terceros

Principio de Comunicación de Datos

Seguridad y Secreto





-Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen ideología, afiliación sindical, religión, creencia, origen racial o étnico, o vida sexual.

-Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado.

-En el caso de comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes.

La Ley prevé la necesidad de proteger especialmente este tipo de datos, que por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos, de manera que:

-Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al origen racial, la salud o la vida sexual.



Seguridad y Secreto






Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

PRINCIPIO DE COMUNICACIÓN DE DATOS

El acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio al responsable del fichero, no se considerará comunicación de datos. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito (ejemplos: gestorías, asesorías, entidades bancarias, etc.).

PRINCIPIO DE ACCESO A DATOS POR CUENTA DE TERCEROS

3º MOMENTO: COMUNICACIÓN DE LOS DATOS







Seguridad y Secreto


OBLIGACIONES ORGANIZATIVAS•Documento de Seguridad •Funciones y Obligaciones del personal •Registro de incidencias•Inventario de los soportes y control de la salida de dichos soportes•Criterios de archivo de documentación•Dispositivos de almacenamiento•Custodia de soportes

MEDIDAS NIVEL BÁSICO: BÁSICO

OBLIGACIONES TÉCNICAS•Listado de usuarios con acceso autorizado•Mecanismos de identificación y autentificación•Control de acceso lógico•Copias de seguridad al menos semanalmente y procedimiento de recuperación

OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS

MEDIDAS NIVEL MEDIO:

OBLIGACIONES ORGANIZATIVAS•Documento de Seguridad •Funciones y Obligaciones del personal •Registro de incidencias y proceso de recuperación•Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción)• Responsable de Seguridad• Auditoria Bienal• Control de acceso físico

OBLIGACIONES TÉCNICAS•Listado de usuarios con acceso autorizado•Mecanismos de identificación y autentificación con limitación de intentos•Control de acceso lógico•Copias de seguridad al menos semanalmente y procedimiento de recuperación

BÁSICO MEDIO



BÁSICO MEDIO ALTOMEDIDAS NIVEL ALTO:

OBLIGACIONES ORGANIZATIVAS• Documento de Seguridad • Funciones y Obligaciones del personal • Registro de incidencias y proceso de recuperación• Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción)• Responsable de Seguridad• Auditoria Bienal• Control de acceso físico•Almacenamiento de la información•Acceso a la documentación•Traslado de la documentación

OBLIGACIONES TÉCNICAS• Listado de usuarios con acceso autorizado• Mecanismos de identificación y autentificación con limitación de intentos• Control de acceso lógico• Copias de seguridad en una ubicación diferente• Cifrado en los soportes y en las telecomunicaciones• Registro de accesos

OBLIGACIONES ORGANIZATIVAS Y TÉCNICASAUTOMATIZADOS NO AUTOMATIZADOS

OBLIGACIONES A DESARROLLAR BÁSICO MEDIO BÁSICO BASICO MEDIO ALTO

Documento de Seguridad

Funciones y Obligaciones del personal

Registro de incidencias

Control de acceso lógico

Registro de Salida de soportes

Identificación y autenticación de usuarios

Copias de Respaldo y Recuperación

Responsable de Seguridad

Auditoria Bianual

Control de acceso físico

Registro de Entrada de soportes

Distribución cifrada de soportes

Cifrado de telecomunicaciones

Registro de accesos

Archivo

Almacenamiento

Custodia

EL DERECHO DE ACCESO

Ejemplos:

Imágenes de videocámaras en vía pública. Sanciones e informes acerca del personal militar emitidos por la

unidad de recursos humanos. Valoraciones de solvencia económica realizadas por entidades

financieras. Imágenes en programas de televisión por parte de personajes

públicos. Historial clínico de familiar fallecido. Historial clínico que se considera se ha suministrado de manera

incompleta.

DERECHOS

EL DERECHO DE OPOSICIÓN

Ejemplo: Recepción de publicidad de una empresa con la que se tiene

un contrato.

EL DERECHO DE RECTIFICACIÓN

Ejemplos: Base de cotización contenida en ficheros de la Seguridad

Social. Datos bancarios disponibles por una empresa telefónica.

DERECHOS

EL DERECHO DE CANCELACIÓN

Ejemplos:

Inclusión indebida por parte de las entidades financieras en ficheros de información sobre solvencia patrimonial y crédito.

Supresión de datos una vez concluida la prestación de los servicios contratados con operadores de telecomunicaciones

Baja en los ficheros de operadores de telecomunicaciones en casos de cambio de operador no consentido por el abonado

Cancelación de datos en Internet (foros, YouTube) Supresión de antecedentes policiales, penales y penitenciarios

de las Administraciones Públicas competentes Cancelación de datos que figuran en el historial clínico.

ACTUACIONES DE INSPECCIÓN INICIADAS:

1.624

2.362

2007 2008

LA AEPD

ACTUACIONES DE INSPECCIÓN INICIADAS EN 2008 POR SECTORES:

6% 5% 16%17%

20%36%

Telecomunicaciones Sector financieroVideovigilancia Sector PúblicoSpam Otros

LA AEPD

PROCEDIMIENTOS SANCIONADORES INICIADOS:

535706

81

83

2007 2008

Sector Privado Sector Público

PROCEDIMIENTOS SANCIONADORES CONCLUIDOS:

399630

79

66

2007 2008

Sector Privado Sector Público

LA AEPD

* SANCIONES: * POR SECTORES:

0%

5%

10%

15%

20%

25%

30%

35%

2008

Telecomunicaciones

Sector financiero

Spam

Videovigilancia

Comercio,transporte,hostelería

22.625.83919.674.480

24.422.292

16.439.801

8.372.379

2004 2005 2006 2007 2008

LA AEPD

6%

94%

Ficheros Públicos: 61.553

Ficheros Privados: 955.713

Total: 1.017.266

FICHEROS INSCRITOS

Año 2007

Total: 1.267.579

Año 2008

7%

93%

Ficheros Públicos: 85.083

Ficheros Privados: 1.182.496

LA AEPD

262,007

127,635

573,211652,290

Ficheros públicos Ficheros privados

CONSULTAS:

LA AEPD

La videovigilancia: garantías ante un fenómeno omnipresente. La videovigilancia: garantías ante un fenómeno omnipresente.

La instalación de cámaras de videovigilancia por razones de seguridad se está incrementando de manera exponencial en los últimos años.

Notable ampliación del número de ficheros inscritos en la AEPD con esta finalidad:

- 2007 5.026 - 2008 15.510

Importante concienciación y reacción ciudadana reflejadas en el aumento de las denuncias.

La AEPD reaccionó ante este fenómeno con la publicación de la Instrucción 1/2006 de 8 de noviembre para adecuar los principios y garantías de la LOPD a estas actividades y con la organización y celebración de las II Jornadas Abiertas.

LA AEPD

CONCLUSIONES

El titular o propietario de los datos no

es quien los posee en un fichero (papel o

informático), si no el individuo al que se

refieren los datos.

El desconocimiento de la ley no exime

de su cumplimiento

“La aplicación de la LOPD nos permitirá evitar las

elevadísimas sanciones, pero no debemos olvidar que al

cumplir la ley, mejoramos la seguridad y procedimientos de

nuestra organización y la imagen frente a nuestros clientes,

proveedores y empleados, respetando la privacidad y el

derecho a su intimidad.

Tomás Galera NoguerasExperto Universitario en Protección de DatosPresidente de la ANEPDAsociación Nacional de Expertos en Protección de Datos

[email protected] Móvil: 650.108.494Telf.: 958 66 92 96

tomÁs galera nogueras

Documents