EL REGLAMENTO DE DESARROLLO DE LA
LOPD: ASPECTOS RESEÑABLES Y
CUESTIONES NOVEDOSAS
V Encuentro entre de Agencias Autonómicas de Protección de Datos
Madrid, 28 de octubre de 2008
Agustín Puente Escobar
Abogado del Estado – Jefe del Gabinete Jurídico
Agencia Española de Protección de Datos
Agencia Española de Protección de Datos
1
Necesidad de un Reglamento
• Nueva configuración de la protección de datos: derecho
fundamental
• Problemas en la interpretación de la LOPD
– Falta de exposición de motivos
– Contradicciones en su articulado
• Falta de normas de desarrollo de la LOPD
– Qué estaba vigente
– Conceptos de la LOPD que no estaban en la LORTAD
• Aplicación de los criterios de interpretación de la AEPD, la
AN y el TS
• Aclaración de determinados conceptos conforme a la
Directiva
SEGURIDAD JURIDICA
Agencia Española de Protección de Datos
2
Ámbito de aplicación objetivo
• Regla general
– Aplicación a todo tratamiento automatizado
– Aplicación a tratamientos manuales si existe
fichero
• Especialidades
– Personas fallecidas
– Empresarios individuales
– Personas de contacto
Agencia Española de Protección de Datos
3
Ámbito de aplicación territorial
• Regla general
– Tratamiento en el marco de la actividad de un
establecimiento del responsable en España
• Concepto “informal” de establecimiento
• Especialidades
– Aplicación de la medidas de seguridad a los
encargados de responsables no sujetos a la
ley española
– Aplicación a responsables extracomunitarios
que utilicen para el tratamiento medios
situados en España
Agencia Española de Protección de Datos
4
Nuevas definiciones relevantes
• Dato personal/persona identificable
– “Esfuerzo desproporcionado”
• Dato de salud
– Aplicación criterios de la AEPD (resolución de 24 de enero de
2003, ratificada por SAN de 27 de abril de 2005)
– Criterio extensivo Sentencia Lindqvist
• Fichero no automatizado
– Incidencia de las STS de 19 de septiembre y 14 de octubre de
2008
• Ficheros de titularidad pública/privada
• Responsable del fichero o “del” tratamiento
– Posibilidad de que el responsable no realice materialmente el
tratamiento
• Transferencias internacionales de datos
– Criterio de la Directiva
• Fuentes accesibles al público
Agencia Española de Protección de Datos
5
Ficheros de titularidad
pública o privada
• Ficheros de titularidad pública:
– Órganos constitucionales o con relevancia constitucional del
Estado,
– Instituciones Autonómicas con funciones análogas,
– Administraciones Públicas Territoriales,
– Entidades u organismos vinculados o dependientes de las
mismas
– Corporaciones de derecho público siempre que su finalidad
sea el ejercicio de potestades de derecho público
• Ficheros de titularidad privada:
– Personas, empresas o entidades de derecho privado,
• Con independencia de quien ostente la titularidad de su
capital o de la procedencia de sus recursos económicos,
– Las Corporaciones de derecho público, en cuanto dichos
ficheros no se encuentren estrictamente vinculados al ejercicio
de potestades de derecho público
Agencia Española de Protección de Datos
6
Principios de calidad de datos
• Reiteración de los principios de la LOPD
• Aclaraciones en el principio de exactitud
– Presunción de exactitud de los datos facilitados
por el afectado
– Deber de rectificación o cancelación de oficio de
datos inexactos, incompletos o inadecuados
– Excepciones basadas en la aplicación de la
normativa específica
• Fines históricos, científicos y estadísticos:
remisión normativa
Agencia Española de Protección de Datos
7
Legitimación para el tratamiento:
sistematización
• Sistematización
– Regulación asimilada a la normativa comunitaria.
Supuestos
• Aplicables a todo tratamiento
• Aplicables a la recogida
• Aplicables a la cesión
– Aclaración de la regla del interés legítimo
• Basada en la Ley
• Basada en una “relación jurídica” (concepto
amplio)
• Basada en fuentes accesibles al público
• Posible interpretación extensiva (conflicto de
derechos)
Agencia Española de Protección de Datos
8
Legitimación para el tratamiento:
aclaraciones del RDLOPD
• Habilitación legal (interna o comunitaria)
– Por previsión expresa
– Por imposición de un deber que implique el
tratamiento
– Por reconocimiento de un derecho o interés
legítimo que sólo se pueda lograr con el
tratamiento
• Administraciones Públicas (cesión)
– Fines históricos, científicos y estadísticos
– Elaboración
– Competencia idéntica o sobre la misma materia
Agencia Española de Protección de Datos
9
Consentimiento del afectado
• Caracteres generales
– Referencia a tratamientos y finalidades
– Especialidades para el consentimiento a la cesión
– Carga de la prueba de quien recaba el consentimiento
• Previsiones del RPD en relación con los ficheros de
solvencia patrimonial y crédito (art. 40)
– Revocabilidad
• Diferenciación con el ejercicio del derecho de cancelación
• Procedimiento
– Medio sencillo y gratuito
– Plazo: diez días desde la revocación
– Comunicación a los cesionarios y al afectado que lo
haya solicitado
Agencia Española de Protección de Datos
10
Consentimiento de menores
• Regla general: regla de los catorce años, salvo excepción
legal
– Ejemplo: contratación, actos en que se exige la asistencia
del padre o tutor, tratamientos médicos
• Límites a la recogida en todo caso
– Información del grupo familiar (datos de terceros)
– Salvo para recabar la autorización de progenitores o
tutores
• Deberes
– Información sencilla adaptada al menor
– Aplicación de procedimientos que garanticen
• La comprobación de la edad
• La comprobación del consentimiento prestado
Agencia Española de Protección de Datos
11
Obtención del consentimiento
• Recogida del consentimiento “tácito” (art. 14 RDLOPD)
– Información al afectado (art. 14.2 RDLOPD)
• Advertencia de que si no se manifiesta en contrario se
procederá al tratamiento
• Concesión de un plazo de 30 días para manifestar su
negativa
• Supuestos de información periódica o reiterada
– Establecimiento de un medio sencillo y gratuito para
manifestar la negativa (art. 14.4 RDLOPD)
• Supuestos previstos en el Reglamento
– Prueba del consentimiento (prueba indiciaria) (art. 14.3
RDLOPD)
– Limitación temporal en la reiteración de la solicitud: un año
desde la anterior solicitud (art.14.5 RDLOPD)
Agencia Española de Protección de Datos
12
Obtención del consentimiento
• Contratos de adhesión. Consentimiento para fines no
relacionados con el desarrollo del contrato
– Inclusión de forma claramente separada al
tratamiento derivado de la relación contractual
misma (necesaria para que el interesado pueda
manifestar su negativa en cada caso)
– Deberá permitirse al interesado manifestar su
negativa a prestar el consentimiento (por ejemplo,
marcando una casilla no premarcada)
Agencia Española de Protección de Datos
13
Cuestiones relacionadas
con el deber de informar en el RDLOPD
• Prueba del cumplimiento (art. 18)
– Carga de la prueba de quien recaba los datos
– Conservación de la prueba de la información
– Posible almacenamiento en soporte distinto del original
acreditando que no ha habido alteración
• Escaneado de cupones
• Especialidades por operaciones societarias (art. 19)
– Supuestos: “fusión, escisión, cesión global de activos y
pasivos, aportación o transmisión de negocio o rama de
actividad empresarial, o cualquier operación de
reestructuración societaria de análoga naturaleza,
contemplada por la normativa mercantil”
– No hay cesión; sólo cambio de responsable
– Obligación de informar al afectado
• Uso de los datos durante el proceso de reestructuración
Agencia Española de Protección de Datos
14
Encargado del tratamiento
• Cuestiones generales
– No generación de un “nuevo vínculo” entre el
encargado y el afectado
– Deber de diligencia del responsable en su elección
• Consecuencias de la terminación del contrato
– No procederá destruir los datos si la Ley obliga a
su conservación
– Posible conservación de datos bloqueados si
pudieran derivarse responsabilidades por el
servicio prestado
Agencia Española de Protección de Datos
15
Encargado del tratamiento
• Relaciones con otros encargados
– Posible transmisión a otro encargado durante el
contrato, siguiendo instrucciones
– “Devolución” a un nuevo encargado designado por
el responsable
• Subcontratación
– Por apoderamiento al primer encargado
– Por constancia en el contrato (ab initio o por
addenda posterior)
• Otras reglas especiales
– Ejercicio de derechos
– Medidas de seguridad
• Especialidades en el Sector Público
Agencia Española de Protección de Datos
16
Encargado del tratamiento
• Especialidades en el ámbito de las Administraciones
Públicas. Modalidades de prestación de estos servicios
– Convenio de encomienda de gestión
– Contrato sujeto a la LCSP (D.A. 31ª)
• Las previsiones del artículo 12.2 LOPD deberán de
constar por escrito.
• Cuando finalice la prestación contractual los datos
de carácter personal deberán ser destruidos o
devueltos a la entidad contratante responsable, o al
encargado de tratamiento que ésta hubiese
designado.
• El tercero encargado del tratamiento conservará
debidamente bloqueados los datos en tanto
pudieran derivarse responsabilidades de su relación
con la entidad responsable del tratamiento.
• Reglas similares al RDLOPD para la subcontratación
Agencia Española de Protección de Datos
17
Derechos de los afectados
• Cuestiones generales
– Adaptación del ejercicio a las nuevas tecnologías
– Posibilidad de ejercicio por representante voluntario
– Respeto previsiones legislación sectorial
• Caracteres de estos derechos
– Independencia.
– Sencillez
• Utilización de servicios de atención al público o ejercicio
de reclamaciones
• Plazo de subsanación
• Deber de resolver
• Ejercicio ante un encargado del tratamiento
– Gratuidad
• Prohibición de ingreso por el responsable del fichero
• Prohibición de la imposición de determinados cauces
(cartas certificadas, tarificación adicional)
Agencia Española de Protección de Datos
18
Derecho de acceso
• Derecho de acceso
– Alcance
• Contenido del derecho: datos, finalidades, origen y
comunicaciones
• Extensión de la solicitud: datos, ficheros o toda la
información del responsable
– Posibilidad de solicitar aclaración
• Especialidades de ejercicio. Elección del medio por el afectado
• Costes excesivos a cargo del afectado
• Elección “a su propia costa” (seguridad)
• Causas de denegación
– Por ejercicio reiterado (una vez cada 12 meses salvo que exista
causa legítima)
– Por prohibición legal o de norma Comunitaria de aplicación
directa.
– Por prohibición legal de revelación
Agencia Española de Protección de Datos
19
Derechos de rectificación y cancelación
• Concepto
– Rectificación: derecho del afectado a que se modifiquen los
datos que resulten ser inexactos o incompletos
– Cancelación: derecho del afectado a que se supriman los
datos que resulten ser inadecuados o excesivos, sin perjuicio
del deber de bloqueo conforme a este RD
• Denegación
– Cuando los datos de carácter personal deban ser conservados
durante los plazos previstos en las disposiciones aplicables
– Durante la vigencia de las relaciones contractuales entre la
persona o entidad responsable del tratamiento y el interesado
que justificaron el tratamiento de los datos
– Por prohibición legal, o norma Comunitaria de aplicación
directa.
– Por prohibición legal de revelación
Agencia Española de Protección de Datos
20
Derecho de oposición
• Modalidades ( artículo 34, a) b) c) ):
– Oposición “strictu sensu”:
• Cuando no sea necesario el consentimiento para el
tratamiento, como consecuencia de la concurrencia de un
motivo legítimo y fundado, referido a su concreta
situación personal, que lo justifique, siempre que una Ley
no disponga lo contrario
– Opt-out en marketing:
• Sin necesidad de acreditar causa legítima
– Decisiones automatizadas:
• derecho a no verse sometidos a una decisión con efectos
jurídicos sobre ellos o que les afecte de manera
significativa, que se base únicamente en un tratamiento
automatizado de datos destinado a evaluar determinados
aspectos de su personalidad, tales como su rendimiento
laboral, crédito, fiabilidad o conducta
Agencia Española de Protección de Datos
21
Derecho de oposición
• Plazo de ejercicio
– 10 días desde la recepción de la solicitud
• Oposición “strictu sensu”
– Acreditación de la situación que la justifica
• Excepciones en relación con las decisiones automatizadas
(según la Directiva 95/46/CE) Artículo 36
– La decisión se adopta en el marco de la celebración o
ejecución de un contrato a petición del interesado, siempre
que se le otorgue la posibilidad de alegar lo que estimara
pertinente, a fin de defender su derecho o interés. En todo
caso,el responsable del fichero deberá informar previamente
al afectado, de forma clara y precisa, de que se adoptarán
decisiones
– La decisión está autorizada por una norma con rango de Ley
que establezca medidas que garanticen el interés legítimo
del interesado
Agencia Española de Protección de Datos
22
Novedades en materia de transferencias
internacionales
• Delimitación del concepto de transferencia
– Sólo si los datos salen fuera del Espacio Económico Europeo
• Sistematización de los supuestos
– No precisan autorización
• Por nivel adecuado de protección
– Acordado por el Director de la AEPD
– Acordado por Decisión de la Comisión Europea
• Por concurrir una causa de exclusión de la autorización (art.
34 a) a j) LOPD)
– Transferencias sometidas a autorización. Aportación de
garantías
• Contrato
• Binding Corporate rules
• Especialidades procedimentales
– Trámite de información pública
– Procedimiento de suspensión de la transferencia
Agencia Española de Protección de Datos
23
Obligaciones previas al tratamiento
(Ficheros de titularidad Pública)
• Disposición o Acuerdo de creación
– Adaptación a la naturaleza de los responsables
– Forma de la Disposición o Acuerdo
• Administración General del Estado: Orden ministerial o
resolución del titular del órgano
• Órganos constitucionales, Administración Autonómica,
Entidades Locales: Legislación específica
• Corporaciones de derecho público: Acuerdo de sus órganos
de gobierno
– Contenido
• Especificación del sistema de tratamiento
– Automatizado
– No automatizado
– Parcialmente automatizado
Agencia Española de Protección de Datos
24
Obligaciones previas al tratamiento
Registro
• Obligación legal
– Previa al tratamiento en ficheros de titularidad privada
– En los 30 días siguientes a la publicación de la disposición o
acuerdo de creación en ficheros de titularidad pública
– Ficheros sometidos a autoridades autonómicas de control
• Notificación ante la autoridad correspondiente
• Traslado al RGPD
• Supuestos especiales
– Ficheros “parcialmente automatizados”: un solo fichero
– Ficheros con varios responsables: notificación separada para
cada responsable
• Otras cuestiones
– Inscripción de oficio
– Colaboración con las autoridades autonómicas de control
Agencia Española de Protección de Datos
25
Medidas de seguridad
(Aclaraciones por RLOPD)
• Cuestiones generales
– Delimitación de niveles de seguridad comunes a ficheros
automatizados y no automatizados
• Algunas modificaciones en los ficheros sometidos a cada
nivel
– Especialidades (aplicación de nivel básico)
• Datos para transferencias dinerarias (i.e. cuota sindical)
• Inclusión de datos de forma “incidental o accesoria” en
ficheros no automatizados (i.e. registros administrativos)
• Datos de minusvalía para cumplimiento de deberes
públicos (i.e. fichero de nóminas)
– Posible “segregación” de los datos sometidos a medidas
más gravosas
• Especialidades respecto del encargado del tratamiento en
atención a la prestación y al lugar de realización de la misma
• Excepciones en la obligación de registro de accesos
Agencia Española de Protección de Datos
26
Novedades en materia de códigos tipo
•
•
Contenido
– Obligatorio
• Claridad, accesibilidad
• Previsiones específicas para la aplicación de principios de
protección de datos
• Acciones formativas y mecanismos de supervisión
• Cláusulas tipo de información y consentimiento
• Modelos ARCO
• Cláusulas encargado
– Compromisos adicionales
• Mayores medidas de seguridad
• Medidas concretas protección de menores
• Sello de calidad
– Exigencia de mecanismos de supervisión por órganos independientes
Otras obligaciones posteriores a la aprobación
– Memoria y evaluación periódica
– Publicidad
– Relación de adheridos
Agencia Española de Protección de Datos
27
Descargar

The Anti-Fraud Information System