La LOPD en las entidades Públicas y
Privadas
AGENDA
 Los Datos Personales
 LOPD. Historia
 Conceptos Básicos
 AEPD - Problemática de no cumplir con la LOPD
 Obligaciones de las Entidades Públicas y Privadas

Componente Legal

Componente Organizativo

Componente Técnico
 Derechos ARCO
 Actuaciones de la Agencia (Gráficos)
LOS DATOS PERSONALES
¿PORQUÉ DE ESTA LEY?
LOS DATOS PERSONALES
NUESTRO DIA A DIA
LAS NUEVAS TECNOLOGIAS
LOS DATOS PERSONALES PERMITEN
ES HABITUAL QUE PRACTICAMENTE PARA
EL DESARROLLO Y APLICACIÓN DE LAS
IDENTIFICAR A UNA PERSONA.
CUALQUIER ACTIVIDAD SEA NECESARIO
NUEVAS TECNOLOGIAS EN EL
El nombre, apellidos, dirección postal,
RECOGERLOS Y UTILIZARLOS.
TRATAMIENTO DE LA INFORMACIÓN,
e-mail, teléfono, nº matricula del coche,
Cuando abrimos una cuenta, matriculación en
Ha supuesto comodidad y rapidez en el
huella digital, fotografía, grabación video,
un curso, en el gimnasio, solicitud de
tratamiento e intercambio de los datos que
ADN, … son datos que identifican a una
participación en un concurso, cuando se
se realiza cotidianamente. La bondad y
persona, ya sea directa o indirectamente
reserva un vuelo o un hotel, cuando pide una
progreso que nos aportan las tecnologías
cita en el médico, cuando busca trabajo, cada
es claro, pero se hace necesario garantizar
vez que efectúo un pago con tarjeta, cuando
el equilibrio entre modernidad y la garantía
navego por internet … Constantemente en vida
de los derechos de los ciudadanos.
diaria dejo rastros sobre mis gestiones.
LOPD
LOPD-HISTORIA
CONSTITUCIÓN ESPAÑOLA
TÍTULO I. De los derechos y deberes fundamentales
LOPD Historia
Objeto y Finalidad
Fichero
Artículo 10
Se reconoce el derecho a la dignidad de la persona …
Niveles
Artículo 18
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin
consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,
telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
LOPD-HISTORIA
Esta normativa afecta al 100% de las empresas de nuestro país.
(clientes, proveedores o personal).
LOPD-HISTORIA
LOPD Historia
Objeto y Finalidad
Fichero
LA LOPD TIENE POR OBJETO GARANTIZAR Y PROTEGER EN LO
QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES,
LAS LIBERTADES PÚBLICAS Y LOS DERECHOS FUNDAMENTALES
DE LAS PERSONAS FÍSICAS Y ESPECIALMENTE SU HONOR E
INTIMIDAD PERSONAL Y FAMILIAR.
Niveles
EN RESUMEN, PONER LIMITES AL GRADO DE INTRUSIÓN EN
NUESTRA INTIMIDAD QUE PUEDEN GENERAR LAS NUEVAS
TECNOLOGÍAS
POR TANTO SE REGIRA POR LA NORMATIVA SOBRE PROTECCIÓN
DE DATOS TODO TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL REGISTRADOS EN SOPORTE FÍSICO (SOPORTE PAPEL O
INFORMÁTICO).
CONCEPTOS BÁSICOS
¿QUE ES UN FICHERO?
SE ENTIENDE POR “FICHERO”, TODO CONJUNTO DE DATOS DE CARÁCTER PERSONAL,
CUALQUIERA QUE FUESE SU FORMA O MODALIDAD DE SU CREACIÓN, ALMACENAMIENTO,
ORGANIZACIÓN Y ACCESO.
TIPOS DE FICHEROS TIPO POR EMPRESA: (e.j.)
1º Obligación de registrar nuestros
ficheros ante la AEPD
Dentro de la página Web de la Agencia de Protección De datos,
podemos conocer si una compañía tiene inscritos ficheros
https://www.agpd.es
PERSONAL
CLIENTES
CANDIDATOS
PROVEEDORES
… ETC
CONCEPTOS BÁSICOS
NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre,
teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA
(enfermedades, deudas, orientación sexual).
BASICO
MEDIO
ALTO
Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico...
• Datos relativos a la comisión de infracciones administrativas o penales
• Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras
y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
• Ficheros sobre solvencia patrimonial o de crédito.
• Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum,
cuestionarios de evaluación del personal, etc...)
• Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones
electrónicas
• Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y
vida sexual.
• Datos recabados para fines policiales sin consentimiento de las personas afectadas
• Datos de derivados de actos de violencia de género
LA AEPD
www.agpd.es
Consulta de Ficheros Inscritos pública y gratuita
en el RGPD
LA AEPD
... es un Ente de Derecho Público, cuya
finalidad principal es velar por el cumplimiento de la
legislación sobre protección de datos personales y controlar
su aplicación, cualquier actuación que sea contraria a las
exigencias contenidas en la LOPD puede ser objeto de
denuncia ante la Agencia www.agpd.es
Las sanciones impuestas tras la inspección en caso de incumplimiento, son
elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la
mayoría de los casos oscilan entre los 60.000 Y 300.000 € (10 y 50 Millones de Ptas.)
LEVES
Multa de 601 €
a 60.101 €
(100.000 a 10
Millones de ptas.)
GRAVES
Multa de 60.101 €
a 300.506 €
(10 a 50 Millones
de pesetas)
MUY GRAVES
Multa de 300.506 €
a 601.012 €
(50 a 100 Millones
de pesetas)
LA AEPD
Política
de la Agencia
Campaña de
sensibilización
No sancionar
los registros
Se financia con las
sanciones
LA AEPD
Nivel de la
infracción
Descripción de la infracción
1.
LEVE
2.
3.
4.
5.
GRAVE
MUY
GRAVE
No atender la solicitud de rectificación o cancelación por motivos
formales.
No proporcionar información a APD.
No solicitar inscripción de fichero en el RGPD (puede ser infracción
grave).
Recoger datos personales sin proporcionar información a los
afectados.
Incumplir el deber de secreto (puede ser infracción grave).
Algunas infracciones son:
1.
Recoger datos personales sin consentimiento expreso de los
afectados.
2.
Tratar o usar datos de carácter personal incumpliendo la legislación
(puede se infracción muy grave).
3.
Mantener datos inexactos, sin rectificar o cancelar
4.
Mantener ficheros, locales, programas o equipos con datos personales
sin las debidas condiciones de seguridad
5.
Vulnerar el deber de secreto en ficheros de nivel medio.
Entre otras:
1.
Recoger datos de forma engañosa o fraudulenta.
2.
Comunicar o ceder los datos de carácter personal, fuera de los casos
en que esté permitido.
3.
Transferencia de datos a países sin nivel equiparable de protección y
sin autorización de la APD.
4.
No atender sistemáticamente los derechos de acceso, rectificación,
cancelación u oposición.
5.
No atender sistemáticamente el deber notificación de la inclusión de
datos personales.
Sanción prevista
601 - 60.101€
(100.000-10 M Ptas.)
60.101 - 300.506€
(10 - 50 M Ptas.)
300.506 - 601.012€
(50 - 100 M Ptas.)
OBLIGACIONES DE LAS ENTIDADES
 OBLIGACIONES LEGALES
 OBLIGACIONES ORGANIZATIVAS
 OBLIGACIONES TÉCNICAS
OBLIGACIONES LEGALES
1º MOMENTO:
El momento en el que se recaban los datos , bien
directamente del interesado o de un tercero
2º MOMENTO:
El momento del tratamiento automatizado de los
datos, que pueden ser cruzados y relacionados en forma automática con otros
datos, buscando definir un perfil del afectado, perfil que incluso el mismo
puede desconocer
3º MOMENTO:
El momento de la utilización y, en su caso,
comunicación a terceros de los resultados del tratamiento, conocido esta
última como “cesión o comunicación de datos”
OBLIGACIONES LEGALES
• DATOS ESPECIALMENTE PROTEGIDOS
• SEGURIDAD Y SECRETO
• CALIDAD DE DATOS
• CONSENTIMIENTO
• COMUNICACIÓN DE DATOS
• ACCESO A DATOS POR TERCEROS
• INFORMACIÓN
PRINCIPIOS
LOPD
OBLIGACIONES LEGALES
Principio de Calidad de Datos
Principio de información en la recogida de datos
1º MOMENTO: RECOGIDA DE LOS DATOS
Principio de consentimiento
Datos Especialmente protegidos
Seguridad y Secreto
CALIDAD.- Los datos que se recaban deben ser adecuados, pertinentes y no excesivos, exactos y puestos al día
CONSENTIMIENTO.- El interesado ha de otorgar consentimiento para llevar a cabo un tratamiento automatizado
de sus datos.
En el RLOPD se contempla la posibilidad de que: El responsable del fichero o del tratamiento se dirijan al
Interesado informándole y concediéndole un plazo de 30 días hábiles para manifestar su disconformidad.
No se requiere consentimiento:
• Cuando una ley así lo disponga
• Para el ejercicio de las funciones propias de las administraciones públicas.
• Cuando se refieren a las partes de un contrato o precontrato de una relación laboral
Cuando el tratamiento de los datos tenga por finalidad un interés vital del interesado.
• Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios
INFORMACIÓN.- Cumplir con el deber de información dispuesto en la LOPD, informando de modo expreso,
preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información, así como
de los derechos de que dispone sobre dichos datos. Derecho de Acceso, rectificación, cancelación y
Oposición (especial atención a los plazos)
OBLIGACIONES LEGALES
Principio de Calidad de Datos
Principio de información en la recogida de datos
Principio de consentimiento
Datos Especialmente protegidos
Seguridad y Secreto
Principio de Comunicación de Datos
Principio de Acceso a Datos por Cuenta de Terceros
MEDIDAS DE INDOLE TÉCNICO Y ORGANIZATIVO.- Se deben establecer aquellas medidas
necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de
tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el
tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD.
DOCUMENTO DE SEGURIDAD. Se reflejarán en el citado documento las medidas de índole
técnico y organizativas establecidas y relacionadas con el Reglamento de Medidas de
Seguridad
DEBER DE SECRETO Y CONFIDENCIALIDAD respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones
con el titular del fichero o, en su caso, con el responsable del mismo
OBLIGACIONES LEGALES
Principio de Calidad de Datos
Principio de información en la recogida de datos
Principio de consentimiento
Datos Especialmente protegidos
Seguridad y Secreto
La Ley prevé la necesidad de proteger especialmente este
tipo de datos, que por la información a la que se refieren,
pueden generar con mayor facilidad lesiones en otros
derechos fundamentales, además del propio derecho a la
protección de datos, de manera que:
Principio de Comunicación de Datos
Principio de Acceso a Datos por Cuenta de Terceros
-Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar
datos de carácter personal que revelen ideología, afiliación sindical, religión, creencia,
origen racial o étnico, o vida sexual.
-Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser
objeto de tratamiento con el consentimiento expreso y por escrito del afectado.
-Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al
origen racial, la salud o la vida sexual.
-En el caso de comisión de infracciones penales o administrativas sólo podrán
ser incluidos en ficheros de las Administraciones Públicas competentes.
OBLIGACIONES LEGALES
Principio de Calidad de Datos
Principio de información en la recogida de datos
3º MOMENTO: COMUNICACIÓN DE LOS DATOS
Principio de consentimiento
Datos Especialmente protegidos
Seguridad y Secreto
Principio de Comunicación de Datos
Principio de Acceso a Datos por Cuenta de Terceros
PRINCIPIO DE ACCESO A DATOS POR CUENTA DE TERCEROS
El acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio al responsable
del fichero, no se considerará comunicación de datos. La realización de tratamientos por cuenta de terceros
deberá estar regulada en un contrato que deberá constar por escrito (ejemplos: gestorías, asesorías,
entidades bancarias, etc.).
PRINCIPIO DE COMUNICACIÓN DE DATOS
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el
cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
MEDIDAS NIVEL BÁSICO:
BÁSICO
OBLIGACIONES ORGANIZATIVAS
•Documento de Seguridad
•Funciones y Obligaciones del personal
•Registro de incidencias
•Inventario de los soportes y control de la salida de dichos soportes
•Criterios de archivo de documentación
•Dispositivos de almacenamiento
•Custodia de soportes
OBLIGACIONES TÉCNICAS
•Listado de usuarios con acceso autorizado
•Mecanismos de identificación y autentificación
•Control de acceso lógico
•Copias de seguridad al menos semanalmente y procedimiento de recuperación
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
MEDIDAS NIVEL MEDIO:
BÁSICO MEDIO
OBLIGACIONES ORGANIZATIVAS
•Documento de Seguridad
•Funciones y Obligaciones del personal
•Registro de incidencias y proceso de recuperación
•Inventario de los soportes y control de la entrada / salida de dichos soportes
(desechado y destrucción)
• Responsable de Seguridad
• Auditoria Bienal
• Control de acceso físico
OBLIGACIONES TÉCNICAS
•Listado de usuarios con acceso autorizado
•Mecanismos de identificación y autentificación con limitación de intentos
•Control de acceso lógico
•Copias de seguridad al menos semanalmente y procedimiento de recuperación
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
MEDIDAS NIVEL ALTO:
BÁSICO
MEDIO
ALTO
OBLIGACIONES ORGANIZATIVAS
• Documento de Seguridad
• Funciones y Obligaciones del personal
• Registro de incidencias y proceso de recuperación
• Inventario de los soportes y control de la entrada / salida de dichos soportes
(desechado y destrucción)
• Responsable de Seguridad
• Auditoria Bienal
• Control de acceso físico
•Almacenamiento de la información
•Acceso a la documentación
•Traslado de la documentación
OBLIGACIONES TÉCNICAS
• Listado de usuarios con acceso autorizado
• Mecanismos de identificación y autentificación con limitación de intentos
• Control de acceso lógico
• Copias de seguridad en una ubicación diferente
• Cifrado en los soportes y en las telecomunicaciones
• Registro de accesos
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
NO AUTOMATIZADOS
AUTOMATIZADOS
OBLIGACIONES A DESARROLLAR
Documento de Seguridad
Funciones y Obligaciones del personal
Registro de incidencias
Control de acceso lógico
Registro de Salida de soportes
Identificación y autenticación de usuarios
Copias de Respaldo y Recuperación
Responsable de Seguridad
Auditoria Bianual
Control de acceso físico
Registro de Entrada de soportes
Distribución cifrada de soportes
Cifrado de telecomunicaciones
Registro de accesos
Archivo
Almacenamiento
Custodia
BÁSICO
MEDIO
BÁSICO
BASICO
MEDIO
ALTO
DERECHOS
 EL DERECHO DE ACCESO
 Ejemplos:
 Imágenes de videocámaras en vía pública.
 Sanciones e informes acerca del personal militar emitidos por la




unidad de recursos humanos.
Valoraciones de solvencia económica realizadas por entidades
financieras.
Imágenes en programas de televisión por parte de personajes
públicos.
Historial clínico de familiar fallecido.
Historial clínico que se considera se ha suministrado de manera
incompleta.
DERECHOS
 EL DERECHO DE OPOSICIÓN
 Ejemplo:
 Recepción de publicidad de una empresa con la que se tiene un
contrato.
 EL DERECHO DE RECTIFICACIÓN
 Ejemplos:
 Base de cotización contenida en ficheros de la Seguridad
Social.
 Datos bancarios disponibles por una empresa telefónica.
 EL DERECHO DE CANCELACIÓN
 Ejemplos:
 Inclusión indebida por parte de las entidades financieras en





ficheros de información sobre solvencia patrimonial y crédito.
Supresión de datos una vez concluida la prestación de los
servicios contratados con operadores de telecomunicaciones
Baja en los ficheros de operadores de telecomunicaciones en
casos de cambio de operador no consentido por el abonado
Cancelación de datos en Internet (foros, YouTube)
Supresión de antecedentes policiales, penales y penitenciarios
de las Administraciones Públicas competentes
Cancelación de datos que figuran en el historial clínico.
LA AEPD
 ACTUACIONES DE INSPECCIÓN INICIADAS:
2.362
1.624
2007
2008
LA AEPD
 ACTUACIONES DE INSPECCIÓN INICIADAS
EN 2008 POR SECTORES:
20%
36%
17%
6%
5%
Telecomunicaciones
Videovigilancia
Spam
16%
Sector financiero
Sector Público
Otros
LA AEPD
 PROCEDIMIENTOS
SANCIONADORES
INICIADOS:
 PROCEDIMIENTOS
SANCIONADORES
CONCLUIDOS:
79
83
66
81
535
2007
Sector Privado
706
2008
Sector Público
630
399
2007
Sector Privado
2008
Sector Público
LA AEPD
 * SANCIONES:
* POR
SECTORES:
24.422.292
Telecomunicacio
nes
22.625.839
35%
30%
19.674.480
Sector financiero
25%
16.439.801
20%
Spam
15%
10%
8.372.379
5%
0%
2008
2004
Videovigilancia
2005
2006
2007
2008
Comercio,
transporte,
hostelería
LA AEPD
FICHEROS INSCRITOS
Año 2007
Año 2008
7%
6%
94%
93%
Ficheros Públicos: 61.553
Ficheros Públicos: 85.083
Ficheros Privados: 955.713
Ficheros Privados: 1.182.496
Total: 1.017.266
Total: 1.267.579
LA AEPD
 CONSULTAS:
652,290
262,007
573,211
127,635
Ficheros públicos
Ficheros privados
LA AEPD

La videovigilancia: garantías ante un fenómeno omnipresente.

La instalación de cámaras de videovigilancia por razones de
seguridad se está incrementando de manera exponencial en los
últimos años.
Notable ampliación del número de ficheros inscritos en la AEPD
con esta finalidad:





- 2007  5.026
- 2008  15.510
Importante concienciación y reacción ciudadana reflejadas en el
aumento de las denuncias.
La AEPD reaccionó ante este fenómeno con la publicación de la
Instrucción 1/2006 de 8 de noviembre para adecuar los principios
y garantías de la LOPD a estas actividades y con la organización
y celebración de las II Jornadas Abiertas.
CONCLUSIONES
Descargar

Diapositiva 1