Protección de Datos de Carácter Personal

1. Protección de Datos de Carácter Personal

2. Protección de Datos de Carácter Personal • Regulación Básica: • Artículo 18.4 Constitución Española 1978. (Derecho Fundamental) • Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD). • R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. • Sentencia Tribunal Constitucional 292/2000 • Obliga: • En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre: • Responsable del Fichero (titular o propietario del mismo) • Encargado del Tratamiento (por cuenta del responsable). • Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. • Definiciones: • Art. 3 LO 15/1999

3. Protección de Datos de Carácter Personal Definiciones: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. b)Fichero: todo conjunto de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e)Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

4. Protección de Datos de Carácter Personal • Principios de la protección de datos: • Consentimiento, del afectado o interesado salvo ley que diga otra cosa • Calidad de los datos. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas • Deber de secreto, de quienes intervengan aunque temporalmente • Medidas de Seguridad, dependiendo del nivel de los datos: • Básico, nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar) • Medio, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personaclidad • Alto, ideología, afiliación sindical, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar) • Cesión de datos, únicamente con consentimiento del interesado. • Acceso a datos por cuenta de terceros. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.

5. Protección de Datos de Carácter Personal • Obligaciones: • Inscripción de Ficheros en el Registro General de Protección de Datos • Creación del Documento de Seguridad y actualización constante • Deber de información al interesado • Adopción de medidas de seguridadde índole técnica y organizativa que garanticen la seguridad de los datos • Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos • Establecimiento de procedimientos para que los interesados puedan ejercitar sus derechos: • Información • Acceso • Rectificación • Oposición • Cancelación • Auditoría bienal de protección de datos (art. 110 RD 1720/2007) • Colaborar con la Agencia de Protección de Datos

6. Protección de Datos de Carácter Personal • Medidas de Seguridad Obligatorias: • Datos Básicos: • Documento de Seguridad • Régimen de Funciones y obligaciones del personal • Registro de incidencias • Identificación y Autenticación de usuarios • Control de acceso • Gestión de Soportes • Copias de respaldo y recuperación • Datos nivel medio: • Responsable de Seguridad • Auditoría bianual • Medidas adicionales de identificación y autenticación de usuarios. • Control de acceso físico • Datos nivel alto: • Seguridad en la distribución de soportes • Registro de accesos • Medidas adicionales de copias de respaldo • Cifrado de telecomunicaciones

7. Protección de Datos de Carácter Personal • Inscripción de Ficheros: • Registro General de Protección de Datos. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos existentes para facilitar al ciudadano el ejercicio de sus derechos. • Ficheros de Titularidad Pública se crean mediante norma publicada en Diario Oficial y notificar en 30 días. Ficheros de Titularidad Privada simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y comenzar el tratamiento. • Inscripción según procedimiento RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico) • Información que hay que aportar: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales. • 1 mes para dictar Resolución inscripción o denegación inscripción. • Responsable obligado a mantener actualizada la inscripción.

8. Protección de Datos de Carácter Personal • Sanciones Administrativas: • Leves de 601 a 60.101 €: • No atender solicitud rectificación o cancelación motivos formales • No informar a la APD (Agencia Española de Protección de Datos) • No solicitar inscripción si son datos básicos. • Recoger información sin proporcionar información a los afectados • Incumplir deber de secreto si son datos básicos. • Graves de 60.101,01 a 300.506 €: • Recogida sin consentimiento expreso • Tratar incumplir la legislación (puede ser muy grave) • Mantener datos inexactos, sin rectificar o cancelar. • Mantener ficheros, locales, programas o equipos sin condiciones seguridad • Vulnerar deber secreto en datos de nivel medio. • Muy Graves de 300.506,01 a 601.012 €: • Recoger datos de forma engañosa o fraudulenta • Comunicar o ceder datos de forma no permitida • Transferencia de datos a países sin nivel de protección equiparable ni autorización de la AEPD • No atender sistemáticamente derechos de acceso, rectificación, cancelación u oposición. • No atender sistemáticamente deber notificación de la inclusión de datos personales

9. Protección de Datos de Carácter Personal • Sanciones Civiles: • Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que: • Limiten facultades de tratamiento • Especifiquen medidas de seguridad • Se determinen las responsabilidades derivadas del incumplimento. • Sanciones Penales: • Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos. • Sanciones Laborales: • Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..