490 likes | 638 Views
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Universidad de León León, 1 y 9 de diciembre de 2004 Álvaro Canales Gil Secretario General. JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. ESQUEMA INTRODUCCIÓN.
E N D
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Universidad de León León, 1 y 9 de diciembre de 2004 Álvaro Canales GilSecretario General
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. ESQUEMA • INTRODUCCIÓN. • EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE). • LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
I. INTRODUCCIÓN • Desarrollo autopistas de la información (cookies...) versus derecho a la protección de datos de carácter personal. • El dato personal: su valor económico (...com). • Nuevos riesgos: Internet («dialers», «cookies», «spam»...). Sistema Radiofrecuencias. Telemedicina, ...etc.
Reto para el Legislador tradicional • Esfuerzo de conciliación entre: • Imparable avance de las tecnologías (detección) • titularidad de los datos personales. • Obligación legal (L.O. 15/1999 Directiva 95/46/CEE). • libre circulación • valor económico-equilibrio • consentimiento I. INTRODUCCIÓN
I. INTRODUCCIÓN La intercomunicación del ciudadano.
I. INTRODUCCIÓN • DATOS • Primer Informe sobre aplicación de la Directiva 95/46. • (15.05.2003) • Grado de implementación: • 81% insuficiente, reducido, muy reducido. • 3,46% bueno, muy bueno. • Nivel de necesidad de regulación: • 69,10% necesario, muy necesario. • 2,64% completamente innecesario.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Peculiaridades del derecho a la protección de datos de carácter personal: • Su desconocimiento en el ciudadano. • Lo inadvertido de su vulneración (envío postal, llamada telefónica). • Su naturaleza de derecho fundamental.
Norteamericano Europeo (U.E.) «Habeas Data» II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Modelos Jurídicos de protección de datos de carácter personal
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Modelos jurídicos de protección de datos • de carácter personal (I): • Modelo Norteamericano: • No derecho fundamental. • Factor más del mercado: competitividad. • Desarrollos normativos «verticales» con importantes limitaciones.
II. MODELOS JURÍDICOS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Modelo denominado genéricamente de «HABEAS DATA» (II): • No claro apoyo constitucional. («intimidad» «privacidad»). • Instrumentos o mecanismos de garantía procesal. • Beneficiarios: personas que han sufrido una lesión en su intimidad por el uso abusivo de datos e informaciones. • Mera reglamentación de recursos de «habeas data»: • Propio : «libertad informática». • Impropio: «acceso a la información». Desarrollo Jurisprudencial, con innecesariedad de leyes horizontales. • Autoridad de control (?).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Modelos jurídicos de protección de datos • de carácter personal (III): • Modelo Europeo: • Derecho fundamental de la persona. • Patrimonio exclusivo. • Basado en el consentimiento. • Finalidad. • Poder de disposición. • Autoridad de Control independiente. • (interpuesta)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (I) • Primera Generación (1960-1970): • Resolución 509 de la Asamblea del Consejo de Europa, sobre los derechos humanos y nuevos logros científicos y técnicos. • (incipiente)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (II) • Segunda Generación (1970-1980): • Resolución del Parlamento Europeo, de 8 de mayo de 1979, sobre la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática. • Leyes nacionales (Alemania 1977, Francia 1978, Austria 1978, Luxemburgo 1979). • Constitución Española 1978 (art. 18,4).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (III) • Tercera Generación (1981-2004): • Convenio 108 del Consejo de Europa, de 28 de enero de 1981, sobre protección de las personas con respeto al tratamiento automatizado de datos de carácter personal. • Derecho Comunitario.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (III) • ¿Por qué tercera generación normativa? • Principios • Ciudadano • Derechos
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (III) • Principios: • Información. • Consentimiento. Dato Personal (art. 3,a)): • Finalidad. «Tradicional». • Calidad. «Nuevos»: • Seguridad. dirección e-mail • matrículas • dirección IP • biblioteca • seguro ...
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Evolución del Modelo Europeo (III) • Derechos: • Acceso. • Rectificación. • Cancelación (bloqueo). • Oposición (Lista Robinson).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Derecho Comunitario. (Tercera generación) Directiva 95/46, relativa a la protección de datos personales y a la libre circulación de éstos. Directiva 97/66, relativa al tratamiento de los datos personales y protección de la intimidad en el sector de las telecomunicaciones. Directiva 99/93, sobre firma electrónica. Directiva 00/31, sobre comercio electrónico. Directiva 02/58, sobre tratamiento de datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Régimen Jurídico Interno. Art. 18.4 Constitución Española «4. La Ley limitará el uso de la información para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Distinción derecho del art. 18.4 del derecho al honor, a la intimidad personal y familiar y a la propia imagen art. 18.1. art. 18.1: Ley Orgánica 1/1982. art. 18.4: Ley Orgánica 15/1999. STC 292/2000, de 30 de noviembre. art. 18.1: Obligación de no hacer. art. 18.4: Obligación de no hacer y de hacer. (poder de disposición)
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Reconocimiento Internacional de su naturaleza de derecho fundamental. Declaración Universal de Derecho Humanos (1948). Carta de Derechos Fundamentales de la Unión Europea (2000): art. 8. Constitución Europea: art. 50.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • CONTENIDO.- Principales Definiciones. • Responsable de tratamiento (art. 3,d)). • Encargado de tratamiento (art. 3,g)). • Cesión (art. 3,i)). • Fuentes accesibles al público (art. 3,j)). • (art. 28).
Consentimiento informado. • «Información» • Recogida de los datos (art. 5). C.R.U.E. • Comunicación de datos (art. 11,3). C.R.U.E. • «Consentimiento informado» II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Acceso a datos por cuenta de terceros. art. 12 Responsable del tratamiento contrato encargado de tratamiento vulneración
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Proceso de Implementación de la normativa de protección de datos. • Análisis de ficheros. • Determinación de la naturaleza de los datos: • nivel básico. • nivel medio: infracciones administrativas, o penales, Hacienda Pública y servicios financieros. • nivel alto: ideología, religión, creencia, origen racial, salud, vida sexual. • Implementación medidas de seguridad. • Inscripción en el RGPD.
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Medidas de Seguridad. • Nivel Básico (arts. 8-14 Real Decreto 994/99): • documento de seguridad (8): • Recursos protegidos(8). • Medidas... para garantizar la seguridad (8). • Funciones y obligaciones del personal (8 y 9). • Estructura de los ficheros (8). • Registro de incidencias (8 y 10). • Identificación y autenticación (8 y 11). • Control de acceso (8 y 12). • Gestión de soportes (8 y 13). • Copias de Respaldo y Recuperación (8 y 14).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Medidas de Seguridad. • Nivel Medio (arts. 15-22 Real Decreto 994/99): • Responsable de Seguridad (16). • Auditoría Bianual (17). • Identificación inequívoca y personalizada con limitación de accesos no autorizados (18). • Control de acceso físico (19). • Gestión de soportes: Registro de entrada/salida de soportes informáticos y medidas para impedir la recuperación de información contenida en un soporte desechado o inutilizado (20). • Registro de incidencias: recuperaciones, con autorización del responsable del fichero (21).
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. • Medidas de Seguridad. • Nivel Alto (arts. 23-26 Real Decreto 994/99): • Distribución de soportes: cifrados o cualquier otro medio que garantice que la información no sea manipulada durante el transporte (23). • Registro de accesos (persona, fecha, hora, fichero, acceso , y denegado o autorizado) (24) -2 años. • Copias de Respaldo y Recuperación: lugar diferente a equipos informáticos.
Seguridad “Razonable” • Cumplimiento del Documento de Seguridad con fugas de • datos personales. • problema «personal» • problema Código Penal • «organizativo» • Estatuto trabajadores y normativa laboral. • Principios • calidad y/o secreto II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE) • Protocolo de colaboración CRUE-AEPD. • (9 de junio de 2003) • Tipología de Ficheros. • Inscripción de Ficheros. • Toma de decisiones sobre LOPD. • Censos electorales. • Derechos de información. • Comunicaciones de datos. • Medidas de Seguridad. Grupos de Trabajo «ad hoc»
Consentimiento Tratamiento de Datos Personales No Consentimiento (relación jurídica) Medidas compensadoras III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Medidas compensadoras (Reunión del Consejo de Europa 6.10.04) Reforzamiento exigencias de información o de transparencia III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Datos matrícula Recogida de los datos (art. 5) Consentimiento informado (art. 11) Usos y finalidades Otros usos y finalidades Relación Jurídica III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Relación Jurídica Matrícula Gestión Académica y Administrativa (?) Responsable (?) Encargado (?) Cesión III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE)
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE) Proyecto de Cláusula informativa: Derecho de información en la recogida de datos (art.5 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). Los datos personales recogidos en el proceso de matrícula quedarán incorporados en el fichero[1]________ bajo la responsabilidad de[2] ________________ [3]. Dicho fichero se encuentra inscrito en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos. -----------[1] Indíquese el nombre del fichero o sistema de información en el que se recogen los datos, que coincidirá con el nombre con que ha sido notificado e inscrito dicho fichero en el RGPD. [2] Indíquese el nombre completo de la Universidad responsable del fichero. [3] Indíquese la dirección postal de la Universidad. “INFORMACIÓN RECOGIDA”
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE) • La información obtenida será tratada para gestionar los servicios universitarios que la Universidad pone a disposición de los alumnos. (A título no limitativo se pueden señalar los que cada modelo organizativo estime oportunos) y mantener la relación jurídica entre la Universidad y el alumno matriculado. Los derechos de acceso, rectificación, cancelación y oposición podrán ejercitarse ante [1]___________________. • ----------- • [1] Indicar el nombre de la Unidad o Departamento que va a atender estas solicitudes, la dirección completa, y en su caso, la forma en que ha de ejercitarse. “INFORMACIÓN RECOGIDA”
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE UNIVERSIDADES ESPAÑOLAS (CRUE) • El alumno que formaliza la presente matrícula está de acuerdo en que sus datos personales sean cedidos para los siguientes fines: • Promoción del empleo e inserción profesional. • Realización de prácticas formativas no recogidas en el Plan de • Estudios. • Elaboración de estudios e investigaciones científicas por la Universidad. • Ensayos clínicos. • _______________. “CONSENTIMIENTO INFORMADO” (CESIONES)
NATURALEZA JURÍDICA GENERAL. Entidad Pública Independiente. Carta de Derechos Fundamentales U.E. (art. 8) Constitución Europea (art. 50). IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS RÉGIMEN JURÍDICO I. • RANGO LEGAL L.O. 15/1999, de 13.12, LOPD. ( dp. final segunda) L.O. 5/1992, de 29.10, LORTAD.
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS • RÉGIMEN JURÍDICO II. • RANGO REGLAMENTARIO. • (disposición transitoria tercera LOPD): * Estatuto A.P.D. (RD 428/1993). * Desarrollo Parcial (RD 1332/1994). * Medidas Seguridad (RD 994/1999). * Instrucciones del Director.
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS • RÉGIMEN JURÍDICO III. • INSTRUCCIONES DEL DIRECTOR. (art. 37,c) LOPD). * 1/1995 Servicios Solvencia Patrimonial (54). * 2/1995 Contratación Seguro-Préstamo (110). * 1/1996 Acceso edificios (62). * 2/1996 Acceso Casinos y Salas de Bingo (62). * 1/1998 Ejercicio derechos (25): Acceso. Cancelación. Rectificación. * 1/2000 Transferencias Internacionales de Datos (301).
Director de la Agencia. • Funciones de Dirección: arts. 12,1 y 16 EAPD y 36,2 LOPD. • Nombramiento: arts. 36,1 LOPD y 14,3 EAPD. • Firmeza actos administrativos: • * Tutela de Derechos: art. 18,4 LOPD. • * P. Sancionadores: art. 48,2 LOPD. • * R. de Reposición: arts. 116-117 LRJPAC. • * Suspensión ejecutividad: art. 111 LRJPAC. arts. 34,4 y 39 TRLGP. IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS MANIFESTACIONES DE LA NATURALEZA JURÍDICA DE LA AGENCIA.
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS Principios Procedimiento Sancionador Generales Vulneración Derechos Procedimiento de Tutela de Derechos
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS • Procedimiento Sancionador. • Ley 30/1992, 26.11, LRJPAC (arts. 134-138). • Reglamento R.D. 13981993, 4.08. • Denuncia (tipos) • “E” • Acuerdo de Inicio (6 meses) • (de oficio) • Instrucción Resolución Recurso Cont.-Admvo. • (firme) (2 meses)
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS • Procedimiento Sancionador. • Superior Jerárquico • Administraciones Públicas (art. 46 LOPD) • Medidas correctoras Defensor del Pueblo • Empresas Privadas • Medidas correctoras Multas
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS • Procedimiento de Tutela de Derechos. • (art. 18 LOPD, art. 17 R.D. 1332/1994, • Instrucción 1/1998, de 19.01). • Ejercicio derechos LOPD. • Acceso (1 mes) Proced. de Tutela Recurso Cont.-Admvo. • Resto (5 días) de Derechos (6 meses) (2 meses)
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS ESTRUCTURA Consejo Consultivo Director Unidad Apoyo Asesoría Jurídica Adjunto al Director SG Inspección de datos SG Registro General de PD Secretaría General Consejeros técnicos Inspección Instrucción Atención al ciudadano
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS DESIGNACIÓN DEL DIRECTOR Congreso de los Diputados Real Academia de la Historia Consejo de Universidades APD Cataluña Senado CONSEJO CONSULTIVO DIRECTOR Ministerio de Justicia APD Vasca Consejo de Consumidores Consejo Sup.de Cámaras de Com. APD Madrid Federación de Municipios y Prov.