360 likes | 472 Views
La LOPD en las entidades Públicas y Privadas. Los Datos Personales LOPD. Historia Conceptos Básicos AEPD - Problemática de no cumplir con la LOPD Obligaciones de las Entidades Públicas y Privadas Componente Legal Componente Organizativo Componente Técnico Derechos ARCO
E N D
Los Datos Personales LOPD. Historia Conceptos Básicos AEPD - Problemática de no cumplir con la LOPD Obligaciones de las Entidades Públicas y Privadas Componente Legal Componente Organizativo Componente Técnico Derechos ARCO Actuaciones de la Agencia (Gráficos) AGENDA
¿PORQUÉ DE ESTA LEY? LOS DATOS PERSONALES NUESTRO DIA A DIA LAS NUEVAS TECNOLOGIAS LOS DATOS PERSONALES PERMITEN IDENTIFICAR A UNA PERSONA. El nombre, apellidos, dirección postal, e-mail, teléfono, nº matricula del coche, huella digital, fotografía, grabación video, ADN, … son datos que identifican a una persona, ya sea directa o indirectamente ES HABITUAL QUE PRACTICAMENTE PARA CUALQUIER ACTIVIDAD SEA NECESARIO RECOGERLOS Y UTILIZARLOS. Cuando abrimos una cuenta, matriculación en un curso, en el gimnasio, solicitud de participación en un concurso, cuando se reserva un vuelo o un hotel, cuando pide una cita en el médico, cuando busca trabajo, cada vez que efectúo un pago con tarjeta, cuando navego por internet … Constantemente en vida diaria dejo rastros sobre mis gestiones. EL DESARROLLO Y APLICACIÓN DE LAS NUEVAS TECNOLOGIAS EN EL TRATAMIENTO DE LA INFORMACIÓN, Ha supuesto comodidad y rapidez en el tratamiento e intercambio de los datos que se realiza cotidianamente. La bondad y progreso que nos aportan las tecnologías es claro, pero se hace necesario garantizar el equilibrio entre modernidad y la garantía de los derechos de los ciudadanos. LOPD LOS DATOS PERSONALES
LOPD-HISTORIA CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales Artículo 10 Se reconoce el derecho a la dignidad de la persona … Artículo 18 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. LOPD Historia Objeto y Finalidad Objeto y Finalidad Fichero Niveles
LOPD-HISTORIA Esta normativa afecta al 100% de las empresas de nuestro país. (clientes, proveedores o personal).
LOPD-HISTORIA LA LOPD TIENE POR OBJETO GARANTIZAR Y PROTEGER EN LO QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES, LAS LIBERTADES PÚBLICAS Y LOS DERECHOS FUNDAMENTALES DE LAS PERSONAS FÍSICAS Y ESPECIALMENTE SU HONOR E INTIMIDAD PERSONAL Y FAMILIAR. EN RESUMEN, PONER LIMITES AL GRADO DE INTRUSIÓN EN NUESTRA INTIMIDAD QUE PUEDEN GENERAR LAS NUEVAS TECNOLOGÍAS POR TANTO SE REGIRA POR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS TODO TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL REGISTRADOS EN SOPORTE FÍSICO (SOPORTE PAPEL O INFORMÁTICO). LOPD Historia Objeto y Finalidad Objeto y Finalidad Fichero Niveles
SE ENTIENDE POR “FICHERO”, TODO CONJUNTO DE DATOS DE CARÁCTER PERSONAL, CUALQUIERA QUE FUESE SU FORMA O MODALIDAD DE SU CREACIÓN, ALMACENAMIENTO, ORGANIZACIÓN Y ACCESO. CONCEPTOS BÁSICOS ¿QUE ES UN FICHERO? CLIENTES PERSONAL TIPOS DE FICHEROS TIPO POR EMPRESA: (e.j.) 1º Obligación de registrar nuestros ficheros ante la AEPD CANDIDATOS PROVEEDORES • Dentro de la página Web de la Agencia de Protección De datos, podemos conocer si una compañía tiene inscritos ficheros • https://www.agpd.es … ETC
Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico... BASICO • Datos relativos a la comisión de infracciones administrativas o penales • Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras • y las Entidades Gestoras y Servicios Comunes de la Seguridad Social. • Ficheros sobre solvencia patrimonial o de crédito. • Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, • cuestionarios de evaluación del personal, etc...) • Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones • electrónicas MEDIO • Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y • vida sexual. • Datos recabados para fines policiales sin consentimiento de las personas afectadas • Datos de derivados de actos de violencia de género ALTO CONCEPTOS BÁSICOS NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA (enfermedades, deudas, orientación sexual).
LA AEPD • www.agpd.es • Consulta de Ficheros Inscritos pública y gratuita en el RGPD
LA AEPD ... es un Ente de Derecho Público,cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia www.agpd.es Las sanciones impuestas tras la inspección en caso de incumplimiento, son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan entre los 60.000 Y 300.000 € (10 y 50 Millones de Ptas.) GRAVES Multa de 60.101 € a 300.506 € (10 a 50 Millones de pesetas) MUY GRAVES Multa de 300.506 € a 601.012 € (50 a 100 Millones de pesetas) LEVES Multa de 601 € a 60.101 € (100.000 a 10 Millones de ptas.)
LA AEPD Política de la Agencia Campaña de sensibilización No sancionar los registros Se financia con las sanciones
OBLIGACIONES DE LAS ENTIDADES • OBLIGACIONES LEGALES • OBLIGACIONES ORGANIZATIVAS • OBLIGACIONES TÉCNICAS
OBLIGACIONES LEGALES 1º MOMENTO: El momento en el que se recaban los datos , bien directamente del interesado o de un tercero 2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos, buscando definir un perfil del afectado, perfil que incluso el mismo puede desconocer 3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos”
OBLIGACIONES LEGALES • DATOS ESPECIALMENTE PROTEGIDOS • SEGURIDAD Y SECRETO • COMUNICACIÓN DE DATOS • ACCESO A DATOS POR TERCEROS • CALIDAD DE DATOS • CONSENTIMIENTO • INFORMACIÓN PRINCIPIOS LOPD
OBLIGACIONES LEGALES Principio de Calidad de Datos 1º MOMENTO: RECOGIDA DE LOS DATOS Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto CALIDAD.- Los datos que se recaban deben ser adecuados, pertinentes y no excesivos, exactos y puestos al día • CONSENTIMIENTO.- El interesado ha de otorgar consentimiento para llevar a cabo un tratamiento automatizado • de sus datos. • En el RLOPD se contempla la posibilidad de que: El responsable del fichero o del tratamiento se dirijan al • Interesado informándole y concediéndole un plazo de 30 días hábiles para manifestar su disconformidad. • No se requiere consentimiento: • Cuando una ley así lo disponga • Para el ejercicio de las funciones propias de las administraciones públicas. • Cuando se refieren a las partes de un contrato o precontrato de una relación laboral • Cuando el tratamiento de los datos tenga por finalidad un interés vital del interesado. • Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios INFORMACIÓN.- Cumplir con el deber de información dispuesto en la LOPD, informando de modo expreso, preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información, así como de los derechos de que dispone sobre dichos datos. Derecho de Acceso, rectificación, cancelación y Oposición (especial atención a los plazos)
OBLIGACIONES LEGALES Principio de Calidad de Datos Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros MEDIDAS DE INDOLE TÉCNICO Y ORGANIZATIVO.- Se deben establecer aquellas medidas necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD. DOCUMENTO DE SEGURIDAD. Se reflejarán en el citado documento las medidas de índole técnico y organizativas establecidas y relacionadas con el Reglamento de Medidas de Seguridad DEBER DE SECRETO Y CONFIDENCIALIDAD respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo
OBLIGACIONES LEGALES Principio de Calidad de Datos Principio de información en la recogida de datos Principio de consentimiento La Ley prevé la necesidad de proteger especialmente este tipo de datos, que por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos, de manera que: Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros • Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar • datos de carácter personal que revelen ideología, afiliación sindical, religión, creencia, • origen racial o étnico, o vida sexual. • Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser • objeto de tratamiento con el consentimiento expreso y por escrito del afectado. -Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al origen racial, la salud o la vida sexual. • En el caso de comisión de infracciones penales o administrativas sólo podrán • ser incluidos en ficheros de las Administraciones Públicas competentes.
OBLIGACIONES LEGALES Principio de Calidad de Datos 3º MOMENTO: COMUNICACIÓN DE LOS DATOS Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros PRINCIPIO DE ACCESO A DATOS POR CUENTA DE TERCEROS El acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio al responsable del fichero, no se considerará comunicación de datos. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito (ejemplos: gestorías, asesorías, entidades bancarias, etc.). PRINCIPIO DE COMUNICACIÓN DE DATOS Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS BÁSICO MEDIDAS NIVEL BÁSICO: • OBLIGACIONES ORGANIZATIVAS • Documento de Seguridad • Funciones y Obligaciones del personal • Registro de incidencias • Inventario de los soportes y control de la salida de dichos soportes • Criterios de archivo de documentación • Dispositivos de almacenamiento • Custodia de soportes • OBLIGACIONES TÉCNICAS • Listado de usuarios con acceso autorizado • Mecanismos de identificación y autentificación • Control de acceso lógico • Copias de seguridad al menos semanalmente y procedimiento de recuperación
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS MEDIDAS NIVEL MEDIO: BÁSICO MEDIO • OBLIGACIONES ORGANIZATIVAS • Documento de Seguridad • Funciones y Obligaciones del personal • Registro de incidenciasy proceso de recuperación • Inventario de los soportes y control de la entrada/ salida de dichos soportes (desechado y destrucción) • Responsable de Seguridad • Auditoria Bienal • Control de acceso físico • OBLIGACIONES TÉCNICAS • Listado de usuarios con acceso autorizado • Mecanismos de identificación y autentificacióncon limitación de intentos • Control de acceso lógico • Copias de seguridad al menos semanalmente y procedimiento de recuperación
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS BÁSICO MEDIO ALTO MEDIDAS NIVEL ALTO: • OBLIGACIONESORGANIZATIVAS • Documento de Seguridad • Funciones y Obligaciones del personal • Registro de incidencias y proceso de recuperación • Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción) • Responsable de Seguridad • Auditoria Bienal • Control de acceso físico • Almacenamiento de la información • Acceso a la documentación • Traslado de la documentación • OBLIGACIONESTÉCNICAS • Listado de usuarios con acceso autorizado • Mecanismos de identificación y autentificación con limitación de intentos • Control de acceso lógico • Copias de seguridad en una ubicación diferente • Cifrado en los soportes y en las telecomunicaciones • Registro de accesos
DERECHOS • EL DERECHO DE ACCESO • Ejemplos: • Imágenes de videocámaras en vía pública. • Sanciones e informes acerca del personal militar emitidos por la unidad de recursos humanos. • Valoraciones de solvencia económica realizadas por entidades financieras. • Imágenes en programas de televisión por parte de personajes públicos. • Historial clínico de familiar fallecido. • Historial clínico que se considera se ha suministrado de manera incompleta.
DERECHOS • EL DERECHO DE OPOSICIÓN • Ejemplo: • Recepción de publicidad de una empresa con la que se tiene un contrato. • EL DERECHO DE RECTIFICACIÓN • Ejemplos: • Base de cotización contenida en ficheros de la Seguridad Social. • Datos bancarios disponibles por una empresa telefónica.
EL DERECHO DE CANCELACIÓN • Ejemplos: • Inclusión indebida por parte de las entidades financieras en ficheros de información sobre solvencia patrimonial y crédito. • Supresión de datos una vez concluida la prestación de los servicios contratados con operadores de telecomunicaciones • Baja en los ficheros de operadores de telecomunicaciones en casos de cambio de operador no consentido por el abonado • Cancelación de datos en Internet (foros, YouTube) • Supresión de antecedentes policiales, penales y penitenciarios de las Administraciones Públicas competentes • Cancelación de datos que figuran en el historial clínico.
LA AEPD • ACTUACIONES DE INSPECCIÓN INICIADAS:
LA AEPD • ACTUACIONES DE INSPECCIÓN INICIADAS EN 2008 POR SECTORES:
LA AEPD • PROCEDIMIENTOS SANCIONADORES INICIADOS: • PROCEDIMIENTOS SANCIONADORES CONCLUIDOS:
* SANCIONES: * POR SECTORES: LA AEPD
LA AEPD FICHEROS INSCRITOS Año 2007 Año 2008 Total: 1.267.579 Total: 1.017.266
LA AEPD • CONSULTAS:
LA AEPD • La videovigilancia: garantías ante un fenómeno omnipresente. • La instalación de cámaras de videovigilancia por razones de seguridad se está incrementando de manera exponencial en los últimos años. • Notable ampliación del número de ficheros inscritos en la AEPD con esta finalidad: • - 2007 5.026 • - 2008 15.510 • Importante concienciación y reacción ciudadana reflejadas en el aumento de las denuncias. • La AEPD reaccionó ante este fenómeno con la publicación de la Instrucción 1/2006 de 8 de noviembre para adecuar los principios y garantías de la LOPD a estas actividades y con la organización y celebración de las II Jornadas Abiertas.
El titular o propietario de los datos no es quien los posee en un fichero (papel o informático), si no el individuo al que se refieren los datos. El desconocimiento de la ley no exime de su cumplimiento “La aplicación de la LOPD nos permitirá evitar las elevadísimas sanciones, pero no debemos olvidar que al cumplir la ley, mejoramos la seguridad y procedimientos de nuestra organización y la imagen frente a nuestros clientes, proveedores y empleados, respetando la privacidad y el derecho a su intimidad. CONCLUSIONES