la lopd en las entidades públicas y privadas. agenda los datos personales lopd. historia conceptos...
TRANSCRIPT
La LOPD en las entidades Públicas y Privadas
AGENDA
Los Datos Personales
LOPD. Historia
Conceptos Básicos
AEPD - Problemática de no cumplir con la LOPD
Obligaciones de las Entidades Públicas y Privadas
Componente Legal
Componente Organizativo
Componente Técnico
Derechos ARCO
Actuaciones de la Agencia (Gráficos)
LOS DATOS PERSONALES
¿PORQUÉ DE ESTA LEY?
LOS DATOS PERSONALES NUESTRO DIA A DIA
LOPD
LAS NUEVAS TECNOLOGIAS
ES HABITUAL QUE PRACTICAMENTE PARA
CUALQUIER ACTIVIDAD SEA NECESARIO
RECOGERLOS Y UTILIZARLOS.
Cuando abrimos una cuenta, matriculación en
un curso, en el gimnasio, solicitud de
participación en un concurso, cuando se
reserva un vuelo o un hotel, cuando pide una
cita en el médico, cuando busca trabajo, cada
vez que efectúo un pago con tarjeta, cuando
navego por internet … Constantemente en vida
diaria dejo rastros sobre mis gestiones.
EL DESARROLLO Y APLICACIÓN DE LAS
NUEVAS TECNOLOGIAS EN EL
TRATAMIENTO DE LA INFORMACIÓN,
Ha supuesto comodidad y rapidez en el
tratamiento e intercambio de los datos que
se realiza cotidianamente. La bondad y
progreso que nos aportan las tecnologías
es claro, pero se hace necesario garantizar
el equilibrio entre modernidad y la garantía
de los derechos de los ciudadanos.
LOS DATOS PERSONALES PERMITEN
IDENTIFICAR A UNA PERSONA.
El nombre, apellidos, dirección postal,
e-mail, teléfono, nº matricula del coche,
huella digital, fotografía, grabación video,
ADN, … son datos que identifican a una
persona, ya sea directa o indirectamente
LOPD-HISTORIA
Artículo 10
Se reconoce el derecho a la dignidad de la persona …
Artículo 18
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales
Niveles
Fichero
Objeto y Finalidad
LOPD Historia
Objeto y Finalidad
LOPD-HISTORIA
Esta normativa afecta al 100% de las empresas de nuestro país. (clientes, proveedores o personal).
LOPD-HISTORIA
LA LOPD TIENE POR OBJETO GARANTIZAR Y PROTEGER EN LO QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES, LAS LIBERTADES PÚBLICAS Y LOS DERECHOS FUNDAMENTALES DE LAS PERSONAS FÍSICAS Y ESPECIALMENTE SU HONOR E INTIMIDAD PERSONAL Y FAMILIAR.
EN RESUMEN, PONER LIMITES AL GRADO DE INTRUSIÓN EN NUESTRA INTIMIDAD QUE PUEDEN GENERAR LAS NUEVAS TECNOLOGÍAS
POR TANTO SE REGIRA POR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS TODO TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL REGISTRADOS EN SOPORTE FÍSICO (SOPORTE PAPEL O INFORMÁTICO).
Niveles
Fichero
Objeto y Finalidad
LOPD Historia
Objeto y Finalidad
CONCEPTOS BÁSICOS
TIPOS DE FICHEROS TIPO POR EMPRESA: (e.j.)
SE ENTIENDE POR “FICHERO”, TODO CONJUNTO DE DATOS DE CARÁCTER PERSONAL,
CUALQUIERA QUE FUESE SU FORMA O MODALIDAD DE SU CREACIÓN, ALMACENAMIENTO,
ORGANIZACIÓN Y ACCESO.
¿QUE ES UN FICHERO?
… ETC
CLIENTES
PERSONAL
PROVEEDORESCANDIDATOS
1º Obligación de registrar nuestros
ficheros ante la AEPD
Dentro de la página Web de la Agencia de Protección De datos, podemos conocer si una compañía tiene inscritos ficheros
https://www.agpd.es
CONCEPTOS BÁSICOS
NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA
(enfermedades, deudas, orientación sexual).
ALTO
MEDIO
Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico...
• Datos relativos a la comisión de infracciones administrativas o penales• Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.• Ficheros sobre solvencia patrimonial o de crédito.• Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...)• Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas
• Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.• Datos recabados para fines policiales sin consentimiento de las personas afectadas• Datos de derivados de actos de violencia de género
BASICO
LA AEPD
www.agpd.es Consulta de Ficheros Inscritos pública y gratuita
en el RGPD
LA AEPD
... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia www.agpd.es
Las sanciones impuestas tras la inspección en caso de incumplimiento, son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan entre los 60.000 Y 300.000 € (10 y 50 Millones de Ptas.)
LEVES Multa de 601 €
a 60.101 € (100.000 a 10
Millones de ptas.)
GRAVESMulta de 60.101 €
a 300.506 €(10 a 50 Millones
de pesetas)
MUY GRAVESMulta de 300.506 €
a 601.012 € (50 a 100 Millones
de pesetas)
LA AEPD
Política de la Agencia
No sancionar los registros
Campaña de sensibilización
Se financia con las sanciones
LA AEPD
Nivel de la infracción
Descripción de la infracción Sanción prevista
LEVE
1. No atender la solicitud de rectificación o cancelación por motivos formales.
2. No proporcionar información a APD.3. No solicitar inscripción de fichero en el RGPD (puede ser infracción
grave).4. Recoger datos personales sin proporcionar información a los
afectados.5. Incumplir el deber de secreto (puede ser infracción grave).
601 - 60.101€
(100.000-10 M Ptas.)
GRAVE
Algunas infracciones son:1. Recoger datos personales sin consentimiento expreso de los
afectados.2. Tratar o usar datos de carácter personal incumpliendo la legislación
(puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar4. Mantener ficheros, locales, programas o equipos con datos personales
sin las debidas condiciones de seguridad5. Vulnerar el deber de secreto en ficheros de nivel medio.
60.101 - 300.506€
(10 - 50 M Ptas.)
MUY GRAVE
Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de los casos
en que esté permitido.3. Transferencia de datos a países sin nivel equiparable de protección y
sin autorización de la APD.4. No atender sistemáticamente los derechos de acceso, rectificación,
cancelación u oposición.5. No atender sistemáticamente el deber notificación de la inclusión de
datos personales.
300.506 - 601.012€
(50 - 100 M Ptas.)
OBLIGACIONES DE LAS ENTIDADES
OBLIGACIONES LEGALES
OBLIGACIONES ORGANIZATIVAS
OBLIGACIONES TÉCNICAS
OBLIGACIONES LEGALES
1º MOMENTO: El momento en el que se recaban los datos , bien directamente del interesado o de un tercero
2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos, buscando definir un perfil del afectado, perfil que incluso el mismo puede desconocer
3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos”
• CALIDAD DE DATOS
• CONSENTIMIENTO
• INFORMACIÓN
• DATOS ESPECIALMENTE PROTEGIDOS
• SEGURIDAD Y SECRETO
• COMUNICACIÓN DE DATOS
• ACCESO A DATOS POR TERCEROS
PRINCIPIOS
LOPD
OBLIGACIONES LEGALES
OBLIGACIONES LEGALES
CALIDAD.- Los datos que se recaban deben ser adecuados, pertinentes y no excesivos, exactos y puestos al día
CONSENTIMIENTO.- El interesado ha de otorgar consentimiento para llevar a cabo un tratamiento automatizado de sus datos. En el RLOPD se contempla la posibilidad de que: El responsable del fichero o del tratamiento se dirijan al Interesado informándole y concediéndole un plazo de 30 días hábiles para manifestar su disconformidad.No se requiere consentimiento: • Cuando una ley así lo disponga• Para el ejercicio de las funciones propias de las administraciones públicas.• Cuando se refieren a las partes de un contrato o precontrato de una relación laboral Cuando el tratamiento de los datos tenga por finalidad un interés vital del interesado.• Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios
INFORMACIÓN.- Cumplir con el deber de información dispuesto en la LOPD, informando de modo expreso, preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información, así como de los derechos de que dispone sobre dichos datos. Derecho de Acceso, rectificación, cancelación y Oposición (especial atención a los plazos)
1º MOMENTO: RECOGIDA DE LOS DATOS
Seguridad y Secreto
Datos Especialmente protegidos
Principio de consentimiento
Principio de información en la recogida de datos
Principio de Calidad de Datos
OBLIGACIONES LEGALES
DOCUMENTO DE SEGURIDAD. Se reflejarán en el citado documento las medidas de índole técnico y organizativas establecidas y relacionadas con el Reglamento de Medidas deSeguridad
MEDIDAS DE INDOLE TÉCNICO Y ORGANIZATIVO.- Se deben establecer aquellas medidas necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD.
DEBER DE SECRETO Y CONFIDENCIALIDAD respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo
Principio de Acceso a Datos por Cuenta de Terceros
Principio de Comunicación de Datos
Seguridad y Secreto
Datos Especialmente protegidos
Principio de consentimiento
Principio de información en la recogida de datos
Principio de Calidad de Datos
-Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen ideología, afiliación sindical, religión, creencia, origen racial o étnico, o vida sexual.
-Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado.
-En el caso de comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes.
La Ley prevé la necesidad de proteger especialmente este tipo de datos, que por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos, de manera que:
-Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al origen racial, la salud o la vida sexual.
Principio de Acceso a Datos por Cuenta de Terceros
Principio de Comunicación de Datos
Seguridad y Secreto
Datos Especialmente protegidos
Principio de consentimiento
Principio de información en la recogida de datos
Principio de Calidad de Datos
OBLIGACIONES LEGALES
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
PRINCIPIO DE COMUNICACIÓN DE DATOS
El acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio al responsable del fichero, no se considerará comunicación de datos. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito (ejemplos: gestorías, asesorías, entidades bancarias, etc.).
PRINCIPIO DE ACCESO A DATOS POR CUENTA DE TERCEROS
3º MOMENTO: COMUNICACIÓN DE LOS DATOS
Principio de Calidad de Datos
Principio de consentimiento
Principio de Acceso a Datos por Cuenta de Terceros
Principio de Comunicación de Datos
Datos Especialmente protegidos
Principio de información en la recogida de datos
Seguridad y Secreto
OBLIGACIONES LEGALES
OBLIGACIONES ORGANIZATIVAS•Documento de Seguridad •Funciones y Obligaciones del personal •Registro de incidencias•Inventario de los soportes y control de la salida de dichos soportes•Criterios de archivo de documentación•Dispositivos de almacenamiento•Custodia de soportes
MEDIDAS NIVEL BÁSICO: BÁSICO
OBLIGACIONES TÉCNICAS•Listado de usuarios con acceso autorizado•Mecanismos de identificación y autentificación•Control de acceso lógico•Copias de seguridad al menos semanalmente y procedimiento de recuperación
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
MEDIDAS NIVEL MEDIO:
OBLIGACIONES ORGANIZATIVAS•Documento de Seguridad •Funciones y Obligaciones del personal •Registro de incidencias y proceso de recuperación•Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción)• Responsable de Seguridad• Auditoria Bienal• Control de acceso físico
OBLIGACIONES TÉCNICAS•Listado de usuarios con acceso autorizado•Mecanismos de identificación y autentificación con limitación de intentos•Control de acceso lógico•Copias de seguridad al menos semanalmente y procedimiento de recuperación
BÁSICO MEDIO
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS
BÁSICO MEDIO ALTOMEDIDAS NIVEL ALTO:
OBLIGACIONES ORGANIZATIVAS• Documento de Seguridad • Funciones y Obligaciones del personal • Registro de incidencias y proceso de recuperación• Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción)• Responsable de Seguridad• Auditoria Bienal• Control de acceso físico•Almacenamiento de la información•Acceso a la documentación•Traslado de la documentación
OBLIGACIONES TÉCNICAS• Listado de usuarios con acceso autorizado• Mecanismos de identificación y autentificación con limitación de intentos• Control de acceso lógico• Copias de seguridad en una ubicación diferente• Cifrado en los soportes y en las telecomunicaciones• Registro de accesos
OBLIGACIONES ORGANIZATIVAS Y TÉCNICASAUTOMATIZADOS NO AUTOMATIZADOS
OBLIGACIONES A DESARROLLAR BÁSICO MEDIO BÁSICO BASICO MEDIO ALTO
Documento de Seguridad
Funciones y Obligaciones del personal
Registro de incidencias
Control de acceso lógico
Registro de Salida de soportes
Identificación y autenticación de usuarios
Copias de Respaldo y Recuperación
Responsable de Seguridad
Auditoria Bianual
Control de acceso físico
Registro de Entrada de soportes
Distribución cifrada de soportes
Cifrado de telecomunicaciones
Registro de accesos
Archivo
Almacenamiento
Custodia
EL DERECHO DE ACCESO
Ejemplos:
Imágenes de videocámaras en vía pública. Sanciones e informes acerca del personal militar emitidos por la
unidad de recursos humanos. Valoraciones de solvencia económica realizadas por entidades
financieras. Imágenes en programas de televisión por parte de personajes
públicos. Historial clínico de familiar fallecido. Historial clínico que se considera se ha suministrado de manera
incompleta.
DERECHOS
EL DERECHO DE OPOSICIÓN
Ejemplo: Recepción de publicidad de una empresa con la que se tiene
un contrato.
EL DERECHO DE RECTIFICACIÓN
Ejemplos: Base de cotización contenida en ficheros de la Seguridad
Social. Datos bancarios disponibles por una empresa telefónica.
DERECHOS
EL DERECHO DE CANCELACIÓN
Ejemplos:
Inclusión indebida por parte de las entidades financieras en ficheros de información sobre solvencia patrimonial y crédito.
Supresión de datos una vez concluida la prestación de los servicios contratados con operadores de telecomunicaciones
Baja en los ficheros de operadores de telecomunicaciones en casos de cambio de operador no consentido por el abonado
Cancelación de datos en Internet (foros, YouTube) Supresión de antecedentes policiales, penales y penitenciarios
de las Administraciones Públicas competentes Cancelación de datos que figuran en el historial clínico.
ACTUACIONES DE INSPECCIÓN INICIADAS:
1.624
2.362
2007 2008
LA AEPD
ACTUACIONES DE INSPECCIÓN INICIADAS EN 2008 POR SECTORES:
6% 5% 16%17%
20%36%
Telecomunicaciones Sector financieroVideovigilancia Sector PúblicoSpam Otros
LA AEPD
PROCEDIMIENTOS SANCIONADORES INICIADOS:
535706
81
83
2007 2008
Sector Privado Sector Público
PROCEDIMIENTOS SANCIONADORES CONCLUIDOS:
399630
79
66
2007 2008
Sector Privado Sector Público
LA AEPD
* SANCIONES: * POR SECTORES:
0%
5%
10%
15%
20%
25%
30%
35%
2008
Telecomunicaciones
Sector financiero
Spam
Videovigilancia
Comercio,transporte,hostelería
22.625.83919.674.480
24.422.292
16.439.801
8.372.379
2004 2005 2006 2007 2008
LA AEPD
6%
94%
Ficheros Públicos: 61.553
Ficheros Privados: 955.713
Total: 1.017.266
FICHEROS INSCRITOS
Año 2007
Total: 1.267.579
Año 2008
7%
93%
Ficheros Públicos: 85.083
Ficheros Privados: 1.182.496
LA AEPD
262,007
127,635
573,211652,290
Ficheros públicos Ficheros privados
CONSULTAS:
LA AEPD
La videovigilancia: garantías ante un fenómeno omnipresente. La videovigilancia: garantías ante un fenómeno omnipresente.
La instalación de cámaras de videovigilancia por razones de seguridad se está incrementando de manera exponencial en los últimos años.
Notable ampliación del número de ficheros inscritos en la AEPD con esta finalidad:
- 2007 5.026 - 2008 15.510
Importante concienciación y reacción ciudadana reflejadas en el aumento de las denuncias.
La AEPD reaccionó ante este fenómeno con la publicación de la Instrucción 1/2006 de 8 de noviembre para adecuar los principios y garantías de la LOPD a estas actividades y con la organización y celebración de las II Jornadas Abiertas.
LA AEPD
CONCLUSIONES
El titular o propietario de los datos no
es quien los posee en un fichero (papel o
informático), si no el individuo al que se
refieren los datos.
El desconocimiento de la ley no exime
de su cumplimiento
“La aplicación de la LOPD nos permitirá evitar las
elevadísimas sanciones, pero no debemos olvidar que al
cumplir la ley, mejoramos la seguridad y procedimientos de
nuestra organización y la imagen frente a nuestros clientes,
proveedores y empleados, respetando la privacidad y el
derecho a su intimidad.