la protección de datos en las escuelas de idiomas
DESCRIPTION
TRANSCRIPT
www.ascendiarc.com
www.ascendiarc.com
www.ascendiarc.com
La ProtecciLa Proteccióón de Datos en las Escuelas de n de Datos en las Escuelas de IdiomasIdiomas
www.ascendiarc.com
ÍNDICE
Índice
> Principio fundamental
>Conceptos básicos
>Ámbito de aplicación y exclusiones
>Principales obligaciones
>Derechos de los titulares de los datos de carácter personal
>Particularidades
www.ascendiarc.com
Constitución española. Cap. II Art. 18.4 - De los derechos fundamentales y de las libertades públicas
1993, Aprobación del Estatuto APD
1994 – Correción LORTAD
1995 – Directiva 46 UE, Protección del tratamiento de datos personales y a la libre circulación de éstos
11/06/1999 RD 994 Reglamento de Medidas de Seguridad
13/12/1999 – LOPD 15
26/03/2000 - Nivel básico
26/06/2000 – Nivel Medio
26/06/2002 – Nivel Alto
12/07/2002 – Directiva 58, Tratamiento de los datos personales y a la protección de la intimidad
1992 - LORTAD
“La ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio
de sus derechos.”
PRINCIPIO FUNDAMENTAL
19/04/2008 – RLOPD
www.ascendiarc.com
CONCEPTOS BÁSICOS
DEFINICIONES
AFECTADO O INTERESADO.- Toda persona física titular de los datos
que serán objeto de tratamiento.
DATOS DE CARÁCTER PERSONAL.- Información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a
personas físicas identificables.
TRATAMIENTO DE DATOS.- Operación o procedimiento técnico,
automatizado o no, que a su vez permita le recogida, grabación,
conservación, elaboración, modificación, consulta, utilización,
cancelación, bloqueo o supresión, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y
transferencias.
www.ascendiarc.com
CONCEPTOS BÁSICOS
DEFINICIONES
RESPONSABLE DEL FICHERO O DEL TRATAMIENTO.- Persona física o
jurídica, que sólo o conjuntamente con otros decida sobre la finalidad,
contenido y uso del tratamiento de los datos.
ENCARGADO DEL TRATAMIENTO.- Persona física o jurídica, pública o
privada, que sólo o conjuntamente con otros trate datos personales
por cuenta del responsable del tratamiento o del fichero.
CESIÓN O COMUNICACIÓN DE DATOS.- Tratamiento de datos que
supone su revelación a una persona distinta del interesado.
CONSENTIMIENTO.- Manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consiente el
tratamiento de los datos personales que le conciernen.
www.ascendiarc.com
ÁMBITO DE APLICACIÓN Y EXCLUSIONES
La LOPD no será de aplicación
A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
La LOPD es de aplicación a todos los datos de carácter personal que los haga susceptible de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado
www.ascendiarc.com
ÁMBITO DE APLICACIÓN Y EXCLUSIONES
POR TANTO:
La LOPD afecta a cualquier empresa o institución que tenga, mantenga, utilice o trate datos de carácter personal en soporte informático o papel.
EN LA PRÁCTICA
⇓
A TODAS LAS ORGANIZACIONES PÚBLICAS O PRIVADAS
www.ascendiarc.com
ÁMBITO DE APLICACIÓN Y EXCLUSIONES
POR TANTO:
La LOPD fija una serie de obligaciones que deberán ser cubiertas por las organizaciones que realizan tratamiento de datos de carácter personal durante todo el proceso de vida del dato:
⟩ RECOGIDA
⟩ TRATAMIENTO
⟩ COMUNICACIONES
La adaptación a la LOPD no se lleva a cabo en un instante concreto, sino que se trata de una labor continua.
www.ascendiarc.com
CENTRO DE ESTUDIOS
ALUMNOS
FORMADORES
PERSONAL
CURRICULUMS
COLABORADORESASESORIAS
SERVICIOPRL
MUTUA DE ACCIDENTES DE TRABAJO
ADMINISTRACIONES PUBLICAS, AEAT, INSS,
SAE
PRINCIPALES OBLIGACIONES
www.ascendiarc.com
FICHEROS CON DATOS DE CARÁCTER PERSONAL
CLIENTES, PROVEEDORES,
GESTIÓN COMERCIAL
PERSONAL DOCENTE
EMPLEADOS
ALUMNOS
FICHEROS CON DATOS DE CARÁCTER PERSONAL:
- GESTIÓN INTERNA
- ALUMNOS
- PERSONAL DOCENTE
- EMPLEADOS
PRINCIPALES OBLIGACIONES
www.ascendiarc.com
RECOGIDA DE DATOS DE CARÁCTER PERSONAL
PRINCIPALES OBLIGACIONES
Información previa, precisa e inequívoca de la recogida.
• Finalidad y destinatarios de la información.
• Consecuencias de la obtención de los datos o de la negativa.
• Identidad del Responsable del Fichero.
• Derechos de acceso, rectificación, cancelación y oposición.
Calidad de los datos• El tratamiento no puede ser arbitrario.
• Adecuados, pertinentes y no excesivos.
• En relación con la finalidad legítima para la que se obtengan.
• Exactos y puestos al día.
• Cancelados cuando ya no sean necesarios para la finalidad para la que se
recogieron.
• Nunca deberán recogerse por medios fraudulentos, desleales o lícitos.
www.ascendiarc.com
RECOGIDA DE DATOS DE CARÁCTER PERSONAL
PRINCIPALES OBLIGACIONES
Consentimiento del afectado
• Consentimiento de la persona de la que se recaban los datos.
• Consentimiento específico para el tratamiento de datos e informado del
mismo.
• No será necesario consentimiento
- Administración Pública en ejercicio de sus funciones.
- Entre las partes en un contrato comercial, laboral o administrativo.
- Para proteger un interés vital del interesado.
- Cuando los datos se encuentren en fuentes accesibles al público y
haya un interés legítimo del responsable del fichero o del destinatario
de los datos.
www.ascendiarc.com
Elaboración de documentos personalizados:
> Cláusulas legales
> Contratos por encargo de tratamientos
> Contratos por cesión de datos
> Acuerdos de confidencialidad
PRINCIPALES OBLIGACIONES
www.ascendiarc.com
• Infracción
administrativa o penal
• Hacienda Pública
• Servicios financieros,
crédito
• Solvencia patrimonial
• Evaluación de la
personalidad
• Datos tráfico Telecos
Básico
• Ideología u opciones
políticas
• Afiliación sindical
• Religión
• Creencias
• Origen racial
• Salud y vida sexual
• Violencia de Género
Niveles de seguridad: Niveles de protección aplicables.
Alto Medio
• El resto de datos
de carácter personal
MEDIDAS DE SEGURIDAD Y DOCUEMNTO DE SEGURIDAD
PRINCIPALES OBLIGACIONES
www.ascendiarc.com
Se deberán implantar las modificaciones técnicas, organizativas y jurídicas necesarias
para garantizar el cumplimiento legislativo.
PRINCIPALES OBLIGACIONES
MEDIDAS DE SEGURIDAD Y DOCUEMNTO DE SEGURIDAD
La adopción por parte de la entidad de estas medidas correctoras se
deberá realizar de acuerdo a sus necesidades específicas.
Elaboración del Documento de SeguridadEl objetivo de este documento es recopilar la normativa de seguridad en
materia de protección de datos.Documento de obligado cumplimiento para el personal con acceso a los
datos automatizados de carácter personal y a los sistemas de información.
Contendrá la identificación del Responsable/s de Seguridad, los controles
periódicos para verificar el cumplimiento de lo dispuesto en el propio
documento y las medidas a adoptar cuando un soporte sea desechado o
reutilizado.
www.ascendiarc.com
> Responsable de Fichero
> Administradores y Responsable/s de Seguridad
> Usuarios con acceso a Datos
PRINCIPALES OBLIGACIONES
FORMACIÓN Y AUDITORÍA
Formación
Siempre que se tengan datos de nivel medio o alto deberán realizarse auditorias para
verificar el correcto cumplimento de la normativa de protección de datos.
Se plasmarán en el Informe de Auditoría todas las salvaguardas implementadas por
la entidad.
Auditoría
www.ascendiarc.com
CARÁCTER PERSONALÍSIMO
Los derechos de acceso, rectificación, cancelación y oposición son
personalísimos y serán ejercidos por el afectado.
DERECHOS DE LOS TITULARES DCP
DERECHOS INDEPENDIENTES
Los derechos de acceso, rectificación, cancelación y oposición son derechos
independientes, de tal forma que no puede entenderse que el ejercicio de
ninguno de ellos sea requisito previo para el ejercicio de otro.
Deberá concederse al interesado un medio sencillo y gratuito para el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
El ejercicio por el afectado de sus derechos de acceso, rectificación,
cancelación y oposición será gratuito y en ningún caso podrá suponer un
ingreso adicional para el responsable del tratamiento ante el que se
ejercitan.
www.ascendiarc.com
DERECHO DE ACCESO
DERECHOS DE LOS TITULARES DCP
El interesado tendrá derecho a solicitar y obtener gratuitamente
información de sus datos de carácter personal sometidos a tratamiento, el
origen de sus datos así como las comunicaciones realizadas o que se prevén
hacer de los mismos.
El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer una reclamación de tutela de derechos ante la Agencia Española de Protección de Datos.
www.ascendiarc.com
DERECHO DE RECTIFICACIÓN
DERECHOS DE LOS TITULARES DCP
El derecho de rectificación es el derecho del afectado a que se modifiquen
los datos que resulten ser inexactos o incompletos.
La solicitud de rectificación deberá indicar a qué datos se refiere y la
corrección que haya de realizarse y deberá ir acompañada de la
documentación justificativa de lo solicitado.
El Responsable del Fichero tendrá la obligación de hacer efectivo el derecho
de rectificación en el plazo de diez días.
www.ascendiarc.com
DERECHO DE CANCELACIÓN
DERECHOS DE LOS TITULARES DCP
El ejercicio del derecho de cancelación dará lugar a que se supriman los
datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de
bloqueo.
El Responsable del Fichero tendrá la obligación de hacer efectivo el derecho
de cancelación en el plazo de diez días.
Podrá denegarse el derecho de cancelación en los supuestos en que así lo
prevea una ley o una norma de derecho comunitario de aplicación directa o
cuando éstas impidan al responsable del tratamiento revelar a los afectados
el tratamiento de los datos a los que se refiera el acceso.
www.ascendiarc.com
DERECHO DE OPOSICIÓN
DERECHOS DE LOS TITULARES DCP
El derecho de oposición es el derecho del afectado a que no se lleve a cabo
el tratamiento de sus datos de carácter personal o se cese en el mismo en
los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, siempre
que una Ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión
referida al afectado y basada únicamente en un tratamiento automatizado
de sus datos de carácter personal.
El Responsable del Fichero deberá resolver sobre la solicitud de oposición en
el plazo de diez días.
www.ascendiarc.com
> No atender la solicitud de rectificación o cancelación
> No proporcionar a la APD información en relación con aspectos no sustantivos de
la protección de datos.
> No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos, cuando no sea constitutivo de infracción grave
> Proceder a la recogida de datos sin informar de ello
> Incumplir el deber de secreto, salvo que constituya infracción grave
Sanción:
Infracción:
Prescripción:
LEVE
601,01 € a 60.101,21 € 1 año
Motivos:
RESPONSABILIDADES Y SANCIONES
www.ascendiarc.com
GRAVE
60.101,21 € a 300.506,05 € 2 añosSanción:
Infracción:
Prescripción:
Motivos:
RESPONSABILIDADES Y SANCIONES
> Creación de ficheros o recogida de datos con finalidades distintas de las constituidas
> Recogida de datos sin recabar el consentimiento expreso de las personas afectadas.
> Tratar los datos o usarlos vulnerando la legislación, cuando no constituya infracción muy grave.
> Impedir u obstaculizar el ejercicio de los derechos de acceso y oposición .
> Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones.
> La vulneración del deber de guardar secreto sobre los datos de carácter personal clasificados como nivel
medio..
> Mantener los ficheros, locales, programas o equipos que contengan datos sin medidas de seguridad.
> No remitir a la Agencia de Protección de Datos las notificaciones requeridas.
> La obstrucción al ejercicio de la función inspectora.
> No inscribir el fichero cuando haya sido requerido para ello por el Director de la AEPD.
www.ascendiarc.com
> Recogida de datos en forma engañosa y fraudulenta.
> Comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas.
> Recabar y tratar datos de carácter personal de nivel alto sin consentimiento expreso del afectado.
> No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido para ello por el Director de
la APD.
> La transferencia temporal o definitiva a países sin un nivel de protección equiparable
> Tratar los datos de carácter personal de forma que se atente contra el ejercicio de los derechos
fundamentales
> Vulneración del deber de guardar secreto sobre los datos de carácter personal de nivel alto.
> No atender, u obstaculizar el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
> No atender de forma sistemática el deber de notificación de un fichero.
MUY GRAVE
300.506,05 € a 601.012,10 € 3 añosSanción:
Infracción:
Prescripción:
Motivos:
RESPONSABILIDADES Y SANCIONES
www.ascendiarc.com
PARTICULARIDADES EN EL TRATAMIENTO DE DATOS EN LAS ESCUALAS DE IDIOMAS
Tipos de datos manejados: especial atención a los datos de menores.
Transferencias internacionales de datos.
Datos de salud.
Imágenes y videos.
Internet y redes sociales.
www.ascendiarc.com
gracias por su atenciónwww.ascendiarc.com
Gracias por su atención.
¿Alguna pregunta?
Elisa Santolaya DomínguezConsultor Senior