Protección de datosMáster en Psicología General Sanitaria

Facultad de Psicología

Universidad de Murcia

¿Quién soy?

María Herrera y Mira de Orduña

Abogada

Vocal de la Sección TIC de ICAMUR

Postgrado en Auditoría Jurídica de Sistemas informáticos

Cursos de auditoría (ISO 9000, ISO 27OOO)

Consultora jurídica en protección de datos y nuevas tecnologías

Auditora jurídica en LEGITEC Consultores y Auditores

1. Conceptos previos

¿Qué es la privacidad?

• La privacidad es el derecho a que te dejen en paz, a vivir tu propia vida con las mínimas interferencias.

• Este derecho implica la facultad de disponer sobre el uso que se hace de tus propios datos.

El Gran Hermano

• El concepto tiene su origen en la novela de George Orwen “1984”

• Vigilancia constante utilizandoavanzadas tecnologías

• Se difunde propaganda con el objetivo de inculcar el modo de pensar que el gobierno desea de los ciudadanos y ciudadanas

• Podemos ser acusados de “crimen de pensamiento” por la “policía de control del pensamiento”

Efecto multiplicador en la difusión de información

2. Concepto de protección de datos

¿Pero realmente estamos protegiendo datos?

• No, protegemos personas• Protegemos el derecho de disposición de la persona sobre sus datos

personales, el derecho a saber por qué, para qué y cómo van a ser tratados sus datos personales y a decidir acerca de su uso y de su comunicación a terceros.

Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional

• El objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal.

• Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos.

Normativa aplicable

• Constitución Española. Artículo 18.4: “La Ley limitará el usode la informática para garantizar el honor y la intimidad personal yfamiliar de los ciudadanos, y el pleno ejercicio de sus derechos”.

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datosde Carácter Personal. (LOPD)

• Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba elReglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 dediciembre, de Protección de Datos de Carácter Personal (en adelanteRLOPD)

Reglamento Europeo de Protección de Datos

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

• Entra en vigor en mayo de 2018

Concepto de Protección de Datos

• La protección de datos consiste en el poder de disposición y control sobre cualquier información concerniente a las personas (nombre y apellidos, teléfono, dirección, datos bancarios, edad, historial médico, ideología…).

• Constituye un dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables; tanto las relativas a su identidad (como nombre y apellidos, domicilio, filiación, etc.) como las relativas a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)

• La imagen también es un dato personal, por lo que se tiene derecho a decidir sobre su recogida, grabación y utilización.

• Además, existen dentro de los datos personales una serie de ellos quemerecen una protección reforzada:

• Cuando tienes un conjunto de datos que permiten ofreceruna definición de la personalidad, o evaluar determinadosaspectos del comportamiento de las personas.

• Los datos relativos a salud, ideología, religión, creencias,origen racial, violencia de género o vida sexual, quepertenecen a la categoría de “datos especialmenteprotegidos”.

• Datos sensibles (RGPD)• Origen étnico o racial

• Opiniones políticas

• Convicciones religiosas o filosóficas

• Afiliación sindical

• Tratamiento de datos genéticos

• Datos biométricos

• Datos relativos a la salud

• Datos sobre la vida sexual o la orientación sexual

• Datos relativos a condenas o infracciones penales

NO ES UN DATO PERSONAL

• Ficheros domésticos Siempre que el tratamiento de datos se circunscriba al marco de la vida privada o familiar de los particulares.

• Personas fallecidasPero las personas vinculadas al fallecido pueden solicitar la cancelación de los datos.

• Personas jurídicasPero atención con los datos de las personas físicas vinculadas a la persona jurídica.

Quien está obligado a cumplir la LOPD

• Responsables del fichero psicólogo por cuenta propia

• Encargados de tratamiento psicólogos que trabajan para un tercero con contrato mercantil (autónomos)

• Usuarios psicólogos por cuenta ajena (contrato laboral o autónomo dependiente)

3. Obligaciones legales

¿Qué debo hacer si trato datos personales?

• Deben ser tratados de manera lícita leal y transparente en relación al interesado (licitud, lealtad y transparencia)

• Deben ser recogidos para fines determinados, explícitos y legítimos, y no ser tratados de manera incompatible con dichos fines (limitación de la responsabilidad)

• Deben ser adecuados, pertinentes y limitados lo necesario en relación a los fines para los que son tratados (minimización de datos)

• Deben ser exactos, si fuera necesario actualizados, debiendo suprimirse o rectificarse aquellos que resulten inexactos con respecto a los fines sin dilaciones indebidas (exactitud)

• Cancelados cuando ya no sean necesarios (limitación del plazo de conservación)

• Tratados de manera que garanticen la seguridad adecuada de los mismos (integridad y confidencialidad)

¿Por donde empezar?

• Protección de datos desde el diseño y por defecto planificación

• Fase de análisis (RGPD: Evaluaciones de impacto)

• Elección de los medios tecnológicos y materiales teniendo en cuenta los aspectos de privacidad en el diseño

• Elección de nuestros colaboradores teniendo en cuenta el cumplimiento normativo en materia de protección de datos

• Auditar nuestra web antes de comenzar

Y luego

• Inscripción de ficheros (RGPD: Registro de lasactividades del tratamiento)

• Elaboración de cláusulas, peticiones deconsentimientos…

• Elaboración de contratos

• Procedimientos para la correcta atención de losderechos del interesado

• Redacción de las medidas de seguridad necesarias:Documento de seguridad

• Controles periódicos

• Auditorías cada dos años

• Cancelación de los datos una vez haya finalizado eltratamiento

Necesito que el tratamiento sea lícito

• Consentimiento Acepto política de privacidad

• Es un tratamiento necesario para la ejecución de un contrato en la que el interesado es parte

CONSENTIMIENTO

• Requisito para la licitud del tratamiento

• Cuando se solicite el consentimiento se realizará para un tratamiento concreto delimitando su finalidad y las condiciones que concurran en el mismo. Las cesiones o comunicaciones de datos tienen también que ser consentidas por las personas interesadas.

• El responsable debe ser capaz de demostrar que el interesado consintió

• En los datos especialmente protegidos el consentimiento será expreso

• El consentimiento debe reunir una serie de características

• Es libre.Salvo que la ley lo disponga no podemos ser obligados a facilitar nuestros datos. En caso de que así fuera nos deben informar del carácter obligatorio de las preguntas que realicen y de las consecuencias que se derivan si nos negamos a facilitar datos.

• Es previo e informado. Por tanto, la información sobre el tratamiento siempre debe existir antes de que, por ejemplo en Internet, marquemos la opción de aceptación.

• Es específico. No consentimos en que traten nuestros datos para cualquier cosa que deseen. Nos tienen que señalar de modo concreto para qué se van a usar.

• Es revocable. Excepto cuando sea obligatorio facilitar los datos, si pudimos consentir libremente podremos retirar nuestro consentimiento del mismo modo.

Derecho a la información / Transparencia de la información• La información debe ser concisa, transparente, inteligible y de fácil acceso,

con un lenguaje claro y sencillo.

• La información deberá facilitarse por escrito (RGPD)

• Se informará de:• La existencia del fichero o tratamiento, la finalidad del a recogida y los destinatarios

de la información

• Cesiones previstas

• Carácter obligatorio o facultativo de las preguntas

• Consecuencias de la obtención de los datos o negativa a suministrarlos

• Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición

• Identidad y dirección del responsable del tratamiento

RGPD:

Añade otras obligaciones de información y transparencia como

• base jurídica del tratamiento

• plazo de conservación de los datos

• si se van a elaborar perfiles automatizadamente la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el interesado

• …

Tratamiento de datos de menores

• Dictamen del Grupo de Protección de Datos del artículo 29, (órgano europeo consultivo en materia de protección de datos y privacidad,) de fecha11 de febrero de 2009. sobre la protección de los datos personales de los niños (Directrices generales y especial referencia a las escuelas)

• Datos de personas especialmente vulnerables

• Las clausulas para menores deben estar en un lenguaje claro y sencillo.

¡Atención!

• Pueden consentir el tratamiento de sus datos desde los 14 años

• Pueden consentir tratamientos sanitarios desde los 16 años

Deber de secreto

• Del responsable de tratamiento , y todos los que tratan datos por cuenta de este, incluso una vez finalizadas las relaciones.

• Tiene implicaciones como:

• Necesidad de establecer la identidad del llamante antes de facilitar datos personales por teléfono.

• No facilitar nunca datos de mayores de edad a ninguna persona, salvo que tengamos el consentimiento por escrito del titular.

• Los datos de los menores de edad solo se facilitan a sus padres o tutores, nunca a otros familiares.

• Los datos personales de los mayores de 14 años solo se pueden comunicar a los padres o tutores con autorización, o en los casos previstos legalmente.

MEDIDAS DE SEGURIDAD

Tratamientos automatizados (infografía INCIBE)

Tratamientos NO automatizados (infografía INCIBE)

4. Ejercicio de derechosCCESO

ECTIFICACION

ANCELACIÓN

POSICIÓN

Derecho de Acceso

• A solicitar y obtener información de sus datos de carácter personal sometidos a tratamiento, y del origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

• La Ley de Autonomía del Paciente nos autoriza a la reserva de las anotaciones subjetivas contenidas en la historia clínica.

Derecho de Rectificación

• Derecho a que se actualicen sus datos si son inexactos o incompletos.

Derecho de Cancelación

• El interesado podrá solicitar cancelación de aquellos datos cuyo tratamiento no se ajuste a lo dispuesto en la ley, o sean inexactos o incompletos, así como por la previa revocación del consentimiento.

El derecho al olvido

• El RGPD, ha aumentado la regulación del derecho de supresión (cancelación en LOPD) para obligar al responsable del tratamiento a la supresión de cualquier enlace a los datos personales, así como cualquier copia o réplica del mismo.

• Esto siempre atendiendo a la tecnología disponible y el coste, y con ciertas excepciones (libertad de expresión, obligación legal, interés publico..)

Derecho de Oposición

• Si el interesado se opone al tratamiento de sus datos, en aquellos casos en los que no sea necesario su consentimiento para el tratamiento de estos, y siempre que una ley no disponga lo contrario

Derecho a la portabilidad de datos• Derecho a recibir los datos

personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que lo ha facilitado

Decisiones individuales automatizadas• Derecho a no ser objeto de

una decisión basadaexclusivamente en eltratamiento automatizado,incluida la elaboración deperfiles, que produzcaefectos jurídicos en él o leafecte significativamentede modo similar

REDES SOCIALES

¿Puedo usar WhatsApp con los pacientes?

• Cesión de datos

• Incumplimiento del deber de secreto

• Transferencias internacionales de datos

• Con consentimiento y para avisos administrativos.

• No transmitir nunca datos de nivel alto.

Otras redes sociales

• No poner etiquetas con nombres en fotos o videos

• Avisar cuando se vayan a realizar fotografías o videos que tengan como finalidad ser divulgados por internet

• No poner fotos de personas que no hayan dado previamente el consentimiento.

• No compartir fotografías, salvo que se disponga de autorización

• Que aparezca claramente la posibilidad de solicitar la cancelación de las imágenes.

• No incluir comentarios que afecten a la privacidad de las personas.

6. Infracciones y Sanciones

• Son infracciones leves, • no remitir a la Agencia Española de Protección de Datos las

notificaciones previstas en la LOPD o Reglamento de desarrollo;• no solicitar la inscripción del fichero de datos de carácter personal

en el Registro General de Protección de Datos; • el incumplimiento del deber de información a quienes se les

soliciten datos personales, • y la transmisión de datos a un encargado del tratamiento sin

cumplir los requisitos establecidos en el art. 12 de la LOPD.

• Son infracciones graves, entre otras,

• tratar o recabar datos de carácter personal sin recabar el consentimiento del afectado;

• la vulneración del deber de guardar secreto;

• el impedimento u obstaculización al ejercicio de los derechos de acceso, rectificación, cancelación u oposición por parte de los afectados;

• la obstrucción del ejercicio de la función inspectora;

• o la comunicación o cesión de datos de carácter personal sin contar con legitimación para ello.

• Por último, son infracciones muy graves, entre otras,

• la recogida de datos de forma engañosa o fraudulenta;

• la cesión de datos personales a terceros fuera de los casos permitidos por la ley;

• no cesar en el tratamiento ilícito de los datos cuando el responsable sea requerido para ello por el Director de la Agencia de Protección de Datos;

• o la transferencia internacional de datos con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD.

Infracción Sanción

Leve Apercibimiento /900 a 40.000 €

Grave de 40.001 € a 300.000 €

Muygrave de 300.001 € a 600.000 €

RGPD: Hasta 20.000.000 € o 4% delvolumen de negocio total anual global delejercicio financiero anterior, optándose porla de mayor cuantía

Gracias por vuestra atención

María Herrera y Mira de Orduña

Abogada

@MariaHerreraTIC

www.legitec.com

www.borrame.es