Cómo afrontar el reto de la información personal en las compañías

1,400 views
1,328 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,400
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cómo afrontar el reto de la información personal en las compañías

  1. 1. Seminario LOPD 4 de Julio de 2011 Miguel Valdés Luis Mª Latasa Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  2. 2. IndiceI. Introducción A. Legislación aplicable B. Objeto y ámbito de aplicación C. Fuentes accesibles al públicoII. Principales obligaciones a cumplir en el tratamiento de datos de carácter personal A. Inscripción de ficheros B. Medidas de Seguridad C. Calidad de datos D. Deber de información al interesado E. Consentimiento y legitimación del tratamiento F. Deber de secreto G. Encargado del tratamientoIII. Derechos de los interesadosIV. Transferencias internacionales de datosV. Régimen sancionador 2
  3. 3. IndiceVI. Tratamiento de Datos con fines de publicidad y de marketing A. Principios Generales B. Campañas C. Depuración de datos D. Ficheros de Exclusión E. Especialidades derechos ARCO F. Comunicaciones Comerciales G. Recomendaciones H. EjemplosVII. Servicios de la Sociedad de la Información: A. Buscadores B. Servicios en la nube C. Redes Sociales D. Foros, comentarios, etc. E. Publicidad F. Cookies G. Comercio Electrónico 3
  4. 4. IndiceVIII. Control empresarial y protección de datos A. Control de la utilización de medios de la Empresa: • Equipos informáticos • Dispositivos Móviles • Correo electrónico • Carpetas personales B. Videovigilancia 4
  5. 5. I. Introducción Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  6. 6. Legislación aplicable Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (comunicaciones comerciales por medios electrónicos y cookies) Ley 32/2003, de 3 de noviembre, de General de Telecomunicaciones Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (llamadas no solicitadas con fines de venta directa, tratamiento de datos de tráfico, identificación de línea llamante, facturación detallada, guías telefónicas, datos de localización, llamadas etc.) Instrucciones AEPD (videovigilancia, acceso a edificios, etc.) 6
  7. 7. Objeto y ámbito de aplicación Objeto: garantizar y proteger, en lo que concierne al tratamiento de datos decarácter personal, las libertades públicas y derechos fundamentales de las personasfísicas, y especialmente de su honor e intimidad personal y familiar.Ámbito objetivo de aplicación: – Incluidos en el ámbito de aplicación tanto tratamientos automatizados como ficheros en soporte papel. – NO se aplica a información sobre personas jurídicas. – No se aplica a personas de contacto de personas jurídicas ni a empresarios individuales. – Se aplica tanto a ficheros de titularidad pública como a ficheros privados. 7
  8. 8. Objeto y ámbito de aplicación Concepto de dato de carácter personal: – Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referida a personas físicas – Relativa a una persona identificada o identificable – Persona identificable “Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. SAN DE 20 DE FEBRERO DE 2008 – “una primera consideración jurídica elemental: el número del DNI es un dato de carácter personal , y por tanto protegido por la Ley.” INFORME JURÍDICO AEPD 425/2006 – La matrícula de los vehículos tiene la consideración de dato de carácter personal. INFORME JURÍDICO AEPD 213/2004 – “La posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. SAN DE 17 DE SEPTIEMBRE DE 2008 – “Un número de teléfono ayuno de otras circunstancias que identifiquen al titular del mismo impide que pueda identificarse en la definición legal de datos de carácter personal.” 8
  9. 9. Objeto y ámbito de aplicación Ejemplos de tratamientos automatizados • Sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003 (“Caso Lindqvist”): – “Es preciso observar que difundir información en una página web implica, de acuerdo con los procedimientos técnicos e informáticos que se aplican actualmente, publicar dicha página en un servidor, así como realizar las operaciones necesarias para que resulte accesible a las personas que están conectadas a Internet. Estas operaciones se efectúan, al menos en parte, de manera automatizada.” • SAN de 24 de febrero de 2003 (“Webcam Diario Marca”): – “La transmisión de imágenes a través de Internet mediante sucesión de fotos fijas que cambian cada 15 segundos y no se conservan en archivo alguno implica un tratamiento de datos.” • Resolución R/01800/2008 de la AEPD (YouTube): – “La captación y reproducción de imágenes de los transeúntes en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.” • Resolución E/00116/2006 de la AEPD: – “ha de destacarse, en primer lugar, que el tratamiento de datos personales en una exposición realizada en “Power Point” constituye un tratamiento automatizado de datos de carácter personal”. 9
  10. 10. Objeto y ámbito de aplicación Fichero no automatizado “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.” (Artículo 5.1.n) RLOPD): – Sentencia del Tribunal Supremo de 19 de septiembre de 2008 • Los libros de bautismo no son un conjunto organizado de datos personales. • Son una pura acumulación de datos personales que comparta una difícil búsqueda, acceso e identificación: – No están ordenados alfabéticamente – Es absolutamente necesario el conocimiento previo de la Parroquia donde tuvo lugar – No son accesibles por terceros distintos del bautizado, que no podrían solicitar partidas de bautismo ajenas. – Sentencia de la Audiencia Nacional de 22 de abril de 2009 (”Caso SGAE”) • Cualquier recogida o uso de datos personales realizado de forma no automatizada no constituye tratamiento de datos en el sentido legal del término. • El tratamiento no automatizado de datos requiere que los citados datos estén contenidos o destinados a ser incluidos en un fichero para poder aplicar la normativa en materia de protección de datos. • La imagen contenida en el CD no fue incorporada a ningún fichero, conservándola la recurrente con el conjunto de la documentación aportada a un procedimiento judicial, conservación que no supone su inclusión en un archivo estructurado según criterios específicos relativos a la persona identificable que permitan acceder fácilmente a sus datos personales. 10
  11. 11. Objeto y ámbito de aplicaciónÁmbito territorial de aplicación: – Cuando el tratamiento sea efectuado en un establecimiento del responsable del tratamiento situado en España. – Cuando el responsable no esté establecido en territorio de la UE y utilice en el tratamiento medios situados en España, salvo que tales medios se utilicen exclusivamente con fines de tránsito (art. 5.1 Designación de un representante en España) – Cuando se aplicable la legislación española en aplicación de normas de Derecho Internacional Público. 11
  12. 12. Fuentes accesibles al público Fuentes accesibles al público – Art. 3.j) de la LOPD: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona , no impedida por una norma limitativa (…)” – Tienen la consideración de fuentes accesibles al público, exclusivamente:  Censo promocional  Guías telefónicas  Listas de profesionales y guías de colegios profesionales  Diarios y boletines oficiales  Medios de comunicación 12
  13. 13. Fuentes accesibles al públicoGuías telefónicas: únicamente figurarán los datos de los abonados que hayan otorgadoexpresamente su consentimiento al operador.Salvo que se obtenga el consentimiento para publicar datos adicionales, únicamentefigurarán datos estrictamente necesarios: – Guías telefónicas: nombre y apellidos, número de abonado y dirección postal, exceptuando piso, letra y escalera. – Guías Colegios profesionales: direcciones profesionales (domicilio, número telefónico, fax y dirección de e- mail) y nº de colegiado, fecha de incorporación y situación de ejercicio profesionalPosibilidad de indicación gratuita de prohibición de utilización con fines comerciales.El interesado tiene derecho a que se cancelen o excluyan sus datos: – 10 días si es información on-line – Siguiente edición si es en papel.Las fuentes de acceso público que se editen en forma de libro o algún otro soportefísico, perderán el carácter de fuente accesible con la nueva edición que se publique.En el caso de que se obtenga telemáticamente una copia de la lista en formatoelectrónico, ésta perderá el carácter público en el plazo de un año a contar desde suobtención. 13
  14. 14. II. Principales obligaciones a cumplir en el tratamiento de datos de carácter personal Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  15. 15. Inscripción de ficheros en el RGPDLa LOPD obliga a los responsables de ficheros a que notifiquen los ficheros a la AEPD conanterioridad a su creación. – Fichero de nóminas – recursos humanos. – Ficheros de clientes y/o proveedores. – Ficheros de usuarios de página web. – Fichero de videovigilancia – Etc.Los extremos a declarar, afectan a la finalidad, tipología, sistemas de tratamiento, encargadosde tratamiento, cesionarios, transferencias internacionales e identidad del responsable entreotros. La inscripción de ficheros tiene efectos meramente declarativos El Registro General de Protección de Datos es un registro público (puede consultarse a travésde la página web de la AEPD)La inscripción debe mantenerse permanentemente actualizada (cambios en lossistemas de tratamiento, ubicación física de ficheros, categorías de datos objeto detratamiento, etc.). 15
  16. 16. Inscripción de ficheros en el RGPDFuente: Memoria AEPD 2010 16
  17. 17. Inscripción de ficheros en el RGPD 17
  18. 18. Medidas de seguridad Los Responsables y Encargados del Tratamiento deberán implantar las medidas de seguridad, tanto en tratamientos automatizados como en ficheros en soporte papel. Si el Encargado del Tratamiento presta sus servicios en los locales del Responsable, deberá cumplir el Documento de Seguridad de éste último. En caso de que el Encargado del Tratamiento preste sus servicios en sus propios locales, deberá elaborar un Documento de Seguridad al efecto o completar el que ya hubiere elaborado con anterioridad identificando los ficheros y tratamientos e incorporando las medidas de seguridad a implantar en relación con el mismo. Nivel básico: – Todos los ficheros que contengan datos de carácter personal. – Se consideran de nivel básico los ficheros que contengan datos relativos a ideología, afiliación sindical, religión, creencias o salud cuando: • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. • Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. • Datos relativos exclusivamente al grado de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos. 18
  19. 19. Medidas de seguridad Nivel medio: – Los relativos a la comisión de infracciones administrativas o penales; – Datos sobre solvencia patrimonial o cumplimiento/incumplimiento de obligaciones dinerarias; – Datos de los que sean responsables Administraciones Tributarias; – Datos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros; – Datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación, y – Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos. Nivel alto: – Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual: – Datos recabados para fines policiales sin consentimiento de las personas afectadas; – Datos derivados de actos de violencia de género; y – Datos de tráfico y localización. 19
  20. 20. Medidas de seguridad Nivel básico (ficheros automatizados): – El responsable del fichero elaborará e implantará la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento. Estructura del Documento de Medidas de Seguridad: • Ámbito de aplicación con especificación detallada de los recursos protegidos. • Estructura de los ficheros y descripción de los sistemas de información que los tratan. • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad (gestión de soportes, copias de seguridad, identificación y autenticación, etc.). • Funciones y obligaciones del personal. • Procedimientos de gestión de incidencias. • Procedimientos de copias de seguridad. – El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado cada vez que se produzcan cambios relevantes en los sistemas de información. 20
  21. 21. Medidas de seguridad Nivel medio (ficheros automatizados): – Nombramiento de uno o varios responsables de seguridad. – Auditoría de seguridad externa o interna cada dos años o con anterioridad si se realizan modificaciones sustanciales en el sistema de información. – Control de acceso físico: exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información. – Registro de entrada y salida de soportes y documentos: tipo de soportes o documentos, fecha y hora, número de soportes o documentos, tipo de información que contienen, etc. 21
  22. 22. Medidas de seguridad Nivel alto (ficheros automatizados): – Cifrado de información: Distribución de soportes Dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones del Responsable. . Transmisión a través de redes públicas de telecomunicaciones – Registro de accesos: Identificación de usuarios Fecha y hora del acceso Autorización o denegación del acceso. Identificación del registro accedido Conservación durante dos años. 22
  23. 23. Medidas de seguridad 23
  24. 24. Calidad de datos Principio de pertinencia: los datos deben ser adecuados, pertinentes y no excesivos para el ámbito y las finalidades del fichero. Principio de finalidad: no se pueden utilizar datos con finalidades diferentes para las que se han recabado. Principio de veracidad: los datos deben ser siempre exactos y puestos al día de forma que respondan con veracidad a la situación real del afectado. – Si los datos fueran recogidos directamente del interesado, se considerarán exactos los facilitados por éste. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que se recabaron. – Podrán mantenerse bloqueados para la atención de las posibles responsabilidades nacidas del tratamiento, durante los plazos de prescripción de éstas. 24
  25. 25. Deber de información al interesado El Responsable debe facilitar información sobre el tratamiento de los datos de carácter personal: (i) Existencia del fichero o tratamiento, finalidad del tratamiento y destinatarios de la información; (ii) carácter obligatorio o facultativo de la respuesta: (iii) consecuencias de la obtención de datos o la negativa a suministrarlos; (iv) identidad y dirección del responsable; (v) la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición. – Previa: siempre que los datos sean recogidos del propio interesado (formularios, cupones, encuestas, páginas web, call-centers, etc.) – En el plazo máximo de tres meses cuando los datos no hayan sido recabados del interesado. – En cada una de las comunicaciones que se le dirija: cuando (i) los datos hayan sido obtenidos de fuentes accesibles al público y (ii) se utilicen con fines publicitarios o de prospección comercial. En este caso, debe informarse únicamente de origen de los datos; de la identidad del responsable y de los derechos que le asisten en cada una de las comunicaciones que se le dirijan al titular. 25
  26. 26. Consentimiento y legitimación del tratamiento Es necesario el consentimiento del afectado para el tratamiento y comunicación de los datos. Dicho consentimiento no será necesario cuando: – Los datos obtenidos se refieran a las partes de un contrato o precontrato y sean necesarios para el mantenimiento o cumplimiento de esa relación. – Los datos hayan sido obtenidos de fuentes accesibles al público. Principios generales – La solicitud del consentimiento deberá ir referida a tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en los tratamientos. – Será nulo el consentimiento que se recabe para la cesión de datos sin que el afectado conozca la finalidad a las que se destinarán sus datos y la actividad del cesionario. • Es válido: sector de “telecomunicaciones”, “financiero”, “ocio”, “formación”, “gran consumo”, “automoción”, “energía y agua”, “ONG” • No es válido: “actividad comercial”; “actividad publicitaria”; “cesiones a otras empresas del grupo” – Corresponde al Responsable la prueba de la existencia del consentimiento. 26
  27. 27. Consentimiento y legitimación del tratamiento Formas de recabar el consentimiento: – Consentimiento expreso: es necesario para el tratamiento de datos especialmente protegidos • Ideología, religión y creencias: consentimiento expreso y por escrito • Origen racial, salud y vida sexual: consentimiento expreso. – Tratamiento para fines no relacionados directamente con la relación contractual • En el supuesto que se utilicen los datos más allá del propio fin contractual será necesario recabar el consentimiento y permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos durante el proceso de formación del contrato. • En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla visible y no se encuentre marcada (“□”) o que se establezca un procedimiento equivalente que permita su negativa al tratamiento. – Consentimiento tácito • Solicitud de consentimiento al interesado mediante el envío de una comunicación, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento mediante un procedimiento sencillo y gratuito (envío prefranqueado, numero de teléfono gratuito, etc.). • El envío deberá realizarse a través de un medio que permita al Responsable conocer si la comunicación ha sido objeto de devolución por cualquier causa. 27
  28. 28. Deber de secreto El responsable del fichero y quienes intervengan en cualquier fase del tratamiento están obligados al secreto profesional respecto de los mismos. El deber de secreto subsistirá aún después de finalizar las relaciones con el responsable del fichero. El responsable responde de las infracciones del deber de secreto por parte de sus empleados. 28
  29. 29. Encargado del Tratamiento Prestaciones de servicios al Responsable impliquen el acceso a datos de carácter personal: – Obligación de formalizar un contrato escrito, en el que se contenga expresamente: • Prohibición de utilizar los datos para fines distintos de la prestación del servicio. • No se pueden ceder los datos a ningún tercero, ni siquiera para su conservación. • Cumplida la prestación contractual, los datos tratados deberán ser destruidos o devueltos. • Medidas de seguridad que deba adoptar el encargado del tratamiento. – Prohibición general de subcontratación por parte del Encargado de la realización de ningún tratamiento que le hubiera encomendado el Responsable, SALVO • Autorización del Responsable para que el Encargado lleve a cabo la subcontratación actuando en nombre y por cuenta de éste; o • Se especifique en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar; y • El Encargado del tratamiento formalice con la empresa subcontratista un contrato que contenga las menciones indicadas anteriormente. 29
  30. 30. III. Derechos de los interesados Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  31. 31. Derechos de los interesados Derecho de acceso: el afectado tiene derecho a solicitar y obtener gratuitamente información sobre si sus datos están siendo objeto del tratamiento, la finalidad del mismo, así como sobre el origen de los datos y las comunicaciones realizadas. Derecho de rectificación y cancelación: serán rectificados o, en su caso, cancelados cuando resulten inexactos o incompletos o los datos resulten ser inadecuados o excesivos. Derecho de oposición: – Cuando no sea necesario el consentimiento para el tratamiento, el afectado podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. – Cuando el tratamiento tenga por finalidad la realización de actividades de publicidad, los datos serán cancelados a la simple solicitud del interesado. 31
  32. 32. Derechos de los interesados Son derechos personalísimos: se debe acreditar la identidad del interesado (fotocopia del D.N.I., etc.) o representación. Es necesario contestar la solicitud, con independencia de que existan o no datos del afectado en el fichero o sea necesario subsanar la solicitud. Plazos: – Derecho de acceso: 1 mes – Derechos de rectificación, cancelación y oposición: 10 días. Gratuidad: no puede suponer ingreso adicional para el responsable del fichero. No se puede exigir que se ejerciten a través de los siguientes medios: – Cartas certificadas o semejantes; – Servicios de telecomunicaciones que implique una tarificación adicional; – Otros medios que impliquen un coste excesivo para el interesado. 32
  33. 33. Derechos de los interesados  Procedimiento de Tutela de Derechos: procedimiento ante la AEPD para ejercitar los derechos de acceso, rectificación, cancelación y oposición cuando hayan sido indebidamente denegados por el responsable del fichero. – Recibida la reclamación se traslada al responsable del fichero para que alegue (15 días) – Resolución del Director (NO sancionadora)Fuente: Memoria AEPD 2010 33
  34. 34. IV. Transferencias internacionales de datos Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  35. 35. Transferencias internacionales de datos Concepto de transferencia internacional de datos – Aquellas transferencias de datos fuera del territorio del Espacio Económico Europeo. Autorización : – La transferencia internacional de datos requiere autorización del Director de la AEPD, salvo que: • El exportador se encuentre en un país de protección equiparable declarado por la Comisión Europea o por la AEPD (Argentina, Suiza, Estados Unidos –Puerto Seguro-, Canadá, Andorra e Israel) • La transferencia se encuentre entre las excepciones previstas en el artículo 34 de la LOPD: – Cuando el afectado haya dado su consentimiento a la transferencia. – Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero. – Transferencias para la prevención de diagnósticos médicos, las prestación de asistencia sanitaria o tratamientos médicos. 35
  36. 36. Transferencias internacionales de datos Notificación de transferencias internacionales a países que no requieran autorización – La transferencia internacional deberá ser notificada a fin de proceder a la inscripción en el Registro General de Protección de Datos, conforme al procedimiento previsto en el propio para la inscripción, modificación o cancelación de ficheros. Autorización de transferencias internacionales: – La autorización solo podrá otorgarse si se obtienen las garantías adecuadas: • Decisión de la Comisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país (modificada por la Decisión 2004/915/CE, de 27 de diciembre de 2004) • Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países • Binding Corporate Rules: también podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las garantías necesarias de respecto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados. 36
  37. 37. Transferencias internacionales de datos Procedimiento de autorización de transferencias internacionales de datos – El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la transferencia. – Será necesaria aportar: • Copia del contrato entre el exportador e importador que contenga las cláusulas contractuales tipo aprobadas por la Comisión Europea. • Binding Corporate Rules: – Documentación que pruebe su carácter vinculante y eficacia dentro del grupo. – Documentación que acredite la posibilidad de que el afectado o la AEPD puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas por parte de la empresa importadora. – El plazo máximo para dictar resolución será de tres meses a contar desde la fecha de entrada en la AEPD de la solicitud. – Se dará traslado de la resolución al Registro General de Protección de Datos para que éste inscriba de oficio la autorización. 37
  38. 38. Transferencias internacionales de datosFuente: Memoria AEPD 2010 38
  39. 39. V. Régimen Sancionador Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  40. 40. Régimen sancionador Tipos de infracciones: – Leves • No solicitar la inscripción de ficheros En el Registro General de Protección de Datos. • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado. • La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD. – Graves • Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario. • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado. • Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad. – Muy Graves • La recogida de datos en forma engañosa o fraudulenta. • Tratar o ceder los datos especialmente protegidos salvo en los supuestos en que la ley lo autoriza. • La transferencia internacional de datos de carácter personal sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que dicha autorización no resulta necesaria. 40
  41. 41. Régimen sancionador Cuantía de las sanciones: – Leves: multas de 900 a 40.000 euros. – Graves: de 40.001 a 300.000 euros. – Muy graves: de 300.001 a 600.000 euros. Se establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: – Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho. – Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. – Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. – Cuando el infractor haya reconocido espontáneamente su culpabilidad. Excepcionalmente la AEPD no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al infractor a fin de que acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos: – Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley. – Que el infractor no hubiese sido sancionado o apercibido con anterioridad. 41
  42. 42. Régimen sancionador Actuaciones Previas – Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación – Los inspectores podrán requerir el envío de información o realizar visitas de inspección a los locales donde se encuentren almacenados los documentos o ubicados los ficheros. – Finalizadas las actuaciones previas, éstas se someterán a la decisión de la AEPD. Procedimiento sancionador – Se inicia mediante acuerdo de apertura dictado por el Director de la AEPD. – El procedimiento se rige por lo dispuesto en el Real Decreto 1398/1993, por el que se aprueba el Reglamento para el ejercicio de la potestad sancionadora. – Publicación de las resoluciones dictadas por la AEPD. 42
  43. 43. Régimen sancionadorFuente: Memoria AEPD 2010 43
  44. 44. Régimen sancionadorFuente: Memoria AEPD 2010 44
  45. 45. VI. Tratamiento de Datos con fines de publicidad y marketing Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  46. 46. Publicidad y Marketing Principios Generales Marco Jurídico: – Artículo 30 de la LOPD y 45-51 del Reglamento. – Artículo 19-22 de la LSSI. – Art. 38 de la LGT. – Artículo 29 de la Ley de Competencia Desleal. Legitimación: – Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar, sus propios productos o servicios o los de terceros, solo podrán utilizar nombres y direcciones u otros datos cuando se encuentren en uno de los dos siguientes casos: • Provengan de Fuentes Accesibles al Público; o • Sean facilitados por el interesado u obtenidos con su consentimiento (…) habiéndose informado sobre los sectores específicos y concretos de actividad respecto de los que podría recibir información o publicidad. Si proceden de FAP, habrá que informar en cada comunicación: (5.5 LOPD): – Origen de los datos. – Identidad del responsable; y – Derechos que le asisten y ante quien podrán ejercerse. 46
  47. 47. Publicidad y Marketing Campañas Campañas publicitarias: – Por la propia empresa. Debe ampararse en el artículo 6 de la LOPD. – Campañas por cuenta de terceros. Será responsable del tratamiento quien determine los parámetros identificativos de los destinatarios de la campaña. En el caso de que fueran ambas entidades, ambas serían responsables. • Se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo. – La entidad contratante deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las medidas necesarias. 47
  48. 48. Publicidad y Marketing Depuración de Datos Personales Cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros, quiénes ostentan la condición de clientes de una u otra o de varios de ellos, será considerado una cesión de datos. 48
  49. 49. Publicidad y de Marketing Ficheros de Exclusión Ficheros de exclusión de envío de publicidad. – De la propia empresa. – Comunes (generales o sectoriales): Se permite la creación de ficheros comunes de carácter general o sectorial para evitar el envío de comunicaciones comerciales. En ambos casos se permite conservar los mínimos datos imprescindibles para identificar a los destinatarios. Cuando se manifieste oposición ante un responsable concreto, deberá informarse al afectado de la existencia de los ficheros comunes así como de la identidad de su responsable y la finalidad. El responsable del fichero común deberá cumplir el resto de obligaciones de la LOPD. Obligatoriedad de consultar ficheros comunes (art. 49.4): “Quienes pretendan efectuar un tratamiento relacionado con la actividad de publicidad y prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación”. Debe consultarse únicamente en los casos en los que usen datos provenientes de fuentes accesibles al público. 49
  50. 50. Publicidad y Marketing Derechos ARCO Especialidades de los derechos ARCO: – Ejercicio ante entidad contratante de una campaña de publicidad: • Estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo otorgue su derecho en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado. – Derecho de oposición al tratamiento de datos con fines publicitarios: • Derecho a oponerse al uso de sus datos y a ser dados de baja, cancelándose las informaciones que existan sobre él. • Independiente de la revocación del consentimiento. • Medios sencillos y gratuitos. Se considerará cumplido cuando pueda ejercitarse mediante llamada a un número telefónico gratuito o mediante la remisión de un correo electrónico. No es válido la exigencia de cartas certificadas o de tarificación adicional. En ningún caso podrá suponer un ingreso adicional. • Deber de reconocer el ejercicio a través de los servicios de atención al cliente y de reclamaciones. • En la contestación. Deberá informarse de la existencia de Ficheros Comunes de Excluidos. • Ejercicio ante contratante de una campaña de publicidad que no fuera responsable del fichero: igual que para el resto de derechos. – Cuando los datos hubieran sido obtenidos de Fuentes Accesibles al Público, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. 50
  51. 51. Publicidad y Marketing Comunicaciones Comerciales Comunicaciones comerciales – Telefónicas: • Llamadas • Llamadas automáticas • Fax – Electrónicas • SMS • Email • Equivalentes: mensajes directos en twitter, mensajes a través de redes sociales, etc. 51
  52. 52. Publicidad y Marketing Telefonía Derechos de los abonados de servicios de telecomunicaciones: – A no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello. – A que los datos de tráfico solo puedan ser utilizados con fines comerciales cuando el cliente haya dado su consentimiento para ello. Se acepta el consentimiento tácito (artículo 65 del RLGT). – A no figurar en las guías de abonados. 52
  53. 53. Publicidad y Marketing Telefonía Actividades frecuentes: – Grabación de llamadas: • Voz es un dato de carácter personal. • Requiere de consentimiento. – Llamadas a recomendados: • Requieren consentimiento. – Llamadas aleatorias: • Campañas dirigidas a rangos de numeración asignados a otros operadores. • La utilización de números de teléfonos sin estar asociados a una persona se encuentra fuera del ámbito de la LOPD (en la actualidad). 53
  54. 54. Publicidad y Marketing Telefonía Proyecto de Ley modificación LGT. Transposición Directiva 2009/136/CE y 2009/140/CE. – Dos nuevos derechos: • A no recibir llamadas aleatorias, con o sin intervención humana, con fines de venta directa en caso de que hubieran ejercido su derecho a no figurar en las guías de abonado. • A oponerse a recibir llamadas y comunicaciones aleatorias con fines de venta directa y a ser informado de este derecho. 54
  55. 55. Publicidad y Marketing Competencia Desleal Cambios introducidos por la Ley 29/2009: Prácticas agresivas por acoso: telefónicas, electrónicas y presenciales 1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no vuelva a personarse en ella. 2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual. El empresario o profesional deberá utilizar en estas comunicaciones sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional. Para que el consumidor o usuario pueda ejercer su derecho las llamadas deberán realizarse desde un número de teléfono identificable. 55
  56. 56. Publicidad y Marketing Comunicaciones Comerciales Electrónicas Electrónicas – SMS – Email – Equivalentes: mensajes directos en twitter, mensajes a través de redes sociales, etc. Concepto: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. No tendrá consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como nombre de dominio o la dirección de correo electrónico”.• Ciertos sistemas de marketing viral (v. gr. “envía a un amigo”) se equiparan al envío de comunicaciones comerciales electrónicas. 56
  57. 57. Publicidad y Marketing Comunicaciones Comerciales Electrónicas Información exigida: – Deben ser identificables como comunicaciones comerciales. – Indicarán la persona física o jurídica en nombre de la cual se realizan. – Incluirán al comienzo del mensaje la palabra “publicidad” o a la abreviatura “publi”. Prohibición de comunicaciones comerciales electrónicas si: – No han sido solicitadas; y – No han sido consentidas expresamente. 57
  58. 58. Publicidad y Marketing Comunicaciones Comerciales Electrónicas Excepción. Se pueden enviar comunicaciones comerciales electrónicas sin consentimiento cuando se cumplan los siguientes requisitos: – Exista una relación jurídica previa; – Se hayan obtenido los datos lícitamente; – Se envíen en relación con productos o servicios de su propia empresa que sean similares a los ya contratados; y – Se haya reconocido la posibilidad de oponerse en el momento de la recogida. Sistema opt-out. Proyecto de modificación de la LSSI. – Se prohíbe el envío de comunicaciones comerciales en que se disimule u oculte la identidad del remitente. – También se prohíben aquellas comunicaciones en las que se invite a visitar páginas de Internet que contravengan lo dispuesto en la norma para las comunicaciones comerciales. – Los medios sencillos y gratuitos para oponerse cuando se envíen comunicaciones comerciales por correo electrónico, deberán consistir en la inclusión de una dirección electrónica válida. – Se prohíbe el envío de comunicaciones sin esta dirección. 58
  59. 59. Publicidad y Marketing Recomendaciones Información: – Identificar el mayor número de sectores específicos y concretos de actividad en la recogida. – Identificar otros tratamientos de marketing y publicidad que se vayan a realizar: segmentación, personalización de productos, encuestas de satisfacción. Consentimiento: – Actividades que no guardan relación directa con el contrato: sistema opt-in u opt-out. Asegurarse de que los sistemas de información permiten discriminación. – Envío de comunicaciones comerciales electrónicas. Incluir una casilla opt-in. – Caso especial: formularios de suscripción a boletines, newsletters o específicos para esos envíos. – En caso de recogida on-line, incluir sistema de confirmación desde cuenta de correo electrónico. Derechos ARCO: – Comunicaciones comerciales electrónicas: • Informar de la posibilidad de oponerte en la Web. • Aceptar solicitudes a través de los sistemas de atención al cliente. – Contestación: • Informar de las listas comunes de excluidos. 59
  60. 60. Publicidad y Marketing Recomendaciones Prueba: – Recogida off-line: Pedir copia de DNI en la medida en que sea posible. – Valorar coste/beneficio de adoptar medidas de aumento de la confianza probatoria. Regularizaciones Bases de Datos: – Las regularizaciones no extinguen la responsabilidad. Únicamente inician el periodo de cómputo de los periodos de prescripción. – Una acción de regularización puede pre-constituir prueba en contra por el reconocimiento que se puede hacer en el documento enviado. – Estudiar los riesgos legales en cada caso. 60
  61. 61. Publicidad y de Marketing Caso Una empresa decide usar una guía de abonados telefónica para realizar una campaña comercial. – ¿Debe informar dentro de los tres meses de que ha incorporado los datos a un fichero de conformidad con lo exigido por el artículo 5.4 de la LOPD? – ¿Puede llevar a cabo campañas por cuenta de terceros? – ¿Deben consultar ficheros comunes de exclusión? – Si el resultado de la consulta fuera negativo, ¿podría remitirle comunicaciones comerciales electrónicas? – En caso de que solicite la oposición, ¿debe remitírsele contestación? ¿Debe informarse de algo más? – ¿Qué medio de prueba utilizo para la contestación? 61
  62. 62. VII. Servicios de la Sociedad de la Información Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  63. 63. Servicios de la Sociedad de la Información Buscadores Buscadores tratan datos de carácter personal de: – Usuarios: pueden ampararse en la existencia de una relación jurídica. – No Usuarios: casos en los que la información sobre dichas personas está disponible en sitios Web posibilitando su captación por los motores de búsqueda. • Legitimidad variada: – Al amparo de la libertad de información (sin embargo la relevancia informativa se desnaturaliza con el paso del tiempo). – Obligación de difusión de la información (v. gr. boletines oficiales). • Se considera un servicio de intermediación. • Conservación: “Aunque pueda estar justificada en origen, su mantenimiento universal y secular en Internet puede resultar desproporcionado”. 63
  64. 64. Servicios de la Sociedad de la Información Buscadores Derecho de Oposición frente a los buscadores se reconoce en ciertos casos: – Cuando no se pueda solicitar el borrador en la fuente por existir un derecho u obligación a mantener los datos. – Motivo legítimo (información desactualizada, falsa, desmentida, etc.). Conservación ilimitada de la información en los medios de comunicación que luego son indexados: – Se amparan en el derecho de información. – Opinan que si aparecen datos de carácter personal es porque es un hecho noticiable. 64
  65. 65. Servicios de la Sociedad de la Información Servicios en la Nube Deslocalización de los servicios. Normativa de la LOPD se basa en criterios de establecimiento. Transferencias Internacionales: – Flexibilización a partir de la Decisión 2010/87/CE. – Posibilidad de que un Encargado de Tratamiento solicite una única autorización de transferencia internacional a partir de los acuerdos que tiene con subcontratistas. – El cliente/responsable del fichero solamente notificaría. Recomendaciones: – Cliente: Pedir garantías de territorialidad al proveedor de servicios. – Prestador de servicios: Tener en cuenta las ubicaciones físicas finales de las empresas subcontratadas. 65
  66. 66. Servicios de la Sociedad de la Información Redes Sociales Redes Sociales: Es conveniente seguir ciertas buenas prácticas. – Información y asesoramiento. – Fotos. – Restricción de la visibilidad abierta de los perfiles. – No indexación por defecto. – Posibilidad de eliminar el perfil. – Prohibición de recogida de datos de menores de edad sin consentimiento paterno: • Sistemas de verificación de identidad. • Menores de edad. 66
  67. 67. Servicios de la Sociedad de la Información Redes Sociales Campañas de marketing y promociones dentro de las redes sociales:  Responsabilidad del fichero. Responsabilidad de la red social que es quien decide sobre el contenido y uso de los datos.  Responsabilidad de los tratamientos realizados dentro de las redes sociales: grupos y aplicaciones. 67
  68. 68. Servicios de la Sociedad de la Información Foros, comentarios No hay obligación de revisar los comentarios o las entradas. Principio general de no supervisión establecido por la Directiva de Comercio Electrónico. Habilitar un sistema de denuncia de contenidos ilícitos para los casos en los que exista tratamiento de datos de carácter personal. Recomendación: registro de usuarios o utilización de identidades de otros servicios. 68
  69. 69. Servicios de la Sociedad de la Información Cookies Cuando los prestadores de servicios empleen dispositivos de almacenamiento y de recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito. Lo anterior no impedirá la posibilidad de realizar el almacenamiento o acceso con el fin de facilitar técnicamente la transmisión de una comunicación en la medida en que resulte estrictamente necesario para la prestación de un servicio. Directiva 2009/136 (en trámite de transposición). – Principio General: Almacenamiento de información o acceso a la información ya almacenada. • Información clara y completa. • Consentimiento. • Cuando sea técnicamente posible, el consentimiento del usuario puede facilitarse mediante el uso de parámetros adecuados. – Excepciones: • Juicio de estricta necesidad técnica para lograr el fin legítimo de permitir la prestación de un servicio solicitado. • Posible almacenamiento de índole técnica a los solos fines de lograr la transmisión de una comunicación. 69
  70. 70. Servicios de la Sociedad de la Información Contratos de Publicidad Modelos de negocio publicitarios se basan en la redirección del usuario hacia la compra o consumo de otros productos y servicios. Los sistemas retributivos se basan en el “click” (pay per click) o incluso en la transacción (pay per buy). El reconocimiento de estas comisiones exige la comunicación e intercambio de datos entre anunciante y editor. Debe tenerse claro quien recoge los datos. Si la comunicación de datos se realiza mediante cookies, deberá ser el responsable de éstas quien informe a los usuarios. 70
  71. 71. Servicios de la Sociedad de la Información Correo Electrónico Correo electrónico: – Problema: escaneo de correo electrónico para finalidades: • Prevención de Spam. • Prevención de virus. • Publicidad personalizada. – Grupo del artículo 29. Dictamen 2/2006 solo es posible escanear correo para búsqueda de virus y de spam. – Deben informar y ofrecer el filtrado para prevenir spam. – Directiva 2009/136 reconoce derechos a los prestadores de servicios de correo electrónico para iniciar acciones contra los remitentes de SPAM. 71
  72. 72. Servicios de la Sociedad de la Información Comercio Electrónico Información y consentimiento: – Política de Privacidad con toda la información del artículo 5 de la LOPD. En especial: • Finalidades: ejecución del contrato y otros tratamientos y cesiones derivados de su cumplimiento. • Publicidad y prospección comercial: identificar sectores (vincular a casilla opt-out u opt-in del formulario) • Comunicaciones comerciales electrónicas (vinculado a casilla opt-in del formulario). – Enlace desde el formulario. Aceptación expresa de la Política mediante casilla o visualización directa. – Casilla opt-in para comunicaciones comerciales electrónicas. – Posibilidad de casillas opt-out para tratamientos que no guardan relación directa con el contrato. Los sistemas de información tendrán que poder discriminar a los usuarios por finalidades. – Marcar campos obligatorios en los formularios (*). Derechos ARCO: – Mediante certificado electrónico para las empresas obligadas a adoptar los medios de interlocución telemática del artículo 2 de la LISI (servicios al público en general + 100 trabajadores o facturación > a 6.010.121,4 euros). – Obligación de aceptar solicitudes a través de los servicios de atención al cliente. 72
  73. 73. VIII. Controles del empresario sobreequipos informáticos e instalaciones Trebia Abogados www.trebiaabogados.com Telf.- 91.000.47.83 Fax.- 91.001.02.75 Cta. Fuencarral 44 (Campus Tribeca) Edif. 3-L12 28108 Alcobendas (Madrid)
  74. 74. Control de herramientas de trabajo Determinadas formas de control empresarial pueden ser lesivas de la intimida de los trabajadores. – Correo electrónico. – Navegación por Internet. – Archivos o carpetas personales. Son medios propiedad de la empresa que se facilitan al trabajador para utilizarlos en cumplimiento de la relación laboral. Generación de cierta tolerancia hacia el uso de estos medios. 74
  75. 75. Control de herramientas de trabajo STS 26 de septiembre de 2007: – Art. 20.3 del ET: El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, aunque ese control debe respetar la consideración debida" a la "dignidad" del trabajador. – No aplica el artículo 18 del ET que se refiere a registros en la persona del trabajador, su taquilla o sus efectos. Este control que se atribuye al empresario excede de su posición en el Contrato de Trabajo (actuación excepcional). – Límites al control: la tolerancia existente genera una expectativa que no puede ser desconocida. Pero eso no puede derivar en un absoluto. La empresa debe establecer de forma previa (v. gr. mediante una política) las reglas de uso de esos medios con aplicaciones de prohibiciones absolutas o parciales e informar a los trabajadores de que va a existir el control y de los medios que van a para comprobar la corrección de uso y ello sin perjuicio de otras medidas preventivas (exclusión de determinadas conexiones o servicios). 75
  76. 76. Control de herramientas de trabajo Recomendación: aprobación de políticas con las prohibiciones de uso (totales o parciales) de los medios de la empresa para uso personal. Ámbitos: – Carpetas personales. – Internet. – Dispositivos móviles. – Correo electrónico. – Llamadas personales. Información sobre medidas de control preventivas. Controles: – Respetuosos con la intimidad personal. – Establecer controles de rendimiento no intrusivos. 76
  77. 77. Videovigilancia Marco Jurídico: Instrucción 1/2006 – Ámbito de aplicación: tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines vigilancia a través de sistemas de cámaras y videocámaras. – Objeto: grabación, captación, transmisión, conservación y almacenamiento, incluida su reproducción o emisión en tiempo real. – Una persona es identificable cuando pueda determinarse su identidad sin que ello requiera plazos o actividades desproporcionados. – Excluidos: uso de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad. – Legitimación: • Consentimiento. • Sea necesario para mantenimiento o cumplimiento de un contrato. • Una ley lo autorice: Ley de Vigilancia Privada. 77
  78. 78. Videovigilancia Información: – Distintivo informativo ubicado en lugar suficientemente visible. – Tener a disposición impresos con la información exigida por el artículo 5.1 de la LOPD. 78
  79. 79. Videovigilancia Calidad: – Juicio de Proporcionalidad de los medios empleados respecto de los fines determinados, legítimos y explícitos. • Idoneidad: sirve para conseguir el objetivo propuesto. • Estricta necesidad: no existe una medida más moderada o menos intrusiva que permita alcanzar la misma finalidad. • Ponderación de bienes: se derivan más beneficios o ventajas que perjuicios. Derechos ARCO: – La solicitud deberá acompañarse de una imagen actualizada. – Contestación a derecho de Acceso: Escrito certificado en el que con precisión y sin afectar a derechos de terceros, se especifiquen los datos que han sido objetos de tratamiento. Cancelación: Cancelación al mes. Ficheros: En el caso de que se conserven las imágenes. 79
  80. 80. Muchas gracias por su atención info@trebiaabogados.com @trebia_Aboga2www.trebiaabogados.com 80

×