Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Like this? Share it with your network

Share

III sesión abierta 2010 - 2ª parte

on

  • 646 views

 

Statistics

Views

Total Views
646
Views on SlideShare
632
Embed Views
14

Actions

Likes
0
Downloads
13
Comments
0

3 Embeds 14

http://www.dataconsulting.es 7
http://dataconsulting.es 4
http://www.serdatalopd.es 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

III sesión abierta 2010 - 2ª parte Presentation Transcript

  • 1. 3ª SESIÓN ANUAL ABIERTA DE LA AEPD Principales novedades y desarrollos en materia de protección de datos personales Madrid, 20 de octubre de 2010 1 Agencia Española de Protección de Datos
  • 2. JURISPRUDENCIA DEL TRIBUNAL SUPREMO RECURSOS CONTRA EL RLOPD Agustín Puente Escobar Abogado del Estado Jefe de la Asesoría Jurídica de la AEPD Madrid, 20 de octubre de 2010 2 Agencia Española de Protección de Datos
  • 3. Resumen • Recursos contra el RLOPD: tres SSTS de 15 de julio de 2010 y dos AATS de planteamiento de cuestión prejudicial de 15 de julio de 2010 • Fallo – Planteamiento de cuestión prejudicial respecto del artículo 10.2 del RLOPD – Estimación del recurso, anulando los artículos 11, 18, parte del 38.1 a), 38.2 y 123 – Desestimación del recurso, confirmando la legalidad de los artículos 5.1 q), 8.5, 12, 13.4, 15, 20.1, 21.2 a), 23.2 a), 24.3, 38.1 b), 38.3, 39, 40, 41, 42.2, 44.3, 45.1 b), 46, 47, 69, 70, 83 y la disposición adicional única 3 Agencia Española de Protección de Datos
  • 4. Cuestión prejudicial (Autos de 15 de julio de 2010) • Las SSTS dejan imprejuzgado el artículo 10.2 del RLOPD, resolviendo el resto de los recursos. Trámite novedoso – Garantía de la seguridad jurídica (única duda que se plantea la Sala) – Se evita la demora en la resolución del resto • Cuestión de fondo: tratamiento fundado en el interés legítimo (artículo 7 f) de la Directiva) – ¿Es posible la exigencia de requisitos adicionales a la regla de “equilibrio de derechos e intereses” prevista en la Directiva? – ¿Tiene la Directiva en este punto efecto directo? 4 Agencia Española de Protección de Datos
  • 5. Artículos anulados. Fundamento • Falta de legitimación legal para que sea posible una “verificación automática” de los datos aportados a la Administración • Falta de claridad en el modo de prueba del cumplimiento del deber de información. Será válido cualquier medio de prueba, no precisándose que conste necesariamente en documento • Falta de claridad en el requisito de que no exista reclamación previa para que un dato no sea incluido en un fichero de solvencia. No toda reclamación impide este tratamiento • Falta de claridad en la existencia de prueba indiciaria contraria a la inclusión de datos en ficheros de solvencia • Inexistencia de cobertura legal para que las inspecciones puedan ser realizadas por funcionarios no pertenecientes a la AEPD 5 Agencia Española de Protección de Datos
  • 6. Artículos confirmados • Conceptos de responsables del fichero y del tratamiento y posibilidad de que el responsable no trate materialmente los datos • Obligación de notificar a los cesionarios que sean conocidos la rectificación o cancelación de oficio de los datos • En relación con el consentimiento: – Alcance del consentimiento para el tratamiento y para la cesión – Exigencia de verificación del consentimiento en menores de edad – Exigencia de mecanismos de prestación del consentimiento en contratos, como la marcación de una casilla 6 Agencia Española de Protección de Datos
  • 7. Artículos confirmados • En relación con el encargado del tratamiento – Inexistencia de encargado del tratamiento cuando se genera un “nuevo vínculo” entre él y el afectado – Obligación de que el encargado conozca la identidad del “subencargado” al que se pretenda subcontratar • En relación con los derechos – Posibilidad de ejercicio a través de representante – Carácter gratuito del ejercicio de los derechos • Posibilidad de suspensión de las transferencias internacionales de datos • Exigencia de cláusulas de confidencialidad en contratos de servicios sin acceso a datos 7 Agencia Española de Protección de Datos
  • 8. Artículos confirmados • En relación con los ficheros de solvencia – Exigibilidad del consentimiento en los “ficheros positivos”, que se rigen por las normas generales y no por las específicas de los ficheros “de morosos” – Inclusión en los ficheros de solvencia de tantos asientos como vencimientos se produzcan de una deuda – Obligación del acreedor de conservar la información a disposición del fichero común y de la AEPD – Obligación de informar al deudor en el momento de celebrar el contrato acerca de la posible inclusión de sus datos en caso de impago y de la posible consulta del fichero – Exigencia de notificación de inclusión en cada incumplimiento – Prohibición del saldo cero – Deber del acreedor de contestar al responsable del fichero común acerca de las solicitudes de rectificación o cancelación en el plazo de siete días 8 Agencia Española de Protección de Datos
  • 9. Artículos confirmados • En relación con los ficheros para actividades de publicidad y prospección comercial – Alcance del consentimiento. Necesidad de que se especifiquen los sectores de actividad respecto de los que se remitirá publicidad – Delimitación de la condición de responsable del tratamiento en función del establecimiento de “parámetros identificativos” – Consideración como cesión de la “deduplicación” de ficheros • Exigencia de la indicación del nivel de seguridad para la comercialización de productos de software 9 Agencia Española de Protección de Datos
  • 10. JURISPRUDENCIA DEL TRIBUNAL SUPREMO 10 Agencia Española de Protección de Datos
  • 11. Jurisprudencia del Tribunal Supremo • Cuestiones relacionadas con el ámbito de aplicación: – Objetivo: delimitación del concepto de fichero (Libros de Bautismo) – Territorial: aplicación de la LOPD en una campaña de una empresa española, dirigida a españoles, aunque los datos se recogen en página web ubicada en USA • Calidad de datos – Uso incompatible en riesgos laborales – Recogida fraudulenta: necesidad de especial motivación de la resolución sancionadora • Tratamiento – Alcance de la publicidad de las actuaciones judiciales – Datos especialmente protegidos: licitud de la inclusión del sindicato en la nómina 11 Agencia Española de Protección de Datos
  • 12. Jurisprudencia del Tribunal Supremo • Cesiones de datos – Existe en caso de transmisión de la información en el seno de un grupo de empresas – Existe en caso de que una empresa reciba los datos de otra para “enriquecerlos” y se los devuelva a la primera – Existe en caso de realización de campañas publicitarias aun cuando la “beneficiaria de la publicidad” no acceda nunca a los datos – Existe en caso de sucesión en la persona del responsable si los interesados no han sido informados (sector bancario) – Sólo se ampara en el 11.2 d) la cesión de datos si son requeridos directamente por un órgano judicial – Momento de comisión: aquel en que se produce la cesión. No es infracción continuada 12 Agencia Española de Protección de Datos
  • 13. Jurisprudencia del Tribunal Supremo • Encargado del tratamiento – Necesidad de contrato escrito que acredite su contenido y el cumplimiento del art. 12 LOPD – No existe si se crea un “nuevo vínculo” (oferta financiera a los clientes de una inmobiliaria) • Derecho de acceso – En la Administración: no incluye los datos del usuario de la información, pero sí los del concreto órgano al que se ceden los datos – Si se da acceso permanente (a través de una web) no es preciso otorgarlo en caso de solicitud específica – Su denegación puede dar lugar a la formulación de una denuncia sin necesidad de recabar previamente la tutela de la AEPD. 13 Agencia Española de Protección de Datos
  • 14. Jurisprudencia del Tribunal Supremo • Deber de secreto y seguridad – Confirmación de la doctrina de la AEPD y la AN en caso de documentación hallada en la vía pública • Cuestiones de procedimiento – El denunciante no tiene por esa sola circunstancia un “interés legítimo” que le legitime para recurrir una resolución de archivo de la AEPD en vía contencioso- administrativa – La demora en las actuaciones inspectoras no implica la existencia de “fraude de ley” en caso de que se acredite la imposibilidad de concluirlas con anterioridad como consecuencia del incremento de la carga de trabajo de la AEPD 14 Agencia Española de Protección de Datos
  • 15. SENTENCIAS DE INTERÉS DE LA AUDIENCIA NACIONAL 15 Agencia Española de Protección de Datos
  • 16. Aspectos generales de protección de datos • Colisión con otros derechos – Prevalencia de la tutela judicial efectiva. Aportación de datos en juicio – Prevalencia de la libertad sindical. Aspectos • Difusión limitada al entorno empresarial • Datos relacionados con el puesto de trabajo – Prevalencia de la libertad de información • Carácter noticiable: relevancia pública • Juicio de proporcionalidad: el dato debe aportar un elemento noticiable por sí mismo • Ámbito de aplicación – Existencia, al menos, de tratamiento automatizado (opiniones o valoraciones no sujetas si no lo hay) – Sometimiento a la LOPD de los ficheros judiciales y del Ministerio Fiscal – Exclusiones de los artículos 2.2 y 2.3 RLOPD 16 Agencia Española de Protección de Datos
  • 17. Conceptos y principios • Ficheros de titularidad pública – Siempre en las entidades públicas empresariales – Naturaleza del responsable del fichero, sin tener relevancia la del encargado del tratamiento • Proporcionalidad – Comunicación de datos a la autoridad judicial – Publicación de resoluciones en Boletines Oficiales • Exactitud – Se presumen exactos los datos facilitados por el afectado – Vulneración si la inexactitud sólo se produce al comunicar los datos a un tercero – Posible actualización de datos facilitados en el ámbito de un contrato aún vigente sin necesidad de nuevo consentimiento (incluso mediante un encargado) – Especial deber de diligencia • Tratamiento no fraudulento – Especial obligación de prueba del engaño en la resolución 17 Agencia Española de Protección de Datos
  • 18. Información y legitimación para el tratamiento • En general – Legitimación de los detectives para la averiguación de datos, pero con limitaciones en cuanto a su revelación – Legitimación para el control horario con datos biométricos – Tratamiento de datos que habían sido cancelados – Posible cumplimiento del deber de información a través de carteles • Cesiones – Cesión de créditos no informada al deudor – Cesión de créditos cuya existencia no consta – Envío por un mediador de seguros de contrato sin firmar (también responsable el asegurador) – Envío de comunicaciones a tercero con el mismo nombre y apellidos que el afectado – Responsabilidad de empresas que captan información de terceros sin legitimación – Traspaso de plan de pensiones sin que la cedente solicite la acreditación de la solicitud del interesado para la cesión 18 Agencia Española de Protección de Datos
  • 19. Datos de salud y consentimiento de menores • Datos de salud – Legitimación del acceso por la inspección sanitaria a historias clínicas en la investigación a un determinado facultativo – Legitimación de la revelación de datos de salud de un facultativo por otro en cumplimiento de deberes deontológicos • Consentimiento de menores – Deber de comprobación. Ilicitud si en un contrato aparece la fecha de nacimiento en blanco – No es posible el consentimiento en menores de catorce años • Ilicitud de la recogida y uso posterior de los datos sin consentimiento de los padres del menor de catorce años para remitirle una tarjeta de crédito – Posible licitud del consentimiento prestado por el mayor de catorce años en un contrato: reglas generales sobre indicios 19 Agencia Española de Protección de Datos
  • 20. Consentimiento en contratación • Validez del consentimiento verbal si puede probarse (declaración ante notario) • Indicios de existencia – Coincidencia de firma y DNI – Pago de recibos – Datos que en principio sólo pueden obtenerse del interesado – Constancia de conversaciones con el interesado referidas al servicio o en que no se niega el contrato – Recepción del bien adquirido (pago aplazado) – En telecomunicaciones: existencia de llamadas desde y a la línea contratada – En banca: disposición del saldo en cuenta • Indicios de inexistencia – Envío de facturas a persona distinta de la que teóricamente solicitó el servicio – Domiciliación en cuenta distinta a la que consta en el contrato – No constancia de la firma o algún elemento esencial – Rechazo del bien o reclamación inmediata a la primera domiciliación 20 Agencia Española de Protección de Datos
  • 21. Encargado del tratamiento y derechos ARCO • Encargado del tratamiento – Si se excede del mandato será responsable (por ejemplo, recabando más datos de los solicitados o recabando datos inexactos) • Cuestiones generales sobre derechos – Debe existir congruencia entre el derecho ejercitado y su atención – Es posible el ejercicio por representante, pero con un apoderamiento “individual y otorgado en términos estrictos” – En las Administraciones no es necesario recurrir la denegación, pudiendo acudirse a la tutela • Acceso: Sólo referido a datos que “estén siendo tratados” no a datos que ya no lo están siendo. Prueba suficiente • Rectificación: No es posible respecto de datos obrantes en un procedimiento administrativo 21 Agencia Española de Protección de Datos
  • 22. Seguridad • Cuestiones generales – Obligación de resultado – Cabe sancionar al responsable incluso si el problema de seguridad es causado por el encargado que diseñó el sistema de información (posible atenuación) • Documentos en la vía pública: Intervención de tercero exculpatoria si los documentos no eran fácilmente accesibles o no estaban en zonas de acceso público • Programas de intercambio de archivos – Posibilidad de instalación – Irrelevancia de que el fallo se deba a la conducta aislada de un trabajador que instaló el programa en su terminal • Intervención de hackers – Puede exculpar el fallo de seguridad, pero no en caso de que el responsable no adopte medidas tendentes a evitar accesos no autorizados una vez se produzca la fuga 22 Agencia Española de Protección de Datos
  • 23. Deber de secreto • Inexistencia de vulneración – Constancia en registro de correos del dato “solicitud de información médica” – Copia de extractos bancarios por excónyuge – Publicación de morosos de comunidades de propietarios previa notificación en domicilio – Remisión de información a las secciones sindicales representadas en el Comité de Empresa – Revelación de datos por miembro de una Corporación, no imputable a la misma • Existencia de vulneración – Envío de información de terceros por correo ordinario o electrónico al alterarse los datos del destinatario pero no el contenido de la información – Divulgación a todo el personal de una empresa de una demanda y una sentencia sin anonimizar – Inclusión de datos en foros de Internet 23 Agencia Española de Protección de Datos
  • 24. Ficheros de solvencia patrimonial • Inexistencia de la deuda – Penalidad en un contrato objeto de litigio – Aceptación de convenio de quita respecto de la parte condonada – Modificación de tarifas sin conocimiento del interesado – Reconocimiento del pago en un proceso judicial – Facturación por servicio finalmente no prestado • Existencia – Imputación en casos de cotitularidad de cuentas – Aumento de la deuda reconocida judicialmente con los intereses • Requerimiento – Necesidad de prueba por el acreedor – Cabe un solo requerimiento en deudas de pago fraccionado – No es preciso que sea inmediatamente antes de incluir el dato en el fichero – Validez del efectuado telefónicamente siempre que pueda probarse • CIRBE – Comunicación del riesgo derivado de un aval sin instar la cancelación del riesgo por el preaval 24 Agencia Española de Protección de Datos
  • 25. Videovigilancia • Sometimiento a la LOPD de la reproducción en tiempo real: tratamiento automatizado • No es posible alegar la inaplicabilidad de la LOPD porque la calidad de imagen no sea buena • Aplicación de los criterios de la Ley de Seguridad Privada en cuanto a legitimación (antes de la Ley “Omnibus”) • Es preciso contar con legitimación en caso de difusión de imágenes en Internet (información al respecto) • Proporcionalidad: invasión de la vía pública (“mínimo imprescindible”) • Comunidades de propietarios – Si está en zonas comunes no se aplica la excepción de tratamiento en el ámbito doméstico – Necesidad de acuerdo de la Junta (posible convalidación a posteriori) • Prescripción: carácter de “infracción permanente”. Irrelevancia del momento en que se capta al denunciante mientras siga existiendo la cámara 25 Agencia Española de Protección de Datos
  • 26. Cuestiones procedimentales o de aplicación • Actuaciones inspectoras. Duración – No existen dilaciones indebidas si se prueba el aumento de la carga de trabajo. – Inaplicabilidad retroactiva del plazo de 12 meses del RLOPD • Prejudicialidad penal – No la hay en casos de suplantación (estafa vs. tratamiento) • Caducidad – Inicio por la fecha del acuerdo de inicio. Conclusión por la fecha de intento de notificación • Prescripción – Tratamiento y principios de calidad de datos son “infracciones permanentes” – Recogida por encargado del tratamiento: el plazo comenzará al tiempo de la recogida si el encargado no almacena los datos – Cesión de datos y deber de secreto: fecha de la última revelación conocida. Si se debe a publicación en web, mientras los datos estén en la web • Legitimación del denunciante en el recurso: doctrina del TS • Requisitos para la aplicación de la medida de inmovilización del fichero 26 Agencia Española de Protección de Datos
  • 27. Cuestiones procedimentales o de aplicación (2) • Principio de culpabilidad – Supuestos de suplantación de identidad: dependencia de la adopción de medidas de diligencia debida por el responsable • Hay culpabilidad en caso de haberse aportado un DNI falso y no constar en el contrato o si las firmas difieren – Conducta imputable al afectado • Documentos en la vía pública sustraídos por el afectado – Confianza legítima • Seguimiento de criterios mantenidos por la Administración (publicación de sanciones en web) • Cambio de criterio de las resoluciones de la AEPD • Bis in idem. Existencia – Existencia: Datos de salud en la vía pública y previa sanción de Consejería de Sanidad – Existencia: Hechos constitutivos de delito – Inexistencia: Fraude en la contratación sancionado también por el Organismo regulador sectorial 27 Agencia Española de Protección de Datos
  • 28. INFORMES JURIDICOS RELEVANTES DE LA AEPD 28 Agencia Española de Protección de Datos
  • 29. Informes relevantes • Cuestiones generales y ámbito de aplicación – Criterios de aplicación de los artículos 2.2 y 2.3 RLOPD. • Especial importancia de la finalidad del tratamiento • Limitación de los datos en el artículo 2.2 • La exclusión no opera si la LOPD sólo es aplicable a algunos datos – Excepción de personas fallecidas • En particular, uso para fines históricos – Ámbito de aplicación territorial • Diferencias en el ámbito de aplicación de LOPD y LSSI: servicios dirigidos a residentes en España – Procedimiento de disociación. Codificación. Necesidad de que sea irreversible 29 Agencia Española de Protección de Datos
  • 30. Informes relevantes • Datos especialmente protegidos – Ideología: posibilidad de publicación y tratamiento de datos hechos manifiestamente públicos • Candidatos en procesos electorales y diarios de cámaras parlamentarias – Salud • Disociación de datos para acceso por inspección tributaria a un facultativo • Proporcionalidad: Real Decreto CMBD. En especial las anotaciones subjetivas • Cesión de datos para inspección sanitaria y comprobación de incapacidad temporal • Improcedencia de la cancelación de datos en historias clínicas o en ficheros de las autoridades sanitarias referidos a enfermedades de declaración obligatoria 30 Agencia Española de Protección de Datos
  • 31. Informes relevantes • Legitimación para el tratamiento. – Acceso por colegios de procuradores a ficheros de asuntos judiciales – Publicidad de registros • En general: necesidad de norma habilitante • Limitación de accesos basada en el interés legítimo • Alcance de los datos públicos. Aplicación del principio de proporcionalidad. Registros de colegios profesionales – Acceso a los datos de productividad de los funcionarios • Diferenciación del acceso por el personal y el tratamiento por los sindicatos. No cesión “automatizada” – Acceso a datos de retribuciones por concejales: no debe incluir los datos de la nómina referidos al trabajador y distintos de sus retribuciones 31 Agencia Española de Protección de Datos
  • 32. Informes relevantes • Legitimación para el tratamiento. – Publicación de sentencias en medio de comunicación • Prevalencia de la libertad de información. Juicio de proporcionalidad • No aplicable para repertorios de jurisprudencia. Finalidad distinta a la información – Movilización de fondos de inversión: no aplicación de la doctrina judicial relativa a planes de pensiones. Habilitación legal – Creación de listas negras: necesidad de consentimiento salvo que exista una ley expresamente habilitante – Comunicación de datos de pasajeros a autoridades aduaneras de otros países cuando lo requiere su Ley nacional. Habilitación por ser necesario para el desarrollo del contrato 32 Agencia Española de Protección de Datos
  • 33. Informes relevantes • Legitimación para el tratamiento. – Transparencia: acceso a la información en materia de medio ambiente (Ley 27/2006) • Necesidad de consentimiento, con carácter general, en relación con los datos de carácter personal – Necesidad de aplicación del criterio de proporcionalidad para el tratamiento de la huella digital (ficheros de clientes) – Acceso por asociados a datos de la asociación • Regla general: habilitación estatutaria • Especialidades en datos especialmente protegidos y en procesos electorales • Seguridad – Aplicación de la excepción del artículo 81.5 b) a tratamientos automatizados. Reforma RLOPD – Plazo de conservación del informe de auditoría 33 Agencia Española de Protección de Datos
  • 34. Informes relevantes • Especialidades en sectores concretos – Especialidades de la normativa de blanqueo de capitales • Ficheros comunes • Exención de información y derechos ARCO • Naturaleza de los OCP – Requisitos para la creación de Listas Robinson • Obligaciones de acceso e incidencia si se ha prestado el consentimiento – Requisitos de creación de ficheros sectoriales de solvencia patrimonial y crédito – Acceso a datos históricos por Internet. Necesidad de consentimiento si se trata de personas vivas y los datos tienen una antigüedad inferior a 50 años – Especialidades en materia de prevención de riesgos laborales 34 Agencia Española de Protección de Datos
  • 35. Informes relevantes • Videovigilancia – Incidencia de la Ley “Omnibus”: liberalización en la instalación y mantenimiento salvo en los casos de conexión a centrales de alarmas • Supuestos de fusión u otras operaciones mercantiles – Posible confusión con supuestos de cesión atendiendo a la naturaleza de la operación • En caso de persistir la personalidad jurídica de las entidades, cada una será responsable de sus ficheros, pero podrían caber cesiones necesarias para el desarrollo de la relación con el cliente – Posible aplicación de la exención de información del artículo 5.5 si el domicilio de los afectados es desconocido – Posible transmisión de datos previa a la efectividad de la operación. Requisitos mínimo necesarios 35 Agencia Española de Protección de Datos
  • 36. PRINCIPALES CASOS EN 2009-2010 José López Calvo Subdirector General de Inspección de Datos Madrid 20 octubre 2010 36 Agencia Española de Protección de Datos
  • 37. 1.- MOROSIDAD - Necesidad de reforzar los sistemas de acreditación de consentimiento en la contratación de servicios. En especial a distancia. La importancia de la grabación y de la disponibilidad de documentación acreditativa. (PS/535/2009). Tasación (PS 168/2009). Seguro de hogar (PS 182/2009). - Necesidad de que en las operaciones de venta de deuda se cumpla la condición de deudor (PS/18/2009). - Necesidad de mantener deber de secreto sin que concuerde con el mismo la comunicación telefónica de la deuda a terceros o allegados. (PS 97/2010). 37 Agencia Española de Protección de Datos
  • 38. - Requerimiento previo de pago. La existencia de un procedimiento estandarizado de envío de cartas no constituye prueba de que en el caso concreto se haya producido la efectiva remisión y recepción (SAN 20-10-2009 CAJASOL). Debe aportarse copia de la carta de requerimiento enviada por la empresa o puesta en correos o entregada a empresa de mensajería con acreditación de envío con control de devoluciones individualizado certificando la entrega sin incidencias. (PS 400/2010). 38 Agencia Española de Protección de Datos
  • 39. - Necesidad de informar previamente al deudor de la inclusión en caso de impago (artículo 39 ROPD). (PS 149/2010). - Acceso a información de terceros en fichero de solvencia debe estar justificado (PS 571/2009). 39 Agencia Española de Protección de Datos
  • 40. 2.- VIDEOVIGILANCIA - El enfoque de la vía pública con cámaras se reserva en exclusiva a fuerzas y cuerpos de seguridad salvo previsión legal. (PS/709/2009). - En el cartel informativo debe figurar el responsable del fichero, no la empresa de seguridad correspondiente salvo que ostente tal condición. (PS 524/2009). - La instalación de cámaras disuasorias (carcasas) no se considera una solución idónea alternativa. (E 720/2010). 40 Agencia Española de Protección de Datos
  • 41. 3.- TUTELA JUDICIAL EFECTIVA La aportación de documentos en juicio en el libre ejercicio del derecho a la tutela judicial efectiva encuentra su contrapunto en la eventual vulneración del deber de secreto que se produciría en el caso de que el responsable entregue datos de un tercero para que el receptor lo aporte en juicio (PS 724/2009). 41 Agencia Española de Protección de Datos
  • 42. 4.- INTERNET A) Situaciones respecto de quien sube el dato. Publicación de datos personales (incluyendo vídeos) sin consentimiento previo del afectado, cuando se vulnera el deber de secreto. (PS 683/2009 y PS 508/2009). Publicación de datos personales sin consentimiento del afectado. La relevancia de la sensibilidad de los datos (incluyendo videos o sentencias (PS 117/2008 Y PS 479/2008). 42 Agencia Española de Protección de Datos
  • 43. B) Titular de la página. No responde del contenido colgado por tercero salvo: - página de datos de especial sensibilidad en que, deben extremar precauciones: • Página web de menores sin comprobación de edad. (PS 468/2009). • Imágenes de menores en una página “votamicuerpo”. (PS 23/2010). • Página de contacto gay que no controla identidad de quien inserta anuncios. - Haya sido advertido y no lo retire. 43 Agencia Española de Protección de Datos
  • 44. 5.- DATOS CUYO CONOCIMIENTO ES LEGÍTIMO EN ENTORNO AFECTADO. NO POR TERCEROS: - Miembros comunidad propietarios (deudas). (PS 689/2008). - Información a los trabajadores por sindicatos. A través de Intranet (SAN 20-4-2009) no de Internet (PS/51/2008) salvo relevancia pública. - Correo electrónico. Uso de copia oculta. (PS/553/2009). 44 Agencia Española de Protección de Datos
  • 45. - Interesados en un procedimiento de adjudicación pública en que es necesario garantizar transparencia y concurrencia: becas, plazas colegios concertados, complemento productividad entre funcionarios. (AP/67/2008, AP/27/2008). - Despido tras acceso a ordenador personal con aviso previo (E3490/2009). 45 Agencia Española de Protección de Datos
  • 46. 6.- TUTELAS - Tutelas de derechos sobre “Derecho al olvido”: a) Boletines: - Fiscal; publicación en 1998 sentencia de TSJ por infracción administrativa sancionada en 1993 (TD155/2008). - Real Decreto de 1999 de indulto de un delito contra la salud pública. (TD 989/2009). 46 Agencia Española de Protección de Datos
  • 47. b) Prensa digital: - Noticia de 1989 en prensa digital; imputándole delito de parricidio. (TD 1887/2009). - Noticia de1975 en prensa digital; detención de activistas del FRAP (TD 30/2010). - Noticias de 1974 y 1975 en prensa digital; detenciones por consumo y tráfico de drogas. (TD 487/2010). 47 Agencia Española de Protección de Datos
  • 48. c) Blogs - Se le arrestó en 2008 por delitos de tenencia de pornografía infantil, pedofilia, abuso de menores; delito archivados. (TD 92/2010). - La AEPD no es competente para analizar cuantía de deuda (TD 1950/2009). - Exclusión acceso a la aplicación de los criterios de clasificación de clientes MIFID. (TD 309/2010). 48 Agencia Española de Protección de Datos
  • 49. DESARROLLOS INTERNACIONALES Rafael García Gozalo Jefe del Área de Internacional Madrid 20 octubre 2010 49 Agencia Española de Protección de Datos
  • 50. • Madrid sede de la XXXI Conferencia Internacional de Privacidad. • AEPD líder del proceso de redacción de Propuesta Común de Estándares Internacionales de Protección. • Principales novedades producidas en ámbito UE. 50 Agencia Española de Protección de Datos
  • 51. 31ª Conferencia Internacional Más de 1000 participantes. Impacto de Internet en Protección de Datos desde pluralidad de perspectivas. Alto perfil de participantes. Alta participación de comunidad de protección de datos española. Principales Resoluciones: Renovación del marco institucional de la Conferencia. Resolución de Madrid sobre Estándares Internacionales de Privacidad. 51 Agencia Española de Protección de Datos
  • 52. Estándares Internacionales Proceso iniciado con el mandato recibido por AEPD en Conferencia de Estrasburgo: Garantizar alto nivel de protección. Facilitar flujos internacionales de datos. Resultado de un año de redacción de un Grupo de Trabajo . Integrado por 24 APD, 6 observadores y con participación de 400 expertos de industria, universidad, ONG. Que elaboró cuatro versiones sucesivas. Que celebró dos reuniones de coordinación (Barcelona y Bilbao). Estándares Internacionales. Avalados por Conferencia Internacional de Madrid. Respaldados en declaraciones de: Consejo de Europa. Industria. Unión Europea. Conferencia Public Voice. 52 Agencia Española de Protección de Datos
  • 53. Estándares Internacionales No son un documento innovador (se basan en principios y criterios ya presentes en otros documentos internacionales) pero sí aportan soluciones innovadoras para armonizar esos documentos. No son un documento europeo: buscan el máximo consenso internacional. Garantizan un adecuado nivel de protección: principios, derechos, vías de recurso, mecanismos de supervisión. Importancia de transferencias internacionales. Importancia de autoregulación. 53 Agencia Española de Protección de Datos
  • 54. Estándares Internacionales Mandato AEPD + Israel para coordinar Grupo de Promoción de Estándares Internacionales. Contactadas 20 Organizaciones Internacionales. Presentados a la industria (París, junio 2010). Presentados IAPP. Resoluciones Congreso y Senado. Inclusión en normas nacionales (Méjico). 54 Agencia Española de Protección de Datos
  • 55. Revisión del marco internacional Directrices OCDE. Convenio 108 Consejo de Europa. Directiva 95/46. Normativa EEUU. Accountability Project. 55 Agencia Española de Protección de Datos
  • 56. Desarrollos Unión Europea Proceso de modificación de marco jurídico como consecuencia de: Globalización. Desarrollo tecnológico. Tratado de Lisboa. Proceso complejo: Conferencia Pública (MAYO 2009). Consulta Pública iniciada JULIO 2009. Adopción por GT29 de WP 168 (“El Futuro de la Privacidad”) (DICIEMBRE 2009). Consultas permanentes Comisión / Agencia Española de Protección de Datos. Presentación de Comunicación Estratégica por la Comisión en noviembre de 2010. Propuesta de nuevo instrumento 2011. 56 Agencia Española de Protección de Datos
  • 57. Otros desarrollos Institucionales: AEPD Vicepresidente del GT29. AEPD miembro del Buró del TPDP Consejo de Europa. Regulatorios: Decisión COM sobre cláusulas contractuales tipo Responsable-Encargado (2010/87/CE ). Opinión relativa al marketing basado en comportamiento (WP 171). Opinión Redes Sociales (WP 163). Opinión sobre inspección coordinada sobre aplicación de Directiva “retención de datos” (WP 172). Dictamen 1/2009 sobre Directiva (2001/58/CE “ePrivacy”). Opinión sobre “accountability” (WP 173). Nuevo Acuerdo “SWIFT”. 57 Agencia Española de Protección de Datos
  • 58. 3ª SESIÓN ANUAL ABIERTA DE LA AEPD NOVEDADES REGISTRO 2009-2010 María José Blanco Antón Subdirectora General Registro General de Protección de Datos Madrid, 20 de octubre de 2010 58 Agencia Española de Protección de Datos
  • 59. Ficheros 2.041.320 2.171.841 2.724 operaciones diarias ∆>500.000 ficheros 1.647.756 ∆anual 50% 2.137 operaciones diarias 1.267.579 ∆anual 25% 1.377 operaciones diarias 2008 2009 09/2010 12/2010 59 Agencia Española de Protección de Datos
  • 60. Ficheros • Incremento de la inscripción de ficheros de: • Profesionales • Micropymes Responsables de ficheros 2000 2005 2010 Personas físicas 908 5% 18.275 12% 101.801 24% Resto de personas jurídicas 15.977 95% 132.493 88% 323.052 76% Principales sectores de Contabilidad, auditoría y Sanidad (4.412) Sanidad (17.519) actividad de responsables asesoría fiscal (209) Contabilidad, Comercio (15.091) de ficheros-personas físicas Comercio (198) auditoría …. (2.305) Turismo y hosteleria Sanidad (45) Actividades (6.746) inmobiliarias (2.012) Actividades jurídicas (1.513) Comercio (1.314) 60 Agencia Española de Protección de Datos
  • 61. Ficheros • Incremento de un 40% de las solicitudes de información relativa a la inscripción de ficheros (copias de resoluciones del Director, contenido de inscripciones, ..). • Tiempos de respuesta amplios. • Previsiones de la Agencia: En la sede electrónica se publicará un modelo electrónico de solicitud normalizada de información registral. • No obstante, se recomienda mayor diligencia en el intercambio de información registral cuando se cesa en la prestación de servicios. 61 Agencia Española de Protección de Datos
  • 62. Ficheros • Guía de Seguridad (actualización disponible en www.agpd.es): – Formato pdf – guía completa. – Formato word – modelo de documento de seguridad. • EVALÚA – Autoevaluación cumplimiento LOPD. – Autoevaluación medidas de seguridad. 62 Agencia Española de Protección de Datos
  • 63. Transferencias Internacionales Movimientos internacionales de datos inscritos en el RGPD Países nivel adecuado + excepciones art. 34 LOPD Países Espacio Económico Europeo 17.970 17.492 16.953 6.468 6.607 6.519 2008 2009 2010 63 Agencia Española de Protección de Datos
  • 64. Transferencias Internacionales Autorizaciones del Director Transferencias internacionales de datos a países que no disponen de un nivel adecuado de protección 513 Autorizaciones totales 405 Responsable-encargado Decisión 2002/16/CE 412 277 328 216 75 66 Responsable-responsable 50 Decisión 2001/497/CE 21 Responsable-encargado Decisión 2010/87/UE 2008 2009 2010 64 Agencia Española de Protección de Datos
  • 65. Transferencias Internacionales ESTADOS UNIDOS: 170 autorizaciones RESTO DE PAISES: 106 autorizaciones EEUU 31 28 18 170 Marruecos 3 8 7 26 Singapur - - - 4 IBEROAMÉRICA: 190 autorizaciones Japón - 1 1 4 Malasia - 3 - 6 Tailandia - - - 2 Panama - - - 2 Filipinas 5 4 1 15 Colombia 4 12 8 43 China 3 3 1 9 Chile 1 8 4 31 Hong Kong - 1 1 3 Uruguay 4 3 5 19 Egipto - - - 1 Perú 4 19 8 43 Nigeria - - - 1 Guatemala 1 1 3 Túnez - - - 3 Paraguay 4 4 1 11 Sudáfrica 3 - - 3 Brasil 3 - - 4 Australia - 7 - 8 El Salvador - - - 1 Canadá - - - 1 Rep. Bielorrusa 3 - - 3 Costa Rica 1 - - 2 Mónaco - 1 - 1 Nicaragua - - 1 Israel - 1 4 5 México 3 8 6 29 Vietnam - - 3 3 Ecuador - - 1 1 Barbados - - 3 3 Bermuda - - 1 1 INDIA: 75 autorizaciones Andorra 1 1 Internacional - - 3 3 India 30 28 8 75 2008 2009 2010 TOTAL 2008 2009 2010 TOTAL AUTORIZACIONES: 103 128 107 512 65 Agencia Española de Protección de Datos
  • 66. Transferencias Internacionales Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de tratamiento con posibilidad de subcontratación: – El nuevo modelo de cláusulas contractuales aporta flexibilidad en relación con las prestaciones de servicios fuera del territorio español y la subcontratación posterior. – El modelo es de aplicación desde el 15 de mayo de 2010, deroga la Decisión 2002/16/CE. – Se han tramitado autorizaciones basadas en la Decisión derogada cuando la fecha del contrato era anterior a 15 de mayo. Tipo de contrato Solicitudes Autorizaciones Archivo Responsable-responsable (2001/497/CE) 18 8 4 Responsable-encargado (2002/16/CE) 77 57 13 Responsable-encargado (2010(87/UE) 47 28 2 66 Agencia Española de Protección de Datos
  • 67. Transferencias Internacionales Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de tratamiento con posibilidad de subcontratación: – La Decisión 2010/87/UE permite a las autoridades de control aplicar este modelo de cláusulas a situaciones en las que la prestación de servicios se realice en territorio español siempre que se adopten las garantías que establece la propia Decisión en las subcontrataciones posteriores en terceros países (considerando 23). – El RLOPD define al exportador de datos como la entidad establecida en España que realiza transferencias internacionales de datos. – Viabilidad: • autorización de transferencias internacionales a encargados de tratamiento (exportadores de datos establecidos en España) basadas en un acuerdo marco con subencargados (fuera de España) que recojan todas las garantías de la Decisión 2010/87/UE para encargados. • notificación posterior de los ficheros objeto de transferencias internacionales por cada responsable, que firma un contrato de prestación de servicios autorizando la subcontratación con un encargado que tiene otorgada una autorización. 67 Agencia Española de Protección de Datos
  • 68. Códigos tipo Inscripción de la modificación de 12 Códigos tipo inscritos Finaliza plazo transitorio los 9 códigos tipo: Aprobación RLOPD Presentación solicitudes - UNESPA (FHSA) de adecuación de 9 códigos tipo - ACES Título VII. Regulación - UCH códigos tipo Cancelación de - Confianza online inscripción 3 códigos - Odontólogos y estomatólogos Plazo adecuación tipo - Universidad Castilla La Mancha - ACRA - AEGI - Veraz Persus Presentación Inscripción del Código tipo de Código tipo de investigación clínica Farmaindustria y farmacovigilancia Inscripción del Código tipo EUDEL Todos los códigos tipo inscritos – Agencia Vasca en el RGPD se encuentran disponibles en la web de la Agencia www.agpd.es Dic-2007 Sep-2008 Abr-2009 Jun-2009 Jul-2009 Dic-2009 68 Agencia Española de Protección de Datos
  • 69. Códigos tipo • Novedad: evaluación continua de los códigos tipo: – Memoria anual. • En 2010 se han presentado 2 memorias. – Inscripción condicionada a la evolución del código. • Incremento de adheridos. 69 Agencia Española de Protección de Datos
  • 70. Códigos Tipo • Aclaraciones en materia de investigación clínica: – Posición jurídica de los diferentes agentes que intervienen en un ensayo clínico. – Procedimiento de disociación de los datos • Código de aleatorización – garantías de irreversibilidad. – Fichero de Investigación Clínica vs. Fichero de Historias Clínicas. 70 Agencia Española de Protección de Datos
  • 71. Informe Hospitales • Motivación del estudio: – Incremento de tutelas y denuncias relacionadas con ficheros de historias clínicas. – Tratamiento de datos de salud. Garantías reforzadas LOPD. • Inicio del estudio: marzo 2010. • Alcance del estudio: 654 centros públicos y privados del Catálogo Nacional de Hospitales sujetos al control de la Agencia Española de Protección de Datos. • Requerimiento de cumplimentación del Informe de cumplimiento de la LOPD en Hospitales antes de 31 de julio de 2010. 605 centros 654 centros (duplicados, 562 centros del CNH devolución, contestaron …) 71 Agencia Española de Protección de Datos
  • 72. Informe Hospitales Datos por comunidades autónomas Centros Centros % Centros Comunidad Autónoma requeridos contestados contestados CIUDAD AUTÓNOMA DE CEUTA 2 2 100,00 CIUDAD AUTÓNOMA DE MELILLA 1 1 100,00 C.A. DE ANDALUCÍA 124 119 95,97 C.A DE ARAGÓN 29 27 93,10 C.A. DE CANARIAS 42 35 83,33 C.A. DE CANTABRIA 9 8 88,89 C.A. DE CASTILLA Y LEÓN 50 49 98,00 C.A. DE CASTILLA-LA MANCHA 33 28 84,85 C.A. DE EXTREMADURA 26 24 92,31 C.A. DE GALICIA 63 53 84,13 C.A. DE LA REGIÓN DE MURCIA 26 26 100,00 C.A. DE LA RIOJA 7 7 100,00 C.A. DE LES ILLES BALEARS 23 20 86,96 C.A. DEL PAÍS VASCO 26 24 92,31 C.A. DEL PRINCIPADO DE ASTURIAS 23 23 100,00 COMUNIDAD DE MADRID 48 47 97,92 COMUNIDAD FORAL DE NAVARRA 13 13 100,00 COMUNIDAD VALENCIANA 60 56 93,33 TOTAL GENERAL 605 562 92,89 72 Agencia Española de Protección de Datos
  • 73. Informe Hospitales Datos por titularidad del centro Desglose por titularidad de los centros: - que han sido requeridos para cumplimentar el informe, - que han atendido dicho requerimiento, y - que presentan deficiencias en el cumplimiento de la LOPD. Requeridos No contestan Contestan Envío de recomendaciones Requerimiento medidas correctoras Privados 313 20 294 251 43 Públicos 292 23 268 109 159 Total 605 43 562 360 202 73 Agencia Española de Protección de Datos
  • 74. Informe Hospitales Cuestiones planteadas en el Informe: ► Medidas de seguridad y documento de seguridad; obligaciones del personal; control y registro de acceso; comunicación de datos; gestión de incidencias; gestión de soportes y documentos; copias de respaldo; y documentación en papel. ► Auditoría de medidas de seguridad. ► Deber de información y atención al ejercicio de derechos ARCO. ► Inscripción de ficheros en el RGPD. ► Contratación de servicios de tratamiento de datos personales. 74 Agencia Española de Protección de Datos
  • 75. Informe Hospitales Acciones siguientes: ► Remisión a la Subdirección General de Inspección de los más de 40 centros que no han atendido el requerimiento, dado que podrían haber incurrido en una infracción de la LOPD. ► Remisión del informe con recomendaciones a todos los centros. ► Requerimiento a más de 200 centros de adopción de medidas correctoras y comunicación de las mismas a la AEPD antes de 1 de abril de 2011. ► Informar a las Consejerías y al Ministerio de Sanidad y Política Social. 75 Agencia Española de Protección de Datos
  • 76. Informe Hospitales - Recomendaciones Mantener actualizada la inscripción de ficheros. Incluir cláusulas informativas en los impresos y adaptarlas en función del fichero en el que se van a incluir los datos. Colocar carteles informativos sobre el derecho a la protección de datos. Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos. Aplicar procedimientos de disociación de los datos de carácter personal en los tratamientos de datos que hayan sido externalizados. Registrar todos los accesos realizados a los historiales clínicos. 76 Agencia Española de Protección de Datos
  • 77. Informe Hospitales - Recomendaciones Realizar auditorías que verifiquen si el personal utiliza los datos para la finalidad que justificó el acceso. Almacenar los archivos físicos de historias clínicas en áreas con acceso protegido mediante llave o dispositivo equivalente y en archivadores que dispongan de mecanismos que obstaculicen su apertura. Custodiar la documentación clínica de pacientes cuando ésta no se encuentre archivada impidiendo que pueda ser accedida por terceros. Adoptar medidas para evitar la pérdida o sustracción de la documentación durante su transporte. Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de otros que puedan contener datos relativos a la salud de las personas. 77 Agencia Española de Protección de Datos
  • 78. Muchas gracias 78 Agencia Española de Protección de Datos