Your SlideShare is downloading. ×
  • Like
Conoce los secretos de la Ley Orgánica de Protección de Datos LOPD
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Conoce los secretos de la Ley Orgánica de Protección de Datos LOPD

  • 1,392 views
Published

Conoce los aspectos legales de la Ley Orgánica de Protección de datos afectan a tu negocio, conoce las claves y requisitos para cumplir con la ley y mejorar la eficiencia de tu negocio.

Conoce los aspectos legales de la Ley Orgánica de Protección de datos afectan a tu negocio, conoce las claves y requisitos para cumplir con la ley y mejorar la eficiencia de tu negocio.

Published in Business , Travel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,392
On SlideShare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
42
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. CURSO SOBRE LA LEY ORGANICA DE PROTECCION DE DATOS DE CARACTER PERSONAL Harvey & Lluch Consultores S.L.
  • 2. 1.- INTRODUC- CION ¿Qué es la ¿A quién obliga la ¿A quién protegeProtección de Protección de la Protección de Datos? Datos? Datos? 2 Harvey & Lluch Consultores S.L.
  • 3. ¿QUE ES LA PROTECCION DE DATOS?Se entiende por Protección de Datos el garantizar y proteger, en lo queconcierne al tratamiento de los datos personales, las libertadas públicas y losderechos fundamentales de las personas físicas y especialmente de su honor eintimidad personal y familiar.Para garantizar y proteger estos datos, se legisla la Ley Orgánica 15/1999, de13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Leyque deroga la anterior Ley Orgánica 5/1992, de 29 de octubre, deRegularización del Tratamiento Automatizado de los Datos de CarácterPersonal (LORTAD). La LOPD se complementa con el Real Decreto1720/2007, de 21 diciembre, por el cual se aprueba El Reglamento deDesarrollo de la LOPD.Aplicando la normativa vigente el tratamiento de los datos puede serautomatizado o no, siguiendo el mandato imperativo de la Normativa Europea. 3 Harvey & Lluch Consultores S.L.
  • 4. ¿A QUIEN PROTEGE LA PROTECCION DE DATOS?Una premisa que tenemos que tener claro, es que los datos no son de lasentidades son de sus titulares, de los interesados o afectados como losdenomina la LOPD.Por lo tanto el tratamiento de los datos a de ser lícito y al ser datos de losafectados, las entidades tienen que respetar todos los derechos y principios quesobre ellos contempla la Ley Orgánica de Protección de Datos.El afectado tiene que haber dado su consentimiento al tratamiento de sus datos:art. 3.h, toda manifestación de voluntad, libre, inequívoca, específica einformada, mediante la que el interesado consienta el tratamiento de datospersonales que le conciernen.Este consentimiento por parte del afectado, tiene su excepción en el supuestoen que se refiera a las partes de un contrato o precontrato de una relaciónnegocial, cuando su finalidad sea proteger el interés vital del afectado y, porúltimo, cuando sus datos figuren en fuentes accesibles al público, siempre queno se vulneren los derechos y libertades fundamentales del afectado. 4 Harvey & Lluch Consultores S.L.
  • 5. ¿A QUIEN OBLIGA LA PROTECCION DE DATOS?A todas las entidades seas pública o privadas y profesionales, que realicen ensu actividad, el tratamiento de datos de Carácter Personal.Estos datos pueden ser generados por la actividad lógica de laentidad, empleados, colaboradores, proveedores, clientes, etc., estos datos sonde tratamiento interno de la entidad y su vez por dicha actividad, estos datospueden salir fuera de la entidad para control dedistribución, postventa, subcontratación, cesión a terceros, etc.Estos datos no son de la entidad, son de sus titulares, de los interesados oafectados como los denomina la LOPD.Por lo tanto, el tratamiento de los datos ha de ser lícito y al ser datos de losafectados, las entidades tienen que respetar todos los derechos y principios quesobre ellos contempla la Ley Orgánica de Protección de Datos. 5 Harvey & Lluch Consultores S.L.
  • 6. 2.- NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL REAL DECRETO DE DESARRROLLO DEL REGLAMENTO DE LA LOPD 6Harvey & Lluch Consultores S.L.
  • 7. LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARACTER PERSONALLa normativa vigente en tratamiento de datos de carácter personal es la LeyOrgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo queconcierne al tratamiento de los datos personales, las libertades públicas y losderechos fundamentales de las personas físicas y especialmente de su honor eintimidad personal y familiar, (art. 1).Por esta Ley, los afectados adquieren unos derechos en el tratamiento de sus datosde carácter personal y que obliga a los titulares de los ficheros (cualquier empresa oentidad, pública o privada que tenga datos de carácter personal en un soporteautomatizado o susceptible de tratamiento automatizado), a respetar los principiosde esta Ley.El cumplimiento de esta normativa es imprescindible para cualquier entidad jurídica(empresa o autónomo), ya sea pública o privada, que tenga tratamiento de datos decarácter personal. 7 Harvey & Lluch Consultores S.L.
  • 8. REAL DECRETO DE DESARROLLO DEL REGLAMENTO DE LA LOPDReal Decreto 1720/2007, de 21 de diciembre, por el que se aprueba ElReglamento de Desarrollo de la Ley Orgánica de Protección de Datos. EsteReglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgosque para los derechos de la personalidad pueden suponer el acopio y tratamiento dedatos personales.Hay que destacar que este Reglamento nace con la vocación de no reiterar loscontenidos de la Ley y de desarrollar, no solo los mandatos contenidos en dicha Leyde acuerdo con los principios que emanan de la Directiva sino también aquellos queestos años de vigencia de la Ley se ha demostrado que precisan de un mayordesarrollo normativo. 8 Harvey & Lluch Consultores S.L.
  • 9. 3.- CONCEPTOS DESTACABLES DE LA LOPD Y EL REGLAMENTO DEFINICIONES DE LA LOPD DEFINICIONES DEL REGLAMENTO • DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD • FUENTES ACCESIBLES AL PUBLICO COMPARATIVA ENTRE LAS DEFINICIONES DE LA LOPD Y EL REGLAMENTO 9 Harvey & Lluch Consultores S.L.
  • 10. DEFINICIONES DE LA LOPD - IDefiniciones según el art. 3:a) Datos de carácter personal; cualquier información concerniente a personas físicas identificadas o identificables. Se habla de cualquier información concerniente a las personas, incluido la video vigilancia.b) Fichero; todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se incluyen tanto los ficheros automatizados como los no automatizados (normales).c) Tratamiento de datos; operaciones y procedimientos técnicos de carácter automatizados o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.d) Responsable del fichero o tratamiento; persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.e) Afectado o interesado; persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente articulo. 10 Harvey & Lluch Consultores S.L.
  • 11. DEFINICIONES DE LA LOPD - IIf) Procedimiento de disociación; todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificables. No se puede asociar el número de teléfono al nombre de un afectado, o el DNI con su propietario.g) Encargado del tratamiento; la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El encargado de tratamiento recibe por parte del responsable el encargo de tratar los datos de carácter personal del otro, por ejemplo las asesoría fiscal o laboral, abogados, etc.h) Consentimiento del interesado; toda manifestación de voluntad, libre, inequívoca, especifica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.i) Cesión o comunicación de datos; toda revelación de datos realizada a una persona distinta del interesado. “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”, art.5.1. 11 Harvey & Lluch Consultores S.L.
  • 12. DEFINICIONES DE LA LOPD - IIIj) Fuentes accesibles al público; aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso al público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupo de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al público los diarios y boletines oficiales y los medios de comunicación. La Agencia Española de Protección de Datos dictaminó que internet no es un medio fiable. 12 Harvey & Lluch Consultores S.L.
  • 13. DEFINICIONES DEL REGLAMENTO - IDefiniciones según el art. 5:a) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.b) Cancelación; Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloque de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.c) Cesión o comunicación de datos; Tratamiento de datos que supone su revelación a una persona distinta al interesado. Aquí El Reglamento hace hincapié en tratamiento de datos, por lo tanto para que haya cesión es necesario que haya dicho tratamiento de datos.d) Consentimiento del interesado; Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. 13 Harvey & Lluch Consultores S.L.
  • 14. DEFINICIONES DEL REGLAMENTO - IIe) Dato disociado; aquél que no permite la identificación de un afectado o interesado. Por medio de este dato, por ejemplo el número de móvil, no identificamos al afectado.f) Datos de carácter personal; cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Hay que hacer diferencia entre persona física y persona jurídica, un empresario individual al hacer referencia a su actividad comercial, queda excluido en el tratamiento, pasa a ser persona jurídica y a su vez las personas que ocupando cargos o funciones están asociadas a la persona jurídica que prestan sus servicios. Están incluidos en este apartado las imágenes de personas físicas tomadas en video vigilancia.g) Datos de carácter personal relacionados con la salud; las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. 14 Harvey & Lluch Consultores S.L.
  • 15. DEFINICIONES DEL REGLAMENTO - IIIh) Destinatario o cesionario; la persona física o jurídica, pública privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Añadiríamos en este apartado a las comunidades de propietarios.i) Encargado del tratamiento; la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de relación para la prestación de un servicio. Podrá ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.j) Exportador de datos personales; la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. Este párrafo se refiere a datos exportados fuera de la CEE. 15 Harvey & Lluch Consultores S.L.
  • 16. DEFINICIONES DEL REGLAMENTO - IVk) Fichero; todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. Quedan excluidos del tratamiento cualquier fichero mantenido por cualquier persona física en el ejercicio de actividades personales o domésticas, los sometidos a normativa sobre protección de materias clasificadas, y los establecidos para la investigación del terrorismo y de formas graves de delincuencia, están excluidos pero estos ficheros se comunicaran de su existencia a la AEPD.l) Ficheros de titularidad privada; los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostenta la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que las mismas atribuye su normativa específica. Se refiere a los ficheros de las sociedades privadas y autónomos. 16 Harvey & Lluch Consultores S.L.
  • 17. DEFINICIONES DEL REGLAMENTO - Vm) Ficheros de titularidad pública; los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones publicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. Se refiere entidades como los ayuntamientos, comunidades autónomas, etc.n) Fichero no automatizado; todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Son los ficheros manuales por ejemplo el clásico archivador.ñ) Importador de datos personales; la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Se refiere al países fuera del territorio de la Unión Europea. 17 Harvey & Lluch Consultores S.L.
  • 18. DEFINICIONES DEL REGLAMENTO - VIo) Persona identificable; toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.p) Procedimiento de disociación; todo tratamiento de datos personales que permita la obtención de datos disociados. El resultado de este procedimiento no pueda identificar o asociarse a persona alguna.q) Responsable del fichero o del tratamiento; persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.r) Tercero; la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del fichero, del encargado del tratamiento y de las personas autorizadas para tratar bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrá ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. 18 Harvey & Lluch Consultores S.L.
  • 19. DEFINICIONES DEL REGLAMENTO - VIIs) Transferencia internacional de datos; tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.t) Tratamiento de datos; cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilizaci ón, cancelación, bloqueo o supresión, así como las cesiones de datos que resultan de comunicaciones, consultas interconexiones y transferencias. Hay que recalcar, que al igual de los ficheros, el procedimiento puede ser automatizado o no. 19 Harvey & Lluch Consultores S.L.
  • 20. DEFINICIONES DEL REGLAMENTO • DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - Ia) Accesos autorizados; autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tengan atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.b) Autentificación; procedimiento de comprobación de la identidad de un usuario. Con esta medida lo que se consigue es acreditar la identificación del usuario.c) Contraseña; información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autentificación de un usuario o en el acceso a un recurso. Recordemos que las contraseñas son tanto para ficheros automatizados o no.d) Control de acceso: mecanismo que en función de la identificación ya autentificada permite acceder a datos o recursos.e) Copia de respaldo; copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. En este párrafo se deja claro que no tiene por que haber copia de respaldo en ficheros no automatizados o manuales.f) Documento; todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que pueda ser tratada en un sistema de información como unidad diferenciada. 20 Harvey & Lluch Consultores S.L.
  • 21. DEFINICIONES DEL REGLAMENTO • DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - IIg) Ficheros temporales; ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.h) Identificación; procedimiento de reconocimiento de la identidad de un usuario.i) Incidencia; cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Aclarar que puede tratarse de cualquier irregularidad física, lógica o jurídica.j) Perfil de usuario; accesos autorizados a un grupo de usuarios. Delimitar el acceso a usuarios solamente a su perfil de trabajo, si se encargan de ficheros de clientes no tienen acceso a ficheros de nóminas.k) Recurso; cualquier parte componente de un sistema de información.l) Responsable de seguridad; persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Sobre el responsable de seguridad no recae ninguna responsabilidad en materia de protección de datos, ya que esta recae sobre el responsable del fichero o tratamiento.m) Sistema de información; conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Recordamos que los ficheros pueden ser automatizados o no. 21 Harvey & Lluch Consultores S.L.
  • 22. DEFINICIONES DEL REGLAMENTO • DEFINICIONES SOBRE MEDIDAS DE SEGURIDAD - IIIn) Sistema de tratamiento; modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. Nos recuerda las formas de que pueden ser los sistemas empleados de información.ñ) Soporte; objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se puede grabar y recuperar datos.o) Transmisión de documentos; cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo.p) Usuario; sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de usuario físico. 22 Harvey & Lluch Consultores S.L.
  • 23. DEFINICIONES DEL REGLAMENTO • FUENTES ACCESIBLES AL PUBLICO - IDebido a su importancia dedicaremos un apartado especial a la Fuentes Accesibles alPúblico.Ya vimos el párrafo j), del art. 3 de la LOPD.“Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, noimpedida por una norma limitativa o sin más exigencia que, en su caso, el abono de unacontraprestación. Tienen la consideración de fuentes de acceso alpúblico, exclusivamente, el censo promocional, los repertorios telefónicos en lostérminos previstos por su normativa específica y las listas de personas pertenecientes agrupo de profesionales que contengan únicamente los datos denombre, título, profesión, actividad, grado académico, dirección e indicación de supertenencia al grupo. Asimismo, tienen el carácter de fuentes accesibles al público losdiariosy boletines oficiales y los medios de comunicación”.En El Reglamento esta definición se amplia y en el art.7 dice;1. A efectos del artículo 3, párrafo j) de la Ley orgánica 15/1999, se entenderáque solo tendrán el carácter de fuentes accesibles al público:a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica15/1999, de 13 de diciembre.b) Las guías de servicios de comunicaciones electrónicas, en los términos previstospor su normativa especifica. 23 Harvey & Lluch Consultores S.L.
  • 24. DEFINICIONES DEL REGLAMENTO • FUENTES ACCESIBLES AL PUBLICO - IIc) Las listas de personas pertenecientes a grupos de profesionales que contenganúnicamente los datos de nombre, título, profesión, actividad, grado académico,dirección profesional e indicando de su pertenencia al grupo. La dirección profesionalpodrá incluir los datos del domicilio postal completo, número de telefónico, número defax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarsecomo datos de pertenencia al grupo los de número de colegiado, fecha de incorporacióny situación de ejercicio profesional.d) Los diarios y boletines oficiales.e) Los medios de comunicación oficial.2. En todo caso, para que los supuestos enumerados en el apartado anterior puedanser considerados fuentes accesibles al público, será preciso que su consulta pueda serrealizada por cualquier persona, no impedida por una norma limitativa, o sin másexigencia que, en su caso, el abono de una contraprestación.Hay que advertir que para la Agencia Española de Protección de Datos, internet noes un medio fiable de información. Y al referirnos a las guías telefónicas, hablamos delas Páginas Amarillas y del año en curso. 24 Harvey & Lluch Consultores S.L.
  • 25. 4.- LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS CONSENTIMIENTO LA CALIDAD DE DEL INTERESADO O OBTENCION DE LOS AFECTADO DATOS DERECHO POR PARTE DATOS QUE DEBEN DEL AFECTADO A LA SER ESPECIALMENTE INFORMACIÓN A PROTEGIDOS DEL RECABAR LOS DATOS AFECTADO CESIÓN DE DATOS 25 Harvey & Lluch Consultores S.L.
  • 26. CONSENTIMIENTO DEL INTERESADO O AFECTADO - I La LOPD define el consentimiento como ( art. 3.h); Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Art. 6); “Salvo que la Ley disponga otra cosa”. Dicho esto, debemos saber que al solicitar el consentimiento al afectado de la cesión de sus datos, este deberá ser informado inequívocamente de la finalidad a la que se destinará los datos. En el caso de menores de 14 años, se requerirá el consentimiento de los padres o tutores y en ningún caso se podrá recabar datos del menor que se refieran a actividades profesionales, económicos, sociológicos, etc., de sus progenitores, sin el consentimiento de los titulares (Art. 13) del Reglamento. “Salvo que la Ley disponga de otra cosa” (art. 6), en dicho articulo se nos aclara que no será preciso el consentimiento, cuando los datos de carácter personal se recojan en ejercicio de las Administraciones Públicas, etc., tal como vimos explicado en el párrafo dedicado a: ¿A quién protege la Protección de Datos?. En estos casos que no es necesario el consentimiento del afectado, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal caso se excluirán del tratamiento los datos relativos al afectado. 26 Harvey & Lluch Consultores S.L.
  • 27. EL CONSENTIMIENTO DEL INTERESADO O AFECTADO II En el Reglamento 1720/2007, de fecha de 21 de diciembre, en su art. 14, se regula el procedimiento para la obtención de consentimiento del titular de los datos: • El solicitante se dirige al afectado en los términos que dicta el art. 5 de la LOPD y el art. 12.2 del Reglamento. 1.- De la existencia de un fichero, de la finalidad del mismo y el destinatario de la información. En caso contrario el consentimiento será nulo. 2.- El afectado tiene un plazo de treinta días para oponerse al tratamiento de los datos. 3.- Facilitar un procedimiento sencillo y gratuito, par que el afectado haga uso a su negativa al tratamiento de los datos. 27 Harvey & Lluch Consultores S.L.
  • 28. LA CALIDAD DE OBTENCION DE LOS DATOSArt. 4.1, “ Los datos de carácter personal sólo se podrán recoger para sutratamiento, así como someterlos a dicho tratamiento, cuando seanadecuados, pertinentes y no excesivos en relación con el ámbito y las finalidadesdeterminadas, explícitas y legítimas para las que se hayan obtenido.A lo largo de este articulo se especifica la calidad de obtención de los datos, estoes, los datos que se inscriban en un fichero tienen que ser exactos, se tienen quemantener actualizados y puestos al día, apropiados para el fin que se solicitan y noserán obtenidos por tanto, por medios fraudulentos, desleales o ilícitos. Si estosdatos fuesen inexactos, serían cancelados y sustituidos de oficio una vezrectificados, siendo cancelados cuando hayan dejado de ser necesarios opertinentes para la cual se recabaron. Siempre serán almacenados de forma quepermitan el ejercicio del derecho acceso, salvo que sean legalmente cancelados. 28 Harvey & Lluch Consultores S.L.
  • 29. DERECHO POR PARTE DEL AFECTADO A LA INFORMACION A RECABAR LOS DATOSEmpieza el art. 5, diciendo; “Los interesados a los que soliciten datos personalesdeberán ser previamente informados de modo expresa, preciso e inequívoco. De laexistencia de un fichero o tratamiento de datos de carácter personal, de la finalidadde la recogida de éstos y de los destinatarios de la información. De la identidad ydirección del responsable del tratamiento o, en su caso, de su representante”. Por lo tanto esta premisa se tiene que tener siempre presente cuando se utilicencuestionarios u otros impresos para la recogida de datos personales directamentedel interesado. Cuando los datos no hayan sido recabados del interesado, éstedeberá ser informado de forma expresa, precisa e inequívoca en el plazo de tresmeses al registro de los datos.Como excepción a esta norma, no se aplicará este concepto cuando expresamenteuna ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos ycientíficos o cuando la información al interesado fuese imposible o exija esfuerzosdesproporcionados a criterio de la Agencia Española de Protección de Datos.Asimismo cuando los datos procedan de fuentes accesibles al público y se destinena la actividad de publicidad o prospección comercial, se le comunicará al interesadoel origen de los datos y se le informará de sus derechos y de la identidad delresponsable del tratamiento. 29 Harvey & Lluch Consultores S.L.
  • 30. DATOS QUE DEBEN SER EXPECIALMENTE PROTEGIDOS DEL AFECTADO - IEn el art. 7, se especifica los datos del afectado que deben de ser especialmenteprotegidos, denominados sensibles. Estos datos son:a) Ideología, religión o creencias. El apartado 2 del art. 16 de la Constitución, dice; nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Solo por consentimiento expreso y por escrito del afectado se podrá tratar dichos datos, a excepción de los ficheros de los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.b) Datos personales de tipo racial, salud y vida sexual, del afectado, solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.c) Por lo tanto quedan prohibidos los ficheros creados con la finalidad de almacenar datos de carácter personal mencionados en los párrafos anteriores.d) Relativo a los datos de salud, respecto a su cesión el art. 8, dice; las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre salud. 30 Harvey & Lluch Consultores S.L.
  • 31. DATOS QUE DEBEN SER ESPECIALMENTE PROTEGIDOS DEL AFECTADO - IISolo no será necesario su autorización, como excepción, lo previsto en elart.11.2.f, cuando la cesión de datos de carácter personal relativos a la salud seanecesaria para solucionar una urgencia que requiera acceder a un fichero o pararealizar los estudios epidemiológicos en los términos establecido en la legislaciónsobre sanidad estatal o autonómica. - Podrán ser objeto de tratamiento los datos mencionados en lospárrafos, a) y b), para prevención o diagnósticos médicos o prestación de asistenciasanitaria, siempre que lo realice personal sanitario sujeto al secreto profesional opersona sujeta a una obligación de secreto equivalente. 31 Harvey & Lluch Consultores S.L.
  • 32. CESION DE DATOSSegún el art. 11.1; los datos de carácter personal objeto del tratamiento sólo podránser comunicados a un tercero para el cumplimiento de fines directamenterelacionados con las funciones legítimas del cedente y del cesionario con el previoconsentimiento del interesado.No será necesario el consentimiento exigido en los siguientes casos:I. Cuando la cesión esta autorizada por una ley.II. Cuando son recogidos en fuentes de accesos público.III. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.IV. Cuando se deba efectuar al defensor del Pueblo, al Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, ni administraciones e instituciones autonómicas.V. Entre Administraciones públicas, para el tratamiento posterior con fines históricos, estadísticos o científicos.VI. Para realizar una urgencia o un estudio epidemiológico .El consentimiento será nulo cuando no se permita conocer la finalidad a que sedestinarán los datos. 32 Harvey & Lluch Consultores S.L.
  • 33. 5.- TRATAMIENTO DE LOS DATOSArt. 3.c; operaciones y procedimientos técnicos de carácter automatizado o no, que permitan larecogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así comolas cesiones de datos que resultan de comunicaciones, consultas, interconexiones ytransferencias. Podemos tratar cualquier dato pero cumpliendo con la normativa, teniendo elconsentimiento explicito e inequívoco del afectado.El tratamiento de datos lo podemos resumir en tres fases: RECABAR DATOS TRATAMIENTO AUTOMATIZADO DE LOS DATOS O NO COMUNICACIÓN DE LOS DATOS En cada uno de los pasos tenemos que garantizar la protección de los datos de carácter personal y los derechos del afectado. 33 Harvey & Lluch Consultores S.L.
  • 34. 6.- LOS DERECHO DE CONSULTA AL DERECHOS REGISTRO GENERAL DE PROTECCIÓN DE DATOS DEL INTERESADO DERECHOS ARCO(ACCESO, RECTIFICACIÓN, DERECHO DE CANCELACIÓN Y INDEMNIZACIÓN OPOSICIÓN) TUTELA DE LOS DERECHOS 34 Harvey & Lluch Consultores S.L.
  • 35. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOSSegún el art. 14; Cualquier persona podrá conocer, recabando a tal fin lainformación oportuna del Registro General de Protección de Datos, la existencia detratamientos de datos de carácter personal, sus finalidades y la identidad delresponsable del tratamiento. El Registro General será de consulta pública y gratuita.Este artículo, como podemos ver, es claro, corto y conciso. Recalcamos que: “El Registro General será de consulta pública y gratuita.” 40 35 Harvey & Lluch Consultores S.L.
  • 36. DERECHOS ARCOSegún el art. 24, del Reglamento, en sus diferentes apartados se explican lascondiciones generales para el uso de estos derechos, aún así, diremos que estosderechos son independientes y por lo tanto el uso de uno no es requisito previo parael uso del otro, para ejercitar su uso se deberá habilitar un medio sencillo y gratuitoal afectado por parte dl responsable del fichero. En ningún caso debe suponer uningreso adicional al responsable del fichero. ACCESO RECTIFICACIÓN Y CANCELACIÓN OPOSICIÓN 41 36 Harvey & Lluch Consultores S.L.
  • 37. DERECHO DE ACCESOEn el art. 28.1, del Reglamento, se dice; al ejercitar el derecho de acceso, elafectado podrá optar por recibir la información a través de uno o varios de lossiguientes sistemas de consulta del fichero:a) Visualización en pantalla.b) Escrito, copia o fotocopia remitida por correo, certificado o no.c) Telecopia.d) Correo electrónico u otros sistemas de comunicaciones electrónicas.e) Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.Si el responsable ofrece un sistema para hacer posible el acceso y si el afectado lorechaza, aquél no responderá de los posibles riesgos que pudieran ocasionar en laseguridad de la información. Al igual que si el afectado exigiese un procedimiento unprocedimiento que conlleve un coste desproporcionado, serán por cuenta delafectado los gastos que conlleve. El responsable tiene el plazo máximo de un mespara resolver la solicitud. 37 Harvey & Lluch Consultores S.L.
  • 38. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓNArtículo 31 del Reglamento;1. El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resultan ser inexactos o incompletos.2. El ejercicio del derecho de cancelación dará a lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este Reglamento.Artículo 16 de la LOPD;1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho rectificación o cancelación del interesado en el plazo de diez días.3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales. Una vez que hayan prescrito los datos se dará lugar a la supresión.Se podrá denegar el derecho de rectificación o cancelación en los supuestos que asílo prevea una ley o norma de derecho comunitario de aplicación directa. En todocaso el responsable del fichero deberá informar al afectado de su derecho derecabar la tutela de la Agencia Española de Protección de Datos. 38 Harvey & Lluch Consultores S.L.
  • 39. DERECHO DE OPOSICIÓNArt. 34 del Reglamento; el derecho de oposición es el derecho del afectado a queno se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en elmismo en los siguientes supuestos:b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su creación.Art. 6.4, de la LOPD; En los casos que no sea necesario el consentimiento delafectado para el tratamiento de los datos de carácter personal, y siempre que unaley no disponga de lo contrario, éste podrá oponerse a su tratamiento cuandoexistan motivos fundados y legítimos relativos a una concreta situación personal. Ental supuesto, el responsable del fichero excluirá del tratamiento los datos relativos alafectado.El tiempo máximo de resolución de la solicitud es de diez días, se tengan o nodatos. 39 Harvey & Lluch Consultores S.L.
  • 40. DERECHO A INDEMNIZACIÓNEn el art. 19 de la LOPD, se explican los derechos a indemnización que tienen losafectados, como consecuencia del incumplimiento de la presente Ley, por parte delresponsable o encargado del tratamiento. Cuando los ficheros son de titularidad pública, la responsabilidad se exigirá deacuerdo con la legislación reguladora del régimen de responsabilidades de lasAdministraciones públicas. Cuando los ficheros son de titularidad privada, la acción se ejercitará en lajurisdicción ordinaria. 40 Harvey & Lluch Consultores S.L.
  • 41. TUTELA DE LOS DERECHOSAl afectado que se la niegue total o parcial sus derechos Arco (Acceso,Rectificación, Cancelación y Oposición), podrá ponerlo en conocimiento de laAgencia Española de Protección de Datos (AEPD). El plazo de resoluciónexpresa de tutela de derechos es de seis meses.En el caso de proceder contra la Agencia Española de Protección de Datos,procederá recurso contencioso-administrativo. 41 Harvey & Lluch Consultores S.L.
  • 42. 7.- RESPONSABLE DEL FICHERO O TRATAMIENTO Y EL ENCARGADO DEL TRATAMIENTO • La persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento (operaciones y procedimientos técnicos de carácter automatizado o no, que permitaRESPONSABLE la recogida, conservación, elaboración, modificación, bloqueo y cancelación ………….. Art.3.c). DEL FICHERO • La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datosENCARGADO personales por cuenta del responsable del tratamiento. DELTRATAMIENTOEntre estas dos figuras se debe de guardar el Deber de Secreto, durante y después de finalizarlas relaciones. Art. 10 de la LOPD. 42 Harvey & Lluch Consultores S.L.
  • 43. 8.- OBLIGACIONES DEL RESPONSABLE DELFICHERO DE LAS ENTIDADES JURIDICAS PÚBLICAS O PRIVADAS INSCRIPCIÓN DE FICHEROS EN EL TRATAMIENTO REGISTRO LEGAL Y LEAL GENERAL DE LA AEPD OBLIGACIÓN DE FACILITAR EL DEBER DE EJERCICIO DE MEDIDAS DE SECRETO LOS DERECHOS SEGURIDAD ARCO Documento de Seguridad Niveles de Seguridad 43 Harvey & Lluch Consultores S.L.
  • 44. INSCRIPCIÓN DE FICHEROS EN EL REGISTRO GENERAL DE LA AGPDArt. 55.1 del Reglamento; todo fichero de datos de carácter personal de titularidadpública será notificado a la Agencia Española de Protección de Datos, para suinscripción en el Registro General de Protección de Datos, en el plazo de treintadías.Esta inscripción la debe de realizar el responsable del fichero otratamiento, teniendo en cuenta que el soporte que se esté utilizando esindiferente, volvemos a la frase de “automatizado o no”. Estamos hablando de datosde carácter personal que tratan las entidades jurídicas, ya sean públicas oprivadas, esto quiere decir que los datos que son mantenidos por personas físicaspara uso exclusivo personal y domestico están excluidos de su inscripción, como losclasificados en materia reservada, terrorismo y delincuencia organizada.Recordemos que los ficheros tienen que estar actualizados y al día. 44 Harvey & Lluch Consultores S.L.
  • 45. TRATAMIENTO LEGAL Y LEALDurante los diversos procesos de tratamiento de los datos de carácterpersonal, debemos observar siempre un tratamiento legal y leal. En cada paso sedebe respetar los derechos del afectado y siguiendo lo dictado por la Ley Orgánicade Protección de Datos, título II, arts. 4, 5, 6, 9, 10, 11 y 12:• Debemos de guardar el principio de Calidad de los Datos.• El Derecho de Información, del afectado, en la recogida de los datos.• El principio de Consentimiento por parte del afectado.• Principio de Seguridad de los Datos, implantación de medidas de seguridad porparte del responsable y del encargado del tratamiento.• Deber de Secreto.• Comunicación de Datos a un tercero, para el cumplimiento de fines relacionadoscon el cedente, previa autorización del afectado.• Acceso a los datos por cuenta de terceros, lo cual deberá ser regulado por uncontrato por escrito, con lo que el encargado de tratamiento tratará los datos segúnlas instrucciones recibidas por el responsable de tratamiento o del fichero. 45 Harvey & Lluch Consultores S.L.
  • 46. DEBER DE SECRETOArt. 10 de la LOPD; El responsable del fichero y quienes intervengan en cualquierfase del tratamiento de los datos de carácter personal están obligados al secretoprofesional respecto de los mismos y al deber de guardarlos, obligaciones quesubsistirán aun después de finalizar sus relaciones con el titular del fichero o, en sucaso, con el responsable del mismo.Por lo tanto las personas que accedan a estos datos se deben de regir por unasnormas de confidencialidad y respeto a la intimidad y el honor de los afectados. Deesta manera se evitará el mal uso de esta información. 46 Harvey & Lluch Consultores S.L.
  • 47. OBLIGACIÓN DE FACILITAR EL EJERCICIO DE LOS DERECHOS ARCOEn el art. 25.5 del Reglamento; El responsable del fichero o tratamiento deberáatender la solicitud de acceso, rectificación, cancelación u oposición ejercidapor el afectado. Art.26 del Reglamento; cuando los afectados ejercitasen susderechos ante un encargado del tratamiento y solicitasen el ejercicio de su derechoante el mismo, el encargado deberá dar traslado de la solicitud al responsable deltratamiento, a fin de que por el mismo se resuelva. Como podemos ver tanto elresponsable como el encargado tienen que facilitar al afectado el uso de susderechos Arco. Y en el art. 25.6 del Reglamento; el responsable del fichero deberáadoptar medidas oportunas para garantizar que las personas de su organizaciónque tienen acceso a datos de carácter personal puedan informar del procedimiento aseguir por el afectado para el ejercicio de sus derechos. 47 Harvey & Lluch Consultores S.L.
  • 48. MEDIDAS DE SEGURIDAD - IArt. 9.1 de la LOPD; El responsable del fichero, y, en su caso el encargado deltratamiento deberán adoptar las medidas de índole técnicas y organizativasnecesarias que garanticen la seguridad de los datos de carácter personal y evité, sualteración, perdida,………… Y en su punto 2; no se registrarán datos de carácterpersonal en ficheros que no reúnan las condiciones que se determinen por víareglamentaria con respecto a su integridad y seguridad y a la de los centros detratamiento, locales, equipos sistemas y programas.Tenemos que la Ley y su Reglamento imponen unas normas de seguridad enmateria de protección de datos, pero no imponen unas herramientas tecnológicas enseguridad, por lo tanto es muy importante que se adopten medidas complementariasen seguridad de la información, complementarias a la normativa en protección dedatos. 48 Harvey & Lluch Consultores S.L.
  • 49. MEDIDAS DE SEGURIDAD - II DOCUMENTO DE SEGURIDADArt. 88.1 del Reglamento; El responsable del fichero o tratamiento elaborará undocumento de seguridad que recogerá las medidas de índole técnicas yorganizativas acordes a la normativa de seguridad vigente.Este documento de seguridad deberá mantenerse en todo momento actualizado yse revisará siempre que se produzcan cambios y deberá adecuarse en todomomento a las disposiciones vigentes en materia de seguridad de protección dedatos. 49 Harvey & Lluch Consultores S.L.
  • 50. MEDIDAS DE SEGURIDAD - III NIVELES DE SEGURIDADArt. 79 del Reglamento; Los responsables de los tratamientos o los ficheros y losencargados del tratamiento deberán implantar las medidas de seguridad con arregloa lo dispuesto en este Titulo, con independencia de cual sea su sistema detratamiento.Art. 80 del Reglamento; Las medidas de seguridad exigibles a los ficheros ytratamientos se clasifican en tres niveles: básico, medio y alto. Art. 81.1 del Reglamento; Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 50 Harvey & Lluch Consultores S.L.
  • 51. MEDIDAS DE SEGURIDAD - IV NIVELES DE NIVEL MEDIO SEGURIDADA demás de adoptar las medidas del nivel básico se implantarán las medidas denivel medio a:a) Los relativos a la comisión de infracciones administrativas o penales.b) Aquellos cuyo funcionamiento se rija por el art. 29 de la LOPD (solvencia patrimonial y crédito).c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.d) Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.f) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 51 Harvey & Lluch Consultores S.L.
  • 52. MEDIDAS DE SEGURIDAD - V NIVELES DE NIVEL ALTO SEGURIDADA demás de adoptar las medidas del nivel básico, más nivel medio, se implantaránlas medidas de nivel alto a:a) Los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.c) Aquellos que contengan datos derivados de actos de violencia de género.Art. 81.5 del Reglamento; En caso de ficheros o tratamientos de datos del apartado a), anterior, bastará la implantación de las medidas de seguridad de nivel básico cuando:a) Los datos se utilicen con la única finalidad de realizar transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.También es excepción los datos relativos a la salud referente al grado dediscapacidad o invalidez del afectado con motivo del cumplimiento de deberespúblicos. Y a efectos de subvenciones en la contratación laboral. 52 Harvey & Lluch Consultores S.L.
  • 53. 9.- PROCEDIMIENTOS PARA LA TUTELA DE LOS DERECHOS ARCOArt. 117 del Reglamento, Instrucción del Procedimiento; dicho procedimiento seinicia a instancia del afectado de acuerdo a la Ley, dándose traslado a la AEPD yesta dará traslado al responsable del fichero, para que en el plazo de quinde díaspresente las alegaciones pertinentes.Art. 118 del Reglamento, Duración del procedimiento y efectos de la falta deresolución expresa; seis meses es el plazo máximo, desde la entrada delprocedimiento, para dictar resolución. Pasado ese plazo se considerará estimada sureclamación por silencio administrativo positivo.Art. 119 del Reglamento, Ejecución de la Resolución; si la resolución de tutelafuese estimatoria, se requerirá al responsable del fichero para que, en el plazo dediez días siguientes a la notificación, haga efectivo el ejercicio de los derechosobjeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a laAgencia Española de Protección de Datos en idéntico plazo. 53 Harvey & Lluch Consultores S.L.
  • 54. 10.- INFRACCIONES Y SANCIONES MUYLEVES GRAVES GRAVES 54 Harvey & Lluch Consultores S.L.
  • 55. LEVESArt. 44.2 de la LOPD;a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto del tratamiento cuando legalmente procedab) No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.c) No solicitar la inscripción del fichero de datos de carácter personal en el registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el art. 5 de la presente Ley (los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco).e) Incumplir el deber de secreto establecido en el art. 10 de esta Ley, salvo que constituya infracción grave.Art. 45.1 de la LOPD;Las infracciones leves serán sancionadas con multa de 900,00 € a 40.000,00 €. 55 Harvey & Lluch Consultores S.L.
  • 56. GRAVES IArt. 44.3 de la LOPD;a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o Diario oficial correspondiente.b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos que este sea exigible.d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara. 56 Harvey & Lluch Consultores S.L.
  • 57. GRAVES IIg) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.i) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba de recibir o sean requeridos por aquél a tales efectos.j) La obstrucción al ejercicio de la función inspectora.k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia Española de Protección de Datos.l) Incumplir el deber de información que se establece en los art. 5.28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.Art. 45.2 de la LOPD; 57Las infracciones graves serán sancionadas con multa de 60.101,21€ a 300.506,05€. Harvey & Lluch Consultores S.L.
  • 58. MUY GRAVES IArt. 44.4 de la LOPD;a) La recogida de datos de forma engañosa y fraudulenta.b) La comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas.c) Recabar y tratar los datos de carácter personal a los que se refiere el art. 7.2 (datos especialmente protegidos) cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el art. 7.3 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el art. 7.4.d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso.e) Transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos. 58 Harvey & Lluch Consultores S.L.
  • 59. MUY GRAVES IIf) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hace referencia el art. 7.2 y 3, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.Art. 45.3 de la LOPD;Las infracciones muy graves serán sancionadas con multa de 300.506,05 € a601.012,10 €. 59 Harvey & Lluch Consultores S.L.
  • 60. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-IUno. Se da nueva redacción al apartado 2 del artículo 43, que queda redactado enlos siguientes términos:«2. Cuando se trate de ficheros de titularidad pública se estará, en cuanto alprocedimiento y a las sanciones, a lo dispuesto en los artículos 46 y 48 de lapresente Ley.»Dos. Se da nueva redacción a los apartados 2 a 4 del artículo 44, que quedanredactados en los siguientes términos:2. Son infracciones leves:a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.b) b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.c) c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.d) d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley. 60 Harvey & Lluch Consultores S.L.
  • 61. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE. -II3. Son infracciones graves:a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida dedatos de carácter personal para los mismos, sin autorización de disposicióngeneral, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.b) Tratar datos de carácter personal sin recabar el consentimiento de las personasafectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley ysus disposiciones de desarrollo.c) Tratar datos de carácter personal o usarlos posteriormente con conculcación delos principios y garantías establecidos en el artículo 4 de la presente Ley y lasdisposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muygrave.d) La vulneración del deber de guardar secreto acerca del tratamiento de los datosde carácter personal al que se refiere el artículo 10 de la presente Ley.e) El impedimento o la obstaculización del ejercicio de los derechos deacceso, rectificación, cancelación y oposición.f) El incumplimiento del deber de información al afectado acerca del tratamiento desus datos de carácter personal cuando los datos no hayan sido recabados del propiointeresado.g) El incumplimiento de los restantes deberes de notificación o requerimiento alafectado impuestos por esta Ley y sus disposiciones de desarrollo. 61 Harvey & Lluch Consultores S.L.
  • 62. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-IIIh) Mantener los ficheros, locales, programas o equipos que contengan datos decarácter personal sin las debidas condiciones de seguridad que por víareglamentaria se determinen.i) No atender los requerimientos o apercibimientos de la Agencia Española deProtección de Datos o no proporcionar a aquélla cuantos documentos einformaciones sean solicitados por la misma.j) La obstrucción al ejercicio de la función inspectora.k) La comunicación o cesión de los datos de carácter personal sin contar conlegitimación para ello en los términos previstos en esta Ley y sus disposicionesreglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muygrave.4. Son infracciones muy graves:a) La recogida de datos en forma engañosa o fraudulenta.b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autorizao violentar la prohibición contenida en el apartado 4 del artículo 7.c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existieseun previo requerimiento del Director de la Agencia Española de Protección de Datospara ello. 62 Harvey & Lluch Consultores S.L.
  • 63. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-IVd) La transferencia internacional de datos de carácter personal con destino a paísesque no proporcionen un nivel de protección equiparable sin autorización del Directorde la Agencia Española de Protección de Datos salvo en los supuestos en los queconforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resultanecesaria.Tres. Se modifican los apartados 1 a 5 del artículo 45, siendo la redacción resultantela siguiente:«1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.1. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.2. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000euros.3. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:a) El carácter continuado de la infracción.b) El volumen de los tratamientos efectuados.c) La vinculación de la actividad del infractor con la realización de tratamientos dedatos de carácter personal.d) El volumen de negocio o actividad del infractor. 63 Harvey & Lluch Consultores S.L.
  • 64. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-Ve) Los beneficios obtenidos como consecuencia de la comisión de la infracción.f) El grado de intencionalidad.g) La reincidencia por comisión de infracciones de la misma naturaleza.h) La naturaleza de los perjuicios causados a las personas interesadas o a terceraspersonas.i) La acreditación de que con anterioridad a los hechos constitutivos de infracción laentidad imputada tenía implantados procedimientos adecuados de actuación en larecogida y tratamiento de Ios datos de carácter personal, siendo la infracciónconsecuencia de una anomalía en el funcionamiento de dichos procedimientos nodebida a una falta de diligencia exigible al infractor.j) Cualquier otra circunstancia que sea relevante para determinar el grado deantijuridicidad y de culpabilidad presentes en la concreta actuación infractora.5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escalarelativa a la clase de infracciones que preceda inmediatamente en gravedad aaquella en que se integra la considerada en el caso de que se trate, en lossiguientes supuestos:a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado ode la antijuridicidad del hecho como consecuencia de la concurrencia significativa devarios de los criterios enunciados en el apartado 4 de este artículo. 64 Harvey & Lluch Consultores S.L.
  • 65. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-VIb) Cuando la entidad infractora haya regularizado la situación irregular de formadiligente.c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a lacomisión de la infracción.d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.e) Cuando se haya producido un proceso de fusión por absorción y la infracciónfuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»Cuatro. Se añade un nuevo apartado 6 al artículo 45, pasando los actualesapartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado elsiguiente:«6. Excepcionalmente el órgano sancionador podrá, previa audiencia de losinteresados y atendida la naturaleza de los hechos y la concurrencia significativa delos criterios establecidos en el apartado anterior, no acordar la apertura delprocedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin deque, en el plazo que el órgano sancionador determine, acredite la adopción de lasmedidas correctoras que en cada caso resultasen pertinentes, siempre queconcurran los siguientes presupuestos: 65 Harvey & Lluch Consultores S.L.
  • 66. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-VIIa) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lodispuesto en esta Ley.b) Que el infractor no hubiese sido sancionadoo apercibido con anterioridad.Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubieradeterminado procederá la apertura del correspondiente procedimiento sancionadorpor dicho incumplimiento.»Cinco. Se da nueva redacción a los apartados 1 a 3 del artículo 46, pasando a sersu redacción la siguiente:«1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas enficheros de titularidad pública o en relación con tratamientos cuyos responsables loserían de ficheros de dicha naturaleza, el órgano sancionador dictará una resoluciónestableciendo las medidas que procede adoptar para que cesen o se corrijan losefectos de la infracción. Esta resolución se notificará al responsable del fichero, alórgano del que dependa jerárquicamente y a los afectados si los hubiera. 1. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. 2. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados 66 anteriores.» Harvey & Lluch Consultores S.L.
  • 67. MODIFICACIÓN DEL REGIMEN SANCIONADOR DE LA LOPDSEGÚN LA DISPOSICION FINAL QUINCUAGESIMA OCTAVADE LA LEY DE ECONOMIA SOSTENIBLE.-VIIISeis. Se modifica el artículo 49 que pasa a tener la siguiente redacción:«Artículo 49. Potestad de inmovilización de ficheros.En los supuestos constitutivos de infracción grave. o muy grave en que la persistencia en el tratamiento de los datos de carácterpersonal o su comunicación. o transferencia internacional posterior pudiera suponer un grave menoscabo de losderechos fundamentales de los afectados y en particular de su derecho a laprotección de datos de carácter personal, el órgano sancionador podrá, además deejercer la potestad sancionadora, requerir a los responsables de ficheros de datosde carácter personal, tanto de titularidad pública como privada, la cesación en lautilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, elórgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficherosa los solos efectos de restaurar los derechos de las personas afectadas.» 67 Harvey & Lluch Consultores S.L.
  • 68. 11.- AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ¿QUE ES LA AEPD?PÁGINA WEB DE LA AGENCIA ¿CUALES SON SUS FUNCIONES? TRANSFERENCIA CÓDIGOS TIPO INTERNACIONAL DE DATOS 68 Harvey & Lluch Consultores S.L.
  • 69. A.E.P.D. ¿QUE ES LA A.E.P.D.?La Agencia se crea en el art. 34 de la antigua LORTAD, regulándose posteriormente a travésde los artículos 35 a 42 de la LOPD; La Agencia de Protección de Datos es un ente dederecho público, con personalidad jurídica propia y plena capacidad pública y privada, queactúa con plena independencia de las Administraciones públicas en el ejercicio de susfunciones.Art. 39; El Registro General de Protección de Datos es un órgano integrado en la Agencia deProtección de Datos. En el cual se inscriben los ficheros públicos y privados.Art. 36.1; El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta surepresentación. 69 Harvey & Lluch Consultores S.L.
  • 70. A.E.P.D. ¿CUALES SON SUS FUNCIONES? - IArt. 37 de la LOPD; Son funciones de la Agencia de Protección de Datos:a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.d) Tender las peticiones y reclamaciones formuladas por las personas afectadas.e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.g) Ejercer la potestad sancionadora en los términos previstos por el Titulo VII de la presente Ley.h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta ley. 70 Harvey & Lluch Consultores S.L.
  • 71. A.E.P.D. ¿CUALES SON SUS FUNCIONES? - IIi) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia.k) Redactar una memoria anual y remitirla al Ministerio de Justicia.l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección der datos personales.m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como distar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46.n) Cuantas otras le sean atribuidas por normas legales o reglamentarias. 71 Harvey & Lluch Consultores S.L.
  • 72. TRANSFERENCIA INTERNACIONAL DE DATOSEl art. 33 de la LOPD deja muy claro que no se deben hacer transferencia de datos decarácter personal, a otros países que no proporcionen un nivel de protección equiparable alque presta la presente Ley Orgánica de Protección de Datos, salvo que se obtenga unaautorización por parte del Director de la Agencia de Protección de Datos.Claro está que estamos hablando de países no pertenecientes al ámbito de la UniónEuropea, los cuales se rigen por la normativa 95/46/CE, proporcionando a todos los miembrosel nivel de protección.Las excepciones a este articulo se tipifican en el art. 34 y sus apartados; a) en tratados yconvenios en los que participe España, b) para prestar auxilio judicial internacional, c)diagnósticos, prevención médicas o servicios sanitarios, d) transferencias dinerarias conformaa su legislación específica, e) con el consentimiento inequívoco del afectado, f) en contratos yprecontratos entre el afectado y el responsable del fichero, g) contratos y precontratos entre elafectado, responsable del fichero y un tercero, h) por interés público o solicitada por unaAdministración fiscal o aduanera, i) procedimiento, ejercicio o defensa de un derecho en unproceso judicial, j) a petición de una persona con interés legítimo, desde un Registro público yaquella sea acorde con la finalidad del mismo, k) tenga como destino un Estado de la UniónEuropea, o un Estado que haya declarado la Comisión de las Comunidades Europeas, quegarantiza un nivel de protección adecuado. 72 Harvey & Lluch Consultores S.L.
  • 73. CÓDIGOS TIPOMediante acuerdos sectoriales, convenios administrativos, agrupación de organizaciones, seelaboran unos código tipo por los cuales, se establecen las condiciones deorganización, régimen de funcionamiento, procedimientos aplicables, normas deseguridad, obligaciones de los implicados en el tratamiento, para el ejercicio de los derechosde las personas con pleno respeto a los principios de esta Ley. Estos códigos tendrán carácterde Códigos Deontológicos o de buena práctica profesional, debiendo ser depositados oinscritos el Registro General de Protección de Datos y cuando corresponda, en los creados aestos efectos por las Comunidades Autónomas.A estos códigos tipo se les puede denegar la inscripción en el Registro General de Protecciónde Datos, cuando se considere que no se ajustan a las disposiciones legales y reglamentariassobre la materia. 73 Harvey & Lluch Consultores S.L.
  • 74. PÁGINA WEB DE LA AGENCIALa página de la Agencia Española de Protección de Datos es: www.agpd.es.En esta página podremos encontrar toda la información relativa a protección dedatos, sentencias, recursos, conferencias, legislación, recomendaciones, jornadas nacionalese internacionales, modelos de quejas y sugerencias, registro, etc.Todo un portal orientado al ciudadano en defensa y tutela de sus derechos. 74 Harvey & Lluch Consultores S.L.
  • 75. 12.- LISTAS ROBINSONEl 30 de junio de 2009 la Agencia de Protección de Datos, presento el denominado Fichero deExclusión Publicitaria “Listas Robinson”. En el Reglamento de Desarrollo de la Ley Orgánicade Protección de Datos, 1720/2007 de 21 de diciembre, se establece la posibilidad de crearlos denominados “ficheros de exclusión”, para la inscripción de cualquier persona para evitarrecibir publicidad no deseada y la obligatoriedad de las empresas a consultarlos.El ciudadano podrá seleccionar medio o medios a través del cual no quiere recibirpublicidad (correo postal, llamadas telefónicas, correo electrónico, sms o mms) de lasentidades para el desarrollo de campañas publicitarias. Y de esta manera, además, elciudadano podrá seleccionar entidades con las que ha mantenido o mantienen una relacióncontractual para no recibir publicidad telefónica.Esta inscripción es gratuita y se puede hacer a través de la página web: www.listarobinson.es 75 Harvey & Lluch Consultores S.L.
  • 76. Teléfono de tutorías; 912257071 y en horario 15,30h a 16,30h de Lunes a Viernes. Correo electrónico; info@harveylluch.com © HARVEY & LLUCH CONSULTORES S.L. Domicilio social en: Calle Aguacate, núm. 41, 2ª planta. 28054-Madrid. Reservados todos los derechos. El contenido de esta publicación no puede ser reproducido, ni en todo ni en parte, ni transmitido, ni registrado por ningún sistema de recuperación de Información, en ninguna forma ni por ningún medio, sin el permiso previo, por escrito, de HARVEY & LLUCH CONSULTORES S.L., (2009). 76 Harvey & Lluch Consultores S.L.