Tema Documentos mercantiles para uso de contabilidad.pdf
Sesion abierta de la Agencia de Proteccion de Datos
1. 3ª SESIÓN ANUAL ABIERTA DE LA AEPD
Principales novedades y desarrollos en
materia de protección de datos personales
Madrid, 20 de octubre de 2010
1
Agencia Española de Protección de Datos
2. JURISPRUDENCIA DEL TRIBUNAL SUPREMO
RECURSOS CONTRA EL RLOPD
Agustín Puente Escobar
Abogado del Estado Jefe de la Asesoría Jurídica de la AEPD
Madrid, 20 de octubre de 2010
2
Agencia Española de Protección de Datos
3. Resumen
• Recursos contra el RLOPD: tres SSTS de 15 de julio de
2010 y dos AATS de planteamiento de cuestión prejudicial
de 15 de julio de 2010
• Fallo
– Planteamiento de cuestión prejudicial respecto del
artículo 10.2 del RLOPD
– Estimación del recurso, anulando los artículos 11, 18,
parte del 38.1 a), 38.2 y 123
– Desestimación del recurso, confirmando la legalidad de
los artículos 5.1 q), 8.5, 12, 13.4, 15, 20.1, 21.2 a), 23.2
a), 24.3, 38.1 b), 38.3, 39, 40, 41, 42.2, 44.3, 45.1 b), 46,
47, 69, 70, 83 y la disposición adicional única
3
Agencia Española de Protección de Datos
4. Cuestión prejudicial
(Autos de 15 de julio de 2010)
• Las SSTS dejan imprejuzgado el artículo 10.2 del
RLOPD, resolviendo el resto de los recursos.
Trámite novedoso
– Garantía de la seguridad jurídica (única duda
que se plantea la Sala)
– Se evita la demora en la resolución del resto
• Cuestión de fondo: tratamiento fundado en el
interés legítimo (artículo 7 f) de la Directiva)
– ¿Es posible la exigencia de requisitos
adicionales a la regla de “equilibrio de
derechos e intereses” prevista en la Directiva?
– ¿Tiene la Directiva en este punto efecto
directo?
4
Agencia Española de Protección de Datos
5. Artículos anulados. Fundamento
• Falta de legitimación legal para que sea posible una
“verificación automática” de los datos aportados a la
Administración
• Falta de claridad en el modo de prueba del cumplimiento del
deber de información. Será válido cualquier medio de prueba, no
precisándose que conste necesariamente en documento
• Falta de claridad en el requisito de que no exista reclamación
previa para que un dato no sea incluido en un fichero de
solvencia. No toda reclamación impide este tratamiento
• Falta de claridad en la existencia de prueba indiciaria contraria a
la inclusión de datos en ficheros de solvencia
• Inexistencia de cobertura legal para que las inspecciones
puedan ser realizadas por funcionarios no pertenecientes a la
AEPD
5
Agencia Española de Protección de Datos
6. Artículos confirmados
• Conceptos de responsables del fichero y del tratamiento y
posibilidad de que el responsable no trate materialmente
los datos
• Obligación de notificar a los cesionarios que sean
conocidos la rectificación o cancelación de oficio de los
datos
• En relación con el consentimiento:
– Alcance del consentimiento para el tratamiento y para
la cesión
– Exigencia de verificación del consentimiento en
menores de edad
– Exigencia de mecanismos de prestación del
consentimiento en contratos, como la marcación de
una casilla
6
Agencia Española de Protección de Datos
7. Artículos confirmados
• En relación con el encargado del tratamiento
– Inexistencia de encargado del tratamiento cuando se
genera un “nuevo vínculo” entre él y el afectado
– Obligación de que el encargado conozca la identidad
del “subencargado” al que se pretenda subcontratar
• En relación con los derechos
– Posibilidad de ejercicio a través de representante
– Carácter gratuito del ejercicio de los derechos
• Posibilidad de suspensión de las transferencias
internacionales de datos
• Exigencia de cláusulas de confidencialidad en contratos
de servicios sin acceso a datos
7
Agencia Española de Protección de Datos
8. Artículos confirmados
• En relación con los ficheros de solvencia
– Exigibilidad del consentimiento en los “ficheros positivos”,
que se rigen por las normas generales y no por las
específicas de los ficheros “de morosos”
– Inclusión en los ficheros de solvencia de tantos asientos
como vencimientos se produzcan de una deuda
– Obligación del acreedor de conservar la información a
disposición del fichero común y de la AEPD
– Obligación de informar al deudor en el momento de celebrar
el contrato acerca de la posible inclusión de sus datos en
caso de impago y de la posible consulta del fichero
– Exigencia de notificación de inclusión en cada
incumplimiento
– Prohibición del saldo cero
– Deber del acreedor de contestar al responsable del fichero
común acerca de las solicitudes de rectificación o
cancelación en el plazo de siete días
8
Agencia Española de Protección de Datos
9. Artículos confirmados
• En relación con los ficheros para actividades de
publicidad y prospección comercial
– Alcance del consentimiento. Necesidad de que se
especifiquen los sectores de actividad respecto de los
que se remitirá publicidad
– Delimitación de la condición de responsable del
tratamiento en función del establecimiento de
“parámetros identificativos”
– Consideración como cesión de la “deduplicación” de
ficheros
• Exigencia de la indicación del nivel de seguridad para la
comercialización de productos de software
9
Agencia Española de Protección de Datos
11. Jurisprudencia del
Tribunal Supremo
• Cuestiones relacionadas con el ámbito de aplicación:
– Objetivo: delimitación del concepto de fichero (Libros
de Bautismo)
– Territorial: aplicación de la LOPD en una campaña de
una empresa española, dirigida a españoles, aunque
los datos se recogen en página web ubicada en USA
• Calidad de datos
– Uso incompatible en riesgos laborales
– Recogida fraudulenta: necesidad de especial
motivación de la resolución sancionadora
• Tratamiento
– Alcance de la publicidad de las actuaciones judiciales
– Datos especialmente protegidos: licitud de la inclusión
del sindicato en la nómina
11
Agencia Española de Protección de Datos
12. Jurisprudencia del
Tribunal Supremo
• Cesiones de datos
– Existe en caso de transmisión de la información en el
seno de un grupo de empresas
– Existe en caso de que una empresa reciba los datos de
otra para “enriquecerlos” y se los devuelva a la primera
– Existe en caso de realización de campañas publicitarias
aun cuando la “beneficiaria de la publicidad” no acceda
nunca a los datos
– Existe en caso de sucesión en la persona del
responsable si los interesados no han sido informados
(sector bancario)
– Sólo se ampara en el 11.2 d) la cesión de datos si son
requeridos directamente por un órgano judicial
– Momento de comisión: aquel en que se produce la
cesión. No es infracción continuada
12
Agencia Española de Protección de Datos
13. Jurisprudencia del
Tribunal Supremo
• Encargado del tratamiento
– Necesidad de contrato escrito que acredite su
contenido y el cumplimiento del art. 12 LOPD
– No existe si se crea un “nuevo vínculo” (oferta
financiera a los clientes de una inmobiliaria)
• Derecho de acceso
– En la Administración: no incluye los datos del usuario
de la información, pero sí los del concreto órgano al
que se ceden los datos
– Si se da acceso permanente (a través de una web) no
es preciso otorgarlo en caso de solicitud específica
– Su denegación puede dar lugar a la formulación de una
denuncia sin necesidad de recabar previamente la
tutela de la AEPD.
13
Agencia Española de Protección de Datos
14. Jurisprudencia del
Tribunal Supremo
• Deber de secreto y seguridad
– Confirmación de la doctrina de la AEPD y la AN en caso
de documentación hallada en la vía pública
• Cuestiones de procedimiento
– El denunciante no tiene por esa sola circunstancia un
“interés legítimo” que le legitime para recurrir una
resolución de archivo de la AEPD en vía contencioso-
administrativa
– La demora en las actuaciones inspectoras no implica la
existencia de “fraude de ley” en caso de que se
acredite la imposibilidad de concluirlas con
anterioridad como consecuencia del incremento de la
carga de trabajo de la AEPD
14
Agencia Española de Protección de Datos
15. SENTENCIAS DE INTERÉS DE
LA AUDIENCIA NACIONAL
15
Agencia Española de Protección de Datos
16. Aspectos generales de
protección de datos
• Colisión con otros derechos
– Prevalencia de la tutela judicial efectiva. Aportación de datos
en juicio
– Prevalencia de la libertad sindical. Aspectos
• Difusión limitada al entorno empresarial
• Datos relacionados con el puesto de trabajo
– Prevalencia de la libertad de información
• Carácter noticiable: relevancia pública
• Juicio de proporcionalidad: el dato debe aportar un
elemento noticiable por sí mismo
• Ámbito de aplicación
– Existencia, al menos, de tratamiento automatizado (opiniones
o valoraciones no sujetas si no lo hay)
– Sometimiento a la LOPD de los ficheros judiciales y del
Ministerio Fiscal
– Exclusiones de los artículos 2.2 y 2.3 RLOPD
16
Agencia Española de Protección de Datos
17. Conceptos y principios
• Ficheros de titularidad pública
– Siempre en las entidades públicas empresariales
– Naturaleza del responsable del fichero, sin tener relevancia la
del encargado del tratamiento
• Proporcionalidad
– Comunicación de datos a la autoridad judicial
– Publicación de resoluciones en Boletines Oficiales
• Exactitud
– Se presumen exactos los datos facilitados por el afectado
– Vulneración si la inexactitud sólo se produce al comunicar
los datos a un tercero
– Posible actualización de datos facilitados en el ámbito de un
contrato aún vigente sin necesidad de nuevo consentimiento
(incluso mediante un encargado)
– Especial deber de diligencia
• Tratamiento no fraudulento
– Especial obligación de prueba del engaño en la resolución
17
Agencia Española de Protección de Datos
18. Información y legitimación
para el tratamiento
• En general
– Legitimación de los detectives para la averiguación de datos,
pero con limitaciones en cuanto a su revelación
– Legitimación para el control horario con datos biométricos
– Tratamiento de datos que habían sido cancelados
– Posible cumplimiento del deber de información a través de
carteles
• Cesiones
– Cesión de créditos no informada al deudor
– Cesión de créditos cuya existencia no consta
– Envío por un mediador de seguros de contrato sin firmar
(también responsable el asegurador)
– Envío de comunicaciones a tercero con el mismo nombre y
apellidos que el afectado
– Responsabilidad de empresas que captan información de
terceros sin legitimación
– Traspaso de plan de pensiones sin que la cedente solicite la
acreditación de la solicitud del interesado para la cesión
18
Agencia Española de Protección de Datos
19. Datos de salud y
consentimiento de menores
• Datos de salud
– Legitimación del acceso por la inspección sanitaria a
historias clínicas en la investigación a un determinado
facultativo
– Legitimación de la revelación de datos de salud de un
facultativo por otro en cumplimiento de deberes
deontológicos
• Consentimiento de menores
– Deber de comprobación. Ilicitud si en un contrato aparece la
fecha de nacimiento en blanco
– No es posible el consentimiento en menores de catorce años
• Ilicitud de la recogida y uso posterior de los datos sin
consentimiento de los padres del menor de catorce años
para remitirle una tarjeta de crédito
– Posible licitud del consentimiento prestado por el mayor de
catorce años en un contrato: reglas generales sobre indicios
19
Agencia Española de Protección de Datos
20. Consentimiento en contratación
• Validez del consentimiento verbal si puede probarse (declaración ante
notario)
• Indicios de existencia
– Coincidencia de firma y DNI
– Pago de recibos
– Datos que en principio sólo pueden obtenerse del interesado
– Constancia de conversaciones con el interesado referidas al
servicio o en que no se niega el contrato
– Recepción del bien adquirido (pago aplazado)
– En telecomunicaciones: existencia de llamadas desde y a la línea
contratada
– En banca: disposición del saldo en cuenta
• Indicios de inexistencia
– Envío de facturas a persona distinta de la que teóricamente solicitó
el servicio
– Domiciliación en cuenta distinta a la que consta en el contrato
– No constancia de la firma o algún elemento esencial
– Rechazo del bien o reclamación inmediata a la primera
domiciliación
20
Agencia Española de Protección de Datos
21. Encargado del tratamiento
y derechos ARCO
• Encargado del tratamiento
– Si se excede del mandato será responsable (por
ejemplo, recabando más datos de los solicitados o
recabando datos inexactos)
• Cuestiones generales sobre derechos
– Debe existir congruencia entre el derecho ejercitado y
su atención
– Es posible el ejercicio por representante, pero con un
apoderamiento “individual y otorgado en términos
estrictos”
– En las Administraciones no es necesario recurrir la
denegación, pudiendo acudirse a la tutela
• Acceso: Sólo referido a datos que “estén siendo tratados”
no a datos que ya no lo están siendo. Prueba suficiente
• Rectificación: No es posible respecto de datos obrantes
en un procedimiento administrativo
21
Agencia Española de Protección de Datos
22. Seguridad
• Cuestiones generales
– Obligación de resultado
– Cabe sancionar al responsable incluso si el problema de
seguridad es causado por el encargado que diseñó el
sistema de información (posible atenuación)
• Documentos en la vía pública: Intervención de tercero
exculpatoria si los documentos no eran fácilmente accesibles o
no estaban en zonas de acceso público
• Programas de intercambio de archivos
– Posibilidad de instalación
– Irrelevancia de que el fallo se deba a la conducta aislada de
un trabajador que instaló el programa en su terminal
• Intervención de hackers
– Puede exculpar el fallo de seguridad, pero no en caso de que
el responsable no adopte medidas tendentes a evitar accesos
no autorizados una vez se produzca la fuga
22
Agencia Española de Protección de Datos
23. Deber de secreto
• Inexistencia de vulneración
– Constancia en registro de correos del dato “solicitud
de información médica”
– Copia de extractos bancarios por excónyuge
– Publicación de morosos de comunidades de
propietarios previa notificación en domicilio
– Remisión de información a las secciones sindicales
representadas en el Comité de Empresa
– Revelación de datos por miembro de una Corporación,
no imputable a la misma
• Existencia de vulneración
– Envío de información de terceros por correo ordinario o
electrónico al alterarse los datos del destinatario pero
no el contenido de la información
– Divulgación a todo el personal de una empresa de una
demanda y una sentencia sin anonimizar
– Inclusión de datos en foros de Internet
23
Agencia Española de Protección de Datos
24. Ficheros de solvencia patrimonial
• Inexistencia de la deuda
– Penalidad en un contrato objeto de litigio
– Aceptación de convenio de quita respecto de la parte condonada
– Modificación de tarifas sin conocimiento del interesado
– Reconocimiento del pago en un proceso judicial
– Facturación por servicio finalmente no prestado
• Existencia
– Imputación en casos de cotitularidad de cuentas
– Aumento de la deuda reconocida judicialmente con los intereses
• Requerimiento
– Necesidad de prueba por el acreedor
– Cabe un solo requerimiento en deudas de pago fraccionado
– No es preciso que sea inmediatamente antes de incluir el dato en el
fichero
– Validez del efectuado telefónicamente siempre que pueda probarse
• CIRBE
– Comunicación del riesgo derivado de un aval sin instar la
cancelación del riesgo por el preaval
24
Agencia Española de Protección de Datos
25. Videovigilancia
• Sometimiento a la LOPD de la reproducción en tiempo real:
tratamiento automatizado
• No es posible alegar la inaplicabilidad de la LOPD porque la
calidad de imagen no sea buena
• Aplicación de los criterios de la Ley de Seguridad Privada en
cuanto a legitimación (antes de la Ley “Omnibus”)
• Es preciso contar con legitimación en caso de difusión de
imágenes en Internet (información al respecto)
• Proporcionalidad: invasión de la vía pública (“mínimo
imprescindible”)
• Comunidades de propietarios
– Si está en zonas comunes no se aplica la excepción de
tratamiento en el ámbito doméstico
– Necesidad de acuerdo de la Junta (posible convalidación a
posteriori)
• Prescripción: carácter de “infracción permanente”. Irrelevancia
del momento en que se capta al denunciante mientras siga
existiendo la cámara
25
Agencia Española de Protección de Datos
26. Cuestiones procedimentales
o de aplicación
• Actuaciones inspectoras. Duración
– No existen dilaciones indebidas si se prueba el aumento de la carga
de trabajo.
– Inaplicabilidad retroactiva del plazo de 12 meses del RLOPD
• Prejudicialidad penal
– No la hay en casos de suplantación (estafa vs. tratamiento)
• Caducidad
– Inicio por la fecha del acuerdo de inicio. Conclusión por la fecha de
intento de notificación
• Prescripción
– Tratamiento y principios de calidad de datos son “infracciones
permanentes”
– Recogida por encargado del tratamiento: el plazo comenzará al
tiempo de la recogida si el encargado no almacena los datos
– Cesión de datos y deber de secreto: fecha de la última revelación
conocida. Si se debe a publicación en web, mientras los datos estén
en la web
• Legitimación del denunciante en el recurso: doctrina del TS
• Requisitos para la aplicación de la medida de inmovilización del fichero
26
Agencia Española de Protección de Datos
27. Cuestiones procedimentales
o de aplicación (2)
• Principio de culpabilidad
– Supuestos de suplantación de identidad: dependencia de la
adopción de medidas de diligencia debida por el responsable
• Hay culpabilidad en caso de haberse aportado un DNI
falso y no constar en el contrato o si las firmas difieren
– Conducta imputable al afectado
• Documentos en la vía pública sustraídos por el afectado
– Confianza legítima
• Seguimiento de criterios mantenidos por la
Administración (publicación de sanciones en web)
• Cambio de criterio de las resoluciones de la AEPD
• Bis in idem. Existencia
– Existencia: Datos de salud en la vía pública y previa sanción
de Consejería de Sanidad
– Existencia: Hechos constitutivos de delito
– Inexistencia: Fraude en la contratación sancionado también
por el Organismo regulador sectorial
27
Agencia Española de Protección de Datos
28. INFORMES JURIDICOS
RELEVANTES DE LA AEPD
28
Agencia Española de Protección de Datos
29. Informes relevantes
• Cuestiones generales y ámbito de aplicación
– Criterios de aplicación de los artículos 2.2 y 2.3 RLOPD.
• Especial importancia de la finalidad del tratamiento
• Limitación de los datos en el artículo 2.2
• La exclusión no opera si la LOPD sólo es aplicable a
algunos datos
– Excepción de personas fallecidas
• En particular, uso para fines históricos
– Ámbito de aplicación territorial
• Diferencias en el ámbito de aplicación de LOPD y
LSSI: servicios dirigidos a residentes en España
– Procedimiento de disociación. Codificación. Necesidad
de que sea irreversible
29
Agencia Española de Protección de Datos
30. Informes relevantes
• Datos especialmente protegidos
– Ideología: posibilidad de publicación y tratamiento de
datos hechos manifiestamente públicos
• Candidatos en procesos electorales y diarios de
cámaras parlamentarias
– Salud
• Disociación de datos para acceso por inspección
tributaria a un facultativo
• Proporcionalidad: Real Decreto CMBD. En especial
las anotaciones subjetivas
• Cesión de datos para inspección sanitaria y
comprobación de incapacidad temporal
• Improcedencia de la cancelación de datos en
historias clínicas o en ficheros de las autoridades
sanitarias referidos a enfermedades de declaración
obligatoria
30
Agencia Española de Protección de Datos
31. Informes relevantes
• Legitimación para el tratamiento.
– Acceso por colegios de procuradores a ficheros de
asuntos judiciales
– Publicidad de registros
• En general: necesidad de norma habilitante
• Limitación de accesos basada en el interés legítimo
• Alcance de los datos públicos. Aplicación del
principio de proporcionalidad. Registros de colegios
profesionales
– Acceso a los datos de productividad de los funcionarios
• Diferenciación del acceso por el personal y el
tratamiento por los sindicatos. No cesión
“automatizada”
– Acceso a datos de retribuciones por concejales: no debe
incluir los datos de la nómina referidos al trabajador y
distintos de sus retribuciones 31
Agencia Española de Protección de Datos
32. Informes relevantes
• Legitimación para el tratamiento.
– Publicación de sentencias en medio de comunicación
• Prevalencia de la libertad de información. Juicio de
proporcionalidad
• No aplicable para repertorios de jurisprudencia.
Finalidad distinta a la información
– Movilización de fondos de inversión: no aplicación de la
doctrina judicial relativa a planes de pensiones.
Habilitación legal
– Creación de listas negras: necesidad de consentimiento
salvo que exista una ley expresamente habilitante
– Comunicación de datos de pasajeros a autoridades
aduaneras de otros países cuando lo requiere su Ley
nacional. Habilitación por ser necesario para el
desarrollo del contrato
32
Agencia Española de Protección de Datos
33. Informes relevantes
• Legitimación para el tratamiento.
– Transparencia: acceso a la información en materia de medio
ambiente (Ley 27/2006)
• Necesidad de consentimiento, con carácter general, en
relación con los datos de carácter personal
– Necesidad de aplicación del criterio de proporcionalidad
para el tratamiento de la huella digital (ficheros de clientes)
– Acceso por asociados a datos de la asociación
• Regla general: habilitación estatutaria
• Especialidades en datos especialmente protegidos y en
procesos electorales
• Seguridad
– Aplicación de la excepción del artículo 81.5 b) a
tratamientos automatizados. Reforma RLOPD
– Plazo de conservación del informe de auditoría
33
Agencia Española de Protección de Datos
34. Informes relevantes
• Especialidades en sectores concretos
– Especialidades de la normativa de blanqueo de capitales
• Ficheros comunes
• Exención de información y derechos ARCO
• Naturaleza de los OCP
– Requisitos para la creación de Listas Robinson
• Obligaciones de acceso e incidencia si se ha prestado el
consentimiento
– Requisitos de creación de ficheros sectoriales de solvencia
patrimonial y crédito
– Acceso a datos históricos por Internet. Necesidad de
consentimiento si se trata de personas vivas y los datos
tienen una antigüedad inferior a 50 años
– Especialidades en materia de prevención de riesgos
laborales
34
Agencia Española de Protección de Datos
35. Informes relevantes
• Videovigilancia
– Incidencia de la Ley “Omnibus”: liberalización en la
instalación y mantenimiento salvo en los casos de
conexión a centrales de alarmas
• Supuestos de fusión u otras operaciones mercantiles
– Posible confusión con supuestos de cesión atendiendo
a la naturaleza de la operación
• En caso de persistir la personalidad jurídica de las
entidades, cada una será responsable de sus
ficheros, pero podrían caber cesiones necesarias
para el desarrollo de la relación con el cliente
– Posible aplicación de la exención de información del
artículo 5.5 si el domicilio de los afectados es
desconocido
– Posible transmisión de datos previa a la efectividad de
la operación. Requisitos mínimo necesarios
35
Agencia Española de Protección de Datos
36. PRINCIPALES CASOS EN 2009-2010
José López Calvo
Subdirector General de Inspección de Datos
Madrid 20 octubre 2010
36
Agencia Española de Protección de Datos
37. 1.- MOROSIDAD
- Necesidad de reforzar los sistemas de acreditación de
consentimiento en la contratación de servicios. En especial
a distancia. La importancia de la grabación y de la
disponibilidad de documentación acreditativa.
(PS/535/2009). Tasación (PS 168/2009). Seguro de hogar (PS
182/2009).
- Necesidad de que en las operaciones de venta de deuda
se cumpla la condición de deudor (PS/18/2009).
- Necesidad de mantener deber de secreto sin que
concuerde con el mismo la comunicación telefónica de la
deuda a terceros o allegados. (PS 97/2010).
37
Agencia Española de Protección de Datos
38. - Requerimiento previo de pago.
La existencia de un procedimiento estandarizado
de envío de cartas no constituye prueba de que
en el caso concreto se haya producido la efectiva
remisión y recepción (SAN 20-10-2009
CAJASOL).
Debe aportarse copia de la carta de
requerimiento enviada por la empresa o puesta
en correos o entregada a empresa de mensajería
con acreditación de envío con control de
devoluciones individualizado certificando la
entrega sin incidencias. (PS 400/2010).
38
Agencia Española de Protección de Datos
39. - Necesidad de informar previamente al deudor
de la inclusión en caso de impago (artículo 39
ROPD). (PS 149/2010).
- Acceso a información de terceros en fichero de
solvencia debe estar justificado (PS 571/2009).
39
Agencia Española de Protección de Datos
40. 2.- VIDEOVIGILANCIA
- El enfoque de la vía pública con cámaras se
reserva en exclusiva a fuerzas y cuerpos de
seguridad salvo previsión legal. (PS/709/2009).
- En el cartel informativo debe figurar el
responsable del fichero, no la empresa de
seguridad correspondiente salvo que ostente tal
condición. (PS 524/2009).
- La instalación de cámaras disuasorias
(carcasas) no se considera una solución idónea
alternativa. (E 720/2010).
40
Agencia Española de Protección de Datos
41. 3.- TUTELA JUDICIAL EFECTIVA
La aportación de documentos en juicio en el libre
ejercicio del derecho a la tutela judicial efectiva
encuentra su contrapunto en la eventual
vulneración del deber de secreto que se
produciría en el caso de que el responsable
entregue datos de un tercero para que el receptor
lo aporte en juicio (PS 724/2009).
41
Agencia Española de Protección de Datos
42. 4.- INTERNET
A) Situaciones respecto de quien sube el dato.
Publicación de datos personales (incluyendo
vídeos) sin consentimiento previo del afectado,
cuando se vulnera el deber de secreto.
(PS 683/2009 y PS 508/2009).
Publicación de datos personales sin
consentimiento del afectado. La relevancia de la
sensibilidad de los datos (incluyendo videos o
sentencias (PS 117/2008 Y PS 479/2008).
42
Agencia Española de Protección de Datos
43. B) Titular de la página.
No responde del contenido colgado por tercero
salvo:
- página de datos de especial sensibilidad en que,
deben extremar precauciones:
• Página web de menores sin comprobación
de edad. (PS 468/2009).
• Imágenes de menores en una página
“votamicuerpo”. (PS 23/2010).
• Página de contacto gay que no controla
identidad de quien inserta anuncios.
- Haya sido advertido y no lo retire.
43
Agencia Española de Protección de Datos
44. 5.- DATOS CUYO CONOCIMIENTO ES LEGÍTIMO
EN ENTORNO AFECTADO. NO POR TERCEROS:
- Miembros comunidad propietarios (deudas).
(PS 689/2008).
- Información a los trabajadores por sindicatos. A
través de Intranet (SAN 20-4-2009) no de Internet
(PS/51/2008) salvo relevancia pública.
- Correo electrónico. Uso de copia oculta.
(PS/553/2009).
44
Agencia Española de Protección de Datos
45. - Interesados en un procedimiento de
adjudicación pública en que es necesario
garantizar transparencia y concurrencia: becas,
plazas colegios concertados, complemento
productividad entre funcionarios. (AP/67/2008,
AP/27/2008).
- Despido tras acceso a ordenador personal con
aviso previo (E3490/2009).
45
Agencia Española de Protección de Datos
46. 6.- TUTELAS
- Tutelas de derechos sobre “Derecho al olvido”:
a) Boletines:
- Fiscal; publicación en 1998 sentencia de TSJ
por infracción administrativa sancionada en
1993 (TD155/2008).
- Real Decreto de 1999 de indulto de un delito
contra la salud pública. (TD 989/2009).
46
Agencia Española de Protección de Datos
47. b) Prensa digital:
- Noticia de 1989 en prensa digital;
imputándole delito de parricidio. (TD
1887/2009).
- Noticia de1975 en prensa digital; detención
de activistas del FRAP (TD 30/2010).
- Noticias de 1974 y 1975 en prensa digital;
detenciones por consumo y tráfico de drogas.
(TD 487/2010).
47
Agencia Española de Protección de Datos
48. c) Blogs
- Se le arrestó en 2008 por delitos de tenencia
de pornografía infantil, pedofilia, abuso de
menores; delito archivados. (TD 92/2010).
- La AEPD no es competente para analizar
cuantía de deuda (TD 1950/2009).
- Exclusión acceso a la aplicación de los criterios
de clasificación de clientes MIFID. (TD 309/2010).
48
Agencia Española de Protección de Datos
49. DESARROLLOS INTERNACIONALES
Rafael García Gozalo
Jefe del Área de Internacional
Madrid 20 octubre 2010
49
Agencia Española de Protección de Datos
50. • Madrid sede de la XXXI Conferencia
Internacional de Privacidad.
• AEPD líder del proceso de redacción de
Propuesta Común de Estándares
Internacionales de Protección.
• Principales novedades producidas en
ámbito UE.
50
Agencia Española de Protección de Datos
51. 31ª Conferencia Internacional
Más de 1000 participantes.
Impacto de Internet en Protección de Datos
desde pluralidad de perspectivas.
Alto perfil de participantes.
Alta participación de comunidad de
protección de datos española.
Principales Resoluciones:
Renovación del marco institucional de la Conferencia.
Resolución de Madrid sobre Estándares Internacionales
de Privacidad.
51
Agencia Española de Protección de Datos
52. Estándares Internacionales
Proceso iniciado con el mandato recibido por AEPD en Conferencia de
Estrasburgo:
Garantizar alto nivel de protección.
Facilitar flujos internacionales de datos.
Resultado de un año de redacción de un Grupo de Trabajo .
Integrado por 24 APD, 6 observadores y con participación de 400 expertos
de industria, universidad, ONG.
Que elaboró cuatro versiones sucesivas.
Que celebró dos reuniones de coordinación (Barcelona y Bilbao).
Estándares Internacionales.
Avalados por Conferencia Internacional de Madrid.
Respaldados en declaraciones de:
Consejo de Europa.
Industria.
Unión Europea.
Conferencia Public Voice.
52
Agencia Española de Protección de Datos
53. Estándares Internacionales
No son un documento innovador (se basan en
principios y criterios ya presentes en otros
documentos internacionales) pero sí aportan
soluciones innovadoras para armonizar esos
documentos.
No son un documento europeo: buscan el máximo
consenso internacional.
Garantizan un adecuado nivel de protección:
principios, derechos, vías de recurso, mecanismos
de supervisión.
Importancia de transferencias internacionales.
Importancia de autoregulación.
53
Agencia Española de Protección de Datos
54. Estándares Internacionales
Mandato AEPD + Israel para coordinar
Grupo de Promoción de Estándares
Internacionales.
Contactadas 20 Organizaciones
Internacionales.
Presentados a la industria (París, junio 2010).
Presentados IAPP.
Resoluciones Congreso y Senado.
Inclusión en normas nacionales (Méjico).
54
Agencia Española de Protección de Datos
55. Revisión del marco internacional
Directrices OCDE.
Convenio 108 Consejo de Europa.
Directiva 95/46.
Normativa EEUU.
Accountability Project.
55
Agencia Española de Protección de Datos
56. Desarrollos Unión Europea
Proceso de modificación de marco jurídico como
consecuencia de:
Globalización.
Desarrollo tecnológico.
Tratado de Lisboa.
Proceso complejo:
Conferencia Pública (MAYO 2009).
Consulta Pública iniciada JULIO 2009.
Adopción por GT29 de WP 168 (“El Futuro de la
Privacidad”) (DICIEMBRE 2009).
Consultas permanentes Comisión / Agencia Española de
Protección de Datos.
Presentación de Comunicación Estratégica por la Comisión
en noviembre de 2010.
Propuesta de nuevo instrumento 2011.
56
Agencia Española de Protección de Datos
57. Otros desarrollos
Institucionales:
AEPD Vicepresidente del GT29.
AEPD miembro del Buró del TPDP Consejo de Europa.
Regulatorios:
Decisión COM sobre cláusulas contractuales tipo
Responsable-Encargado (2010/87/CE ).
Opinión relativa al marketing basado en comportamiento
(WP 171).
Opinión Redes Sociales (WP 163).
Opinión sobre inspección coordinada sobre aplicación de
Directiva “retención de datos” (WP 172).
Dictamen 1/2009 sobre Directiva (2001/58/CE “ePrivacy”).
Opinión sobre “accountability” (WP 173).
Nuevo Acuerdo “SWIFT”.
57
Agencia Española de Protección de Datos
58. 3ª SESIÓN ANUAL ABIERTA DE LA AEPD
NOVEDADES REGISTRO 2009-2010
María José Blanco Antón
Subdirectora General
Registro General de Protección de Datos
Madrid, 20 de octubre de 2010
58
Agencia Española de Protección de Datos
59. Ficheros
2.041.320 2.171.841
2.724 operaciones diarias ∆>500.000 ficheros
1.647.756
∆anual 50%
2.137 operaciones diarias
1.267.579
∆anual 25%
1.377 operaciones diarias
2008 2009 09/2010 12/2010
59
Agencia Española de Protección de Datos
60. Ficheros
• Incremento de la inscripción de ficheros de:
• Profesionales
• Micropymes
Responsables de ficheros 2000 2005 2010
Personas físicas 908 5% 18.275 12% 101.801 24%
Resto de personas jurídicas 15.977 95% 132.493 88% 323.052 76%
Principales sectores de Contabilidad, auditoría y Sanidad (4.412) Sanidad (17.519)
actividad de responsables asesoría fiscal (209) Contabilidad, Comercio (15.091)
de ficheros-personas físicas Comercio (198) auditoría …. (2.305) Turismo y hosteleria
Sanidad (45) Actividades (6.746)
inmobiliarias (2.012)
Actividades jurídicas
(1.513)
Comercio (1.314)
60
Agencia Española de Protección de Datos
61. Ficheros
• Incremento de un 40% de las solicitudes de
información relativa a la inscripción de ficheros
(copias de resoluciones del Director, contenido de
inscripciones, ..).
• Tiempos de respuesta amplios.
• Previsiones de la Agencia: En la sede electrónica se
publicará un modelo electrónico de solicitud
normalizada de información registral.
• No obstante, se recomienda mayor diligencia en el
intercambio de información registral cuando se cesa
en la prestación de servicios.
61
Agencia Española de Protección de Datos
62. Ficheros
• Guía de Seguridad (actualización
disponible en www.agpd.es):
– Formato pdf – guía completa.
– Formato word – modelo de
documento de seguridad.
• EVALÚA
– Autoevaluación cumplimiento LOPD.
– Autoevaluación medidas de
seguridad.
62
Agencia Española de Protección de Datos
63. Transferencias Internacionales
Movimientos internacionales de datos inscritos en el RGPD
Países nivel adecuado + excepciones art. 34 LOPD
Países Espacio Económico Europeo
17.970
17.492
16.953
6.468 6.607
6.519
2008 2009 2010
63
Agencia Española de Protección de Datos
64. Transferencias Internacionales
Autorizaciones del Director
Transferencias internacionales de datos a países
que no disponen de un nivel adecuado de protección
513
Autorizaciones totales
405
Responsable-encargado
Decisión 2002/16/CE
412
277 328
216
75
66 Responsable-responsable
50 Decisión 2001/497/CE
21
Responsable-encargado
Decisión 2010/87/UE
2008 2009 2010
64
Agencia Española de Protección de Datos
66. Transferencias Internacionales
Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de tratamiento
con posibilidad de subcontratación:
– El nuevo modelo de cláusulas contractuales aporta flexibilidad en relación con
las prestaciones de servicios fuera del territorio español y la subcontratación
posterior.
– El modelo es de aplicación desde el 15 de mayo de 2010, deroga la Decisión
2002/16/CE.
– Se han tramitado autorizaciones basadas en la Decisión derogada cuando la
fecha del contrato era anterior a 15 de mayo.
Tipo de contrato Solicitudes Autorizaciones Archivo
Responsable-responsable (2001/497/CE) 18 8 4
Responsable-encargado (2002/16/CE) 77 57 13
Responsable-encargado (2010(87/UE) 47 28 2
66
Agencia Española de Protección de Datos
67. Transferencias Internacionales
Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de
tratamiento con posibilidad de subcontratación:
– La Decisión 2010/87/UE permite a las autoridades de control aplicar
este modelo de cláusulas a situaciones en las que la prestación de
servicios se realice en territorio español siempre que se adopten las
garantías que establece la propia Decisión en las subcontrataciones
posteriores en terceros países (considerando 23).
– El RLOPD define al exportador de datos como la entidad establecida
en España que realiza transferencias internacionales de datos.
– Viabilidad:
• autorización de transferencias internacionales a encargados de
tratamiento (exportadores de datos establecidos en España)
basadas en un acuerdo marco con subencargados (fuera de
España) que recojan todas las garantías de la Decisión 2010/87/UE
para encargados.
• notificación posterior de los ficheros objeto de transferencias
internacionales por cada responsable, que firma un contrato de
prestación de servicios autorizando la subcontratación con un
encargado que tiene otorgada una autorización.
67
Agencia Española de Protección de Datos
68. Códigos tipo
Inscripción de la modificación de
12 Códigos tipo inscritos Finaliza plazo transitorio los 9 códigos tipo:
Aprobación RLOPD Presentación solicitudes - UNESPA (FHSA)
de adecuación de 9
códigos tipo - ACES
Título VII. Regulación - UCH
códigos tipo
Cancelación de - Confianza online
inscripción 3 códigos - Odontólogos y estomatólogos
Plazo adecuación
tipo - Universidad Castilla La Mancha
- ACRA
- AEGI
- Veraz Persus
Presentación Inscripción del
Código tipo de Código tipo de
investigación clínica Farmaindustria
y farmacovigilancia
Inscripción del
Código tipo EUDEL Todos los códigos tipo inscritos
– Agencia Vasca en el RGPD se encuentran
disponibles en la web de la
Agencia www.agpd.es
Dic-2007 Sep-2008 Abr-2009 Jun-2009 Jul-2009 Dic-2009
68
Agencia Española de Protección de Datos
69. Códigos tipo
• Novedad: evaluación continua de los códigos
tipo:
– Memoria anual.
• En 2010 se han presentado 2 memorias.
– Inscripción condicionada a la evolución del
código.
• Incremento de adheridos.
69
Agencia Española de Protección de Datos
70. Códigos Tipo
• Aclaraciones en materia de investigación clínica:
– Posición jurídica de los diferentes agentes que
intervienen en un ensayo clínico.
– Procedimiento de disociación de los datos
• Código de aleatorización – garantías de
irreversibilidad.
– Fichero de Investigación Clínica vs. Fichero de
Historias Clínicas.
70
Agencia Española de Protección de Datos
71. Informe Hospitales
• Motivación del estudio:
– Incremento de tutelas y denuncias relacionadas con ficheros
de historias clínicas.
– Tratamiento de datos de salud. Garantías reforzadas LOPD.
• Inicio del estudio: marzo 2010.
• Alcance del estudio: 654 centros públicos y privados del Catálogo
Nacional de Hospitales sujetos al control de la Agencia Española
de Protección de Datos.
• Requerimiento de cumplimentación del Informe de cumplimiento
de la LOPD en Hospitales antes de 31 de julio de 2010.
605 centros
654 centros (duplicados, 562 centros
del CNH devolución, contestaron
…)
71
Agencia Española de Protección de Datos
72. Informe Hospitales
Datos por comunidades autónomas
Centros Centros % Centros
Comunidad Autónoma requeridos contestados contestados
CIUDAD AUTÓNOMA DE CEUTA 2 2 100,00
CIUDAD AUTÓNOMA DE MELILLA 1 1 100,00
C.A. DE ANDALUCÍA 124 119 95,97
C.A DE ARAGÓN 29 27 93,10
C.A. DE CANARIAS 42 35 83,33
C.A. DE CANTABRIA 9 8 88,89
C.A. DE CASTILLA Y LEÓN 50 49 98,00
C.A. DE CASTILLA-LA MANCHA 33 28 84,85
C.A. DE EXTREMADURA 26 24 92,31
C.A. DE GALICIA 63 53 84,13
C.A. DE LA REGIÓN DE MURCIA 26 26 100,00
C.A. DE LA RIOJA 7 7 100,00
C.A. DE LES ILLES BALEARS 23 20 86,96
C.A. DEL PAÍS VASCO 26 24 92,31
C.A. DEL PRINCIPADO DE ASTURIAS 23 23 100,00
COMUNIDAD DE MADRID 48 47 97,92
COMUNIDAD FORAL DE NAVARRA 13 13 100,00
COMUNIDAD VALENCIANA 60 56 93,33
TOTAL GENERAL 605 562 92,89
72
Agencia Española de Protección de Datos
73. Informe Hospitales
Datos por titularidad del centro
Desglose por titularidad de los centros:
- que han sido requeridos para cumplimentar el informe,
- que han atendido dicho requerimiento, y
- que presentan deficiencias en el cumplimiento de la LOPD.
Requeridos No contestan Contestan Envío de recomendaciones Requerimiento medidas
correctoras
Privados 313 20 294 251 43
Públicos 292 23 268 109 159
Total 605 43 562 360 202
73
Agencia Española de Protección de Datos
74. Informe Hospitales
Cuestiones planteadas en el Informe:
► Medidas de seguridad y documento de seguridad; obligaciones del
personal; control y registro de acceso; comunicación de datos;
gestión de incidencias; gestión de soportes y documentos; copias
de respaldo; y documentación en papel.
► Auditoría de medidas de seguridad.
► Deber de información y atención al ejercicio de derechos ARCO.
► Inscripción de ficheros en el RGPD.
► Contratación de servicios de tratamiento de datos personales.
74
Agencia Española de Protección de Datos
75. Informe Hospitales
Acciones siguientes:
► Remisión a la Subdirección General de Inspección de los más
de 40 centros que no han atendido el requerimiento, dado
que podrían haber incurrido en una infracción de la LOPD.
► Remisión del informe con recomendaciones a todos los
centros.
► Requerimiento a más de 200 centros de adopción de medidas
correctoras y comunicación de las mismas a la AEPD antes de
1 de abril de 2011.
► Informar a las Consejerías y al Ministerio de Sanidad y Política
Social.
75
Agencia Española de Protección de Datos
76. Informe Hospitales - Recomendaciones
Mantener actualizada la inscripción de ficheros.
Incluir cláusulas informativas en los impresos y adaptarlas en
función del fichero en el que se van a incluir los datos.
Colocar carteles informativos sobre el derecho a la protección de
datos.
Informar al personal de limpieza sobre la necesidad de garantizar la
confidencialidad de los datos.
Aplicar procedimientos de disociación de los datos de carácter
personal en los tratamientos de datos que hayan sido
externalizados.
Registrar todos los accesos realizados a los historiales clínicos.
76
Agencia Española de Protección de Datos
77. Informe Hospitales - Recomendaciones
Realizar auditorías que verifiquen si el personal utiliza los datos
para la finalidad que justificó el acceso.
Almacenar los archivos físicos de historias clínicas en áreas con
acceso protegido mediante llave o dispositivo equivalente y en
archivadores que dispongan de mecanismos que obstaculicen su
apertura.
Custodiar la documentación clínica de pacientes cuando ésta no se
encuentre archivada impidiendo que pueda ser accedida por
terceros.
Adoptar medidas para evitar la pérdida o sustracción de la
documentación durante su transporte.
Realizar la auditoría bienal de seguridad del fichero de historias
clínicas y de otros que puedan contener datos relativos a la salud
de las personas.
77
Agencia Española de Protección de Datos
78. Muchas gracias
78
Agencia Española de Protección de Datos