LOPD y SSL

1,954 views
1,883 views

Published on

Charla realizada por Francisco Pardo el 19 de Febrero para la Asociación de Webmasters de Málaga.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,954
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

LOPD y SSL

  1. 1. <ul><li>Conceptos de la protección de datos de carácter personal </li></ul><ul><li>Marco legal </li></ul><ul><li>Definiciones </li></ul><ul><li>Seguridad en el tratamiento de los datos de carácter personal </li></ul><ul><li>Tratamiento y cesión de datos </li></ul><ul><li>La LSSI </li></ul><ul><li>El SPAM </li></ul><ul><li>Faltas y sanciones </li></ul><ul><li>Ruegos y preguntas </li></ul>
  2. 2. www.agpd.es
  3. 3. <ul><li>Conceptos ............ </li></ul><ul><li>¿Qué protege? LOPD ARTÍCULO 1:. OBJETO </li></ul><ul><li>La presente Ley Orgánica tiene por objeto garantizar y proteger , en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar . </li></ul><ul><li>¿Dónde aplica? LOPD ARTÍCULO 2: AMBITO DE APLICACIÓN </li></ul><ul><li>.... será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento... </li></ul><ul><ul><li>Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal CUANDO EL RESPONSABLE DEL TRATAMIENTO : </li></ul></ul><ul><ul><ul><li>a) ..esté establecido en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. </li></ul></ul></ul><ul><ul><ul><li>b) ... no esté establecido en territorio español, pero le sea de aplicación la legislación española..... </li></ul></ul></ul><ul><ul><ul><li>c) ..no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español. </li></ul></ul></ul>
  4. 4. <ul><li>Marco legal </li></ul>Antecedentes 1978 1968 1999 1981 1982 1992 1995 L.O.15/1999LOPD Resolución 509 del Consejo de Europa Constitución Española Convenio 108 del Consejo de Europa L. O. 1/1982 L. O. 5/1992 Directiva 95/46 CE 2007 RD 1720/2007 RDLOPD
  5. 5. <ul><li>ARTÍCULO 3. DEFINICIONES </li></ul><ul><li>A los efectos de la presente Ley Orgánica se entenderá por </li></ul><ul><ul><li>Datos de carácter personal : </li></ul></ul><ul><ul><li>Cualquier información concerniente a personas físicas identificadas o identificables. </li></ul></ul><ul><ul><li>Fichero : </li></ul></ul><ul><ul><li>Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. </li></ul></ul><ul><ul><li>Tratamiento de datos : </li></ul></ul><ul><ul><li>Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. </li></ul></ul><ul><li>Definiciones </li></ul>
  6. 6. <ul><li>ARTÍCULO 3. DEFINICIONES (Cont.) </li></ul><ul><li>A los efectos de la presente Ley Orgánica se entenderá por </li></ul><ul><ul><li>Responsable del fichero o tratamiento : </li></ul></ul><ul><ul><li>Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. </li></ul></ul><ul><ul><li>Afectado o interesado : </li></ul></ul><ul><ul><li>Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. </li></ul></ul><ul><ul><li>Procedimiento de disociación : </li></ul></ul><ul><ul><li>Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. </li></ul></ul><ul><li>Definiciones </li></ul>
  7. 7. <ul><li>ARTÍCULO 3. DEFINICIONES (Cont.) </li></ul><ul><li>A los efectos de la presente Ley Orgánica se entenderá por </li></ul><ul><ul><li>Encargado del tratamiento : </li></ul></ul><ul><ul><li>La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. </li></ul></ul><ul><ul><li>Consentimiento del interesado: </li></ul></ul><ul><ul><li>Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. </li></ul></ul><ul><ul><li>Cesión o comunicación de datos : </li></ul></ul><ul><ul><li>Toda revelación de datos realizada a una persona distinta del interesado. </li></ul></ul><ul><li>Definiciones </li></ul>
  8. 8. <ul><li>ARTÍCULO 9. SEGURIDAD DE LOS DATOS </li></ul><ul><li>1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. </li></ul><ul><li>2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. </li></ul><ul><li>Seguridad en el tratamiento de los datos </li></ul>Dado que las medidas de seguridad en Internet no son inexpugnables, respecto de la intimidad y seguridad de los datos que circulan en la Red, EMPRESA no podrá garantizar que terceros no autorizados puedan tener conocimiento de la clase, condición y características de uso que los Usuarios realizan del Sitio Web.
  9. 9. <ul><li>Seguridad en el tratamiento de los datos </li></ul>Niveles de seguridad Datos especialmente protegidos Nivel alto Datos que permiten hacer un perfil del interesado Nivel medio Datos que permiten la identificación del interesado Nivel Básico
  10. 10. <ul><li>Tratamiento y cesión de datos </li></ul><ul><li>ARTÍCULO 11. COMUNICACIÓN DE DATOS </li></ul><ul><li>1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado . </li></ul><ul><li>2. El consentimiento exigido en el apartado anterior no será preciso: </li></ul><ul><ul><li>a) Cuando la cesión está autorizada en una Ley. </li></ul></ul><ul><ul><li>b) Cuando se trate de datos recogidos de fuentes accesibles al público . </li></ul></ul><ul><ul><li>c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. </li></ul></ul>
  11. 11. <ul><li>Tratamiento y cesión de datos </li></ul><ul><li>ARTÍCULO 11. COMUNICACIÓN DE DATOS (cont.) </li></ul><ul><li>3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar. </li></ul><ul><li>4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable . </li></ul><ul><li>5. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. </li></ul><ul><li>6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. </li></ul>
  12. 12. <ul><li>Tratamiento y cesión de datos </li></ul><ul><li>TÍTULO V MOVIMIENTO INTERNACIONAL DE DATOS </li></ul><ul><li>ARTÍCULO 33. NORMA GENERAL </li></ul><ul><li>No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley , salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas </li></ul>
  13. 13. <ul><li>Tratamiento y cesión de datos </li></ul>Las Transferencias internacionales Si el servidor está ubicado físicamente fuera de la Unión Europea , la normativa española aplicable a tal efecto (LOPD) técnicamente considera el tránsito de datos como una transferencia internacional , y exige que el país en el que esté físicamente el host o servidor posea un nivel de protección de datos de carácter personal equiparable al contemplado en dicha norma. El Estado español tiene una relación de países considerados como cumplidores de dicho nivel, con lo cual, si el lugar de destino (servidor) está en ella, no habrá ningún problema, pero si no es así, podríamos estar infringiendo la ley. Por ello, es obligado informarnos bien acerca de dónde están situados físicamente los servidores de cualquier empresa antes de contratar el servicio de alojamiento Web.
  14. 14. <ul><li>Tratamiento y cesión de datos </li></ul>El caso de Estados Unidos Aunque parezca una paradoja, EEUU no es un país incluido en las órdenes citadas en la LOPD, por lo que, en principio, si no se obtiene el consentimiento previo de los afectados (previo, y no posterior), estaríamos realizando una transferencia ilegal, que estaría sancionada económicamente entre cifras que pueden variar de 300.000 a 600.000 euros. El Departamento de Comercio de los EEUU lista en un directorio, llamado Safe Harbor o Puerto Seguro , a aquellas empresas que cumplan unos requisitos mínimos de protección de datos, de modo que éstas tengan el visto bueno de las autoridades comunitarias.
  15. 15. <ul><li>La Ley 34/2002 de los Servicios de la Sociedad de la Información y el Comercio Electrónico LSSI-CE </li></ul>Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica , en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos , las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información
  16. 16. <ul><li>LSSI - EXPOSICIÓN DE MOTIVOS Apartado III </li></ul><ul><li>En lo que se refiere a las comunicaciones comerciales , la Ley establece que éstas deban identificarse como tales , y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento . </li></ul><ul><li>LSSI – ARTÍCULO 19 Régimen Jurídico </li></ul><ul><li>2.- En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales , la información a los interesados y la creación y mantenimiento de ficheros de datos personales </li></ul><ul><li>El SPAM </li></ul>
  17. 17. <ul><li>Faltas y sanciones </li></ul><ul><li>“ La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios: </li></ul><ul><ul><li>a) La existencia de intencionalidad. </li></ul></ul><ul><ul><li>b) Plazo de tiempo durante el que se haya venido cometiendo la infracción. </li></ul></ul><ul><ul><li>c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme. </li></ul></ul><ul><ul><li>d) La naturaleza y cuantía de los perjuicios causados. </li></ul></ul><ul><ul><li>e) Los beneficios obtenidos por la infracción. </li></ul></ul><ul><ul><li>f) Volumen de facturación a que afecte la infracción cometida”. </li></ul></ul>De 300.506 € a 601.012 € De 150.001 € a 600.000 € Muy Grave De 60.101 € a 300.506 € De 30.001 € a 150.000 € Grave De 601 € a 60.101 € Hasta 30.000 € Leve LOPD LSSI Tipo de Falta
  18. 18. ¿Qué es un Webmaster?
  19. 20. Gracias por su atención Francisco Pardo P 651 911 828 [email_address]

×