Your SlideShare is downloading. ×
Monogràfic protecció de dades. On està la frontera del legal i il·legal
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Monogràfic protecció de dades. On està la frontera del legal i il·legal

77
views

Published on

Monogràfic de protecció de dades. En questió de dades on està la frontera del legal i il.legal. Curs elaborat per NC-Consultors. www.nc-consultors.com

Monogràfic de protecció de dades. En questió de dades on està la frontera del legal i il.legal. Curs elaborat per NC-Consultors. www.nc-consultors.com

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
77
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Monogràfic protecció de dades En qüestió de dades, on és la frontera entre legal i il·legal Nina Costas www.nc-consultors.com
  • 2. PREMISA IMPORTANT Totes les persones físiques tenen dret a la protecció de les seves dades de caràcter personal, perque li afecten i li pertanyen i, aquest dret li atribueix la facultat de controlar totes les seves dades. Nina Costas www.nc-consultors.com
  • 3. Què hem de preveure en l’activitat professional quan tractem dades personals dels nostres clients? 1. La Directiva UE i al LOPD ens obliga a implementar les mesures de seguretat per la protecció de dades i la informació. 2. S’ha de legalitzar la pàgina web (LOPD i LSSI i política de COOKIES) 3. Hem de preveure la LOPD en els contractes dels col·laboradors professionals i els contractes laborals 4. Preveure la “Privacy by design” En els programes i aplicacions per mòvil 5. Donar garantia als clients en el tractament de les seves dades personals constitueix un segell de qualitat en l’activitat empresarial. Nina Costas www.nc-consultors.com
  • 4. Aspectes de la normativa de la societat de la informació (LSSI) - ús del mail: última sentència on es permet la vigilància de l’empresa als treballadors i sanció al treballador amb l’acomiadament per ús inadequat de les eines de treball. Sala 1ª TC 7/10/2013 - La Prohibició i intervenció del mòvil a l’escola/treball. Debat que s’ha obert per a sta AN de 26 de setembre de 2013 - L’enviament de publicitat • Legalització de les webs: art 10 LSSI i autorització usuari per ús de les cookies (d’acord amb RDL 13/2012 transposa Directiva Telecomunicacions i societat de la informació) Nina Costas www.nc-consultors.com
  • 5. QUÈ PROTEGIM AMB LA LOPD? • Garantir el Dret a la PRIVACITAT. Què vol dir? un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados CE Art 18-Dret fonamental legislat amb Llei Orgànica LORTAD (sols per fitxer automatitzats i redactat confús i difícil d’interpretar) (5/1992) DIRECTIVA 95/46/CEE i RD 994/1999 i la LOPD 15/1999, de 13 de desembre i el seu Reglament 1720/2007, de 21 de desembre, el qual engloba tots els arxius automatitzats i NO automatitzats (format paper) i juntament amb el RD aclara els dubtes plantejats. Nina Costas www.nc-consultors.com
  • 6. Àmbit d’aplicació de la LOPD • Ambit objectiu: • Ambit subjectiu: S’aplica • S’aplica a les dades de caràcter personal registrades en suport físic que les faci susceptibles de tractament tant en el sector públic com el privat, EN TERRITORI ESPANYOL. Ex: Dades client… Resolució AEPD R/00216/2005 Cessió no autoritzada de CV entre Hotels . Multa de 300.000€ H Papagayo i de 60.000€ H Riu. a totes les dades personals • I no s’aplica a: -Tractaments persones jurídiques -Fitxers de dades persones jurídiques que incorporen dades persones Físiques - Persones difuntes - Base de dades domèstiques Nina Costas www.nc-consultors.com
  • 7. Definicions: DADA DE CARÀCTER PERSONAL Qualsevol informació (numèrica, alfabètica, gràfica, fotogràfica, acústica, o qualsevol altre tipus) relativa a persones físiques identificadas o identificables. Resolució: fitxer sols amb tel mòvils FITXER: conjunt organitzat de dades personals qualsevol que sigui la forma o modalitat de la seva creació, emmagatzematge, organització o accés. Qualsevol que vulgui crear un FITXER ho ha de notificar a l’AEPD Concepte de FITXER a STA TS PARTIDES DE BAPTISME- 2008 DADES ESPECIALMENT PROTEGIDES: • Dades que fan conèixer ideologia, afiliació sindical, religió i creences, origen racial, salud i vida sexual. • Sempre s’han de recollir amb consentiment exprés i per escrit i les mesures de seguretat estrictes per la seva conservació Exemples de dades Nina Costas www.nc-consultors.com
  • 8. Nina Costas www.nc-consultors.com
  • 9. Definicions TRACTAMENT DE DADES PERSONALS Operacions i procediments tècnics de caràcter automatitzat o no, que permeten la recollida, enregistrament, conservació, elaboració, modificació, bloqueig i cancel·lació, així com la cessió de les dades que resultin de comunicacions, consultes, interconexions i transferències. CONSENTIMENT: Manifestació de voluntat, lliure, inequívoca, específica i Informada on l’interessat consenteix el tractament de dades personals que li afecten. Característiques del consentiment: • Necessari pel tractament i cessió de dades de l’afectat (hi ha excepcions) • Ha de ser previ i informat: finalitat….. • Si és per cessió de dades: conèixer de forma inequívoca la finalitat i activitat del cessionari RESPONSABLE DEL FITXER O TRACTAMENT: Persona física o jurídica, pública o privada o organisme públic, que decideix sobre la seva finalitat, contingut i ús del tractament de les dades personals. El Resp del tractament: se li imputa decisions sobre un determinat tractament (una aplicació) Nina Costas www.nc-consultors.com
  • 10. Definicions ENCARREGAT DEL TRACTAMENT: Persona física o jurídica que sola o conjuntament amb altres, tracta dades personals per compte del RF. Accedeix a les dades personals del RF per prestar al servei. Obligació de formalitzar contracte d’ acord amb l’article 12 LOPD Informe AEPD 34/2006 Relació RF vs EF S’admet la figura del subencarregat del Tractament en 2 casos: 1.- Estigui autoritzat per RF i autoritzi l’empresa subencarregada 2.- Sense autorització quan: el contracte pevegi la subcontractació, el tractament s’ha de fer amb les instruccions del RF i el ET i l’empresa subonctractada han de formalitzar ctre art 12 LOPD Persona física ex dret cancel·lació, Gaezen SL no Contesta+tutela efectiva+reiterada publicitat de Gaezen i empreses subcontractades , via mail via postal CESIÓN O COMUNICACIÓN DE DATOS: Tota revelació de dades realitzada a persona diferent de l’interessat. Aquest revelació implica que s’estableixi un nou vincle entre qui accedeix a les dades i l’afectat. Requereix el consentiment previ i informat de l’interessat. Excepcions: Art 11.2 LOPD (per llei, Dades fonts accés públic, ctres, Admó de justícia…) Ex: R/03127/2012 AEPD (col·legi de metges Cedeix dades de l’afectada a l’asseguradora sense el seu Consetiment. Sanció 10.000€) R/02116/2010 AEPD: (enviament de fax amb dades nivell alt, no encritpat ni consentit per la Pacient. Sanció 3.000€) Sta. 2006-enviament publicitat 60.001€ Nina Costas www.nc-consultors.com
  • 11. Exemples Casos pràctics: 1.Ha d’haver document d’autorització de tractament de dades entre advocat i la Clienta per un tema de divorci? 2. Empresa A dissenyadora desenvolupa una plataforma per allotjament de continguts. El desenvolupament ha estat fet amb una altre empresa (B). L’explotació i gestió de la plataforma sols la farà A. Han de signar una contracte de cessió de dades entre A i B? I A signarà ctre cessió dades amb clients que allotgin dades a la plataforma tot i que A sols dóna servei de “hosting”? • 3. Els alumnes d’una Universitat privada es troben que al començar el curs se’ls hi dona un nou carnet digital d’estudiant amb el seu nom amb i els logos VISA i una entitat finançera. Encara que la targeta no funciona com a targeta de crèdit si no es sol·licita per l’interessat i encara que no han rebut ninguna comunicació ni de VISA ni de l’entitat finançera, els alumnes els hi preocupa que puguin perdre el control de les seves dades. • Podia la Universitat cedir les dades a l’entitat finançera? És cessió de dades o encàrrec de tractament? Nina Costas www.nc-consultors.com
  • 12. Definicions FONTS ACCESSIBLES AL PÚBLIC: Son els fitxers que poden ser consultats per qualsevol persona. Sols poden ser:      Cens Promocional Repertoris telefònics Llistes de persones que pertanyen a grups Professionals (col·legiats) Diaris i butlletins oficials Mitjans de comunicació: premsa Què són les llistes Robinson? https://www.listarobinson.es Qualsevol persona de forma gratuïta pot demanar fromar part de la llista Robinson. Alerta en la compra de base de dades a les empreses: fonts d’accés públic, autorització, llista Robinson!!! Important! quan fem mailings massius i ….no tant massius hem de consultar les fonts accés Públic i llistes Robinson. Nina Costas www.nc-consultors.com
  • 13. LES AUTORITATS DE CONTROL LA AEPD:FUNCIONS • Ens dret públic amb personaliat jurídica pròpia i plena capacitat pública i privada, actua amb plena independència de les Administracions públiques. • Objecte: Garantir el cumpliment i l’aplicació de les mesures contingudes a la LOPD. • Es pot tramitar a través de la AEPD: tutela de drets, inscripció arxius, potestat sancionadora, tranferències int, inscripció codis tipus. AUTORITAT CATALANA DE PROTECCIÓ DE DADES • • Solament és per fitxers públics de l’administració autonòmica. S’ha d’incsriure el fitxer per mitjà de disposició general o acord publicat al DOGC www.agpd.es www.apd.cat
  • 14. ASPECTES FONAMENTALS A TENIR EN COMPTE QUAN PARLEM DE PROTECCIÓ DE DADES • Qui és el Responsable? El Responsable d’un fitxer és l’organ administratiu, entitat, o persona que decideix sobre la finalitat, el contingut i l’ús del tractament de les dades. • Exemples: una empresa serà resp del fitxer de dades dels seus empleats i clients, un autònom o empresari individual serà respo de les dades dels clients, un hotel dels seus hospedats, un gimnàs del fitxer dels seus socis, un centre educatiu serà respo del fitxer dels seus alumnes, l’ajuntament del fitxer del padró dels seus ciutadans, etc OBLIGACIONS DEL RESPONSABLE: Respondrà davant l’oficina de qualsevol reclamació o sanció i davant dels clients o empletas per qualsevol queixa, o situació conflictiva que que pugui donar. Nina Costas www.nc-consultors.com
  • 15. Responsabilitats del RF -Notificar els fitxers a la AEPD perque siguin incrits -Assegurar-se de que les dades siguin adequades i certes i, s’hagin obtingut de forma lícita i legítima. - Que les dades es tractin de forma proporcional a la finalitat per la qual es van recollir. -Garantir el compliment del deure de secret i seguretat. - Informar als titulars de les dades personals en la recollida d’aquestes. - Obtenir el consentiment pel tractament de les dades personals. -Facilitar i garantir l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació. - Si hi ha legislació sectorial aplicar-la i complir-la (per ex: sanitat, ensenyament,..) - Assegurar que amb els tercers que li presten serveis i accedeixin a les seves dades es compleixi el que disposa a la LOPD, es a dir:  SIGNAR CONTRACTE ART 12.2  ASSEGURAR-TE QUE EL TERCER COMPLEIX AMB LA LOPD  RECORDAR QUE RF I ENCARREGAT DEL TRACTAMENT PODEN SER SANCIONATS Nina Costas www.nc-consultors.com
  • 16. Qui és l’encarregat del tractament? Per què és tant important aquesta figura? El encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. EXEMPLES • Una empresa que presta serveis per la realització d’enviaments postals; • L’informàtic aliè a l’empresa que realitza tasques de manteniment de software o hardware; • El gestor que confecciona nòmines i porta la comptabilitat i temes Fiscals • Empresa d’events esportius: l’empresa que fa les inscripcions i cobraments de la quota Nina Costas www.nc-consultors.com
  • 17. EL TRACTAMENT DE LES DADES: QUÈ HEM DE FER?  CADA DIA ENS TROBEM QUE….les persones facilitem les nostres dades personals constantment, quan obrim un compte en el banc, quan ens matriculem a la universitat, en el curs d’idiomes, al gimnàs, concursos, curses, supermercat per la compra on-line, per la reserva d’un vol, d’un hotel, per demanar hora al metge, per buscar feina, per pagar amb targeta de crèdit, per navegar per internet ….…  Sols que recollim i tractem el nom, cognom, mail, adreça fiscal, DNI, etc estem identificant a una persona i per tant, estem sotmesos a la LOPD.  Per tant, la nostra activitat professional ens obliga, en primer lloc, a prendre la primera mesura de seguretat que serà la NOTIFICACIO DEL FITXER AL REGISTRE DE L’AGENCIA EXCEPCIONS: Base de dades domèstiques o personals, matèries classificades, fixers d’investigació de terrorisme, Registre Civil, les Forces de l’Estat, etc….. Si no ho fem pot ser falta lleu o greu amb sanció de ………..euros Nina Costas www.nc-consultors.com
  • 18. 1NOTIFICACIÓ DEL FITXER • Anar a la pàgina: https://www.agpd.es/‎ • Anar a notificaciones telemáticas a la AEPD: inscripción de ficheros • Part inferior de la pàgina “Obtención del formulario nota” • Formulario nota de titularidad privada • Cliquem i entrem a l’aplicació  RECORDAR QUE: També queden afectats els fitxers NO AUTOMATITZATS (en format paper), han de complir les obligacions de la LOPD Nina Costas www.nc-consultors.com
  • 19. NOTIFICACIÓ DE FITXERS EL DEURE DE NOTIFICAR LA CREACIÓ DE FITXERS S’HA DE NOTIFICAR PER LA SEVA INSCRIPCIÓ EN EL REGISTRE GENERAL DE PROTECCIÓ DE DADES (RGPD) DE LA AEPD ¿QUAN? - Abans de fer ús dels fitxers. - Quan es produeixen canvis respecte a la inscripció inicial. -Quan s’acaba la utilització del fitxer . ¿PER QUÈ SERVEIX? Permet que els titulars de les dades puguin conèixer qui són els responsables dels fitxers i poder exercitar directament els drets d’accés, rectificació, cancel·lació i Oposició ¿QUI HO FA? El responsable del fitxer ¿QUÈ IMPLICA? El compromis per part del responsable de que el fitxer declarat per la seva inscripció compleix amb totes les exigencies legals LA NO NOTIFICACIÓ ESTÀ SANCIONADA COM A FALTA LLEU O GREU:AMB MULTES DE 900 A 40.000€ I DE 40.001 A 300.000€ QUÈ INSCRIBIM? S’ha d’incriure els fitxers, públic i privats, els codis tipus, les autoritzacions de transferències internacionals i dades per exercir els drets ARCO Nina Costas www.nc-consultors.com
  • 20. 2. AL RECOLLIR I TRACTAR DADES DEURE D’INFORMAR ALS AFECTATS DE QUE: ART 5 LOPD  Les seves dades formaran part d’un fitxer i la finalitat del fitxer  El responsable del fitxer (amb nom, domicili mail i tel)  On exercir els drets ARCO Tot això per garantir de que el consentiment és previ, específic i informat i també per permetre exercir els drets ARCO dels afectats. No informar és una infracció lleu (sanció de 900€ a 40.000€) PRINCIPI GENERAL: SEMPRE DEMANAR EL CONSENTIMENT EXCEPCIONS: - Quan una llei ho autoritzi - Quan hi ha un contracte entre les parts (laboral, administratiu,etc…) - Per protegir l’interés vital d’una personal - Per complir les funcions de l’Admó Pública - Les dades provenen de fonts d’accés públic - No demanar el consentiment és infracció greu (sanció de 40.001€ a 300.000€) Resolució PS 197/2012, foto de menor a l’aparador de la botiga de fotografia. Multa 1.500€ Nina Costas www.nc-consultors.com
  • 21. Dades especialment protegides La CE estableix que: “Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias” Tenir en compte que estem tractant DADES DE NIVELL ALT i per tant:  Es necessita consentiment exprés i per escrit del interessat per tractar dades que indiquin ideologia, afiliació sindical, religió i creençes.  Es necessita consentiment exprés o per llei per recollir dades relatives a l’origen racial, salut o vida sexual.  No es permet crear fitxers amb la única finalitat d’emmagatzemar dades de caràcter personal, de ideologia, afiliació sindical, religió, origen racial, salut o vida sexual. Solment en el cas que es necessiti per un diagnòstic mèdic o assistència sanitària. Qualitat i proporcionalitat amb les dades Es imprescindible que les dades:  Es recullin per una determinada finalitat. No es poden utilitzar per cap altre finalitat  No recollir-les si no són necessàries: sols les adequades, pertinents i no excessives  Han de ser verídiques: manternir-les actualitzades  Cancel·lar-les si no són necessàries. APLICAR MESURES DE SEGURETAT DE NIVELL ALT Nina Costas www.nc-consultors.com
  • 22. 3. Els drets dels afectats El titular de les dades que són tractades per un tercer té els següents drets gratuïts: a) DRET D’ACCÉS: obtenir informació de totes les dades que es tenen d’ell/a, l’origen de les dades, i a on hane stat cedides. b) DRET DE RECTIFICACIÓ: s’actualitzin les dades si no són exctes. c) DRET DE CANCEL·LACIÓ: que es suprimeixin les dades d) DRET D’OPOSICIÓ: sol·licitar que no es tractin les seves dades (motius publicitaris) Nina Costas www.nc-consultors.com
  • 23. Neix un nou dret: el dret a l’oblit El dret de l’oblit fa referència als casos que: - La informació d’una persona queda indexada als buscador d’internet i a les xarxes socials i li causa un perjudici en la seva vida personal i professional. (compliment de pena, dopatge, anorexia, etc…) - Empreses que la seva imatge queda perjudicada per falçes acusacions de tercers i queda en al memòria caché dels navegadors, a les xarxes socials, greu perjudici a la bona reputació i la marca de l’empresa. - Indexacions en els Butlletins Oficials, en els mitjans de comunicació: multes, sts, - La informació de le persones difuntes Nina Costas www.nc-consultors.com
  • 24. 4. LES MESURES DE SEGURETAT • Una obligació de vital importànica és establir les mesures de seguretat per tal d’adoptar els mitjans tècnics que garantitzin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament i accés no autoritzat. • Per això hem de tenir en compte si la naturalesa de les dades què tractem són de nivell bàsic, mitjà i alt. Nina Costas www.nc-consultors.com
  • 25. Nivell de les dades personals:  NIVELL ALT: que facin referència a les dades de ideologia, filiació sindical,religió, creences, origen racial, salut o vida sexual, dades derivades d’actes de violència de gènere.  NIVELL MIG; infracciones administrativas o penales, dades que són responsables l’administració pública, les entitats financeres i dades que evaluin la personalitat, CV, etc  NIVELL BÀSIC: totes Es infracció greu no mantenir fitxers, equips, programes etc que continguin dades de caràcter personal amb les mesures de seguretat adequades establertes per reglament. Sanció: de 60.101€ a 300,506€ Nina Costas www.nc-consultors.com
  • 26. Per portals webs i aplicacions • • • • Tenir un avís legal amb cara i ulls Tenir una política de privacitat coherent Tenir la sol·licitud d’autorització per les cookies. En el cas de fer venda on-line: Afegir les condicions generals de contractació, i altres aspectes de la llei de telecomunicacions, aspectes fiscals si la venda és a tercers països, autoritzacions Director AEPD per cessió dades països tercers. • El cloud computing: millor allotjar els continguts a servidors d’Espanya o a la UE Nina Costas www.nc-consultors.com
  • 27. IMPLEMENTAR LA PROTECCIÓ DE DADES COM A MESURA DE: • PRIVACITAT DE LES DADES DELS NOSTRES CLIENTS • GARANTIA DE SEGURETAT I INTEGRITAT I DISPONIBILITAT DE LES DADES • PROTECCIÓ DE LA INFORMACIÓ DE L’EMPRESA • PER AFEGIR QUALITAT EN EL NOSTRE SERVEI • EVITAR SANCIONS Nina Costas www.nc-consultors.com
  • 28. Moltes gràcies info@nc-consultors.com Linkedin NINA COSTAS Nina Costas www.nc-consultors.com