3. INTRODUCCIÓN
Tres ideas clave:
Es un derecho fundamental de todos los ciudadanos.
Los datos que tratamos o tratan, no son nuestros, son de su titular.
Tenemos la Ley de Protección de Datos más dura del mundo.
#cafeagm
www.agmabogados.com 3
5. DATOS DE CARÁCTER PERSONAL
Dato de carácter personal: cualquier información que se refiera a alguien
identificado o identificable.
Datos de fallecidos: el fallecimiento produce la extinción de la personalidad
civil, por lo que estos datos únicamente están protegidos por el derecho de
cancelación que pueden ejercer los herederos.
Datos genéticos y biométricos: la muestra biológica sin analizar no es un dato
personal, pero la información obtenida de su análisis, sí que constituye un dato
personal. También las huellas dactilares, palma de la mano, huella plantar, iris del
ojo, modulación de la voz, son datos de carácter personal protegidos por la LOPD.
Imágenes: son datos de carácter personal. Especial caso; cámaras de video-
vigilancia.
¿E-mail como dato personal?: sólo será considerado dato de carácter
personas cuando el “login” pueda identificar a la persona. Consejo: correos con
copia oculta.
#cafeagm
www.agmabogados.com 5
6. DECÁLOGO SOBRE
PROTECCIÓN DE DATOS
#cafeagm
www.agmabogados.com 6
7. DECÁLOGO SOBRE PROTECCIÓN DE DATOS
1) Consentimiento.
2) Información.
3) Inscripción de los ficheros.
4) Calidad de los datos.
5) Datos especialmente protegidos.
6) Seguridad.
7) Deber de secreto.
8) Comunicación o cesión de datos.
9) Derechos del interesado o afectado.
10) Formación e información.
#cafeagm
www.agmabogados.com 7
9. CONSENTIMIENTO
Los datos son de su titular, no son nuestros.
Nosotros únicamente tenemos el derecho a tratarlos si se cumplen los
requisitos legales.
Siempre será necesario el consentimiento para el tratamiento de datos
de carácter personal.
Art. 6.1 LOPD: “El tratamiento de los datos requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.”
Derecho al tratamiento de datos:
Se tiene el consentimiento del titular.
Te encuentras en una situación de excepción legal.
Cuando los datos se refieran a las partes de un contrato y sea necesario
su mantenimiento para el cumplimiento del mismo.
Cuando los datos figuren en una fuente accesible al público.
#cafeagm
www.agmabogados.com 9
10. CONSENTIMIENTO
PREGUNTAS FRECUENTES
1) ¿Es siempre necesario el consentimiento para el tratamiento de datos?
Como norma general, sí.
Excepciones:
Datos referentes a las partes de un contrato.
Datos que figuren en una fuente accesible al público.
En cualquier caso, el titular de la información tiene que tener
conocimiento de que sus datos han sido incluidos en una base de
datos.
2) ¿Es válido el consentimiento tácito para el tratamiento de datos?
Como norma general, sí.
Excepciones:
Para los datos especialmente protegidos (ideología, afiliación sindical,
religión y creencias, origen racial, salud y vida sexual), es necesario el
consentimiento expreso y por escrito.
#cafeagm
www.agmabogados.com 10
12. INFORMACIÓN
El tratamiento de datos debe de ser legal y leal.
Art. 4.7 LOPD: “se prohíbe la recogida de datos por medios, fraudulentos,
desleales o ilícitos.”
Aunque se tenga el consentimiento, o éste no sea necesario, SIEMPRE se
debe de informar al interesado del que se recaban los datos.
Información de modo expreso, preciso e inequívoco de los siguientes
aspectos:
De la existencia del fichero, de la finalidad del mismo y de los
destinatarios de dicha información.
De las consecuencias de la obtención de los datos.
De la posibilidad de ejercitar los derechos de acceso/rectificación/
cancelación y oposición.
De la identidad y dirección del responsable del tratamiento del fichero o
de su representante.
#cafeagm
www.agmabogados.com 12
13. INFORMACIÓN
PREGUNTAS FRECUENTES
1) ¿Siempre tiene que informarse de la recogida de datos?
Sí.
Si los datos no se obtienen directamente del interesado, deberá
informarle dentro de los tres (3) meses siguientes al registro de datos.
Se tiene que informar con independencia del medio de recogida de
datos.
2) ¿Cómo se informa al interesado sobre el tratamiento de datos?
La información tendrá que proporcionarse al interesado previamente y,
de modo expreso, preciso e inequívoco.
La información tiene que figurar, en forma claramente legible, en los
cuestionarios u otros impresos que se utilicen para la recogida de
datos.
Art. 5.1. LOPD.
#cafeagm
www.agmabogados.com 13
15. INSCRIPCIÓN DE FICHEROS
Es obligación del RESPONSABLE DEL FICHERO.
Art. 26 LOPD: “Toda persona o entidad que proceda a la creación de
ficheros de datos de carácter personal lo notificará previamente a la
Agencia Española de Protección de Datos.”
AEPD: es un ente de derecho público, con personalidad jurídica propia y
plena capacidad pública y privada, que actúa con plena independencia
de las Administraciones públicas en el ejercicio de sus funciones, entre
las que se encuentra velar por el cumplimiento de la legislación sobre
protección de datos y controlar su aplicación.
Considerandos 62 y 63 de la Directiva Europea sobre Protección
de Datos: Indica que el responsable del tratamiento deberá notificar a
la autoridad de control los tratamientos de datos que vaya a realizar.
#cafeagm
www.agmabogados.com 15
16. INSCRIPCIÓN DE FICHEROS
PREGUNTAS FRECUENTES
1) ¿En qué Agencia de Protección de Datos hay que inscribir los ficheros, en
la española o la catalana?
Los ficheros que contengan datos de carácter personal y sean creados por
una entidad privada > AEPD.
Los ficheros creados o gestionados por una entidad pública para el ejercicio
de potestades de derecho público > Agencia Catalana.
2) ¿Cómo se inscriben los ficheros en la AEPD?
Formularios en la página web: www.apgpd.es. La presentación se puede
hacer en soporte papel magnético y telemático y es totalmente gratuita.
3) ¿Todo el que trata datos o accede a ellos tiene que inscribir los ficheros?
Es únicamente el responsable del fichero.
Art. 26.1 LOPD: “Toda persona o entidad que proceda a la creación de
ficheros de datos de carácter personal lo notificará previamente a la
Agencia Española de Protección de Datos.
#cafeagm
www.agmabogados.com 16
18. CALIDAD DE LOS DATOS
Principio de pertinencia: Datos adecuados, pertinentes y no excesivos para los
fines para los que se recaban. (art. 4.1 LOPD).
Deber de actualización y rectificación: los datos deben reflejar con veracidad
la situación actual del afectado. (art. 4.3 LOPD).
Plazo actualización: 10 días.
Deber de cancelación de datos innecesarios: El responsable del fichero
tendrá que actualizar los datos y cancelarlos cuando ya no sean necesarios. (art.
4.5 LOPD).
Deberes éticos en la recogida de datos: se prohíbe la recogida por medios:
Fraudulentos, desleales o ilícitos. (art. 4.7 LOPD)
Utilización de los datos para la finalidad para la que fueron recabados:
Los datos sólo podrán ser recogidos para el cumplimiento de finalidades
determinadas, explícitas y legítimas del responsable del tratamiento.
Excepciones: fines históricos; estadísticos; científicos.
#cafeagm
www.agmabogados.com 18
19. CALIDAD DE LOS DATOS
PREGUNTAS FRECUENTES
1) ¿La actualización de los datos supone un deber de actualización
constante por parte del responsable del fichero?
Dependerá de la fuente de origen del dato:
Cuando el dato es facilitado por el propio afectado, se considerarán
exactos los facilitados por éste (art. 8.5 LOPD). El afecto es quién
debe de notificar los cambios.
Cuando el dato es obtenido de fuentes públicas, el responsable del
fichero, deberá recoger de oficio los cambios que sucedan sobre la
información facilitada.
2) ¿Se pueden utilizar los datos para otras finalidades diferentes a aquella
para la que fueron recabados?
Sí, siempre que no sean incompatibles dichas finalidades entre sí.
#cafeagm
www.agmabogados.com 19
21. DATOS ESPECIALMENTE PROTEGIDOS
Los datos que revelen:
Ideología.
Afiliación sindical.
Religión y creencias.
Consentimiento expreso y por escrito.
Origen racial.
Salud.
Vida sexual.
Consentimiento expreso. Excepciones: cuando se recaben datos por
seguridad pública por profesional sanitario obligado al secreto profesional.
Mayores garantías en el tratamiento: Derecho a no informar sobre
ideología, religión o creencias (art. 16.2 CE).
Nivel de protección: Alto.
#cafeagm
www.agmabogados.com 21
23. NIVELES DE SEGURIDAD
Adopción o aplicación de las medidas técnicas y organizativas necesarias
para que garanticen la seguridad de los datos de carácter personal, o la
protección de los datos personales, garantizando un nivel de seguridad
adecuado.
NIVEL BÁSICO: DOCUMENTO DE SEGURIDAD.
De aplicación a todos los tratamientos de datos.
Documento de Seguridad:
Descripción de las medidas de seguridad adoptadas por la empresa;
accesos, alteraciones, pérdida de datos, etc.
Redactado por el responsable del tratamiento.
Debe mantenerse actualizado.
#cafeagm
www.agmabogados.com 23
24. NIVELES DE SEGURIDAD
NIVEL MEDIO: Responsable de Seguridad.
Se adoptará además del nivel básico, el nivel medio en los siguientes casos:
Infracciones administrativas o penales.
Administraciones tributarias.
Entidades financieras.
Entidades Gestoras y Servicios Comunes de la Seguridad Social. Mutuas
de accidentes de trabajo.
Conjunto de datos que sean capaces de determinar aspectos de la
personalidad o del comportamiento de un individuo.
Se designará a una persona responsable de la seguridad del fichero.
Obligación de AUDITORÍA con periodicidad mínima de dos (2) años.
Emplazamiento de los equipos que contengan la información, en un lugar
aislado con un sistema de control y acceso.
Control de acceso a los equipos informáticos.
Registro de incidencias.
#cafeagm
www.agmabogados.com 24
25. NIVELES DE SEGURIDAD
NIVEL MÁXIMO DE SEGURIDAD:
Cifrado de la información.
Registro de accesos.
Copias de seguridad.
Ficheros que contengan datos de:
Ideología.
Afiliación sindical.
Religión y creencias.
Salud.
Vida sexual.
Datos policiales recabados sin consentimiento.
Datos derivados de actos de violencia de género.
Excepciones: bastará el nivel básico o medio cuando:
Transferencia dineraria a las entidades de las que los afectados sean asociados.
Cuando dichos datos se contengan de forma accidental en otros documentos.
Datos de salud referentes exclusivamente al grado de discapacidad
#cafeagm
www.agmabogados.com 25
27. DEBER DE SECRETO
El responsable del fichero y todos los que intervengan en cualquier fase
del tratamiento están obligados a guardar secreto profesional respecto de
los datos que traten. (art. 10 LOPD).
La obligación subsiste incluso después de finalizar sus relaciones con el
titular del fichero o, en su caso con el responsable del mismo.
Es recomendable incluir una cláusula en el contrato de trabajo, sobre el
deber de confidencialidad de los datos.
Diferencia con la cesión de datos: no existe una voluntad de que los
datos sirvan para ser tratados por parte del destinatario.
#cafeagm
www.agmabogados.com 27
29. PROHIBICIÓN DE CESIÓN DE DATOS
Cesión: cualquier consulta que un tercero realice a los datos, aunque sea a
distancia y sin creación de un fichero o tratamiento nuevo.
Está prohibida la cesión de datos, sin consentimiento expreso de su titular.
Para el otorgar el consentimiento; el titular tiene que conocer la finalidad a
qué se destinarán los datos cuya comunicación se autoriza y a quién se
pretenden comunicar.
Excepciones:
Autorización legal.
Datos procedentes de fuentes accesibles al público.
Cesión necesaria para el desarrollo de una relación jurídica que implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
Destinatario sea el Defensor del Pueblo, el Ministerio Fiscal, Jueces o
Tribunales, el Tribunal de Cuentas.
Cesión a Administraciones Públicas que tengan por objeto el tratamiento con
fines históricos, estadísticos o científicos.
Datos relativos a la salud para solucionar una urgencia o para realizar estudios
epidemiológicos.
#cafeagm
www.agmabogados.com 29
30. TRANSFERENCIAS INTERNACIONALES
Transferencias aun tercer Estado no miembro de la UE.
Lista Blanca: elaborada por la AEPD.
Incluye la relación de países cuyo nivel de protección haya sido
equiparable al establecido por la legislación española.
No es necesario autorización de la AEPD para efectuar la transferencia.
Países no incluidos en la Lista Blanca: Autorización singular por la
AEPD > plazo de 3 meses + ofrecimiento de garantías.
Autorizaciones legales:
Auxilio judicial internacional.
Prevención o diagnóstico médico, asistencia sanitaria, tratamiento médico.
Transferencias dinerarias.
Ejecución de un contrato.
Salvaguardar el interés público.
Reconocimiento, ejercicio o defensa de un proceso judicial.
#cafeagm
www.agmabogados.com 30
31. TRANSFERENCIAS INTERNACIONALES
Acuerdo “Safe Harbor”:
Acuerdo entre la Comisión Europea y el Departamento de Comercio
de EEUU.
En EEUU no existe una legislación sobre protección de datos. Se deja
al arbitrio de cada empresa.
Todas las empresas o sectores adheridos al acuerdo de “SAFE
HARBOR” se considerará > “PUERTO SEGURO.
Las entidades del sector financiero están fuera de este acuerdo.
#cafeagm
www.agmabogados.com 31
32. DERECHOS DE LOS INTERESADOS
(ARCO)
#cafeagm
www.agmabogados.com 32
33. DERECHOS DEL INTERESADO
DERECHO DE ACCESO (art. 15 LOPD y 27.1 y 2 RPD): “El interesado tiene
derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas o que se prevén hacer de los mismos”.
Forma de hacer la petición de acceso:
Por cualquier medio y dirigida al responsable del fichero.
El responsable deberá comunicar la información en el plazo de 1 mes > tutela
de la Agencia de Protección de Datos.
Derecho de acceso en intervalos de 12 meses, salvo acreditación de la
existencia de un interés especial.
Exhibición de la información mediante:
Visualización en pantalla.
Escrito, copia, fotocopia.
Correo electrónico, etc.
Excepciones: cuando exista una norma que prohíba al responsable del fichero
revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
#cafeagm
www.agmabogados.com 33
34. DERECHOS DEL INTERESADO
DERECHO DE RECTIFICACIÓN (art. 31.1 RPD):
“El derecho del afectado a que se modifiquen los datos que resulten ser
inexactos o incompletos”.
Los datos deben reflejar la imagen fiel de la realidad.
La rectificación debe de hacerse en el plazo de 10 días.
DERECHO DE CANCELACIÓN (art. 31.2 RPD):
“Derecho a que se supriman los datos que resulten ser inadecuados o
excesivos”.
Excepciones (art. 33.1 RPD): “la cancelación no procederá cuando los
datos de carácter personal deban de ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado que justificaron el tratamiento de los datos.
La cancelación debe de hacer en el plazo de 10 días.
#cafeagm
www.agmabogados.com 34
35. DERECHOS DEL INTERESADO
DERECHO DE OPOSICIÓN (art. 6.4 LOPD y 30.4 RPD): “los interesados
tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de
los datos que les conciernan, en cuyo caso serán dados de baja del
tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél,
a su simple voluntad”.
Diferencia con la cancelación: la oposición es una cancelación genérica de
todos los datos que pudieran estar sometidos al mismo.
Supuestos de oposición:
Cuando se trate de datos respecto de los cuales no sea necesario su
consentimiento.
Cuando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial.
Ejercicio del derecho de oposición:
Solicitud dirigida al responsable del fichero.
Cancelación de datos en el plazo de 10 días.
#cafeagm
www.agmabogados.com 35
36. DERECHOS DEL INTERESADO
NORMAS COMUNES
Derechos personalísimos > sólo los puede ejercitar su titular.
Excepciones:
Incapacidad o minoría de edad.
Representante voluntario.
Derechos independientes.
Principio de gratuidad de los derechos.
Acceso universal al ejercicio de los derechos.
Tutela de la Agencia de Protección de Datos.
#cafeagm
www.agmabogados.com 36
38. FORMACIÓN E INFORMACIÓN
El que trabaja y tiene acceso a datos de carácter personal, debe de
cumplir con los principios de protección de datos.
Se debe de garantizar la confidencialidad y la integridad de la
información.
Deber de secreto.
Informar a través de medios que dejen constancia del cumplimiento de
esta obligación por parte del responsable del fichero.
Recomendación a través de:
Cláusulas contractuales incluidas en los contratos de trabajo.
Cláusulas de confidencialidad específica.
Circulares.
Elaboración de normas de funcionamiento interno.
#cafeagm
www.agmabogados.com 38
40. INFRACCIÓN Y SANCIONES
Novedades introducidas:
Potestad de inmovilización de ficheros.
Responsabilidad en los casos de contratación irregular.
Criterios de atenuación:
Regularización.
Influencia del afectado.
Reconocimiento espontáneo de culpabilidad.
EL APERCIBIMIENTO.
Criterios de graduación:
Continuidad de la infracción.
Volumen de negocio/actividad del infractor.
Accountability.
#cafeagm
www.agmabogados.com 40
42. TRATAMIENTOS ESPECIALES
MARKETING DIRECTO:
Finalidad: Publicidad directa, promoción y prospección de mercado.
Empresas especialmente dedicadas al marketing directo.
Fuentes: públicas + propios interesados + obtenidas con su
consentimiento.
Listas Robinson: es un servicio de exclusión publicitaria a disposición
de los consumidores que tiene como objetivo disminuir la publicidad que
éstos reciben (www.listarobinson.es).
#cafeagm
www.agmabogados.com 42
43. ¿PREGUNTAS?
GRACIAS POR SU ATENCIÓN
Ana García Carlos Martínez
agarcia@agmabogados.com cmartinez@agmabogados.com
Telf.: 93.487.11.26
#cafeagm
www.agmabogados.com 43