Principios generales, derechos de las personas y obligaciones de las administraciones Conceptos básicos de protección de datos de carácter personal. Durana, 22 de junio de 2010.
2 Protección de Datos: un derecho de las personas Nociones básicas: Dato personal, ficheros y tratamientos de datos Principios de la Protección de Datos Derechos de las personas relacionados con la PDCP Obligaciones de las administraciones Casos específicos en la Administración Local Cuatro ideas para terminar Estructura de contenidos
AGENCIA VASCA DE PROTECCIÓN DE DATOS. 3
Agencia Vasca de Protección de Datos. Ley 2/2004, de 25 de febrero (Creación) Competencias: Administraciones Públicas. Administración independiente. Organización. – Director – Secretaría General – Registro – Asesoría Jurídica 4
5 Protección de datos: un derecho de las personas
6 Protección de datos de carácter personal Es un DERECHO FUNDAMENTAL que nace con el desarrollo de las nuevas tecnologías de la información La persona SABE, CONSIENTE Y PUEDE DISPONER de sus datos Las administraciones y empresas tendrán en cuenta que LOS DATOS QUE TRATAN PERTENECEN A LAS PERSONAS
Algunos lo denominan autodeterminación informativa Se trata de poder conocer y controlar la gestión que las organizaciones realizan con la información que se refiere a mi persona. Para ello debo saber: Qué información existe, Quién tiene acceso a ella, Quién tiene capacidad de crear y difundir información sobre terceras personas, Para qué se usan esos datos personales, Qué decisiones se toman con ellos 7
Cómo perciben los ciudadanos la gestión que las organizaciones hacen de sus datos La mitad de la población (44%, CIS ) no conoce la existencia de una ley que proteja la privacidad frente a abusos con los datos personales. Sí preocupan usos indebidos de la información personal, p.ej.: Información comercial nominativa no deseada Perfiles de consumidores no consentidos o informados Difusión en Internet de información personal excesiva o no deseada Videovigilancia y registro de comunicaciones telefónicas y electrónicas Pérdida de datos personales ( El Gobierno inglés pierde datos personales de 25 millones de ciudadanos; una clínica de Bilbao sancionada por la 'fuga de datos' de pacientes, etc.) En Estudio Percepción Social de Privacidad y gestión de datos AVPD – 2007: Los ciudadanos consideran que los datos en posesión de las administraciones están bien protegidos El intercambio de información entre entidades genera gran desconfianza, pero no se entiende como una actividad ilícita. 8
Regulación legal de la protección de datos de carácter personal (PDCP) 1.Europa (1981- Convenio;1995 – Directiva; Reglamento) 2.Artículo 18.4 CE: (limitar uso informática para garantizar intimidad personal y familiar) 3.Jurisprudencia Constitucional (STC 254/1993 y STC 292/2000) 4.Ley Orgánica 15/1999, 13 diciembre, Protección de Datos de Carácter Personal (LOPD) 5.Ley del Parlamento Vasco 2/2004, de 25 febrero. Agencia Vasca de Protección de Datos (AVPD) 6.Real Decreto 1720/2007, 21 diciembre, se aprueba el Reglamento de desarrollo de la LOPD 9
ARTÍCULO 18.4 CE Art de la Constitución: Título I CE “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio en su derecho” ¿Es un derecho fundamental? 10
11 Nociones Básicas: Dato personal, Fichero y Tratamientos de datos
12 ¿Qué es dato personal?
Datos de carácter personal Dato de Carácter Personal (art. 3, LOPD): Cualquier información (numérica, alfabética, gráfica, fotográfica, acústica, etc.) relativa a una persona física identificada o identificable utilizada por Administraciones o Empresas No se aplica la normativa sobre PDCP si la información es anónima (datos disociados) o si se presenta como datos agregados o sociales (perfiles o características de colectivos, no de individuos) Datos especialmente protegidos ( art. 7, LOPD) Pertenecen a nuestra esfera más íntima y su comunicación a terceros puede hacernos vulnerables. Su tratamiento conlleva un plus de medidas para garantizar la seguridad. Revelan ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, infracciones. 13
¿Qué significa tratamiento de datos, sea manual o automático? tratamiento de datos La expresión tratamiento de datos incluye las siguientes operaciones con datos personales: Recogida Conservación Combinación Comunicación Se suelen combinar métodos manuales e informáticos Se suelen combinar métodos manuales e informáticos en el tratamiento de datos personales (en la recogida, archivo, etc.) 14
FICHERO DE DATOS DE CARÁCTER PERSONAL. Los datos de carácter personal, generalmente, quedan almacenados de acuerdo con determinados criterios que permitan su fácil recuperación y utilización. El art. 3 LOPD define el fichero, como el conjunto organizado de datos de carácter personal, cualquiera que sea la forma de creación, almacenamiento etc. 15
Ficheros habituales en la administración local 16 Autoorganización Gestión de Gestión detasas y tributos y tributos Gestión de personas y personas y Nómina Nómina¿? Padrón Concejil
Agentes que intervienen 17 Responsables ResponsablesFicherosResponsableSeguridadUsuarios/as de datos Presidente Encargado/a Tratamiento Coordinador/a PDCP ComisiónPDCP
18 Principios de la Protección de datos
Artículo 4 Principio de calidad Principio de finalidad Principio de exactitud Artículo 4 Principio de calidad Principio de finalidad Principio de exactitud Garantiza a las personas que sus datos serán: Adecuados, pertinentes y no excesivos, con relación al ámbito y a las finalidades para las que se hayan obtenido. Los datos no pueden utilizarse para fines incompatibles (distintos) de la finalidad para los que fueron recogidos. Recogidos de forma lícita y no fraudulenta. Exactos y puestos al día No almacenados por más tiempo que el necesario 19
Principiode información en la recogida (art. 5, LOPD) Principio de información en la recogida (art. 5, LOPD) ¿Para qué? Para comprender qué implicaciones conlleva el dar la info ¿Cómo? (cláusulas informativas) Informar de forma previa, expresa, inequívoca ¿qué información dar? Existencia fichero / tratamiento: su finalidad y destinatarios. Si dar la información es obligatorio / voluntario: consecuencias Sus derechos: Acceso, Rectificación, Cancelación y Oposición Identidad y dirección de la persona Responsable Fichero Excepciones 20
¿Es necesario el consentimiento de la persona para tratar sus datos (art. 6, LOPD) Norma general: Sí, principio de consentimiento inequívoco Excepciones, no es necesario: La información se recoge de fuentes accesibles al público Se recoge para el ejercicio de competencias propias de las Administraciones públicas Es necesario en una relación de negocio o contrato Cuando lo autoriza una Ley Datos especialmente protegidos (art. 7 y 8): 21
Principio de la Seguridad de la Información (art.9, LOPD) Medidas técnicas y organizativas de uso de sistemas de información para garantizar la seguridad: Restringir el acceso a los datos Proteger los datos contra pérdidas Impedir acceso, uso, modificación o divulgación sin autorización Medidas de nivel básico, medio o alto, según tipo datos (contraseñas, antivirus, vigilancia accesos, perfiles de usuarios, documento del Plan de Seguridad, etc.) 22
Principio de confidencialidad y deber de Secreto (art. 10, LOPD) La información sobre personas es confidencial. Obligación de secreto y de guardar la información, aunque ya no se trabaje para el Resp. Fichero Se comparte sólo con el consentimiento informado de la persona 23
Cuando una empresa contratada accede a ficheros municipales con datos personales (art. 12) No se considera una cesión o comunicación de datos si se accede a ellos para prestar un servicio al ayuntamiento. Habitualmente: informática, limpieza, seguridad, etc. Se les llama Encargados de tratamiento. Contrato por escrito para regular el acceso Estipular medidas de seguridad Se destruyen o devuelven los ficheros, después de dar el servicio Responsabilidad de la empresa si los usa indebidamente 24
25 Derechos de las personas relacionados con PDCP
Derechosde las personasrelacionadosconprotección de datos Derechos de las personas relacionados con protección de datos Información en la recogida y a través del registro. Acceso a todos sus datos personales Rectificación y Cancelación, si los datos son inexactos, incompletos o no son pertinentes Oposición. No figurar en guías telefónicas, no recibir publi Acceder a Registro AVPD y tutela de derechos 26
27 Obligaciones de las administraciones
Fases en el tratamiento de datos 28
29 Antes de recoger los datos, es necesario... Obligaciones del Ayuntamiento Crear el fichero y publicarlo en el Boletín Declararlos para su inscripción en el Registro de Protección de Datos de Euskadi
Creación, supresión y modificación de ficheros (arts. 20 LOPD y 4 LAVPD) Disposición de carácter general Contenido – Finalidad del fichero – Colectivo sobre el que se recogen – Procedimiento de recogida – Estructura del fichero – Cesiones previstas – Órganos responsables ARCO – Medidas de seguridad. Publicación BOTHA. Registro AVPD 30
31 En la recogida de datos Solicitar el consentimiento Informar Especial atención datos especialmente protegidos Respetar el principio de calidad Obligaciones del Ayuntamiento
32 Durante el tratamiento Obligaciones del Ayuntamiento
33 Durante el tratamiento Facilitar a las personas el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición Realizar un contrato por escrito con encargados de tratamientos adoptar las medidas técnicas y organizativas que garanticen la seguridad de los datos Principales encargos de tratamiento en Ayuntamientos Obligaciones del Ayuntamiento
34 En las cesiones
35 En las cesiones Cumplir estrictamente el deber de secreto profesional Solicitar el consentimiento de la persona cuyos datos se quieren ceder Supuestos más frecuentes de cesiones y publicaciones Obligaciones del Ayuntamiento
36 Al finalizar el tratamiento Obligaciones del Ayuntamiento
37 Casos específicos de la Administración Local
38 Cesiones de datos del padrón Los datos del Padrón son confidenciales Cesión a otras administraciones sin consentimiento previo Cesiones específicas previstas en la Ley sin consentimiento previo Cesión de datos del Padrón dentro del propio Ayuntamiento a otro Departamento
39 Derecho de información y acceso, Difusión pública y Participación política El derecho de información y acceso a expedientes y su posible “colisión” con el derecho a la protección de datos personales. La publicidad y difusión de determinados acuerdos y actos en los Ayuntamientos. La forma de facilitar la información a miembros de la Corporación en su labor de control.
40 Publicidad y participación ciudadana en los plenos de las entidades locales Pleno: Libre, salvo que se declare secreto (mayoría absoluta) Facilitar copias y certificaciones de los acuerdos de la Corporación a quien lo solicite (18.1 e y 70.3 LBRL, 207 ROF) Facilitar copia simple del acta a quien lo solicite; si no afecta a datos especialmente protegidos, no vulnerará la normativa sobre protección de datos personales. (Acta: 50 TR y 109 ROF, “parte dispositiva acuerdos que se adopten”) La exposición pública y resumida de las actas, cualquiera que sea el medio a través del cual se realice, no es contraria a la normativa sobre protección de datos personales. (229.2 ROF) Al realizar grabaciones audio-visuales de las sesiones de los Plenos, ponderar el derecho a la intimidad personal y familiar.
41 Acceso a la información municipal por los miembros de la corporación municipal Derecho de los miembros de la corporación a obtener de la Presidencia los datos o informaciones disponibles en los servicios de la entidad local Se comunicarán los datos personales que sean adecuados, pertinentes y no excesivos Cuando la información a facilitar contiene datos de carácter personal, primero se debe valorar si es posible disociar o anonimizar los datos personales. Las entidades locales han de establecer un procedimiento para el ejercicio de este derecho: modo de petición y de respuesta y documentos modelo.
42 Cuatro ideas para terminar
43 En elmedio está la virtud En el medio está la virtud 43 varios derechos objeto de protección evaluar, valorar y ponderar su justa forma de aplicación
44 Hacia la seguridad jurídica… ¿Cómo avanzar? Necesidad de normas legales complementarias, autorregulaciones como Códigos Tipo, Manuales de Buenas Prácticas, acuerdos… Mientras no se den esas regulaciones, son las Agencias y los Tribunales los que establecerán las líneas a seguir
45 ¿información sobre muchos individuos o sobre un conjunto deellos? ¿información sobre muchos individuos o sobre un conjunto de ellos? Si en grupos de trabajo y órganos se accede a datos personales que son innecesarios, sobre todo si son sensibles, se ha de convertir la información en datos anónimos o disociados Muchas decisiones sobre políticas y programas municipales necesitan datos sociales o agrupados, no sirven los datos individuales
46 Sensibilizar a trabajadores/as Especializar a secretario/a, responsables de seguridad, responsable de organización
47 Eskerrik asko zuen arretagatik Gracias por su atención