1 Agencia Española de Protección de Datos LA PROTECCIÓN DE DATOS Y LAS PYMES Cámara de Comercio, Industria y Navegación de Vizcaya Bilbao, 10 de febrero de 2005 Agustín Puente Escobar

2 Agencia Española de Protección de Datos EVOLUCIÓN HISTÓRICA DE LA PROTECCION DE DATOS Los orígenes de la protección de datos ( ) Primeros desarrollos legislativos (primera generación, ) Nuevos desarrollos (segunda generación, ) La “madurez” de la protección de datos (tercera generación, ) Uniformación de las leyes de protección de datos ( ) El derecho fundamental a la protección de datos ( )

3 Agencia Española de Protección de Datos LA PROTECCION DE DATOS EN ESPAÑA. EVOLUCIÓN Primera etapa –El artículo 18.4 de la Constitución –La Ley Orgánica 1/1982 y normas sectoriales en la materia –Evolución de la jurisprudencia constitucional –La Ley Orgánica 5/1992 (LORTAD) Normas reglamentarias de desarrollo Instrucciones de la APD Régimen actual –La Ley Orgánica 15/1999 (LOPD) –El Reglamento de Seguridad (RD 994/1999) –Normas de desarrollo de la LORTAD –La instrucción 1/2000 sobre transferencias –Sentencias del Tribunal Constitucional 290/2000 y 292/2000, de 30 de noviembre

4 Agencia Española de Protección de Datos LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL Reconocimiento del derecho fundamental –En la Unión Europea Artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea Artículos I-51 y II-68 de la Constitución Europea –En España Artículo 18.4 de la Constitución Sentencias del Tribunal Constitucional 290/2000 y 292/2000 –Reconocimiento de un derecho fundamental autónomo del derecho a la intimidad personal y familiar

5 Agencia Española de Protección de Datos ARTÍCULO I-51 DE LA CONSTITUCIÓN EUROPEA “1. Toda persona tiene derecho a la protección de los datos personales que la conciernan. 2. La ley o ley marco europea establecerá las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.”

6 Agencia Española de Protección de Datos ARTÍCULO II-68 DE LA CONSTITUCIÓN EUROPEA “1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.”

7 Agencia Española de Protección de Datos ÁMBITO DE APLICACIÓN DE LA LOPD Regla general: aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado Consecuencia: –Aplicación a todo tratamiento automatizado –Aplicación a ficheros no automatizados de datos Concepto de fichero Aplicación temporal –Posteriores a 14 de enero de 2000, en todas sus normas –Anteriores a 14 de enero de Momento de inclusión de los datos (SAN de 19 de mayo de 2004)

8 Agencia Española de Protección de Datos ÁMBITO DE APLICACIÓN DE LA LOPD Regla general: dato de carácter personal es cualquier información concerniente a personas físicas identificadas o identificables Consecuencia –Aplicación en todo caso a datos de personas físicas –No aplicación en ningún caso a datos exclusivamente referidos a personas jurídicas –Problemas de delimitación –Empresarios individuales –Autónomos –Profesionales Resolución APD de 27 de febrero de Vinculación del dato con la esfera privada o profesional de la persona

9 Agencia Española de Protección de Datos SUJETOS DE LA PROTECCIÓN DE DATOS Interesado o afectado –Persona física a la que se refieren los datos Responsable: Quien decida sobre la finalidad, contenido y uso del tratamiento, aunque no tenga los datos en sus sistemas de información (por ejemplo, externalización) Encargado: Quien, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento –Carece de poder de decisión –Vinculado jurídicamente al responsable del tratamiento

10 Agencia Española de Protección de Datos REQUISITOS PARA LA EXISTENCIA DE UN ENCARGADO DEL TRATAMIENTO Existencia de un contrato entre el responsable y el encargado del tratamiento. Contenido: –Mención expresa de que el encargado sólo tratará los datos conforme a las instrucciones del responsable –El encargado no aplicará los datos a otro fin –El encargado implantará las medidas de seguridad legalmente exigidas –El encargado no transmitirá los datos ni siquiera para su conservación a un tercero: Posibilidad de subcontratación Previo apoderamiento Si se dan determinados requisitos –El encargado destruirá los datos al terminar la relación o los devolverá al responsable Sin contrato, el encargado será considerado responsable a todos los efectos. Consecuencias

11 Agencia Española de Protección de Datos CONTENIDO ESENCIAL DE LA PROTECCION DE DATOS PRINCIPIOS DE PROTECCIÓN DE DATOS –Finalidad –Consentimiento –Información OBLIGACIONES DEL RESPONSABLE DEL FICHERO –Notificación –Seguridad –Secreto DERECHOS DE LOS AFECTADOS

12 Agencia Española de Protección de Datos PRINCIPIOS VINCULADOS A LA FINALIDAD Delimitación de la finalidad –Los datos sólo pueden ser empleados para fines determinados, explícitos y legítimos del responsable del fichero Prohibición de uso incompatible –Los datos sólo pueden ser empleados para fines compatibles con los que motivaron su recogida Proporcionalidad –Los datos deben ser Adecuados, pertinentes y no excesivos en relación con la finalidad que motiva su recogida y tratamiento Conservación –Los datos sólo se conservarán durante el tiempo necesario para el cumplimiento de la finalidad. Exactitud, actualización y cancelación

13 Agencia Española de Protección de Datos PRINCIPIOS VINCULADOS AL CONSENTIMIENTO Concepto y caracteres del consentimiento –Caracteres de la declaración de voluntad Libre Inequívoco Específico Informado –Forma del consentimiento Expreso Tácito Prohibición del consentimiento meramente presunto

14 Agencia Española de Protección de Datos PRINCIPIOS VINCULADOS AL CONSENTIMIENTO Legitimación del tratamiento –Regla general: sólo será posible el tratamiento de los datos si el afectado ha prestado su consentimiento –Excepciones al deber de consentimiento del afectado Previsión legal Ejercicio de potestades públicas (previstas en una Ley) Relación contractual o negocial Fuentes accesibles al público (concepto restringido –artículo 3 j) LOPD)

15 Agencia Española de Protección de Datos SUPUESTOS DE ESPECIAL PROTECCIÓN Datos sensibles “de 1er. grado” (ideología, afiliación sindical, religión, creencias) –Consentimiento EXPRESO Y POR ESCRITO Datos sensibles “ de 2° grado” (salud, origen racial, vida sexual) –Consentimiento EXPRESO –Habilitación por Ley basada en razones de interés general –Normas específicas en el ámbito sanitario

16 Agencia Española de Protección de Datos CESIONES DE DATOS Concepto: toda revelación de datos a PERSONA DISTINTA del afectado –Basta con que el destinatario tenga personalidad distinta al cedente –Basta con una mera revelación, aunque el destinatario no incorpore los datos a un fichero –Será cesión la transmisión de los datos a otra Administración Pública Excepción: no será cesión la transmisión de datos a un encargado del tratamiento

17 Agencia Española de Protección de Datos REQUISITOS PARA LA CESIÓN En general –Interés legítimo del cedente y el cesionario –Consentimiento del afectado Excepciones al consentimiento –Autorización por Ley –Fuentes accesibles al público –Datos necesarios para el pleno cumplimiento de una relación jurídica –Comunicación a ciertos Órganos –Comunicación entre Administraciones Públicas Para el desempeño de competencias similares Para fines históricos, científicos o estadísticos –Interés vital o realización de estudios epidemiológicos

18 Agencia Española de Protección de Datos REQUISITOS PARA LA VALIDEZ DEL CONSENTIMIENTO A LA CESIÓN El consentimiento es nulo si de la información facilitada al afectado no puede conocer –La finalidad a la que se destinan los datos –El tipo de actividad a que se dedica el cesionario El consentimiento será siempre revocable

19 Agencia Española de Protección de Datos PRINCIPIO DE INFORMACIÓN. Fundamento: –Carácter informado del consentimiento –Conocimiento por el afectado del tratamiento cuando no es necesario su consentimiento El responsable del tratamiento deberá informar al afectado del hecho de que sus datos serán sometidos a tratamiento

20 Agencia Española de Protección de Datos PRINCIPIO DE INFORMACIÓN Si los datos se recogen del afectado: –En todo caso De la existencia del tratamiento De la finalidad del mismo De los posibles destinatarios de los datos De la identidad del responsable del tratamiento –Si no se deduce claramente de las circunstancias de la recogida Del carácter obligatorio o potestativo de facilitar los datos De las consecuencias de la negativa a facilitar los datos De la posibilidad de ejercitar los derechos y ante quién

21 Agencia Española de Protección de Datos PRINCIPIO DE INFORMACIÓN Si los datos no se recogen del afectado: –En general, deberá informarse en los tres meses siguientes de la información que ha de facilitarse en todo caso y de la posibilidad de ejercitar los derechos –Excepciones Función estadística Habilitación expresa de la cesión o del tratamiento por Ley La comunicación es imposible o exige esfuerzos desproporcionados a juicio de la APD Caso especial para las empresas de publicidad y prospección

22 Agencia Española de Protección de Datos DEBER DE SEGURIDAD Delimitación general (art. 9 LOPD): –Adopción de medidas técnicas y organizativas –Evitación de la alteración, pérdida y acceso no autorizado a los datos Relevancia del cumplimiento de esta obligación –Real: evita intromisiones ilegítimas en perjuicio del derecho de los afectados –Práctica: la responsabilidad en caso de incumplimiento recae directamente sobre la entidad responsable o encargada del tratamiento, no sobre el usuario

23 Agencia Española de Protección de Datos REGULACIÓN DEL DEBER DE SEGURIDAD (Real Decreto 994/1999) Delimitación de tres niveles acumulativos –Básico, aplicable en general –Medio, aplicable a ficheros de infracciones administrativas o penales, solvencia, hacienda pública y servicios financieros –Alto, aplicable al tratamiento de datos sensibles y ficheros policiales

24 Agencia Española de Protección de Datos RESUMEN DE LAS MEDIDAS DE SEGURIDAD Punto de partida: el documento de seguridad Nivel básico: –Delimitación básica de atribuciones –Medidas técnicas sencillas (accesos, identificación, gestión de soportes, copias de respaldo) Nivel medio –Medidas organizativas: el responsable de seguridad –Especialización de las medidas étnicas –Medidas de control: auditoria Nivel alto –Medidas técnicas avanzadas: registro de accesos y cifrado de comunicaciones y soportes

25 Agencia Española de Protección de Datos DEBER DE SECRETO Complementario del deber de seguridad y del secreto profesional que pudiera incumbir al que ha de guardarlo (por ejemplo, secreto médico) Incumbe a quienes intervengan en cualquier fase del tratamiento Subsiste aún después de haber cesado en el tratamiento o en la relación con el responsable del tratamiento

26 Agencia Española de Protección de Datos DEBER DE NOTIFICACIÓN DE LOS TRATAMIENTOS A LA AEPD Obligación previa al tratamiento de los datos Contenido de la notificación –Modelos oficiales aprobados por la APD –En todo caso debe hacerse constar lo exigido por el artículo 26.2 de la LOPD El objetivo de la notificación es la inscripción del tratamiento en el RGPD de la APD La inscripción en el RGPD es imprescindible para el tratamiento de los datos, pero no presupone la completa licitud del tratamiento –La falta de notificación es sancionable –Pero también será sancionable cualquier vulneración de la LOPD en un tratamiento inscrito

27 Agencia Española de Protección de Datos PROCEDIMIENTO DE NOTIFICACIÓN Cumplimentación del impreso de solicitud Posible solicitud por el RGPD de subsanación de los defectos (plazo: 10 días) Inscripción en caso de ser correcta la notificación o haberse subsanado los defectos –También se entenderá inscrito el tratamiento si no hay resolución de la APD en el plazo de un mes Notificación de la resolución al solicitante Posibilidad de recurso contencioso-administrativo

28 Agencia Española de Protección de Datos DERECHOS DE LOS AFECTADOS Acceso Rectificación y cancelación Oposición Consulta del RGPD Decisiones personales automatizadas Indemnización

29 Agencia Española de Protección de Datos DECISIONES PERSONALES AUTOMATIZADAS (art. 13 LOPD) Derecho de los afectados a no verse sometidos a una decisión basada exclusivamente en el tratamiento de sus datos Derecho de impugnación de las decisiones que implican una valoración de su comportamiento fundada exclusivamente en el tratamiento Derecho a conocer los criterios valorativos y el programa empleado para la toma de la decisión Este tipo de decisiones sólo podrá tener valor probatorio a petición del propio afectado

30 Agencia Española de Protección de Datos DERECHO DE ACCESO Derecho a conocer la existencia de un tratamiento de los propios datos Vinculado al deber de notificación y a la publicidad del RGPD Alcance del derecho: derecho a conocer –Los datos que están siendo tratados –El origen de dichos datos –Las comunicaciones realizadas o previstas de los mismos

31 Agencia Española de Protección de Datos DERECHO DE ACCESO Características: –El modo de acceso deberá ser sencillo y a través de cualquier medio (neutralidad tecnológica) –El derecho sólo podrá ejercitarse una vez al año, salvo que se acredite la existencia de un interés legítimo –El ejercicio del derecho es gratuito Obligación de resolver del responsable del tratamiento –Deberá concederse o denegarse el derecho en el plazo de un mes desde la solicitud Problemas: acceso a ficheros históricos

32 Agencia Española de Protección de Datos DERECHOS DE RECTIFICACIÓN O CANCELACIÓN Manifestación de los principios de exactitud y proporcionalidad Modo de ejercicio. Deberá hacerse constar: –La indicación del dato erróneo o inexacto tratado –La revocación del consentimiento para el tratamiento Plazo de resolución: 10 días desde la solicitud Efectos: –Cancelación (bloqueo o borrado) o rectificación –Comunicación de este hecho a los cesionarios de los datos

33 Agencia Española de Protección de Datos EXCEPCIONES A LA CANCELACIÓN Protección de los derechos de terceros Protección del propio interés del afectado (historial médico) Conservación de los datos para fines históricos, científicos o estadísticos Obligación o habilitación legal para el tratamiento (por ejemplo, Hacienda Pública)

34 Agencia Española de Protección de Datos DENEGACIÓN DE LA RECTIFICACIÓN O CANCELACIÓN Según la LORTAD, el RD 1332/1994 y la Instrucción 1/1998, procede la denegación –Si la rectificación o cancelación pudiese causar perjuicios a los intereses legítimos del afectado o un tercero –Si existe una obligación legal de conservación de los datos Art LOPD: –Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado En consecuencia, el derecho podrá ser denegado en caso de que los datos deban conservarse con arreglo al artículo 16.3

35 Agencia Española de Protección de Datos DERECHO DE OPOSICIÓN Discrepancias en cuanto a su concepto: –Derecho a negarse al tratamiento con carácter previo al mismo –Derecho a que no sean tratados los datos obtenidos sin consentimiento del afectado Regulación –General (art. 6.4): alegación de motivos fundados en la concreta situación personal del afectado, salvo que una Ley prohíba cesar en el tratamiento –Especial: derecho a oponerse al tratamiento de los datos para fines de publicidad y prospección comercial (art.30.4)

36 Agencia Española de Protección de Datos TUTELA DE LOS DERECHOS POR LA AEPD Derecho del afectado de reclamar ante la APD la denegación de su solicitud de ejercicio de estos derechos Procedimiento –Denegación por el responsable del tratamiento –Solicitud a la APD haciendo constar la reclamación y los preceptos que se consideran infringidos –Traslado al responsable para que alegue en 15 días –Práctica de pruebas o realización de una inspección, en su caso –Audiencia de las partes –Resolución –El procedimiento no podrá durar más de seis meses, siendo el silencio positivo a la solicitud de tutela –Contra la resolución cabe recurso contencioso- administrativo

37 Agencia Española de Protección de Datos OTROS DERECHOS DE LOS AFECTADOS Derecho de consulta gratuita al Registro General de Protección de Datos Derecho a la indemnización contra el responsable del tratamiento en vía administrativa o judicial (según la naturaleza del fichero –público o privado-)