PROTECCION DE DATOS EN UN DESPACHO DE ABOGADOS Alberto J. Rodríguez Abogado arodriguez@arlegal.es @ajrodriga Fundación de Estudios y Prácticas Jurídicas de Granada Oct. 2016

INDICE La protección de datos en la actividad del abogado Definiciones y términos básicos Principios fundamentales de la protección de datos Derechos de las personas afectadas por el tratamiento Notificación e inscripción de los ficheros Medidas de seguridad Infracciones y Sanciones

Derecho a la Protección de dAtos STC 292/2000, de 30 de noviembre Reglamento UE 2016/679 (25/05/16 – 25/05/18) LO 15/1999 (LOPD) Reglamento de desarrollo (RD 1720/2007) (RLOPD) Ley 34/2002 (LSSI) •Comunicaciones comerciales electrónicas •Cookies Ley 32/2003 (LGT y RD 424/2005 RSU) Publicidad telefónica

La protección de datos en la actividad del abogado Nosotros usamos habitualmente información que tiene la consideración de “datos de carácter personal” Al margen del asesoramiento que prestemos en esta materia, nosotros estamos sometidos a la LOPD Forma parte de la organización y gestión del despacho

La protección de datos en la actividad del abogado Dos ámbitos: Interno: Gestión administrativa del despacho (empleados, colaboradores, proveedores, …) Externo: Gestión de asuntos profesionales (clientes, contrarios, terceros, …)

Definiciones y términos básicos Datos de Carácter Personal: Cualquier información concerniente a personas físicas identificadas o identificables (art. 3 LOPD) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados

Datos de personas fallecidas Regla general: no son titulares del derecho: exclusión de la aplicación de la LOPD Especialidades previstas en el Reglamento: comunicación del fallecimiento y solicitud de cancelación (herederos, vinculo) fundamento: principio de calidad de datos (exactitud) Datos de empresarios individuales Delimitación en atención a la naturaleza del dato y su vinculación a la vida privada o empresarial y organización en forma de empresa. Delimitación por la finalidad para la que se tratan los datos (Resolución de 22 de julio de 2005): publicidad dirigida a “la empresa”

Ficheros de “personas de contacto” –No aplicación a datos de personas físicas que desarrollan su actividad en una persona jurídica –Limitación de datos: nombre y apellidos, puesto, dirección, teléfono y fax profesionales

Fichero: Conjunto organizado de datos de carácter personal cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso (art. 3.b LOPD) Tratamiento de Datos: Las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (art. 3.c LOPD)

Definiciones y términos básicos Responsable del fichero o tratamiento: La persona física o jurídica, de naturaleza publica o privada, u órgano administrativo, que decida sobre la finalidad del tratamiento, contenido y uso del tratamiento (art. 3.d LOPD) Afectado o interesado: La persona física titular de los datos que sean objeto de tratamiento Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a una persona identificada o identificable (art. 3.f) Encargado de tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (art. 3.g)

Definiciones y términos básicos Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales (art. 3.h LOPD) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado (art. 3.i LOPD) Fuentes accesibles al público: Fichero cuya consulta pueda ser realizada por cualquier persona con o sin contraprestación. Censo promocional, repertorios telefónicos, listados profesionales (art. 3.j LOPD)

Principios fundamentales de la P.D. Calidad de los datos: Los datos deben ser pertinentes y adecuados al fin que se pretenda y no pueden permanecer en el fichero mas tiempo del necesario par cumplir sus fines (art. 4 LOPD) Información en la recogida de datos: Se debe informar sobre la existencia del fichero, la finalidad de la recogida y los destinatarios de la información e informar de los derechos que asisten, de la obligación o no de responder al cuestionario, las consecuencias de su respuesta positiva o afirmativa y de las posibilidades de acceso, rectificación, cancelación y oposición e igualmente ha de identificarse al responsable del tratamiento de datos. (art. 5 LOPD)

Principios fundamentales de la P.D. Consentimiento del afectado: El es principio rector. Inequívoco, y se admite el consentimiento tácito (excepto datos especialmente protegidos). Podrá revocarse el consentimiento por un procedimiento sencillo y gratuito. Excepción: “ … cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento … “ (art. 7 LOPD) Datos especialmente protegidos: Ideología, religión y creencias (art. 7 LOPD). Hay que advertir que se puede no prestar consentimiento para su tratamiento. Seguridad de los datos: Hay que adoptar medidas que garanticen la seguridad de los datos (art. 9 LOPD)

Principios fundamentales de la P.D. Deber de secreto: Existe la obligación de secreto profesional y de guardar los datos incluso después de finalizada la relación con el responsable del fichero (art. 10 LOPD). Comunicación / Cesión de datos: Solo se pueden ceder datos a un tercero para el cumplimiento de los fines directamente relacionados con las funciones del cedente y del cesionario y con el consentimiento del interesado (hay excepciones que la ley prevé, art. 11 LOPD) Acceso a datos por cuenta de terceros: No se considera cesión de datos el acceso a los mismos por un tercero que va a prestar un servicio al responsable de tratamiento. Hace falta contrato que asegure la finalidad del tratamiento, las medidas de seguridad, y el compromiso de destruir o devolver los datos al final. (art. 12 LOPD)

Derechos de las personas afectadas por el tratamiento Derecho de impugnación de valoraciones: Se pueden impugnar actos administrativos o decisiones privadas que supongan una valoración de su comportamiento atendiendo al tratamiento de sus datos (rendimientos laborales, créditos, finalidad o conducta personal, social, … art. 13 LOPD) Derecho de consultar el RGPD: Es gratuito y se puede consultar por internet. DERECHOS “ARCO”: Acceso Rectificación Cancelación Oposición

DERECHOS ARCO Caracteres de estos derechos Independencia. Sencillez Utilización de servicios de atención al público o ejercicio de reclamaciones Posible establecimiento de canales de atención del derecho Deber de resolver incluso en caso de no usarse esos canales Gratuidad Prohibición de ingreso por el responsable del fichero prohibición de determinados cauces (cartas certificadas, tarificación adicional –art. 24.3 RPD)

DERECHOS ARCO Derecho de Acceso Alcance. Contenido del derecho: datos, finalidades, origen y comunicaciones Extensión de la solicitud: datos, ficheros o toda la información del responsable (No acceso a documentos) Causas de denegación Por ejercicio reiterado (una vez cada 12 meses salvo que exista causa legítima) Por prohibición legal o de norma Comunitaria de aplicación directa. Por prohibición legal de revelación (prevención blanqueo de capitales)

DERECHOS ARCO Derecho de Rectificación Causas de denegación Rectificación: derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos Cancelación: derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este RD Causas de denegación Cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables Durante la vigencia de las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos Por prohibición legal, o norma Comunitaria de aplicación directa. Por prohibición legal de revelación

DERECHOS ARCO Derecho de Oposición Oposición “strictu sensu”: Cuando no sea necesario el consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario (Dº al olvido. No indexación) Opt-out en marketing: Sin necesidad de acreditar causa legítima Decisiones automatizadas: derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta

DERECHOS ARCO Derecho de Cancelación La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

Derecho al Olvido (STJUE 13/05/2014) Derechos de cancelación y oposición frente a buscadores en Internet Ejercicio ante el editor de la web Libertad de información y expresión Obligación legal (BOE) Ejercicio ante el gestor del buscador La actividad de los buscadores es tratamiento de datos cuando afecta a información personal Es un tratamiento distinto del que realiza el editor (Publisher) El gestor del buscador es responsable del tratamiento

Derecho al Olvido (STJUE 13/05/2014) Google está sujeto al derecho europeo y nacional porque la actividad del buscador y su establecimiento están indisolublemente ligados debido a que la publicidad es el medio para hacer el motor rentable y la presentación de resultados va acompañada de publicidad Legitimación Excluye el mero interés económico y la licitud del tratamiento por el editor Únicamente lo legitima el interés de los internautas en tener acceso a la información Ponderación caso a caso Prevalencia DPD Interés público (persona o materia)

Derecho al Olvido (STJUE 13/05/2014) CONCLUSIONES La actividad del motor de búsqueda Google supone un tratamiento de datos personales porque localizan, recopilan, indexan información publicada en páginas webs de terceros que contiene datos personales, la almacenan temporalmente y la ponen a disposición de los internautas según un orden de preferencia determinado. El gestor de un motor de búsqueda debe considerarse responsable de dicho tratamiento de datos personales porque determina los fines y medios de esta actividad, y así del tratamiento de datos personales.

Derecho al Olvido (STJUE 13/05/2014) Supone un tratamiento de datos personales “en el marco de las actividades de un establecimiento del responsable” del tratamiento en territorio de un Estado miembro, cuando: i)  el gestor de un motor de búsqueda establece en un Estado miembro una sucursal o filial con el fin de promover y vender espacios publicitarios ii) orienta la actividad hacia los habitantes de dicho Estado.

Derecho al Olvido (STJUE 13/05/2014) El gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona, vínculos a páginas web, publicadas por terceros y que contienen información relativa a esa persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.

Derecho al Olvido (STJUE 13/05/2014) En el caso concreto, prevalece el derecho del interesado a proteger su vida privada en el sentido de que la información relativa a su persona en la situación actual se elimine (derecho de cancelación y bloqueo de los datos) sobre el derecho a la información y a la libertad de prensa de los terceros que acceden a Internet en busca de información de esa persona y sobre los intereses económicos del gestor del motor de búsqueda. Caso distinto es que la relevancia pública del interesado haga que prevalezca el derecho a la información sobre el derecho del interesado a la protección de su vida privada y de sus datos personales.

Derecho al Olvido (STJUE 13/05/2014) Posibilidad de solicitar que se eliminen los enlaces de la lista de resultados con información sobre esa persona cuando se realice búsqueda a partir del nombre de la persona mediante solicitud dirigida al motor de búsqueda el cual valorará los motivos fundados de la petición y cuando éste no acceda a lo solicitado el interesado podrá acudir a la autoridad de control o a los tribunales.

Derecho al olvido – sts 15/10/2015 Según el alto tribunal, la vinculación entre los datos personales de una persona y una información lesiva para su honor e intimidad en una consulta por Internet va perdiendo su justificación a medida que transcurre el tiempo si las personas concernidas carecen de relevancia pública y los hechos, vinculados a esas personas, carecen de interés histórico. Por ello, el derecho a la protección de datos personales justifica que, a petición de los afectados, los responsables de las hemerotecas digitales deban adoptar medidas tecnológicas impedir que en sus páginas la información obsoleta y gravemente perjudicial pueda ser indexada por los buscadores de Internet.

Derecho al olvido – sts 15/10/2015 Sin embargo, la Sala rechaza la procedencia de eliminar los nombres y apellidos de la información recogida en la hemeroteca, o que los datos personales contenidos en la información no puedan ser indexados por el motor de búsqueda interno de la hemeroteca

Derecho al olvido – sts 15/10/2015 aunque el tratamiento de los datos pueda considerarse veraz, ya no resulta adecuado para la finalidad con la que inicialmente fueron recogidos y tratados, y distorsiona gravemente la percepción que los demás ciudadanos tienen de la persona afectada, provocando un efecto  estigmatizador e impidiendo su plena inserción en la sociedad. (calidad del dato, art. 4 LOPD)

Derecho al olvido – sts 15/10/2015 el llamado “derecho al olvido digital” no ampara que cada uno construya un pasado a su medida, impidiendo la difusión de informaciones sobre hechos que no se considere positivos, ni justifica que aquellos que se exponen a sí mismos públicamente puedan exigir que se construya un currículo a su medida. 

TRANSFERENCIA INTERNACIONAL 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/ Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s) RLOPD). 2007, de 21 de diciembre,

TRANSFERENCIA INTERNACIONAL El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j) RLOPD). El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ) RLOPD).

TRANSFERENCIA INTERNACIONAL Para realizar transferencias internacionales de datos, será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos.

SAFE HARBOR ??? … Decisión 520/2000/CE, declaraba conformes al “estándar adecuado” de protección de datos las transferencias efectuadas a aquellas empresas norteamericanas que se hubieran acogido a los principios establecidos en dicha Decisión, el procedimiento habitualmente conocido como Safe Harbor

SAFE HARBOR ??? … Un joven abogado y activista austríaco, Maximilian Schrems, denunció ante la autoridad irlandesa de protección de datos. Como usuario de Facebook —en Irlanda está su filial, como las de muchas grandes tecnológicas— y a raíz de las revelaciones del exconsultor en la CIA Edward Snowden, argumentó que sus datos estaban comprometidos. Que el espionaje le afectaba directamente como ciudadano. Recurrió a la High Court irlandesa después de ver desestimada su queja. La High Court preguntó al TJUE: no sabía si se podía contradecir a la Comisión Europea, que había decidido hace 15 años que todo estaba bien.

SAFE HARBOR ??? … Sentencia del Tribunal de Justicia de la UE de 6 de Octubre de 2015, Schrems c. Facebook es: 1. El régimen estadounidense de puerto seguro posibilita [...] injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas", ya que la legislación estadounidense permite "dejar de aplicar, sin limitación, las reglas de protección previstas por ese régimen". Además, añade que "la Comisión no pone de manifiesto que en Estados Unidos haya reglas destinadas a limitar esas posibles injerencias ni que exista una protección jurídica eficaz contra éstas"

SAFE HARBOR ??? … 2. "debe considerarse que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada". 3. "una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión vulnera el contenido esencial del derecho fundamental a la tutela judicial efectiva.jurídica eficaz contra éstas"

DEL SAFE HARBOR … AL PRIVACY SHIELD Decisión UE 2016/1250 de la Comisión https://www.privacyshield.gov/welcome El Escudo de Privacidad supone que las autoridades de EE.UU. colaborarán con las europeas y están obligadas a publicar normas específicas sobre el tratamiento de los datos que recopilan. Esto también implica que los gobiernos de los Estados implicado no podrán acceder de forma indiscriminada a los datos, sólo lo harán cuando sea imprescindible y contando con las debidas garantías.

Notificación e inscripción de ficheros Es obligación del titular del fichero inscribir el mismo en el RGPD de la AEPD También deben notificarse los cambios en la finalidad, de su responsable y dirección. Se inscriben todos los ficheros, manuales y automatizados. Solicitud: Responsable Lugar para ejercitar los derechos ARCO Encargado de tratamiento Origen de los datos. Tipos, estructura y organización del fichero Medidas de seguridad y la previsión de que sean cedidos Formulario NOTA

Medidas de seguridad El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Documento de seguridad

Infracciones y Sanciones El responsable del fichero y encargado de tratamiento son responsables a efectos sancionadores (Art. 43 LOPD) Leves – 900 a 40.000 € Graves – 40.001 a 300.000 € Muy graves –300.001 a 600.000 € Reglamento : 20 M€

Reglamento UE 2016/679 Reglamento UE 2016/679 Vigor: 25/05/2016 Aplicación: 25/05/2018 – adaptación 2 años El Reglamento se aplicará a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento

Reglamento UE 2016/679 Establece el Derecho al Olvido: el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos (sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014) y el Derecho a la Portabilidad: recuperar esos datos en un formato que le permita su traslado a otro responsable. Consentimiento: edad mínima 16. España 14

Reglamento UE 2016/679 Consentimiento: edad mínima 16. España 14 libre, informado, específico e inequívoco Acaba con el consentimiento tácito Verificable por quien lo obtenga Registros y auditoria)

PROTECCION DE DATOS EN UN DESPACHO DE ABOGADOS gracias Alberto J. Rodríguez Abogado arodriguez@arlegal.es @ajrodriga Fundación de Estudios y Prácticas Jurídicas de Granada Oct 2015