LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1

TEMA 2 Salvador Huelin Martínez de Velasco 2

PRINCIPIOS LOPD * PRINCIPIO DE CALIDAD DE LOS DATOS * PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE LOS DATOS * CONSENTIMIENTO DEL INTERESADO * DATOS RELATIVOS A LA SALUD * SEGURIDAD DE LOS DATOS * DEBER DE SECRETO * CESIÓN DE DATOS Y ACCESO A LOS DATOS POR CUENTA DE TERCEROS 3

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 4: PRINCIPIO DE CALIDAD  Adecuados, pertinentes y no excesivos.  No cabe la utilización para finalidades incompatibles con aquéllas para las que se recogieron excepto fines históricos, estadísticos o científicos.  Exactitud y puesta al día.  Si son inexactos o incompletos= DATOS SUSTITUIDOS de oficio por los datos rectificados o completados.  Solo se conservarán el tiempo necesario para cumplir los fines para los que se recabaron. 4

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 5: PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Expresa, precisa e inequívoca: a) de la existencia de un fichero, la finalidad y los destinatarios b) de las consecuencias de la obtención de los datos o la negativa a suministrarlos c) de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición d) de la identidad y dirección del responsable del tratamiento Todo ello debe constar claramente en los cuestionarios o impresos de recogida de datos. 5

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO DE NOTA INFORMATIVA Se informa al usuario que los datos incluidos en el presente formulario formarán parte de un fichero automatizado, responsabilidad de XXXX. El usuario deberá completar todos los campos del formulario adjunto con información veraz, completa y actualizada, a excepción de aquellos datos que se indiquen de cumplimiento opcional. En caso contrario XXX podrá proceder a rechazar la solicitud de registro. La finalidad del tratamiento será...., así como el envío de información que XXX considere de interés para el usuario, sobre productos y servicios propios. El usuario podrá hacer valer en todo momento los derechos de acceso, rectificación, cancelación u oposición de los que sea titular, mediante notificación a XXX C/.....de acuerdo con lo establecido en la ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. 6

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 5: PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Datos no recabados del interesado: A.-) Informar de forma expresa, precisa e inequívoca. B.-) Dentro de los 3 meses siguientes al momento de registro de los datos. EXCEPCIÓN: informado con anterioridad del contenido del tratamiento y de la procedencia de los datos. 7

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 5: PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Excepciones cuando los datos son recogidos de terceros: ley - Cuando una ley lo prevea ( ej. cobro de impuestos) tratamiento responda a fines históricos, estadísticos o científicos. - Cuando el tratamiento responda a fines históricos, estadísticos o científicos. informaciónimposible esfuerzos desproporcionados. - Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados. - 8

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 6: PRINCIPIO DE CONSENTIMIENTO Consentimiento inequívoco del afectado Excepciones Excepciones: a) Ejercicio de las funciones propias de las Administraciones Públicas. b) Partes de un contrato b) Partes de un contrato y sean necesarios para su cumplimiento o mantenimiento. c) Proteger un interés vital del interesado c) Proteger un interés vital del interesado (prevención y diagnóstico médicos, etc). fuentes accesibles al público d) Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo. EL INTERESADO PUEDE REVOCAR EL CONSENTIMIENTO 9

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 7: DATOS ESPECIALMENTE PROTEGIDOS a) Nadie puede ser obligado a declarar sobre su ideología, religión o creencias. b) Todo titular de datos de este tipo PODRÁ NO PRESTAR SU CONSENTIMIENTO CUANDO SE PROCEDA A RECABARLOS. CONSENTIMIENTO EXPRESO Y POR ESCRITO c) Necesario CONSENTIMIENTO EXPRESO Y POR ESCRITO del afectado para el tratamiento de datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. La cesión de dichos datos siempre requerirá el previo consentimiento. d) Excepciones: ficheros mantenidos por sindicatos, partidos políticos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical. La cesión de dichos datos siempre requerirá el previo consentimiento. 10

PRINCIPIOS DE LA PROTECCIÓN DE DATOS ART 7: DATOS ESPECIALMENTE PROTEGIDOS (II) IDEOLOGÍA, RELIGIÓN, AFILIACIÓN, CREENCIAS Consentimiento expreso y por escrito ORIGEN RACIAL, SALUD Y VIDA SEXUAL Consentimiento expreso Prohibición de creación de ficheros con la única finalidad de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual MUY IMPORTANTE 11

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO 1.CAJA DE AHORROS DEL MEDITERRANEO (PS/00347/2005) ANTECEDENTES  Cargo en cuenta, de tasación y petición nota registral sin haber sido solicitados por los denunciantes. HECHOS PROBADOS  Crédito con CAM del que son fiadores los denunciantes. FUNDAMENTOS DE DERECHO  El artículo 4 de la LOPD, en su apartado 3, dice: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.  El artículo 29 de la LOPD regula de forma específica los ficheros establecidos para prestar servicios de información sobre solvencia patrimonial y crédito. RESUELVE  Imponer a la CAM por infracción del artículo 4.3, en relación con el 29.4, tipificada como grave en el artículo 44.3.d), una multa de ,21 € 12

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO 2.MAPFRE VIDA, S.A. DE SEGUROS Y REASEGUROS (PS/00122/2005) ANTECEDENTES  Póliza de Seguro de accidentes sin haber sido solicitada. Los datos personales fueron indebidamente utilizados, ya que se disponía de ellos por otros productos ya cancelados. HECHOS PROBADOS  Suscritas cuatro pólizas, todas ellas en situación de baja. FUNDAMENTOS DE DERECHO  El artículo 4.1 y 5 de la LOPD establecen: “Datos adecuados, pertinentes y no excesivos”. “Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados”.  El artículo 16 de la LOPD establece que la cancelación dará lugar al bloqueo, conservándose unicamente a disposición de las AAPP y Jueces y Tribunales. RESUELVE  Imponer a Mapfre por infracción del artículo 4.5 y 6.1, tipificadas como graves en el artículo 44.3.d) y 44.3.f), dos multas de ,21 €. 13

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO 3.MINISTERIO DE DEFENSA. SUBSECRETARÍA DE DEFENSA (AAPP/00050/2005) ANTECEDENTES  Denuncia por la utilización de un formulario que no recoge lo previsto en el artículo 5.1. HECHOS PROBADOS  El formulario no contiene ninguna cláusula que de cumplimiento a las exigencias previstas en el artículo 5. FUNDAMENTOS DE DERECHO  Comisión de infracción del artículo 5, en el que se establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE  Declarar que el Ministerio de Defensa ha infringido lo dispuesto en el artículo 5.1 de la LOPD. 14

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO 4.IBERDROLA (PS/00376/2005) ANTECEDENTES  Texto de la cláusula informativa que consta en la política de privacidad, facilitada en la página web. HECHOS PROBADOS  Iberdrola es responsable de un fichero inscrito en el RGPD denominado “Clientes”. FUNDAMENTOS DE DERECHO  Se imputa a Iberdrola la posible comisión de infracción del artículo 5 de la LOPD en el que se establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE  Imponer a Iberdrola por una infracción del artículo 5, tipificada como leve en el artículo 44.2.d), una multa de 601,01 €. 15

PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO 5.ARCADIA INTERNACIONAL, S.A., ARVATO SERVICES, S.A. (PS/00328/2005) ANTECEDENTES  Desacuerdo con Arcadia para la obtención de sus datos personales. Disconformidad con el hecho de que se le comunique la cesión de sus datos a otras compañías en caso de que no manifieste lo contrario. HECHOS PROBADOS  Los datos del denunciante figuran en las “páginas blancas”, sin embargo en esta publicación no aparecen el piso y la puerta que si aparecen en la dirección postal a la que se dirigió el envío. FUNDAMENTOS DE DERECHO  El artículo 5 de la LOPD, establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE  Imponer a Arcadia, por una infracción del artículo 6, tipificada como grave en el artículo 44.3.d), una multa de €.  Imponer a Arvato, por una infracción del artículo 6, tipificada como grave en el artículo 44.3.d), una multa de ,21 €. 16