Salvador Huelin Martínez de Velasco 1 TEMA 2 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO Salvador Huelin Martínez de Velasco shuelin@belt.es

2 PRINCIPIOS LOPD * PRINCIPIO DE CALIDAD DE LOS DATOS * PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE LOS DATOS * CONSENTIMIENTO DEL INTERESADO * DATOS RELATIVOS A LA SALUD * SEGURIDAD DE LOS DATOS * DEBER DE SECRETO * CESIÓN DE DATOS Y ACCESO A LOS DATOS POR CUENTA DE TERCEROS

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 3 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE CALIDAD Adecuados, pertinentes y no excesivos. No cabe la utilización para finalidades incompatibles con aquéllas para las que se recogieron excepto fines históricos, estadísticos o científicos. Datos exactos y puestos al día (situación actual del afectado). Si son inexactos o incompletos = DATOS SUSTITUIDOS de oficio por los datos rectificados o completados en el plazo de diez días, desde el conocimiento de la inexactitud. Solo se conservarán el tiempo necesario para cumplir los fines para los que se recabaron.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 4 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS (I) Previamente informados de forma: expresa, precisa e inequívoca: de la existencia de un fichero, la finalidad y los destinatarios de las consecuencias de la obtención de los datos o la negativa a suministrarlos de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de la identidad y dirección del responsable del tratamiento Todo ello debe constar claramente en los cuestionarios o impresos de recogida de datos.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 5 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO DE NOTA INFORMATIVA Se informa al usuario que los datos incluidos en el presente formulario formarán parte de un fichero automatizado, responsabilidad de XXXX. El usuario deberá completar todos los campos del formulario adjunto con información veraz, completa y actualizada, a excepción de aquellos datos que se indiquen de cumplimiento opcional. En caso contrario XXX podrá proceder a rechazar la solicitud de registro. La finalidad del tratamiento será...., así como el envío de información que XXX considere de interés para el usuario, sobre productos y servicios propios. El usuario podrá hacer valer en todo momento los derechos de acceso, rectificación, cancelación u oposición de los que sea titular, mediante notificación a XXX C/.....de acuerdo con lo establecido en la ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 6 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS (II) Datos no recabados del interesado: A.-) Informar de forma expresa, precisa e inequívoca. de la existencia de un fichero, del contenido, la finalidad y los destinatarios de la procedencia de los datos de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de la identidad y dirección del responsable del tratamiento

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 7 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS (III) B.-) Dentro de los 3 meses siguientes al momento de registro de los datos. EXCEPCIÓN: informado con anterioridad del contenido del tratamiento y de la procedencia de los datos.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 8 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE INFORMACIÓN EN LA RECOGIDA DE DATOS (IV) Excepciones cuando los datos son recogidos de terceros: - Cuando una ley lo prevea ( ej. cobro de impuestos) Cuando el tratamiento responda a fines históricos, estadísticos o científicos. Cuando procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 9 PRINCIPIOS DE LA PROTECCIÓN DE DATOS ACREDITACIÓN DEL CUMPLIMIENTO DEL DEBER DE INFORMACIÓN - Debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento. Debe conservarse mientras persista el tratamiento de los datos. Se puede proceder al escaneo de la documentación en soporte papel.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 10 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO Consentimiento inequívoco del afectado Excepciones: Ejercicio de las funciones propias de las Administraciones Públicas. Partes de un contrato y sean necesarios para su cumplimiento o mantenimiento. Proteger un interés vital del interesado (prevención y diagnóstico médicos, etc.). Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 11 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO - Corresponde al Responsable del tratamiento la prueba de la existencia del consentimiento. - Se pueden recabar datos de mayores de 14 años con su consentimiento, salvo que la ley exija la de los titulares de la tutela. - Para los menores de 14 años, consentimiento de los padres, con un lenguaje fácilmente comprensible. - El Responsable del tratamiento debe articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 12 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO FORMA DE RECABAR - Se debe conceder un plazo de treinta días para manifestar su negativa. - Si la comunicación es objeto de devolución no se puede proceder al tratamiento de los datos. - Debe facilitarse un medio sencillo y gratuito para manifestar la negativa. - Una vez obtenido el consentimiento, no puede volverse a solicitar en el plazo de un año.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 13 PRINCIPIOS DE LA PROTECCIÓN DE DATOS PRINCIPIO DE CONSENTIMIENTO REVOCACIÓN - Revocar a través de un medio sencillo. - El Responsable cesará en el tratamiento en el plazo máximo de diez días. - Debe responder al titular expresamente a la solicitud. - Si los datos fueron cedidos, debe comunicarse a los cesionarios.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 14 PRINCIPIOS DE LA PROTECCIÓN DE DATOS DATOS ESPECIALMENTE PROTEGIDOS (I) Nadie puede ser obligado a declarar sobre su ideología, religión o creencias. - Todo titular de datos de este tipo PODRÁ NO PRESTAR SU CONSENTIMIENTO CUANDO SE PROCEDA A RECABARLOS. Necesario CONSENTIMIENTO EXPRESO Y POR ESCRITO del afectado para el tratamiento de datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. - Excepciones: ficheros mantenidos por sindicatos, partidos políticos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical. La cesión de dichos datos siempre requerirá el previo consentimiento.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 15 PRINCIPIOS DE LA PROTECCIÓN DE DATOS DATOS ESPECIALMENTE PROTEGIDOS (II) IDEOLOGÍA, RELIGIÓN, AFILIACIÓN, CREENCIAS Consentimiento expreso y por escrito ORIGEN RACIAL, SALUD Y VIDA SEXUAL Consentimiento expreso Prohibición de creación de ficheros con la única finalidad de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual MUY IMPORTANTE

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 16 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO CAJA DE AHORROS DEL MEDITERRANEO (PS/00347/2005) ANTECEDENTES Cargo en cuenta, de tasación y petición nota registral sin haber sido solicitados por los denunciantes. HECHOS PROBADOS Crédito con CAM del que son fiadores los denunciantes. FUNDAMENTOS DE DERECHO El artículo 4 de la LOPD, en su apartado 3, dice: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”. El artículo 29 de la LOPD regula de forma específica los ficheros establecidos para prestar servicios de información sobre solvencia patrimonial y crédito. RESUELVE Imponer a la CAM por infracción del artículo 4.3, en relación con el 29.4, tipificada como grave en el artículo 44.3.d), una multa de 60.121,21 €

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 17 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO MAPFRE VIDA, S.A. DE SEGUROS Y REASEGUROS (PS/00122/2005) ANTECEDENTES Póliza de Seguro de accidentes sin haber sido solicitada. Los datos personales fueron indebidamente utilizados, ya que se disponía de ellos por otros productos ya cancelados. HECHOS PROBADOS Suscritas cuatro pólizas, todas ellas en situación de baja. FUNDAMENTOS DE DERECHO El artículo 4.1 y 5 de la LOPD establecen: “Datos adecuados, pertinentes y no excesivos”. “Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados”. El artículo 16 de la LOPD establece que la cancelación dará lugar al bloqueo, conservándose unicamente a disposición de las AAPP y Jueces y Tribunales. RESUELVE Imponer a Mapfre por infracción del artículo 4.5 y 6.1, tipificadas como graves en el artículo 44.3.d) y 44.3.f), dos multas de 60.121,21 €.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 18 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO MINISTERIO DE DEFENSA. SUBSECRETARÍA DE DEFENSA (AAPP/00050/2005) ANTECEDENTES Denuncia por la utilización de un formulario que no recoge lo previsto en el artículo 5.1. HECHOS PROBADOS El formulario no contiene ninguna cláusula que de cumplimiento a las exigencias previstas en el artículo 5. FUNDAMENTOS DE DERECHO Comisión de infracción del artículo 5, en el que se establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE Declarar que el Ministerio de Defensa ha infringido lo dispuesto en el artículo 5.1 de la LOPD.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS 19 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO IBERDROLA (PS/00376/2005) ANTECEDENTES Texto de la cláusula informativa que consta en la política de privacidad, facilitada en la página web. HECHOS PROBADOS Iberdrola es responsable de un fichero inscrito en el RGPD denominado “Clientes”. FUNDAMENTOS DE DERECHO Se imputa a Iberdrola la posible comisión de infracción del artículo 5 de la LOPD en el que se establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE Imponer a Iberdrola por una infracción del artículo 5, tipificada como leve en el artículo 44.2.d), una multa de 601,01 €.

20 PRINCIPIOS DE LA PROTECCIÓN DE DATOS EJEMPLO ARCADIA INTERNACIONAL, S.A., ARVATO SERVICES, S.A. (PS/00328/2005) ANTECEDENTES Desacuerdo con Arcadia para la obtención de sus datos personales. Disconformidad con el hecho de que se le comunique la cesión de sus datos a otras compañías en caso de que no manifieste lo contrario. HECHOS PROBADOS Los datos del denunciante figuran en las “páginas blancas”, sin embargo en esta publicación no aparecen el piso y la puerta que si aparecen en la dirección postal a la que se dirigió el envío. FUNDAMENTOS DE DERECHO El artículo 5 de la LOPD, establece: “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. RESUELVE Imponer a Arcadia, por una infracción del artículo 6, tipificada como grave en el artículo 44.3.d), una multa de 6.000 €. Imponer a Arvato, por una infracción del artículo 6, tipificada como grave en el artículo 44.3.d), una multa de 60.101,21 €.