LOPD Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal

Agenda Leyes antecesoras LOPD Niveles de seguridad Datos estadísticos Objetivo. Finalidad Datos de carácter personal Obligaciones básicas Niveles de seguridad Datos estadísticos Sanciones Aplicación en casos reales

Leyes antecesoras

LOPD. Objetivo REGULAR el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados los derechos de los ciudadanos sobre ellos las obligaciones de aquellos que los crean o tratan

LOPD. Finalidad GARANTIZAR y PROTEGER las libertades públicas los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar

LOPD. Datos de carácter personal Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

LOPD. Obligaciones básicas LEGALIZAR LEGITIMAR PROTEGER

LOPD. Obligaciones básicas 1. LEGALIZAR Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.

LOPD. Obligaciones básicas 2. LEGITIMAR Todos los datos de carácter personal recogidos deben cumplir 3 principios básicos: Principio del consentimiento del afectado Principio de información Principio de calidad de los datos

LOPD. Obligaciones básicas a) Principio del consentimiento del afectado Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que son recabados. El consentimiento deberá ser precedido por una declaración del Responsable del fichero en la que se indiquen, de forma clara y fácilmente comprensible: los datos que van a ser objeto de tratamiento las finalidades a que van a ser destinados, para que los interesados indiquen, sin ningún género de dudas, su conformidad con su tratamiento o su oposición al mismo Por principio del consentimiento entiende la Ley que es la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que le son recabados. Cuando una empresa decide recabar datos de carácter personal debe, para poder utilizarlos, recabar el consentimiento de la persona que los cede. Ese consentimiento no se basa en que demos los datos, sino en qué nosotros seamos conscientes de que los damos. Por ello, se exige casi siempre (existen excepciones) que la persona que da sus datos personales lo manifieste conscientemente, y que ese consentimiento sea informado. Ello supone que el consentimiento del afectado deberá ser precedido por una declaración del Responsable del Fichero (la empresa que los recaba) en la que se indiquen, de forma clara y fácilmente comprensible, los datos que van a ser objeto de tratamiento y las finalidades a que van a ser destinados, para que los interesados indiquen, sin ningún género de dudas, su conformidad con su tratamiento o su oposición al mismo. Actualmente, se recaban más datos a través de formularios en páginas web que de manera tradicional y encontramos, en ellos, una serie de casillas de verificación en las que aparece que, además de ceder los datos, damos nuestro consentimiento para recibir cualquier tipo de publicidad o comunicación a través de correo electrónico. Estas casillas, según lo dispuesto en la normativa Comunitaria sobre Comunicaciones Comerciales y en lo que dispone la Ley de Servicios de la Sociedad de la Información, deben estar en blanco para que sea el propio afectado el que las marque si desea recibir tal información y porque tal acto supone el consentimiento expreso. En cuanto a las excepciones sobre que el consentimiento sea expreso e inequívoco, encontramos las siguientes: No es necesario recabar el consentimiento del afectado cuando los datos de carácter personal se recojan para el ejercicio propio de las Administraciones Públicas. Tampoco es necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato en una relación negocial, laboral o administrativa y sean necesarios para el cumplimiento o el mantenimiento de las obligaciones nacidas del mismo. No será necesario el consentimiento del afectado si los datos son recabados de fuentes accesibles al público. Pero, en el caso de que sean utilizados estos datos, en cada comunicación que se realice, se informará al interesado que sus datos proceden de estas fuentes, con lo que puede entenderse que es un consentimiento a posteriori.

LOPD. Obligaciones básicas b) Principio de información Obligación que tienen las empresas de informarnos, de forma previa a la recogida, de modo expreso, inequívoco y preciso de lo siguiente: De la existencia de un fichero al que serán incorporados los datos que nos solicitan Del carácter obligatorio o facultativo de consignar determinados datos De las consecuencias de la obtención de los datos De la posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación u oposición al tratamiento de los datos De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

LOPD. Obligaciones básicas c) Principio de calidad de los datos Hace referencia a que los datos son recogidos para una finalidad concreta, y no podrán ser destinados por el Responsable del fichero a otras finalidades. La finalidad también nos permite reconocer qué fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley.

LOPD. Obligaciones básicas 3. PROTEGER Establecer una serie de medidas con el fin de garantizar la seguridad de los datos de carácter personal recopilados. Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.

LOPD. Video y test Video y test

Niveles de seguridad Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideración de mínimos legales exigibles Cada Empresa podrá incrementarlas de acuerdo a otros criterios de Seguridad Informática, ofreciendo de esta forma mayores garantías, tanto para el tratamiento de sus ficheros como para el resto de la información corporativa

Niveles de seguridad El Reglamento establece los niveles de seguridad de forma acumulativa Nivel medio = nivel básico + nivel medio Nivel alto = nivel medio + nivel alto

Niveles de seguridad Nivel Básico: Para todos los ficheros de datos de carácter personal. Nivel Medio: Serán adoptadas para ficheros que contengan datos: relativos a la comisión de infracciones administrativas o penales. sobre Hacienda Pública. sobre Servicios Financieros. sobre solvencia patrimonial y crédito. un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20). Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.

Niveles de seguridad Niveles de seguridad

Sanciones Existen 3 tipos de sanciones cuya cuantía varia por: naturaleza de los derechos personales afectados volumen de los tratamientos efectuados beneficios obtenidos grado de intencionalidad reincidencia daños y perjuicios causados a las personas interesadas

Sanciones Leves (601,01€ - 60.101,21€) No solicitar la inscripción del fichero en la AEPD Recopilar datos personales sin informar previamente No atender a las solicitudes de rectificación o cancelación No atender las consultas por parte de la AEPD

Sanciones Graves (60.101,21€ - 300.506,25€) No inscribir los ficheros en la AEPD ni permitir el acceso Utilizar los ficheros con distinta finalidad con la se crearon No tener el consentimiento del interesado para recabar sus datos personales No permitir el acceso a los ficheros Mantener datos inexactos o no efectuar las modificaciones solicitadas No remitir a la AEPD las notificaciones previstas en la LOPD Mantener los ficheros sin las debidas condiciones de seguridad

Sanciones Muy graves (300.506,25€ - 601.012,1€) Crear ficheros para almacenar datos que revelen datos especialmente protegidos Recogida de datos de manera engañosa o fraudulenta Recabar datos especialmente protegidos sin la autorización del afectado No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación Vulnerar el secreto sobre datos especialmente protegidos La comunicación o cesión de datos cuando ésta no esté permitida

Sanciones No cesar en el uso ilegítimo a petición de la AEPD Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación No atender de forma sistemática los requerimientos de la AEPD La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización

Informe de la AEPD sobre sanciones en 2008 Datos y estadísticas Informe de la AEPD sobre sanciones en 2008 Hechos denunciados  se incrementaron en más del 45% alcanzando la cifra de 2.362 Resolvió 630 procedimientos sancionadores, casi un 58% más que en 2007, 535 culminaron con la imposición de sanción Las multas impuestas ascendieron hasta los 22,6 millones de euros incremento de un 15% respecto al año anterior El número de hechos denunciados ante la AEPD se incrementó en más del 45%, alcanzando la cifra de 2.362 La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con la imposición de sanción Las multas impuestas ascendieron hasta los 22,6 millones de euros, lo que supone un incremento de un 15% respecto al año anterior

Datos y estadísticas. 2008 Número de reclamaciones Lugar Sector de actividad económica Procedimientos resueltos 1 Telecomunicaciones 454 2 Entidades Financieras 382 3 Video vigilancia 365

Datos y estadísticas. 2008 Número de sanciones por sectores Lugar Sector de actividad económica Procedimientos resueltos 1 Telecomunicaciones 190 2 Entidades Financieras 111 3 Comunicaciones electrónicas y spam 39 4 Comercio, transporte y hostelería 31 5 Video vigilancia 27

Sectores más sancionados y tipo de denuncia Datos y estadísticas. 2008 Sectores más sancionados y tipo de denuncia

Ranking de sanciones en 2009 (datos hasta Septiembre) Datos y estadísticas. 2009 Ranking de sanciones en 2009 (datos hasta Septiembre)

Datos y estadísticas Comparativa 2008-2009

Datos y estadísticas Conclusiones Origen de las sanciones se produce en los ámbitos: Inclusión en Fichero de morosos (art. 29 LOPD, sector financiero) Calidad de datos mantener los datos inexactos, no cancelar los datos debidamente (sector telecomunicaciones y otros sectores). Consentimiento falta de consentimiento previo o falta de consentimiento en la cesión o comunicación de datos Publicidad envío de spam, recepción de publicidad sin consentimiento Deber de secreto revelación de información por parte de personal de la organización Seguridad de los sistemas ataques informáticos, intrusismo, pérdida de información… Video-vigilancia: falta de información y/o consentimiento .

Empresas más sancionadas en 2009 Datos y estadísticas Empresas más sancionadas en 2009 La empresa sancionada con la cuantía más elevada en una multa hasta el momento ha sido “Saberlotodo” Internet S.L. con 360.607,32 €.

Aplicación en casos reales: Infracción muy grave “Saberlotodo” Internet S.L. con 360.607,32 €. Título de la sentencia Sanción protección de datos. Año de la sentencia Madrid, a doce de julio de dos mil seis. Exposición de los hechos Un Colegio Profesional de Fisioterapeutas Tiene un convenio suscrito con una escuela de osteopatía: Le cede etiquetas con el nombre y dirección de sus colegiados Para que puedan remitirles cursos sobre osteopatía.

Aplicación en casos reales: Infracción muy grave Ley aplicada Artículos 11, 44, 45 de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD) articulo 11.doc artículos 44, 45.doc La resolución considera tal conducta una cesión sin consentimiento del art.11 de la LOPD, calificándola como falta muy grave del art. 44.b) de dicho texto legal. si bien se aminora la sanción en aplicación del art.45.5 de la misma norma. 

Aplicación en casos reales: Infracción muy grave Resultado Finalmente, se confirma la culpabilidad del colegio recurrente en la infracción que se le imputa que además se ha visto atenuada de forma cualificada con la Aplicación del indicado art.45.4 de la LOPD. Se le impone a dicha entidad una sanción de 60.101,21 euros. La ley es muy dura con este tipo de actos Cada día  más rigurosa en cuanto su aplicación

Aplicación en casos reales: Sanción leve Multa de 600 euros por dejar a la vista 42 direcciones de correo electrónico Fin lucrativo (no un uso doméstico o personal del correo) en tanto que se enviaba un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone. Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección por no haber sido utilizada la opción de copia oculta (CCO). En este caso, la sanción se debe a que no se trataba de un uso doméstico o personal del correo, sino que su fin era básicamente lucrativo en tanto que se enviaba un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone. Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección por no haber sido utilizada la opción de copia oculta (CCO).

Aplicación en casos reales Ejemplos de sanciones a entidades públicas Ayuntamiento de ARGES Envío de felicitaciones de cumpleaños contando con los datos del padrón municipal. Ayuntamiento de Oviedo Cesión de datos a la UTE (Unión Temporal de Empresas) con la que tenía contratados los servicios Con las exigencias legales que esto conlleva y que el Ayuntamiento no llevó a cabo. Ayuntamiento de GRADO No incluir una leyenda informativa LOPD en un formulario para recabar datos personales que se distribuyó en el 2004 durante una competición internacional de Hockey sobre patines.

Aplicación en casos reales Más ejemplos de sanciones Protección de Datos recibe 30 denuncias contra redes sociales en 2009. 24/12/2009 La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales. 31/12/2009 La video-vigilancia deja de ser servicio exclusivo de las empresas de seguridad. 31/12/2009 Hasta ahora era necesario que la instalación de las videocámaras y sistemas de vigilancia fueran realizadas por una empresa de seguridad.  A partir de 27 de diciembre de 2009 con la ley 25/2009 49, (Conocida como ley Ómnibus) la instalación puede realizarla cualquier empresa siempre y cuando no implique conexión con central de alarma. Diariamente se producen cambios y actualizaciones de las leyes de protección de datos

Aplicación en casos reales Estos son pequeños ejemplos entre los cientos de ellos que se pueden encontrar cada día: Abarcan: desde las empresas privadas hasta las instituciones públicas, desde las más pequeñas, a las mayores Compañías y Empresas, desde una PYME, hasta una gran multinacional. Hay que ser conscientes de que esta ley nos protege como usuarios en todo ámbito y debemos hacer uso de nuestros derechos y obligaciones al respecto.

Aplicación en casos reales Test para calcular las sanciones http://www.apdasesores.com/apd/index.php?option=com_content&task=view&id=28&Itemid=41

Conclusiones Internet ofrece infinitas posibilidades: infraestructura económica y cultural para facilitar muchas de las actividades humanas y contribuir a una mejor satisfacción de nuestras necesidades y a nuestro desarrollo personal. El uso de Internet también conlleva riesgos. El avance vertiginoso de la tecnología hace que, por ejemplo, los peligros para nuestra privacidad son cada vez más sofisticados e invisibles se hacen muy difíciles de detectar para la mayoría de usuarios. El uso indiscriminado de datos personales de usuarios  una práctica muy habitual en los últimos tiempos. Mayor éxito la persecución de esta violación de privacidad. Pese a las infinitas posibilidades que ofrece Internet ofrece como infraestructura económica y cultural para facilitar muchas de las actividades humanas y contribuir a una mejor satisfacción de nuestras necesidades y a nuestro desarrollo personal, el uso de Internet también conlleva riesgos. El avance vertiginoso de la tecnología hace que, por ejemplo, los peligros para nuestra privacidad sean cada vez más sofisticados e invisibles, hasta tal punto que se hacen muy difíciles de detectar para la mayoría de usuarios. El uso indiscriminado de datos personales de usuarios por las empresas, etc. es una práctica muy habitual en los últimos tiempos; y cada vez más se está logrando con mayor éxito la persecución de esta violación de privacidad.

Conclusiones Importancia a la protección de datos 28 de enero de 2007 == primera jornada dedicada a asuntos vinculados a la privacidad informática y la protección de datos Consejo de Europa La fecha se volvió un evento anual al que se unieron en 2008 Estados Unidos y Canadá.  Ante la gravedad de estos riesgos y la relativa novedad que supone Internet en nuestra sociedad Deberían hacerse campañas informativas a nivel nacional a través de todos los medios de comunicación.

Conclusiones Debe continuar: La legislación que regule el uso de Internet Las medidas policiales dirigidas a la captura de los delincuentes del ciberespacio Comercios, gobiernos y organizaciones deben involucrarse en el tema: enseñando a los usuarios de computadoras a proteger su información en línea, Y fomentando políticas de salvaguardia de la privacidad. Y desde luego,

Bibliografía Páginas de ayuntamientos y otras instituciones: http://dialnet.unirioja.es/servlet/articulo?codigo=2937324 http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm Boletín Oficial del Estado: Real Decreto 994/1999 del 11 de Junio. Trabajo de Andrés, C. y Núñez, M. Ley Orgánica de Protección de Datos Internet: http://www.inter-ius.com/html/modules/news/index.php?storytopic=2 -casos reales  http://www.arcanumdata.com/ley-proteccion-datos/ley-proteccion-de-datos_lopd.htm Wikipedia: http://es.wikipedia.org/wiki/LOPD http://www.lopd-proteccion-datos.com/sanciones-lopd.php  http://jurisprudencia.vlex.es/vid/11-lopd-45-5-12-as-4-24301854#ixzz0dc8HaHFA  http://www.emagister.com/de-8-12-anos-que-peligros-beneficios-tiene-internet-para-ninos-cursos-314246.htm#programa

¡Gracias!