La LOPD en las entidades Públicas y Privadas

AGENDA Los Datos Personales LOPD. Historia Conceptos Básicos AEPD - Problemática de no cumplir con la LOPD Obligaciones de las Entidades Públicas y Privadas Componente Legal Componente Organizativo Componente Técnico Derechos ARCO Actuaciones de la Agencia (Gráficos)

LAS NUEVAS TECNOLOGIAS LOS DATOS PERSONALES ¿PORQUÉ DE ESTA LEY? LOS DATOS PERSONALES NUESTRO DIA A DIA LOPD LAS NUEVAS TECNOLOGIAS ES HABITUAL QUE PRACTICAMENTE PARA CUALQUIER ACTIVIDAD SEA NECESARIO RECOGERLOS Y UTILIZARLOS. Cuando abrimos una cuenta, matriculación en un curso, en el gimnasio, solicitud de participación en un concurso, cuando se reserva un vuelo o un hotel, cuando pide una cita en el médico, cuando busca trabajo, cada vez que efectúo un pago con tarjeta, cuando navego por internet … Constantemente en vida diaria dejo rastros sobre mis gestiones. EL DESARROLLO Y APLICACIÓN DE LAS NUEVAS TECNOLOGIAS EN EL TRATAMIENTO DE LA INFORMACIÓN, Ha supuesto comodidad y rapidez en el tratamiento e intercambio de los datos que se realiza cotidianamente. La bondad y progreso que nos aportan las tecnologías es claro, pero se hace necesario garantizar el equilibrio entre modernidad y la garantía de los derechos de los ciudadanos. LOS DATOS PERSONALES PERMITEN IDENTIFICAR A UNA PERSONA. El nombre, apellidos, dirección postal, e-mail, teléfono, nº matricula del coche, huella digital, fotografía, grabación video, ADN, … son datos que identifican a una persona, ya sea directa o indirectamente

LOPD-HISTORIA CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales Artículo 10 Se reconoce el derecho a la dignidad de la persona … Artículo 18 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. LOPD Historia Objeto y Finalidad Objeto y Finalidad Fichero Niveles

LOPD-HISTORIA Esta normativa afecta al 100% de las empresas de nuestro país. (clientes, proveedores o personal).

LOPD-HISTORIA LA LOPD TIENE POR OBJETO GARANTIZAR Y PROTEGER EN LO QUE CONCIERNE AL TRATAMIENTO DE LOS DATOS PERSONALES, LAS LIBERTADES PÚBLICAS Y LOS DERECHOS FUNDAMENTALES DE LAS PERSONAS FÍSICAS Y ESPECIALMENTE SU HONOR E INTIMIDAD PERSONAL Y FAMILIAR. EN RESUMEN, PONER LIMITES AL GRADO DE INTRUSIÓN EN NUESTRA INTIMIDAD QUE PUEDEN GENERAR LAS NUEVAS TECNOLOGÍAS POR TANTO SE REGIRA POR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS TODO TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL REGISTRADOS EN SOPORTE FÍSICO (SOPORTE PAPEL O INFORMÁTICO). LOPD Historia Objeto y Finalidad Objeto y Finalidad Fichero Niveles

1º Obligación de registrar nuestros SE ENTIENDE POR “FICHERO”, TODO CONJUNTO DE DATOS DE CARÁCTER PERSONAL, CUALQUIERA QUE FUESE SU FORMA O MODALIDAD DE SU CREACIÓN, ALMACENAMIENTO, ORGANIZACIÓN Y ACCESO. CONCEPTOS BÁSICOS ¿QUE ES UN FICHERO? CLIENTES PERSONAL PROVEEDORES CANDIDATOS TIPOS DE FICHEROS TIPO POR EMPRESA: (e.j.) 1º Obligación de registrar nuestros ficheros ante la AEPD Dentro de la página Web de la Agencia de Protección De datos, podemos conocer si una compañía tiene inscritos ficheros https://www.agpd.es … ETC

CONCEPTOS BÁSICOS NO ES LO MISMO TRATAR DATOS MERAMENTE IDENFICATIVOS (nombre, teléfono, etc) QUE DATOS QUE PUEDEN COMPROMETER A LA PERSONA (enfermedades, deudas, orientación sexual). ALTO MEDIO Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico... Datos relativos a la comisión de infracciones administrativas o penales Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social. Ficheros sobre solvencia patrimonial o de crédito. Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual. Datos recabados para fines policiales sin consentimiento de las personas afectadas Datos de derivados de actos de violencia de género BASICO

Consulta de Ficheros Inscritos pública y gratuita en el RGPD LA AEPD www.agpd.es Consulta de Ficheros Inscritos pública y gratuita en el RGPD

LA AEPD ... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia www.agpd.es Las sanciones impuestas tras la inspección en caso de incumplimiento, son elevadísimas, las mas altas de la Unión Europea, conllevando sanciones que en la mayoría de los casos oscilan entre los 60.000 Y 300.000 € (10 y 50 Millones de Ptas.) GRAVES Multa de 60.101 € a 300.506 € (10 a 50 Millones de pesetas) MUY GRAVES Multa de 300.506 € a 601.012 € (50 a 100 Millones de pesetas) LEVES Multa de 601 € a 60.101 € (100.000 a 10 Millones de ptas.)

Se financia con las sanciones LA AEPD Política de la Agencia Campaña de sensibilización No sancionar los registros Se financia con las sanciones

Descripción de la infracción LA AEPD Nivel de la infracción Descripción de la infracción Sanción prevista LEVE No atender la solicitud de rectificación o cancelación por motivos formales. No proporcionar información a APD. No solicitar inscripción de fichero en el RGPD (puede ser infracción grave). Recoger datos personales sin proporcionar información a los afectados. Incumplir el deber de secreto (puede ser infracción grave). 601 - 60.101€ (100.000-10 M Ptas.) GRAVE Algunas infracciones son: Recoger datos personales sin consentimiento expreso de los afectados. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grave). Mantener datos inexactos, sin rectificar o cancelar Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad Vulnerar el deber de secreto en ficheros de nivel medio. 60.101 - 300.506€ (10 - 50 M Ptas.) MUY Entre otras: Recoger datos de forma engañosa o fraudulenta. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. No atender sistemáticamente el deber notificación de la inclusión de datos personales. 300.506 - 601.012€ (50 - 100 M Ptas.)

OBLIGACIONES DE LAS ENTIDADES OBLIGACIONES LEGALES OBLIGACIONES ORGANIZATIVAS OBLIGACIONES TÉCNICAS

OBLIGACIONES LEGALES 1º MOMENTO: El momento en el que se recaban los datos , bien directamente del interesado o de un tercero 2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos, buscando definir un perfil del afectado, perfil que incluso el mismo puede desconocer 3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como “cesión o comunicación de datos”

OBLIGACIONES LEGALES LOPD PRINCIPIOS DATOS ESPECIALMENTE PROTEGIDOS CALIDAD DE DATOS CONSENTIMIENTO INFORMACIÓN DATOS ESPECIALMENTE PROTEGIDOS SEGURIDAD Y SECRETO COMUNICACIÓN DE DATOS ACCESO A DATOS POR TERCEROS PRINCIPIOS LOPD

OBLIGACIONES LEGALES 1º MOMENTO: RECOGIDA DE LOS DATOS Principio de Calidad de Datos 1º MOMENTO: RECOGIDA DE LOS DATOS Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto CALIDAD.- Los datos que se recaban deben ser adecuados, pertinentes y no excesivos, exactos y puestos al día CONSENTIMIENTO.- El interesado ha de otorgar consentimiento para llevar a cabo un tratamiento automatizado de sus datos. En el RLOPD se contempla la posibilidad de que: El responsable del fichero o del tratamiento se dirijan al Interesado informándole y concediéndole un plazo de 30 días hábiles para manifestar su disconformidad. No se requiere consentimiento: Cuando una ley así lo disponga Para el ejercicio de las funciones propias de las administraciones públicas. Cuando se refieren a las partes de un contrato o precontrato de una relación laboral Cuando el tratamiento de los datos tenga por finalidad un interés vital del interesado. Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios INFORMACIÓN.- Cumplir con el deber de información dispuesto en la LOPD, informando de modo expreso, preciso e inequívoco de la finalidad de la recogida y de los destinatarios de la información, así como de los derechos de que dispone sobre dichos datos. Derecho de Acceso, rectificación, cancelación y Oposición (especial atención a los plazos)

OBLIGACIONES LEGALES Principio de Calidad de Datos Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros MEDIDAS DE INDOLE TÉCNICO Y ORGANIZATIVO.- Se deben establecer aquellas medidas necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD. DOCUMENTO DE SEGURIDAD. Se reflejarán en el citado documento las medidas de índole técnico y organizativas establecidas y relacionadas con el Reglamento de Medidas de Seguridad DEBER DE SECRETO Y CONFIDENCIALIDAD respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo

OBLIGACIONES LEGALES Principio de Calidad de Datos Principio de información en la recogida de datos Principio de consentimiento La Ley prevé la necesidad de proteger especialmente este tipo de datos, que por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos, de manera que: Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen ideología, afiliación sindical, religión, creencia, origen racial o étnico, o vida sexual. Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado. -Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al origen racial, la salud o la vida sexual. En el caso de comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes.

OBLIGACIONES LEGALES 3º MOMENTO: COMUNICACIÓN DE LOS DATOS Principio de Calidad de Datos 3º MOMENTO: COMUNICACIÓN DE LOS DATOS Principio de información en la recogida de datos Principio de consentimiento Datos Especialmente protegidos Seguridad y Secreto Principio de Comunicación de Datos Principio de Acceso a Datos por Cuenta de Terceros PRINCIPIO DE ACCESO A DATOS POR CUENTA DE TERCEROS El acceso de un tercero a los datos cuando sea necesario para la prestación de un servicio al responsable del fichero, no se considerará comunicación de datos. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito (ejemplos: gestorías, asesorías, entidades bancarias, etc.). PRINCIPIO DE COMUNICACIÓN DE DATOS Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS MEDIDAS NIVEL BÁSICO: BÁSICO OBLIGACIONES ORGANIZATIVAS Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias Inventario de los soportes y control de la salida de dichos soportes Criterios de archivo de documentación Dispositivos de almacenamiento Custodia de soportes OBLIGACIONES TÉCNICAS Listado de usuarios con acceso autorizado Mecanismos de identificación y autentificación Control de acceso lógico Copias de seguridad al menos semanalmente y procedimiento de recuperación

OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS MEDIDAS NIVEL MEDIO: BÁSICO MEDIO OBLIGACIONES ORGANIZATIVAS Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias y proceso de recuperación Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción) Responsable de Seguridad Auditoria Bienal Control de acceso físico OBLIGACIONES TÉCNICAS Listado de usuarios con acceso autorizado Mecanismos de identificación y autentificación con limitación de intentos Control de acceso lógico Copias de seguridad al menos semanalmente y procedimiento de recuperación

OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS MEDIDAS NIVEL ALTO: BÁSICO MEDIO ALTO OBLIGACIONES ORGANIZATIVAS Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias y proceso de recuperación Inventario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción) Responsable de Seguridad Auditoria Bienal Control de acceso físico Almacenamiento de la información Acceso a la documentación Traslado de la documentación OBLIGACIONES TÉCNICAS Listado de usuarios con acceso autorizado Mecanismos de identificación y autentificación con limitación de intentos Control de acceso lógico Copias de seguridad en una ubicación diferente Cifrado en los soportes y en las telecomunicaciones Registro de accesos

OBLIGACIONES ORGANIZATIVAS Y TÉCNICAS AUTOMATIZADOS NO AUTOMATIZADOS OBLIGACIONES A DESARROLLAR BÁSICO MEDIO BASICO ALTO Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias Control de acceso lógico Registro de Salida de soportes Identificación y autenticación de usuarios Copias de Respaldo y Recuperación Responsable de Seguridad Auditoria Bianual Control de acceso físico Registro de Entrada de soportes Distribución cifrada de soportes Cifrado de telecomunicaciones Registro de accesos Archivo Almacenamiento Custodia

DERECHOS EL DERECHO DE ACCESO Ejemplos: Imágenes de videocámaras en vía pública. Sanciones e informes acerca del personal militar emitidos por la unidad de recursos humanos. Valoraciones de solvencia económica realizadas por entidades financieras. Imágenes en programas de televisión por parte de personajes públicos. Historial clínico de familiar fallecido. Historial clínico que se considera se ha suministrado de manera incompleta.

DERECHOS EL DERECHO DE OPOSICIÓN EL DERECHO DE RECTIFICACIÓN Ejemplo: Recepción de publicidad de una empresa con la que se tiene un contrato. EL DERECHO DE RECTIFICACIÓN Ejemplos: Base de cotización contenida en ficheros de la Seguridad Social. Datos bancarios disponibles por una empresa telefónica.

EL DERECHO DE CANCELACIÓN Ejemplos: Inclusión indebida por parte de las entidades financieras en ficheros de información sobre solvencia patrimonial y crédito. Supresión de datos una vez concluida la prestación de los servicios contratados con operadores de telecomunicaciones Baja en los ficheros de operadores de telecomunicaciones en casos de cambio de operador no consentido por el abonado Cancelación de datos en Internet (foros, YouTube) Supresión de antecedentes policiales, penales y penitenciarios de las Administraciones Públicas competentes Cancelación de datos que figuran en el historial clínico.

LA AEPD ACTUACIONES DE INSPECCIÓN INICIADAS:

LA AEPD ACTUACIONES DE INSPECCIÓN INICIADAS EN 2008 POR SECTORES:

LA AEPD PROCEDIMIENTOS SANCIONADORES INICIADOS: PROCEDIMIENTOS SANCIONADORES CONCLUIDOS:

LA AEPD * SANCIONES: * POR SECTORES:

LA AEPD FICHEROS INSCRITOS Año 2007 Año 2008 Total: 1.017.266

LA AEPD CONSULTAS:

LA AEPD La videovigilancia: garantías ante un fenómeno omnipresente. La instalación de cámaras de videovigilancia por razones de seguridad se está incrementando de manera exponencial en los últimos años. Notable ampliación del número de ficheros inscritos en la AEPD con esta finalidad: - 2007  5.026 - 2008  15.510 Importante concienciación y reacción ciudadana reflejadas en el aumento de las denuncias. La AEPD reaccionó ante este fenómeno con la publicación de la Instrucción 1/2006 de 8 de noviembre para adecuar los principios y garantías de la LOPD a estas actividades y con la organización y celebración de las II Jornadas Abiertas.

El desconocimiento de la ley no exime de su cumplimiento CONCLUSIONES El desconocimiento de la ley no exime de su cumplimiento “La aplicación de la LOPD nos permitirá evitar las elevadísimas sanciones, pero no debemos olvidar que al cumplir la ley, mejoramos la seguridad y procedimientos de nuestra organización y la imagen frente a nuestros clientes, proveedores y empleados, respetando la privacidad y el derecho a su intimidad. El titular o propietario de los datos no es quien los posee en un fichero (papel o informático), si no el individuo al que se refieren los datos.