Regulación Básica: Artículo 18.4 Constitución Española 1978. (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter.

Presentación del tema: "Regulación Básica: Artículo 18.4 Constitución Española 1978. (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter."— Transcripción de la presentación:

1

2 Regulación Básica: Artículo 18.4 Constitución Española 1978. (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD). R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. Sentencia Tribunal Constitucional 292/2000 Obliga: En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre: Responsable del Fichero (titular o propietario del mismo) Encargado del Tratamiento (por cuenta del responsable). Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Definiciones: Art. 3 LO 15/1999

3 Definiciones: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: todo conjunto de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

4 Principios de la protección de datos: Consentimiento, del afectado o interesado salvo ley que diga otra cosa Calidad de los datos. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas Deber de secreto, de quienes intervengan aunque temporalmente Medidas de Seguridad, dependiendo del nivel de los datos: Básico, nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar) Medio, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personaclidad Alto, ideología, afiliación sindical, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar) Cesión de datos, únicamente con consentimiento del interesado. Acceso a datos por cuenta de terceros. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.

5 Obligaciones: Inscripción de Ficheros en el Registro General de Protección de Datos Creación del Documento de Seguridad y actualización constante Deber de información al interesado Adopción de medidas de seguridad de índole técnica y organizativa que garanticen la seguridad de los datos Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos Establecimiento de procedimientos para que los interesados puedan ejercitar sus derechos: Información Acceso Rectificación Oposición Cancelación Auditoría bienal de protección de datos (art. 110 RD 1720/2007) Colaborar con la Agencia de Protección de Datos

6 Medidas de Seguridad Obligatorias: Datos Básicos: Documento de Seguridad Régimen de Funciones y obligaciones del personal Registro de incidencias Identificación y Autenticación de usuarios Control de acceso Gestión de Soportes Copias de respaldo y recuperación Datos nivel medio: Responsable de Seguridad Auditoría bianual Medidas adicionales de identificación y autenticación de usuarios. Control de acceso físico Datos nivel alto: Seguridad en la distribución de soportes Registro de accesos Medidas adicionales de copias de respaldo Cifrado de telecomunicaciones

7 Inscripción de Ficheros: Registro General de Protección de Datos. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos existentes para facilitar al ciudadano el ejercicio de sus derechos. Ficheros de Titularidad Pública se crean mediante norma publicada en Diario Oficial y notificar en 30 días. Ficheros de Titularidad Privada simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y comenzar el tratamiento. Inscripción según procedimiento RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico) Información que hay que aportar: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales. 1 mes para dictar Resolución inscripción o denegación inscripción. Responsable obligado a mantener actualizada la inscripción.

8 Sanciones Administrativas: Leves de 601 a 60.101 €: No atender solicitud rectificación o cancelación motivos formales No informar a la APD (Agencia Española de Protección de Datos) No solicitar inscripción si son datos básicos. Recoger información sin proporcionar información a los afectados Incumplir deber de secreto si son datos básicos. Graves de 60.101,01 a 300.506 €: Recogida sin consentimiento expreso Tratar incumplir la legislación (puede ser muy grave) Mantener datos inexactos, sin rectificar o cancelar. Mantener ficheros, locales, programas o equipos sin condiciones seguridad Vulnerar deber secreto en datos de nivel medio. Muy Graves de 300.506,01 a 601.012 €: Recoger datos de forma engañosa o fraudulenta Comunicar o ceder datos de forma no permitida Transferencia de datos a países sin nivel de protección equiparable ni autorización de la AEPD No atender sistemáticamente derechos de acceso, rectificación, cancelación u oposición. No atender sistemáticamente deber notificación de la inclusión de datos personales

9 Sanciones Civiles: Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que: Limiten facultades de tratamiento Especifiquen medidas de seguridad Se determinen las responsabilidades derivadas del incumplimento. Sanciones Penales: Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos. Sanciones Laborales: Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..