View
761
Download
0
Category
Preview:
DESCRIPTION
Citation preview
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
Seminario LOPD4 de Julio de 2011
Miguel Valdés
Luis Mª Latasa
2
I. Introducción
A. Legislación aplicable
B. Objeto y ámbito de aplicación
C. Fuentes accesibles al público
II. Principales obligaciones a cumplir en el tratamiento de datos de carácter personal
A. Inscripción de ficheros
B. Medidas de Seguridad
C. Calidad de datos
D. Deber de información al interesado
E. Consentimiento y legitimación del tratamiento
F. Deber de secreto
G. Encargado del tratamiento
III. Derechos de los interesados
IV. Transferencias internacionales de datos
V. Régimen sancionador
Indice
3
VI. Tratamiento de Datos con fines de publicidad y de marketing
A. Principios Generales
B. Campañas
C. Depuración de datos
D. Ficheros de Exclusión
E. Especialidades derechos ARCO
F. Comunicaciones Comerciales
G. Recomendaciones
H. Ejemplos
VII. Servicios de la Sociedad de la Información:
A. Buscadores
B. Servicios en la nube
C. Redes Sociales
D. Foros, comentarios, etc.
E. Publicidad
F. Cookies
G. Comercio Electrónico
Indice
4
VIII. Control empresarial y protección de datos
A. Control de la utilización de medios de la Empresa:
• Equipos informáticos
• Dispositivos Móviles
• Correo electrónico
• Carpetas personales
B. Videovigilancia
Indice
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
I. Introducción
6
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la LOPD
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (comunicaciones
comerciales por medios electrónicos y cookies)
Ley 32/2003, de 3 de noviembre, de General de Telecomunicaciones
Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones
para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección
de los usuarios (llamadas no solicitadas con fines de venta directa, tratamiento de datos de tráfico,
identificación de línea llamante, facturación detallada, guías telefónicas, datos de localización,
llamadas etc.)
Instrucciones AEPD (videovigilancia, acceso a edificios, etc.)
Legislación aplicable
7
Objeto y ámbito de aplicación
Objeto: garantizar y proteger, en lo que concierne al tratamiento de datos de
carácter personal, las libertades públicas y derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar.
Ámbito objetivo de aplicación:
– Incluidos en el ámbito de aplicación tanto tratamientos automatizados como
ficheros en soporte papel.
– NO se aplica a información sobre personas jurídicas.
– No se aplica a personas de contacto de personas jurídicas ni a empresarios
individuales.
– Se aplica tanto a ficheros de titularidad pública como a ficheros privados.
8
Concepto de dato de carácter personal:
– Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referida a personas físicas
– Relativa a una persona identificada o identificable
– Persona identificable “Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.
SAN DE 20 DE FEBRERO DE 2008
– “una primera consideración jurídica elemental: el número del DNI es un dato de carácter personal , y por tanto protegido por la Ley.”
INFORME JURÍDICO AEPD 425/2006
– La matrícula de los vehículos tiene la consideración de dato de carácter personal.
INFORME JURÍDICO AEPD 213/2004
– “La posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”.
SAN DE 17 DE SEPTIEMBRE DE 2008
– “Un número de teléfono ayuno de otras circunstancias que identifiquen al titular del mismo impide que pueda identificarse en la definición legal de datos de carácter personal.”
Objeto y ámbito de aplicación
9
Ejemplos de tratamientos automatizados
• Sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003 (“Caso
Lindqvist”):
– “Es preciso observar que difundir información en una página web implica, de acuerdo con los procedimientos técnicos e informáticos que se aplican actualmente, publicar dicha página en un servidor, así como realizar las operaciones necesarias para que resulte accesible a las personas que están conectadas a Internet. Estas operaciones se efectúan, al menos en parte, de manera automatizada.”
• SAN de 24 de febrero de 2003 (“Webcam Diario Marca”):
– “La transmisión de imágenes a través de Internet mediante sucesión de fotos fijas que cambian cada 15 segundos y no se conservan en archivo alguno implica un tratamiento de datos.”
• Resolución R/01800/2008 de la AEPD (YouTube):
– “La captación y reproducción de imágenes de los transeúntes en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.”
• Resolución E/00116/2006 de la AEPD:
– “ha de destacarse, en primer lugar, que el tratamiento de datos personales en una exposición realizada en “Power Point” constituye un tratamiento automatizado de datos de carácter personal”.
Objeto y ámbito de aplicación
10
Fichero no automatizado “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.” (Artículo 5.1.n) RLOPD):
– Sentencia del Tribunal Supremo de 19 de septiembre de 2008
• Los libros de bautismo no son un conjunto organizado de datos personales.
• Son una pura acumulación de datos personales que comparta una difícil búsqueda, acceso e identificación:
– No están ordenados alfabéticamente
– Es absolutamente necesario el conocimiento previo de la Parroquia donde tuvo lugar
– No son accesibles por terceros distintos del bautizado, que no podrían solicitar partidas de bautismo ajenas.
– Sentencia de la Audiencia Nacional de 22 de abril de 2009 (”Caso SGAE”)
• Cualquier recogida o uso de datos personales realizado de forma no automatizada no constituye tratamiento de datos en el sentido legal del término.
• El tratamiento no automatizado de datos requiere que los citados datos estén contenidos o destinados a ser incluidos en un fichero para poder aplicar la normativa en materia de protección de datos.
• La imagen contenida en el CD no fue incorporada a ningún fichero, conservándola la recurrente con el conjunto de la documentación aportada a un procedimiento judicial, conservación que no supone su inclusión en un archivo estructurado según criterios específicos relativos a la persona identificable que permitan acceder fácilmente a sus datos personales.
Objeto y ámbito de aplicación
11
Ámbito territorial de aplicación:
– Cuando el tratamiento sea efectuado en un establecimiento del
responsable del tratamiento situado en España.
– Cuando el responsable no esté establecido en territorio de la UE y utilice
en el tratamiento medios situados en España, salvo que tales medios se
utilicen exclusivamente con fines de tránsito (art. 5.1 Designación de un
representante en España)
– Cuando se aplicable la legislación española en aplicación de normas de
Derecho Internacional Público.
Objeto y ámbito de aplicación
12
Fuentes accesibles al público
– Art. 3.j) de la LOPD: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona , no impedida por una norma limitativa (…)”
– Tienen la consideración de fuentes accesibles al público, exclusivamente:
Censo promocional
Guías telefónicas
Listas de profesionales y guías de colegios profesionales
Diarios y boletines oficiales
Medios de comunicación
Fuentes accesibles al público
13
Guías telefónicas: únicamente figurarán los datos de los abonados que hayan otorgado
expresamente su consentimiento al operador.
Salvo que se obtenga el consentimiento para publicar datos adicionales, únicamente
figurarán datos estrictamente necesarios:
– Guías telefónicas: nombre y apellidos, número de abonado y dirección postal, exceptuando piso, letra y escalera.
– Guías Colegios profesionales: direcciones profesionales (domicilio, número telefónico, fax y dirección de e-mail) y nº de colegiado, fecha de incorporación y situación de ejercicio profesional
Posibilidad de indicación gratuita de prohibición de utilización con fines comerciales.
El interesado tiene derecho a que se cancelen o excluyan sus datos:
– 10 días si es información on-line
– Siguiente edición si es en papel.
Las fuentes de acceso público que se editen en forma de libro o algún otro soporte
físico, perderán el carácter de fuente accesible con la nueva edición que se publique.
En el caso de que se obtenga telemáticamente una copia de la lista en formato
electrónico, ésta perderá el carácter público en el plazo de un año a contar desde su
obtención.
Fuentes accesibles al público
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
II. Principales obligaciones a cumplir en
el tratamiento de datos de carácter
personal
15
La LOPD obliga a los responsables de ficheros a que notifiquen los ficheros a la AEPD con
anterioridad a su creación.
– Fichero de nóminas – recursos humanos.
– Ficheros de clientes y/o proveedores.
– Ficheros de usuarios de página web.
– Fichero de videovigilancia
– Etc.
Los extremos a declarar, afectan a la finalidad, tipología, sistemas de tratamiento, encargados
de tratamiento, cesionarios, transferencias internacionales e identidad del responsable entre
otros.
La inscripción de ficheros tiene efectos meramente declarativos
El Registro General de Protección de Datos es un registro público (puede consultarse a través
de la página web de la AEPD)
La inscripción debe mantenerse permanentemente actualizada (cambios en los
sistemas de tratamiento, ubicación física de ficheros, categorías de datos objeto de
tratamiento, etc.).
Inscripción de ficheros en el RGPD
16
Inscripción de ficheros en el RGPD
Fuente: Memoria AEPD 2010
17
Inscripción de ficheros en el RGPD
18
Los Responsables y Encargados del Tratamiento deberán implantar las medidas de seguridad, tanto en tratamientos automatizados como en ficheros en soporte papel.
Si el Encargado del Tratamiento presta sus servicios en los locales del Responsable, deberá cumplir
el Documento de Seguridad de éste último.
En caso de que el Encargado del Tratamiento preste sus servicios en sus propios locales, deberá
elaborar un Documento de Seguridad al efecto o completar el que ya hubiere elaborado con
anterioridad identificando los ficheros y tratamientos e incorporando las medidas de seguridad a
implantar en relación con el mismo.
Nivel básico:
– Todos los ficheros que contengan datos de carácter personal.
– Se consideran de nivel básico los ficheros que contengan datos relativos a ideología, afiliación sindical, religión, creencias o salud cuando:
• Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
• Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
• Datos relativos exclusivamente al grado de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos.
Medidas de seguridad
19
Nivel medio:
– Los relativos a la comisión de infracciones administrativas o penales;
– Datos sobre solvencia patrimonial o cumplimiento/incumplimiento de obligaciones dinerarias;
– Datos de los que sean responsables Administraciones Tributarias;
– Datos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros;
– Datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación, y
– Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos.
Nivel alto:
– Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual:
– Datos recabados para fines policiales sin consentimiento de las personas afectadas;
– Datos derivados de actos de violencia de género; y
– Datos de tráfico y localización.
Medidas de seguridad
20
Nivel básico (ficheros automatizados):
– El responsable del fichero elaborará e implantará la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento. Estructura del Documento de Medidas de Seguridad:
• Ámbito de aplicación con especificación detallada de los recursos protegidos.
• Estructura de los ficheros y descripción de los sistemas de información que los tratan.
• Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad (gestión de soportes, copias de seguridad, identificación y autenticación, etc.).
• Funciones y obligaciones del personal.
• Procedimientos de gestión de incidencias.
• Procedimientos de copias de seguridad.
– El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado cada vez que se produzcan cambios relevantes en los sistemas de información.
Medidas de seguridad
21
Nivel medio (ficheros automatizados):
– Nombramiento de uno o varios responsables de seguridad.
– Auditoría de seguridad externa o interna cada dos años o con anterioridad si se realizan modificaciones sustanciales en el sistema de información.
– Control de acceso físico: exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información.
– Registro de entrada y salida de soportes y documentos: tipo de soportes o documentos, fecha y hora, número de soportes o documentos, tipo de información que contienen, etc.
Medidas de seguridad
22
Nivel alto (ficheros automatizados):
– Cifrado de información:
Distribución de soportes
Dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones delResponsable..Transmisión a través de redes públicas de telecomunicaciones
– Registro de accesos:
Identificación de usuarios
Fecha y hora del acceso
Autorización o denegación del acceso.
Identificación del registro accedido
Conservación durante dos años.
Medidas de seguridad
23
Medidas de seguridad
24
Principio de pertinencia: los datos deben ser adecuados, pertinentes y no excesivos para el
ámbito y las finalidades del fichero.
Principio de finalidad: no se pueden utilizar datos con finalidades diferentes para las que se
han recabado.
Principio de veracidad: los datos deben ser siempre exactos y puestos al día de forma que
respondan con veracidad a la situación real del afectado.
– Si los datos fueran recogidos directamente del interesado, se considerarán exactos los
facilitados por éste.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la que se recabaron.
– Podrán mantenerse bloqueados para la atención de las posibles responsabilidades
nacidas del tratamiento, durante los plazos de prescripción de éstas.
Calidad de datos
25
El Responsable debe facilitar información sobre el tratamiento de los datos de carácter personal: (i) Existencia del fichero o tratamiento, finalidad del tratamiento y destinatarios de la información; (ii) carácter obligatorio o facultativo de la respuesta: (iii) consecuencias de la obtención de datos o la negativa a suministrarlos; (iv) identidad y dirección del responsable; (v) la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
– Previa: siempre que los datos sean recogidos del propio interesado (formularios, cupones, encuestas, páginas web, call-centers, etc.)
– En el plazo máximo de tres meses cuando los datos no hayan sido recabados del interesado.
– En cada una de las comunicaciones que se le dirija: cuando (i) los datos hayan sido obtenidos de fuentes accesibles al público y (ii) se utilicen con fines publicitarios o de prospección comercial. En este caso, debe informarse únicamente de origen de los datos; de la identidad del responsable y de los derechos que le asisten en cada una de las comunicaciones que se le dirijan al titular.
Deber de información al interesado
26
Es necesario el consentimiento del afectado para el tratamiento y comunicación de los datos. Dicho consentimiento no será necesario cuando:
– Los datos obtenidos se refieran a las partes de un contrato o precontrato y sean necesarios para el mantenimiento o cumplimiento de esa relación.
– Los datos hayan sido obtenidos de fuentes accesibles al público.
Principios generales
– La solicitud del consentimiento deberá ir referida a tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en los tratamientos.
– Será nulo el consentimiento que se recabe para la cesión de datos sin que el afectado conozca la finalidad a las que se destinarán sus datos y la actividad del cesionario.
• Es válido: sector de “telecomunicaciones”, “financiero”, “ocio”, “formación”, “gran consumo”,“automoción”, “energía y agua”, “ONG”
• No es válido: “actividad comercial”; “actividad publicitaria”; “cesiones a otras empresas del grupo”
– Corresponde al Responsable la prueba de la existencia del consentimiento.
Consentimiento y legitimación del tratamiento
27
Formas de recabar el consentimiento:
– Consentimiento expreso: es necesario para el tratamiento de datos especialmente protegidos
• Ideología, religión y creencias: consentimiento expreso y por escrito
• Origen racial, salud y vida sexual: consentimiento expreso.
– Tratamiento para fines no relacionados directamente con la relación contractual
• En el supuesto que se utilicen los datos más allá del propio fin contractual será necesario recabar el
consentimiento y permitir al afectado que manifieste expresamente su negativa al tratamiento o
comunicación de datos durante el proceso de formación del contrato.
• En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una
casilla visible y no se encuentre marcada (“□”) o que se establezca un procedimiento equivalente que
permita su negativa al tratamiento.
– Consentimiento tácito
• Solicitud de consentimiento al interesado mediante el envío de una comunicación, concediéndole un
plazo de treinta días para manifestar su negativa al tratamiento mediante un procedimiento sencillo y
gratuito (envío prefranqueado, numero de teléfono gratuito, etc.).
• El envío deberá realizarse a través de un medio que permita al Responsable conocer si la
comunicación ha sido objeto de devolución por cualquier causa.
Consentimiento y legitimación del tratamiento
28
El responsable del fichero y quienes intervengan en cualquier fase deltratamiento están obligados al secreto profesional respecto de los mismos.
El deber de secreto subsistirá aún después de finalizar las relaciones con elresponsable del fichero.
El responsable responde de las infracciones del deber de secreto por partede sus empleados.
Deber de secreto
29
Prestaciones de servicios al Responsable impliquen el acceso a datos de carácter personal:
– Obligación de formalizar un contrato escrito, en el que se contenga expresamente:
• Prohibición de utilizar los datos para fines distintos de la prestación del servicio.
• No se pueden ceder los datos a ningún tercero, ni siquiera para su conservación.
• Cumplida la prestación contractual, los datos tratados deberán ser destruidos o devueltos.
• Medidas de seguridad que deba adoptar el encargado del tratamiento.
– Prohibición general de subcontratación por parte del Encargado de la realización de ningún
tratamiento que le hubiera encomendado el Responsable, SALVO
• Autorización del Responsable para que el Encargado lleve a cabo la subcontratación actuando en
nombre y por cuenta de éste; o
• Se especifique en el contrato los servicios que puedan ser objeto de subcontratación y la empresa
con la que se vaya a subcontratar; y
• El Encargado del tratamiento formalice con la empresa subcontratista un contrato que contenga las
menciones indicadas anteriormente.
Encargado del Tratamiento
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
III. Derechos de los interesados
31
Derecho de acceso: el afectado tiene derecho a solicitar y obtener gratuitamente información sobre si sus datos están siendo objeto del tratamiento, la finalidad del mismo, así como sobre el origen de los datos y las comunicaciones realizadas.
Derecho de rectificación y cancelación: serán rectificados o, en su caso, cancelados cuando resulten inexactos o incompletos o los datos resulten ser inadecuados o excesivos.
Derecho de oposición:
– Cuando no sea necesario el consentimiento para el tratamiento, el afectado podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal.
– Cuando el tratamiento tenga por finalidad la realización de actividades de publicidad, los datos serán cancelados a la simple solicitud del interesado.
Derechos de los interesados
32
Son derechos personalísimos: se debe acreditar la identidad del interesado (fotocopia del D.N.I., etc.) o representación.
Es necesario contestar la solicitud, con independencia de que existan o no datos del afectado en el fichero o sea necesario subsanar la solicitud.
Plazos:
– Derecho de acceso: 1 mes
– Derechos de rectificación, cancelación y oposición: 10 días.
Gratuidad: no puede suponer ingreso adicional para el responsable del fichero. No se puede exigir que se ejerciten a través de los siguientes medios:
– Cartas certificadas o semejantes;
– Servicios de telecomunicaciones que implique una tarificación adicional;
– Otros medios que impliquen un coste excesivo para el interesado.
Derechos de los interesados
33
Procedimiento de Tutela de Derechos: procedimiento ante la AEPD para ejercitar los derechos de acceso, rectificación, cancelación y oposición cuando hayan sido indebidamente denegados por el responsable del fichero.
– Recibida la reclamación se traslada al responsable del fichero para que alegue (15 días)
– Resolución del Director (NO sancionadora)
Derechos de los interesados
Fuente: Memoria AEPD 2010
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
IV. Transferencias internacionales de
datos
35
Concepto de transferencia internacional de datos
– Aquellas transferencias de datos fuera del territorio del Espacio Económico Europeo.
Autorización :
– La transferencia internacional de datos requiere autorización del Director de la AEPD, salvo
que:
• El exportador se encuentre en un país de protección equiparable declarado por la
Comisión Europea o por la AEPD (Argentina, Suiza, Estados Unidos –Puerto Seguro-,
Canadá, Andorra e Israel)
• La transferencia se encuentre entre las excepciones previstas en el artículo 34 de la
LOPD:
– Cuando el afectado haya dado su consentimiento a la transferencia.
– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado y el responsable del fichero.
– Transferencias para la prevención de diagnósticos médicos, las prestación de
asistencia sanitaria o tratamientos médicos.
Transferencias internacionales de datos
36
Notificación de transferencias internacionales a países que no requieran autorización
– La transferencia internacional deberá ser notificada a fin de proceder a la inscripción en el Registro General de Protección de Datos, conforme al procedimiento previsto en el propio para la inscripción, modificación o cancelación de ficheros.
Autorización de transferencias internacionales:
– La autorización solo podrá otorgarse si se obtienen las garantías adecuadas:
• Decisión de la Comisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país (modificada por la Decisión 2004/915/CE, de 27 de diciembre de 2004)
• Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países
• Binding Corporate Rules: también podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las garantías necesarias de respecto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados.
Transferencias internacionales de datos
37
Procedimiento de autorización de transferencias internacionales de datos
– El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la
transferencia.
– Será necesaria aportar:
• Copia del contrato entre el exportador e importador que contenga las cláusulas
contractuales tipo aprobadas por la Comisión Europea.
• Binding Corporate Rules:
– Documentación que pruebe su carácter vinculante y eficacia dentro del grupo.
– Documentación que acredite la posibilidad de que el afectado o la AEPD
puedan exigir la responsabilidad que corresponda en caso de perjuicio del
afectado o vulneración de las normas por parte de la empresa importadora.
– El plazo máximo para dictar resolución será de tres meses a contar desde la fecha de
entrada en la AEPD de la solicitud.
– Se dará traslado de la resolución al Registro General de Protección de Datos para que éste
inscriba de oficio la autorización.
Transferencias internacionales de datos
38
Fuente: Memoria AEPD 2010
Transferencias internacionales de datos
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
V. Régimen Sancionador
40
Régimen sancionador
Tipos de infracciones:
– Leves
• No solicitar la inscripción de ficheros En el Registro General de Protección de Datos.
• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos sean recabados del propio interesado.
• La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes
formales establecidos en el artículo 12 de la LOPD.
– Graves
• Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el
mismo sea necesario.
• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos no hayan sido recabados del propio interesado.
• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad.
– Muy Graves
• La recogida de datos en forma engañosa o fraudulenta.
• Tratar o ceder los datos especialmente protegidos salvo en los supuestos en que la ley lo autoriza.
• La transferencia internacional de datos de carácter personal sin autorización del Director de la
Agencia Española de Protección de Datos salvo en los supuestos en los que dicha autorización no
resulta necesaria.
41
Régimen sancionador
Cuantía de las sanciones:
– Leves: multas de 900 a 40.000 euros.
– Graves: de 40.001 a 300.000 euros.
– Muy graves: de 300.001 a 600.000 euros.
Se establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
– Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho.
– Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
– Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
– Cuando el infractor haya reconocido espontáneamente su culpabilidad.
Excepcionalmente la AEPD no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al infractor a fin de que acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
– Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
– Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
42
Régimen sancionador
Actuaciones Previas
– Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con
objeto de determinar si concurren circunstancias que justifiquen tal iniciación
– Los inspectores podrán requerir el envío de información o realizar visitas de inspección a los locales donde
se encuentren almacenados los documentos o ubicados los ficheros.
– Finalizadas las actuaciones previas, éstas se someterán a la decisión de la AEPD.
Procedimiento sancionador
– Se inicia mediante acuerdo de apertura dictado por el Director de la AEPD.
– El procedimiento se rige por lo dispuesto en el Real Decreto 1398/1993, por el que se aprueba el Reglamento para el ejercicio de la potestad sancionadora.
– Publicación de las resoluciones dictadas por la AEPD.
43
Fuente: Memoria AEPD 2010
Régimen sancionador
44
Fuente: Memoria AEPD 2010
Régimen sancionador
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
VI. Tratamiento de Datos con fines de
publicidad y marketing
46
Publicidad y Marketing
Principios Generales
Marco Jurídico:
– Artículo 30 de la LOPD y 45-51 del Reglamento.
– Artículo 19-22 de la LSSI.
– Art. 38 de la LGT.
– Artículo 29 de la Ley de Competencia Desleal.
Legitimación:
– Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia,
prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de
comercializar, sus propios productos o servicios o los de terceros, solo podrán utilizar nombres y direcciones u
otros datos cuando se encuentren en uno de los dos siguientes casos:
• Provengan de Fuentes Accesibles al Público; o
• Sean facilitados por el interesado u obtenidos con su consentimiento (…) habiéndose informado sobre
los sectores específicos y concretos de actividad respecto de los que podría recibir información o
publicidad.
Si proceden de FAP, habrá que informar en cada comunicación: (5.5 LOPD):
– Origen de los datos.
– Identidad del responsable; y
– Derechos que le asisten y ante quien podrán ejercerse.
47
Publicidad y Marketing
Campañas
Campañas publicitarias:
– Por la propia empresa. Debe ampararse en el artículo 6 de la LOPD.
– Campañas por cuenta de terceros. Será responsable del tratamiento
quien determine los parámetros identificativos de los destinatarios de la
campaña. En el caso de que fueran ambas entidades, ambas serían
responsables.
• Se consideran parámetros identificativos de los destinatarios las variables
utilizadas para identificar el público objetivo.
– La entidad contratante deberá adoptar las medidas necesarias para
asegurarse de que la entidad contratada ha recabado los datos
cumpliendo las medidas necesarias.
48
Publicidad y Marketing
Depuración de Datos Personales
Cuando dos o más responsables por sí mismos o mediante encargo a
terceros pretendieran constatar sin consentimiento de los afectados,
con fines de promoción de sus productos o servicios y mediante un
tratamiento cruzado de sus ficheros, quiénes ostentan la condición de
clientes de una u otra o de varios de ellos, será considerado una
cesión de datos.
49
Publicidad y de Marketing
Ficheros de Exclusión
Ficheros de exclusión de envío de publicidad.
– De la propia empresa.
– Comunes (generales o sectoriales): Se permite la creación de ficheros comunes de carácter
general o sectorial para evitar el envío de comunicaciones comerciales.
En ambos casos se permite conservar los mínimos datos imprescindibles para identificar a los
destinatarios.
Cuando se manifieste oposición ante un responsable concreto, deberá informarse al afectado de la
existencia de los ficheros comunes así como de la identidad de su responsable y la finalidad.
El responsable del fichero común deberá cumplir el resto de obligaciones de la LOPD.
Obligatoriedad de consultar ficheros comunes (art. 49.4):
“Quienes pretendan efectuar un tratamiento relacionado con la actividad de publicidad y
prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación”.
Debe consultarse únicamente en los casos en los que usen datos provenientes de fuentes
accesibles al público.
50
Publicidad y Marketing
Derechos ARCO
Especialidades de los derechos ARCO:
– Ejercicio ante entidad contratante de una campaña de publicidad:
• Estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de
derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo otorgue su
derecho en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado.
– Derecho de oposición al tratamiento de datos con fines publicitarios:
• Derecho a oponerse al uso de sus datos y a ser dados de baja, cancelándose las informaciones que
existan sobre él.
• Independiente de la revocación del consentimiento.
• Medios sencillos y gratuitos. Se considerará cumplido cuando pueda ejercitarse mediante llamada a un
número telefónico gratuito o mediante la remisión de un correo electrónico. No es válido la exigencia de
cartas certificadas o de tarificación adicional. En ningún caso podrá suponer un ingreso adicional.
• Deber de reconocer el ejercicio a través de los servicios de atención al cliente y de reclamaciones.
• En la contestación. Deberá informarse de la existencia de Ficheros Comunes de Excluidos.
• Ejercicio ante contratante de una campaña de publicidad que no fuera responsable del fichero: igual que
para el resto de derechos.
– Cuando los datos hubieran sido obtenidos de Fuentes Accesibles al Público, en cada
comunicación que se dirija al interesado se le informará del origen de los datos y de la
identidad del responsable del tratamiento, así como de los derechos que le asisten.
51
Publicidad y Marketing
Comunicaciones Comerciales
Comunicaciones comerciales
– Telefónicas:
• Llamadas
• Llamadas automáticas
• Fax
– Electrónicas
• SMS
• Equivalentes: mensajes directos en twitter, mensajes a través de
redes sociales, etc.
52
Publicidad y Marketing
Telefonía
Derechos de los abonados de servicios de
telecomunicaciones:
– A no recibir llamadas automáticas sin intervención humana o
mensajes de fax, con fines de venta directa sin haber prestado su
consentimiento previo e informado para ello.
– A que los datos de tráfico solo puedan ser utilizados con fines
comerciales cuando el cliente haya dado su consentimiento para
ello. Se acepta el consentimiento tácito (artículo 65 del RLGT).
– A no figurar en las guías de abonados.
53
Publicidad y Marketing
Telefonía
Actividades frecuentes:
– Grabación de llamadas:
• Voz es un dato de carácter personal.
• Requiere de consentimiento.
– Llamadas a recomendados:
• Requieren consentimiento.
– Llamadas aleatorias:
• Campañas dirigidas a rangos de numeración asignados a otros
operadores.
• La utilización de números de teléfonos sin estar asociados a una
persona se encuentra fuera del ámbito de la LOPD (en la actualidad).
54
Publicidad y Marketing
Telefonía
Proyecto de Ley modificación LGT.
Transposición Directiva 2009/136/CE y 2009/140/CE.
– Dos nuevos derechos:
• A no recibir llamadas aleatorias, con o sin intervención humana, con
fines de venta directa en caso de que hubieran ejercido su derecho a
no figurar en las guías de abonado.
• A oponerse a recibir llamadas y comunicaciones aleatorias con fines
de venta directa y a ser informado de este derecho.
55
Publicidad y Marketing
Competencia Desleal
Cambios introducidos por la Ley 29/2009:
Prácticas agresivas por acoso: telefónicas, electrónicas y presenciales
1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o
usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no
vuelva a personarse en ella.
2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax,
correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la
medida en que esté justificado legalmente para hacer cumplir una obligación contractual.
El empresario o profesional deberá utilizar en estas comunicaciones
sistemas que le permitan al consumidor dejar constancia de su
oposición a seguir recibiendo propuestas comerciales de dicho
empresario o profesional.
Para que el consumidor o usuario pueda ejercer su derecho las
llamadas deberán realizarse desde un número de teléfono
identificable.
56
Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
Electrónicas
– SMS
– Equivalentes: mensajes directos en twitter, mensajes a través de redes sociales,
etc.
Concepto: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
No tendrá consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como nombre de dominio o la dirección de correo electrónico”.
• Ciertos sistemas de marketing viral (v. gr. “envía a un amigo”) se equiparan al
envío de comunicaciones comerciales electrónicas.
57
Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
Información exigida:
– Deben ser identificables como comunicaciones comerciales.
– Indicarán la persona física o jurídica en nombre de la cual se
realizan.
– Incluirán al comienzo del mensaje la palabra “publicidad” o a la
abreviatura “publi”.
Prohibición de comunicaciones comerciales electrónicas
si:
– No han sido solicitadas; y
– No han sido consentidas expresamente.
58
Publicidad y Marketing
Comunicaciones Comerciales Electrónicas
Excepción. Se pueden enviar comunicaciones comerciales electrónicas sin
consentimiento cuando se cumplan los siguientes requisitos:
– Exista una relación jurídica previa;
– Se hayan obtenido los datos lícitamente;
– Se envíen en relación con productos o servicios de su propia empresa que sean similares a los
ya contratados; y
– Se haya reconocido la posibilidad de oponerse en el momento de la recogida. Sistema opt-out.
Proyecto de modificación de la LSSI.
– Se prohíbe el envío de comunicaciones comerciales en que se disimule u oculte la identidad
del remitente.
– También se prohíben aquellas comunicaciones en las que se invite a visitar páginas de
Internet que contravengan lo dispuesto en la norma para las comunicaciones comerciales.
– Los medios sencillos y gratuitos para oponerse cuando se envíen comunicaciones comerciales
por correo electrónico, deberán consistir en la inclusión de una dirección electrónica válida.
– Se prohíbe el envío de comunicaciones sin esta dirección.
59
Publicidad y Marketing
Recomendaciones
Información:
– Identificar el mayor número de sectores específicos y concretos de actividad en la recogida.
– Identificar otros tratamientos de marketing y publicidad que se vayan a realizar: segmentación, personalización
de productos, encuestas de satisfacción.
Consentimiento:
– Actividades que no guardan relación directa con el contrato: sistema opt-in u opt-out. Asegurarse de que los
sistemas de información permiten discriminación.
– Envío de comunicaciones comerciales electrónicas. Incluir una casilla opt-in.
– Caso especial: formularios de suscripción a boletines, newsletters o específicos para esos envíos.
– En caso de recogida on-line, incluir sistema de confirmación desde cuenta de correo electrónico.
Derechos ARCO:
– Comunicaciones comerciales electrónicas:
• Informar de la posibilidad de oponerte en la Web.
• Aceptar solicitudes a través de los sistemas de atención al cliente.
– Contestación:
• Informar de las listas comunes de excluidos.
60
Publicidad y Marketing
Recomendaciones
Prueba:
– Recogida off-line: Pedir copia de DNI en la medida en que sea posible.
– Valorar coste/beneficio de adoptar medidas de aumento de la confianza
probatoria.
Regularizaciones Bases de Datos:
– Las regularizaciones no extinguen la responsabilidad. Únicamente
inician el periodo de cómputo de los periodos de prescripción.
– Una acción de regularización puede pre-constituir prueba en contra por el
reconocimiento que se puede hacer en el documento enviado.
– Estudiar los riesgos legales en cada caso.
61
Publicidad y de Marketing
Caso
Una empresa decide usar una guía de abonados
telefónica para realizar una campaña comercial.
– ¿Debe informar dentro de los tres meses de que ha incorporado
los datos a un fichero de conformidad con lo exigido por el artículo
5.4 de la LOPD?
– ¿Puede llevar a cabo campañas por cuenta de terceros?
– ¿Deben consultar ficheros comunes de exclusión?
– Si el resultado de la consulta fuera negativo, ¿podría remitirle
comunicaciones comerciales electrónicas?
– En caso de que solicite la oposición, ¿debe remitírsele
contestación? ¿Debe informarse de algo más?
– ¿Qué medio de prueba utilizo para la contestación?
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
VII. Servicios de la Sociedad de la
Información
63
Servicios de la Sociedad de la Información
Buscadores
Buscadores tratan datos de carácter personal de:
– Usuarios: pueden ampararse en la existencia de una relación
jurídica.
– No Usuarios: casos en los que la información sobre dichas
personas está disponible en sitios Web posibilitando su captación
por los motores de búsqueda.
• Legitimidad variada:
– Al amparo de la libertad de información (sin embargo la relevancia informativa se
desnaturaliza con el paso del tiempo).
– Obligación de difusión de la información (v. gr. boletines oficiales).
• Se considera un servicio de intermediación.
• Conservación: “Aunque pueda estar justificada en origen, su
mantenimiento universal y secular en Internet puede resultar
desproporcionado”.
64
Servicios de la Sociedad de la Información
Buscadores
Derecho de Oposición frente a los buscadores se
reconoce en ciertos casos:
– Cuando no se pueda solicitar el borrador en la fuente por existir
un derecho u obligación a mantener los datos.
– Motivo legítimo (información desactualizada, falsa, desmentida,
etc.).
Conservación ilimitada de la información en los medios de
comunicación que luego son indexados:
– Se amparan en el derecho de información.
– Opinan que si aparecen datos de carácter personal es porque es
un hecho noticiable.
65
Servicios de la Sociedad de la Información
Servicios en la Nube
Deslocalización de los servicios.
Normativa de la LOPD se basa en criterios de establecimiento.
Transferencias Internacionales:
– Flexibilización a partir de la Decisión 2010/87/CE.
– Posibilidad de que un Encargado de Tratamiento solicite una única
autorización de transferencia internacional a partir de los acuerdos que
tiene con subcontratistas.
– El cliente/responsable del fichero solamente notificaría.
Recomendaciones:
– Cliente: Pedir garantías de territorialidad al proveedor de servicios.
– Prestador de servicios: Tener en cuenta las ubicaciones físicas finales
de las empresas subcontratadas.
66
Servicios de la Sociedad de la Información
Redes Sociales
Redes Sociales: Es conveniente seguir ciertas buenas
prácticas.
– Información y asesoramiento.
– Fotos.
– Restricción de la visibilidad abierta de los perfiles.
– No indexación por defecto.
– Posibilidad de eliminar el perfil.
– Prohibición de recogida de datos de menores de edad sin
consentimiento paterno:
• Sistemas de verificación de identidad.
• Menores de edad.
67
Servicios de la Sociedad de la Información
Redes Sociales
Campañas de marketing y promociones dentro de las redes sociales:
Responsabilidad del fichero. Responsabilidad de la red social que es
quien decide sobre el contenido y uso de los datos.
Responsabilidad de los tratamientos realizados dentro de las redes
sociales: grupos y aplicaciones.
68
Servicios de la Sociedad de la Información
Foros, comentarios
No hay obligación de revisar los comentarios o las
entradas. Principio general de no supervisión establecido
por la Directiva de Comercio Electrónico.
Habilitar un sistema de denuncia de contenidos ilícitos
para los casos en los que exista tratamiento de datos de
carácter personal.
Recomendación: registro de usuarios o utilización de
identidades de otros servicios.
69
Servicios de la Sociedad de la Información
Cookies
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y de
recuperación de datos en equipos terminales, informarán a los destinatarios de
manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad
de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.
Lo anterior no impedirá la posibilidad de realizar el almacenamiento o acceso con el
fin de facilitar técnicamente la transmisión de una comunicación en la medida en que
resulte estrictamente necesario para la prestación de un servicio.
Directiva 2009/136 (en trámite de transposición).
– Principio General: Almacenamiento de información o acceso a la información ya almacenada.
• Información clara y completa.
• Consentimiento.
• Cuando sea técnicamente posible, el consentimiento del usuario puede facilitarse mediante el uso de
parámetros adecuados.
– Excepciones:
• Juicio de estricta necesidad técnica para lograr el fin legítimo de permitir la prestación de un servicio
solicitado.
• Posible almacenamiento de índole técnica a los solos fines de lograr la transmisión de una
comunicación.
70
Servicios de la Sociedad de la Información
Contratos de Publicidad
Modelos de negocio publicitarios se basan en la
redirección del usuario hacia la compra o consumo de
otros productos y servicios.
Los sistemas retributivos se basan en el “click” (pay per click) o incluso en la transacción (pay per buy).
El reconocimiento de estas comisiones exige la
comunicación e intercambio de datos entre anunciante y
editor.
Debe tenerse claro quien recoge los datos. Si la
comunicación de datos se realiza mediante cookies,
deberá ser el responsable de éstas quien informe a los
usuarios.
71
Servicios de la Sociedad de la Información
Correo Electrónico
Correo electrónico:
– Problema: escaneo de correo electrónico para finalidades:
• Prevención de Spam.
• Prevención de virus.
• Publicidad personalizada.
– Grupo del artículo 29. Dictamen 2/2006 solo es posible escanear
correo para búsqueda de virus y de spam.
– Deben informar y ofrecer el filtrado para prevenir spam.
– Directiva 2009/136 reconoce derechos a los prestadores de
servicios de correo electrónico para iniciar acciones contra los
remitentes de SPAM.
72
Servicios de la Sociedad de la Información
Comercio Electrónico
Información y consentimiento:
– Política de Privacidad con toda la información del artículo 5 de la LOPD. En especial:
• Finalidades: ejecución del contrato y otros tratamientos y cesiones derivados de su cumplimiento.
• Publicidad y prospección comercial: identificar sectores (vincular a casilla opt-out u opt-in del
formulario)
• Comunicaciones comerciales electrónicas (vinculado a casilla opt-in del formulario).
– Enlace desde el formulario. Aceptación expresa de la Política mediante casilla o visualización
directa.
– Casilla opt-in para comunicaciones comerciales electrónicas.
– Posibilidad de casillas opt-out para tratamientos que no guardan relación directa con el
contrato. Los sistemas de información tendrán que poder discriminar a los usuarios por
finalidades.
– Marcar campos obligatorios en los formularios (*).
Derechos ARCO:
– Mediante certificado electrónico para las empresas obligadas a adoptar los medios de
interlocución telemática del artículo 2 de la LISI (servicios al público en general + 100
trabajadores o facturación > a 6.010.121,4 euros).
– Obligación de aceptar solicitudes a través de los servicios de atención al cliente.
Trebia Abogadoswww.trebiaabogados.com
Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)
VIII. Controles del empresario sobre
equipos informáticos e instalaciones
74
Control de herramientas de trabajo
Determinadas formas de control empresarial pueden ser
lesivas de la intimida de los trabajadores.
– Correo electrónico.
– Navegación por Internet.
– Archivos o carpetas personales.
Son medios propiedad de la empresa que se facilitan al
trabajador para utilizarlos en cumplimiento de la relación
laboral.
Generación de cierta tolerancia hacia el uso de estos
medios.
75
Control de herramientas de trabajo
STS 26 de septiembre de 2007:
– Art. 20.3 del ET: El empresario podrá adoptar las medidas que estime más
oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de
sus obligaciones y deberes laborales, aunque ese control debe respetar la
consideración debida" a la "dignidad" del trabajador.
– No aplica el artículo 18 del ET que se refiere a registros en la persona del
trabajador, su taquilla o sus efectos. Este control que se atribuye al empresario
excede de su posición en el Contrato de Trabajo (actuación excepcional).
– Límites al control: la tolerancia existente genera una expectativa que no puede ser
desconocida. Pero eso no puede derivar en un absoluto. La empresa debe
establecer de forma previa (v. gr. mediante una política) las reglas de uso de esos
medios con aplicaciones de prohibiciones absolutas o parciales e informar a los
trabajadores de que va a existir el control y de los medios que van a para
comprobar la corrección de uso y ello sin perjuicio de otras medidas preventivas
(exclusión de determinadas conexiones o servicios).
76
Control de herramientas de trabajo
Recomendación: aprobación de políticas con las prohibiciones de uso
(totales o parciales) de los medios de la empresa para uso personal.
Ámbitos:
– Carpetas personales.
– Internet.
– Dispositivos móviles.
– Correo electrónico.
– Llamadas personales.
Información sobre medidas de control preventivas.
Controles:
– Respetuosos con la intimidad personal.
– Establecer controles de rendimiento no intrusivos.
77
Videovigilancia
Marco Jurídico: Instrucción 1/2006
– Ámbito de aplicación: tratamiento de datos personales de imágenes de
personas físicas identificadas o identificables, con fines vigilancia a través
de sistemas de cámaras y videocámaras.
– Objeto: grabación, captación, transmisión, conservación y
almacenamiento, incluida su reproducción o emisión en tiempo real.
– Una persona es identificable cuando pueda determinarse su identidad sin
que ello requiera plazos o actividades desproporcionados.
– Excluidos: uso de cámaras y videocámaras por las Fuerzas y Cuerpos de
Seguridad.
– Legitimación:
• Consentimiento.
• Sea necesario para mantenimiento o cumplimiento de un contrato.
• Una ley lo autorice: Ley de Vigilancia Privada.
78
Videovigilancia
Información:
– Distintivo informativo ubicado en lugar suficientemente visible.
– Tener a disposición impresos con la información exigida por el artículo 5.1 de la LOPD.
79
Videovigilancia
Calidad:
– Juicio de Proporcionalidad de los medios empleados respecto de los
fines determinados, legítimos y explícitos.
• Idoneidad: sirve para conseguir el objetivo propuesto.
• Estricta necesidad: no existe una medida más moderada o menos intrusiva
que permita alcanzar la misma finalidad.
• Ponderación de bienes: se derivan más beneficios o ventajas que perjuicios.
Derechos ARCO:
– La solicitud deberá acompañarse de una imagen actualizada.
– Contestación a derecho de Acceso: Escrito certificado en el que con precisión y
sin afectar a derechos de terceros, se especifiquen los datos que han sido objetos
de tratamiento.
Cancelación: Cancelación al mes.
Ficheros: En el caso de que se conserven las imágenes.
80
Muchas gracias por su atención
info@trebiaabogados.com
@trebia_Aboga2
www.trebiaabogados.com
Recommended