View
3
Download
0
Category
Preview:
Citation preview
Apuntes del MOOC
Nociones fundamentales sobre protección de datos personales
¿Qué es la protección de datos personales?
Evolución tecnológica. Conceptos básicos y elementos esenciales en materia de protección de datos
Protección de datos personales en la era digital
Unidad 2¿Qué es la protección de
datos personales?
Derecho a la protección de datos personales
Derecho a la protección de datos o privacidad
Derecho fundamental o humano.
Protección del consumidor.
Intimidad, honor, reputación, etc.
Límites y limitaciones al derecho a la protección de datos.
Datos personales o información personal
Otros derechos
Unidad 2¿Qué es la protección de
datos personales?
Hitos relevantes en la evolución histórica
1890
1995
2013
2016
2018
2018
Warren y Brandeis publican su artículo The Right to Privacy en
Harvard Law Review.
Lorem ipsum dolor sit amet, consectetur adipiscing. Donec risus dolor, porta venenatis
neque sit amet, pharetra luctus felis.
Directiva europea 95/46/CE
La OCDE finaliza la revisión de sus Recomendaciones de 1980 y adopta una versión actualizada.
Recomendaciones de la OCDEEl GDPR es aplicable desde el 25 de Mayo de
2018, aunque entró en vigor en 2016 dando dos años a los Estados miembros para adecuar sus
ordenamientos jurídicos nacionales.
Aplicación del GDPR
Lorem ipsum dolor sit amet, consectetur adipiscing. Donec risus dolor, porta venenatis
neque sit amet, pharetra luctus felis.
Escudo de Privacidad UE-EE.UU.
El GDPR es aplicable desde el 25 de Mayo de 2018, aunque entró en vigor en 2016 dando
dos años a los Estados miembros para adecuar sus ordenamientos jurídicos nacionales.
Escudo de Privacidad UE-EE.UU.
The Right to Privacy
Unidad 2¿Qué es la protección de
datos personales?
Hitos relevantes en la OCDE
2007 2013 20191980
Directrices de la OCDERecomendaciones sobre cooperación
Directrices actualizadas Orientaciones
Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales.
Recomendaciones de la OCDE sobre transfronteriza en la aplicación de las leyes de protección de la privacidad.
Directrices actualizadas de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales.
OCDE anunció que en 2019 publicará orientaciones prácticas para la aplicación de las Directrices en el entorno digital.
Unidad 2¿Qué es la protección de
datos personales?
Hitos relevantes en el Consejo de Europa
Resolución R (73) 22 relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector privado.
Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
Recomendación R(99) 5 del Comité de Ministros para la protección de la privacidad en Internet
Convenio 108+ para la protección de las personas con respecto al tratamiento de datos de carácter personal.
Resolución R (74) 29 relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector público
1973
1974
1981
2018
1999
Unidad 2¿Qué es la protección de
datos personales?
Principales instrumentos internacionales
Recomendaciones del Consejo de la OCDE (2013).Primer instrumento internacional, basado en los FIPPs.Buenas prácticas, no vinculantes jurídicamente.
Resolución 45/95 de la Asamblea General de las Naciones Unidas del 14 de diciembre de 1990, sobre Principios rectores sobre la reglamentación de los ficheros computadorizados de datos personales.
Convenio 108+ para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (2018).Primer Convenio internacional jurídicamente vinculante.Número limitado de países e influencia europea.
Organización de las
Naciones Unidas
Organización para la
Cooperación y el Desarrollo
Económico (OCDE)
Consejo de Europa
Unidad 2¿Qué es la protección de
datos personales?
Derecho a la protección de datos personales
Sobre una persona fisicaLicitud del tratamientoPrincipios y legitimación para tratar datos personales, derechos del interesado y procedimientos (hábeas data, autoridad de protección de datos, etc.).
1
Sobre una persona fisicaNo es un derecho absolutoLímites y limitaciones, en particular excepciones y equilibrio con otros derechos (libertad de expresión, acceso a la información, etc.)..
2
Sobre una persona fisicaDerecho a la protección de datos Garantizar el tratamiento lícito de los datos personales.
3
Unidad 2¿Qué es la protección de
datos personales?
Contenido esencial del derecho a la protección de datos
1
3 2
Proc
edim
iento
s
Derechos del interesado
Protección de datos personales
Unidad 2¿Qué es la protección de
datos personales?
Datos personales, ¿qué son realmente? (I)
Datos personales: Se refieren a la persona física, pero pueden referirse también a otras personas o no haber sido obtenidos de aquélla.
Datos personales obtenidos de la persona, derivados del uso de un servicio electrónico e inferidos por el responsable del tratamiento.
Condiciones de legitimación del tratamiento, alcance de los derechos y excepciones o límites a la protección de datos.
Encargado del tratamiento:
Implicaciones:
Unidad 2¿Qué es la protección de
datos personales?
Datos personales, ¿qué son realmente? (II)
Referidos a o sobre una persona
Información sobre una persona física identificada o identificable, sin que suponga propiedad de los datos.
Finalidades del tratamiento
Los datos personales pueden ser tratados para finalidades a las que el interesado no puede oponerse (por ejemplo, facturación del servicio, pago del producto comprado, etc.).
Unidad 2¿Qué es la protección de
datos personales?
Principios de la protección de datos
Limitación de la recogida.Calidad de los datos.Especificación de la finalidad.Limitación del uso.Salvaguardia de la seguridad.Transparencia.Participación individual.Responsabilidad (accountability).
Unidad 2¿Qué es la protección de
datos personales?
Legitimación del tratamiento de los datos
Por ejemplo, prestación del servicio, facturación de lo contratado, resolución de quejas, etc.
Por ejemplo, pago de impuestos, cooperación con la justicia, etc.
Por ejemplo, atención al ciudadano, prestación de servicios al ciudadano, etc.
Obligación legal aplicable
al responsable
Cumplimiento del
contrato
Potestades de
autoridades públicas
Interés vital de la
persona física
Del responsable del
tratamiento
Del interesado
Ley Contrato Potestades públicas
Ponderación o prueba de equilibrio con el derecho a la protección de datos del interesado.
Ya sea el interesado u otra persona física cuya vida esté o pueda estar peligro.
Debiendo considerar que puede ser difícil de comprender para el interesado o la fatiga del consentimiento.
Interés vital Interés legítimo Consentimiento
Unidad 2¿Qué es la protección de
datos personales?
Derechos del interesado (I)
Derechos del interesado (acceso,
rectificación, cancelación,
etc.)
Sujetos a requisitos y condiciones
No son derechos absolutos
Unidad 2¿Qué es la protección de
datos personales?
Derechos del interesado (II)
● Personalísimos (propio interesado o su representante).● En principio, gratuitos, salvo situaciones específicas.● Relativos específicamente al tratamiento de los datos. Otras cuestiones (daños, etc.) quedan excluidas.
● Sujetos a un procedimiento específico.●Tratamiento por el responsable (no procede si se han anonimizado o suprimido).●En algunos casos, necesidad de especificar los datos personales a los que se refiere el derecho, por ejemplo, datos inexactos a rectificar.
● Derechos de otras personas.●Ejercicio abusivo.●Seguridad nacional, seguridad o salud pública, obligaciones legales de tratamiento, etc.
Carácter de los derechos
Condiciones aplicables (requisitos para su
ejercicio)
Límites o limitaciones (no son derechos
absolutos)
Unidad 2¿Qué es la protección de
datos personales?
Derechos del interesado (II)
Asociación Francófona de Autoridades de Protección de DatosForo regional de autoridades de protección de datos que comparten el idioma, la tradición legal y valores comunes. En particular, tiene por objeto fomentar la protección de datos y el desarrollo de capacidades de sus miembros.
Conferencia Internacional de Autoridades de Protección de Datos y PrivacidadForo internacional de autoridades de protección de datos y privacidad (International Conference of Data Protection & Privacy Commissioners, ICDPPC) cuyo objetivo es aportar liderazgo en materia de protección de datos y privacidad a nivel internacional.
Asia Pacific Privacy Authorities ForumEl foro de autoridades de privacidad de Asia Pacífico (Asia Pacific Privacy Authorities, APPA) es regional y tiene por objeto generar sinergias entre las autoridades de privacidad y compartir información sobre tecnologías emergentes, tendencias y cambios a la normativa sobre privacidad.
Red Iberoamericana de Protección de Datos (RIPD)Foro regional destinado a desarrollar iniciativas y proyectos en materia de protección de datos en Iberoamérica. Es un foro adecuado para el intercambio de información, experiencias y conocimientos entre sus participantes de los sectores público y privado.
Red Global para la Aplicación de la Ley en materia de PrivacidadForo internacional creado en virtud de la Recomendación de la OCDE sobre Cooperación Transfronteriza en la Aplicación de las Leyes en materia de Privacidad (Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy) de 2007 para, entre otras cuestiones, compartir mejores prácticas y trabajar en el desarrollo de prioridades en materia de aplicación de la ley.
Comité Europeo de Protección de Datos (CEPD)El Comité Europeo de Protección de Datos (European Data Protection Board, EDPB), creado por el Reglamento General de Protección de Datos (RGPD), es un órgano independiente que tiene por objeto contribuir a la aplicación consistente de las leyes sobre protección de datos en toda la Unión Europea y fomentar la cooperación entre las autoridades de protección de datos. Está compuesto por representantes de las autoridades de protección de datos y por el Supervisor Europeo de Protección de Datos (SEPD).
Unidad 2¿Qué es la protección de
datos personales?
Autoridad de protección de datos
¿Qué es una autoridad de protección de datos?
Diferentes modelos
La autoridad de protección de datos, autoridad de control u órgano garante es la encargada de supervisar el cumplimiento de la normativa sobre protección de datos, tutelar a las personas físicas y, en su caso, sancionar las infracciones.
NaturalezaExisten diferentes modelos, pudiendo ser autoridades administrativas, judiciales o de protección de los consumidores.
IndependenciaLa independencia, funcional y económica, de la autoridad de protección de datos es relevante. Es decir, se trata de garantizar que no se produzcan injerencias directas o indirectas.
Funciones y poderesCada país decide cómo es su autoridad, lo que incluye si es unipersonal o colegiada; dedicada exclusivamente a protección de datos o también a acceso a la información pública.
Las autoridades de protección de datos pueden desempeñar diversas funciones, tales como promover buena prácticas, etc., y pueden tener también poderes de investigación, instrucción y sanción en caso de infracción de la normativa sobre protección de datos.
Unidad 2¿Qué es la protección de
datos personales?
Ciberseguridad
Adoptar e implementar medidas técnicas y organizativas para proteger a la organización y a la información, incluyendo los datos personales contra diversos riesgos, tales como el acceso, alteración o destrucción no autorizadas.
Unidad 2¿Qué es la protección de
datos personales?
Seguridad de la información
Seguridad de la información
Disponibilidad
Se puede acceder a la información cuando
sea necesario
Integridad de la información
La información es exacta y completa, evitando la pérdida o modificación no autorizadas
Confidencialidad
Solo quienes están autorizados pueden acceder a la información
Unidad 2¿Qué es la protección de
datos personales?
Autoridad de protección de datos
Legislativo o regulatorio
Leyes
Regulatorio
Contratos u otros instrumentos jurídicos similares
Autorregulación (códigos de conducta, sellos, etc.)
Seguridad de la información
Contratos y autorregulación
Reglamentos
Otras normas secundarias específicas o sectoriales
Unidad 2¿Qué es la protección de
datos personales?
Seguridad de la información
ISO/IEC 27001:2013Requisitos del Sistema de Gestión de la
Seguridad de la Información (SGSI)
ISO/IEC 27002Código de práctica para la gestión de la seguridad de la información
ISO/IEC 27018:2014Código de práctica para la protección de información
personal identificable (PII) en nubes públicas que actúan como encargados del tratamiento
ISO/IEC 27017:2015Código de práctica para controles de seguridad de la información
basados en la ISO/IEC 27002 para servicios de nube
IISO/IEC 27552Extensión a la ISO/IEC 27001 y a la ISO/IEC 27002 para la
gestión de la privacidad de la información
1
2
3
4
5
Unidad 2¿Qué es la protección de
datos personales?
Otros estándares de seguridad de la información
Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (en inglés, Payment Card Industry Data Security Standard, PCI DSS).Incluye objetivos de control y requisitos de seguridad de la información.Conjunto mínimo de requisitos de seguridad.
Recommended