View
276
Download
0
Category
Preview:
Citation preview
LOPD
Santiago de Compostela
23 de septiembre de 2011
Jose Mª Lozoya Pérez
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal
Objeto: Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente su honor e intimidad personal y familiar.
Qué es la LOPD
• Derecho Fundamental a la protección de datos:
- Constitución Española (Art. 18.4)
- Carta de los Derechos Fundamentales de la Unión Europea (art. 8)
Dato de carácter personal
• Cualquier información concerniente a personas físicas “identificadas”
o “identificables”.
• Cualquier información numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo concerniente a personas físicas
identificadas o identificables.
• Persona identificable: toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información
referida a su identidad física, fisiológica, psíquica, económica, cultural o
social. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados.
• Datos de carácter personal relacionados con la salud: las
informaciones concernientes a la salud pasada, presente y futura,
física o mental, de un individuo. En particular, se consideran datos
relacionados con la salud de las personas los referidos a su porcentaje
de discapacidad y a su información genética.
Definiciones
Fichero de datos de carácter
personal
• Conjunto organizado de datos de carácter personal,
• cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
• Fichero público: ficheros de los que sean responsables las
Administraciones Públicas y sus organismos vinculados, siempre que
su finalidad sea el ejercicio de potestades de derecho público.
• Fichero privado: ficheros de los que sean responsables las personas,
empresas o entidades de derecho privado y corporaciones de derecho
público, en cuanto dichos ficheros no se encuentren estrictamente
vinculados al ejercicio de potestades de derecho público
Definiciones
Tratamiento de datos de carácter
personal
• Operaciones y procedimientos técnicos de carácter automatizado o no,
que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Definiciones
• Afectado o titular de los datos
• Responsable del fichero
– Quien decida sobre la finalidad, contenido y uso del
tratamiento
• Encargado del tratamiento
– Quien trate datos personales por cuenta del
responsable del tratamiento.
Sujetos
Calidad de los datos
• Los datos de carácter personal sólo se podrán recoger y tratar
cuando sean adecuados, pertinentes y no excesivos en relación con
el ámbito y las finalidades determinadas, explícitas y legítimas para
las que se hayan obtenido.
• No podrán usarse para finalidades incompatibles con aquéllas para
las que fueron recogidos.
• Datos exactos y puestos al día.
Principios
Derecho de Información
• Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
– De la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la
información.
– Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
– De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
– De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
– De la identidad y dirección del responsable del tratamiento o, en su caso, de
su representante.
Principios
Consentimiento del afectado
• El tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la ley disponga otra
cosa.
• Excepciones:
– Ejercicio de las funciones propias de las Administraciones públicas;
– Cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento;
– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado o
– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción de un interés legítimo
• Datos especialmente protegidos: consentimiento expreso o expreso y por
escrito.
Principios
Seguridad de los datos
• El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medidas de índole técnica y organizativas
necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de
los datos almacenados y los riesgos a que estén expuestos, ya
provengan de la acción humana o del medio físico o natural.
• No se registrarán datos de carácter personal en ficheros que no reúnan
las condiciones que se determinen por vía reglamentaria con respecto
a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas
• RLOPD
Principios
Deber de secreto
• El responsable del fichero y quienes intervengan en cualquier
fase del tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones que subsistirán aun después
de finalizar sus relaciones con el titular del fichero o, en su
caso, con el responsable del mismo.
Principios
• Acceso
• Rectificación y cancelación
• Oposición
• Consulta del Registro General de Protección de
Datos.
• Impugnación de valoraciones
• Derecho a indemnización
Derechos
Creación de ficheros
• Podrán crearse ficheros de titularidad privada que contengan
datos de carácter personal cuando resulte necesario para el
logro de la actividad u objeto legítimos de la persona, empresa
o entidad titular y se respeten las garantías que esta Ley
establece para la protección de las personas.
• Obligación de notificar previamente a la Agencia Española de
Protección de Datos.
Inscripción
Han de inscribirse en el Registro General de Protección
de Datos:
• Los ficheros de las Administraciones Públicas
• Los ficheros de titularidad privada
• Las autorizaciones de transferencias internacionales de datos de
carácter personal con destino a países que no presten un nivel de
protección equiparable.
• Los códigos tipo.
• Los datos relativos a los ficheros que sean necesarios para el ejercicio
de los derechos de información, acceso, rectificación, cancelación y
oposición.
Inscripción
Notificación de ficheros
• Presentación gratuita de notificaciones a
través de Internet.
• Con o sin firma electrónica
• Posibilidad de formato XML
• Papel
• Notificaciones tipo
Inscripción
Inscripción
Documento de seguridad
• Obligatorio para todos los Responsables de
ficheros.
• Único o individualizado por fichero
• Documento interno.
• Actualización permanente
• Recogerá las medidas de índole técnica y
organizativa acordes a la normativa de
seguridad vigente
• De obligado cumplimiento para el personal
con acceso a los sistemas de información.
D.Seguridad
Contenido mínimo DS
• Ámbito de aplicación del documento y recursos protegidos.
• Medidas, normas, procedimientos de actuación, reglas y estándares
encaminados a garantizar el nivel de seguridad exigido en el RLOPD.
• Funciones y obligaciones del personal en relación con el tratamiento de los
datos de carácter personal incluidos en los ficheros.
• Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de
los datos en los ficheros o tratamientos automatizados.
• Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en
su caso, la reutilización de estos últimos.
D.Seguridad
Contenido DS
Medidas de seguridad de nivel medio o alto, el documento de
seguridad deberá contener además:
• La identificación del responsable o responsables de seguridad.
• Los controles periódicos que se deban realizar para verificar el cumplimiento
de lo dispuesto en el propio documento.
D.Seguridad
Contenido DS
Si existen encargados del tratamiento:
• Identificación de los ficheros o tratamientos que se traten en concepto de encargado
• Referencia expresa al contrato o documento que regule las condiciones del
encargo, así como de la identificación del responsable y del período de vigencia del
encargo.
Si los datos se tratan de modo exclusivo en los sistemas del
encargado:
• El responsable deberá anotarlo en su DS.
• Podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en
lo relativo a aquellos datos contenidos en recursos propios.
D.Seguridad
Mantenimiento DS
• Actualizado
• Revisado siempre que se produzcan cambios relevantes en el
sistema de información, en el sistema de tratamiento empleado, en
su organización, en el contenido de la información incluida en los
ficheros o tratamientos o, en su caso, como consecuencia de los
controles periódicos realizados.
• Se entenderá que un cambio es relevante cuando pueda repercutir
en el cumplimiento de las medidas de seguridad implantadas.
• Adecuado, en todo momento, a las disposiciones vigentes en
materia de seguridad de los datos de carácter personal
D.Seguridad
Guía de Seguridad de la AEPD
D.Seguridad
Cambios internos
• Difusión interna de la política de protección de datos
• Comprobación del deber de información, consentimiento, uso de
los datos y confidencialidad. – Contratos con clientes y proveedores
– Contratos de trabajo
– Ofertas publicitarias y promociones, comunicaciones comerciales por vía
electrónica
– Formularios
• Información y formación a los trabajadores sobre protección de
datos
• Nombramiento de responsables. Asignación de funciones
• Procedimientos para gestión de ejercicio de derechos
Organización
Muchas gracias. Jose Mª Lozoya Pérez
Lozoya y Torres, Abogados.
jmlozoya@lozoyaytorres.es
www.lozoyaytorres.es
Recommended