PD Obligaciones y Responsabilidades Jornadas STEPV

III Jornades del STEPV-Iv d'universitats

17 i 18 de gener de 2014 Protección de datos: obligaciones y

responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras

Santiago Bermell

IRTIC – Universitat de València

Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras

Protección de datos . Derecho fundamental.

Artículo 18.4 Constitución.

Sentencia 292/2000. Otorga carácter de derecho fundamental a la protección de datos de carácter personal.

Desarrollado en Ley Orgánica

Reglamento de desarrollo RD 1720/2007

Agencias de protección de datos.

2


Protección de datos . ¿Por qué es importante?

Doble vertiente: ciudadano – trabajador.

Obligación legal.

Garantía para el titular de los datos (trabajadores, cliente, administrado, alumnos).

Evolución TIC y administración electrónica, suponen una mayor trazabilidad.

Otras normas: ENS, ENI, Ley de transparencia.

Normativa europea que viene ¿o no?

Privacy by design, privacy by default, DPO.

3


PRINCIPIOS

DE PROTECCIÓN

DE

DATOS 4


Calidad de datos. Artículo 4 LOPD

Adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades.

No pueden usarse para finalidades incompatibles.

Exactos y puestos al día.

Limitados en el tiempo.

Debe permitir ejercicio derechos ARCO.

5


Deber de información. Artículo 5 LOPD

• Si los datos se recogen del afectado: – En todo caso

• De la existencia del tratamiento

• De la finalidad del mismo

• De los posibles destinatarios de los datos

• De la identidad del responsable del tratamiento

– Si no se deduce claramente de las circunstancias de la recogida • Del carácter obligatorio o potestativo de facilitar los datos

• De las consecuencias de la negativa a facilitar los datos

• De la posibilidad de ejercitar los derechos y ante quién

6


Consentimiento. Artículo 6 LOPD

El tratamiento de datos requiere el consentimiento inequívoco del afectado,

Salvo habilitación legal

No es preciso;

Funciones propias de Administraciones Públicas.

Contrato en una relación negocial, laboral o administrativa.

Interés vital (salud)

Fuentes accesibles al público y para un interés legítimo.

7


Encargados de tratamiento. Artículo 12 LOPD

No es comunicación de datos el acceso a datos para la prestación de un servicio al responsable.

Deber de diligencia del responsable.

Contrato por escrito.

Se tratarán los datos solo bajo las instrucciones del responsable.

No se usarán para fin distinto, ni se comunicará a otros.

Si se usa para otro fin o se comunica sin permiso, el encargado se convierte en responsable.

Finalizado el contrato, serán devueltos o destruidos.

8


Cesión de datos. Artículos 3.i y 11

Toda revelación de datos a persona distinta del interesado.

Solo para fines relacionados con las funciones legítimas del cedente y del cesionario, y con el consentimiento previo del interesado.

Excepciones:

• Previsto en una ley

• Provenga de fuentes accesibles al público

9


Cesión de datos. Artículos 3.i y 11

• Dirigido a Defensor del Pueblo, Fiscal, Jueces o Tribunal de Cuentas.

• Cesiones entre AAPP para fines históricos, estadísticos y científicos.

• Urgencia por temas de salud.

Es revocable.

Disociación.

10


Tratamiento de datos de menores. Art.13 RLOPD

• Pueden consentir los mayores de catorce años.

• Necesitan la asistencia de los titulares de la patria potestad o tutela:

– Los mayores de catorce años cuando la Ley la exija.

– En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

11


Tratamiento de datos de menores. Art.13 RLOPD

No se puede a través del menor obtener información del grupo familiar.

Si para recabar la autorización de padre, madre o tutor.

Lenguaje comprensible para el menor.

Procedimiento de verificación de edad y autenticación del consentimiento. http://ticyprivacidad.es/2011/02/10/verificacin-de-edad-en-internet/

12

http://ticyprivacidad.es/2011/02/10/verificacin-de-edad-en-internet/





















Ejercicio de derechos. ARCO. Art. 15-19 LOPD

Título II RLOPD (art. 23-36)

Derechos:

• Acceso

• Rectificación

• Consulta

• Oposición

Impugnación de valoraciones (art. 13 LOPD)

13


Seguridad de los datos (artículo 9 LOPD).

Se deben adoptar medidas

– técnicas.

– organizativas.

Que eviten:

– Alteración

– Pérdida

– Tratamiento o acceso no autorizado.

Título VIII Real Decreto 1720/2007

14


Deber de secreto (artículo 10 LOPD).

Responsable y quienes traten datos.

Obligados al secreto profesional y al deber de guardarlos.

Incluso después de finalizar su relación.

15


Medidas de seguridad. Título VIII RLOPD

Niveles: básico, medio y alto.

Medio:

• Infracciones administrativas o penales.

• Ficheros solvencia patrimonial

• Administraciones tributarias

• Servicios financieros

• Seguridad Social

• Evaluación de la personalidad

16


Alto: ficheros con datos

• Ideología

• Afiliación sindical

• Religión

• Creencias

• Origen racial

• Salud o vida sexual

• Fines policiales sin consentimiento

• Derivados de actos de violencia de género

17


Podrán aplicar básico Los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. - Los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

18


Casos

y

normas

19


Sentencia Tribunal Constitucional 2013-02-29

Videovigilancia Universidad Sevilla.

Control de jornada laboral mediante el análisis de las grabaciones de las cámaras.

Sanciones declaradas nulas en base a esta prueba.

20


Sentencia Tribunal Constitucional 2013-12-16 Acceso empresa a correo electrónico corporativo.

Empresa accede al correo corporativo de un empleado y descubre revelación de secretos, que es causa de despido.

El convenio colectivo establece como falta leve el uso personal del correo corporativo.

No existe expectativa de privacidad.

21


Política de seguridad de la información

Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos.

Real Decreto 3/2010 ENS

Políticas de seguridad

Normas de seguridad

Procedimientos de seguridad

22



Universidad de Murcia.

Propósito. Sentar las bases de la fiabilidad de los SI, a través de un conjunto de medidas, tanto técnicas como organizativas.

Objetivo:

Cumplimiento legal,

Disponibilidad y

Confidencialidad de la información.

23



Universidad de Murcia.

ENS se aplica a todos los recursos informáticos.

Define que son recursos TIC y que no se considera recurso TIC de la Universidad – BYOD.

Aplicable a nivel interno y externo (personas, instituciones, entidades, unidades, servicios)

Responsabilidad – remisión al régimen disciplinario.

24


Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.

Decreto 66/2012 establece la política de seguridad de la información de la Generalitat.

Tratamiento de la información:

Reserva, confidencialidad y sigilo, incluso tras haber finalizado la relación o cesado en sus funciones.

Identificación y privilegios acorde a sus funciones.

Prohibido alojar información en SI externos.

25



Propiedad y uso

Los medios son propiedad de la GVA

No están destinados al uso personal

No se pueden instalar, usar o conectar medios ajenos (BYOD)

No se pueden instalar programas no autorizados

26



Contraseñas

Identificación es personal e intransferible

Contraseñas seguras

Incidencias

Borrado y destrucción de información

Cese de actividad

27



Ordenadores

No se puede alterar la configuración hardware o software

Obligatorio bloquear la sesión

Prohibido almacenar información privada

Prohibido copiar, extraer o transmitir información.

Borrado de ficheros temporales.

28



Portátiles

No se almacenará información sensible o confidencial.

Si es preciso Cifrado

Custodia

No conectar a redes ajenas

Desactivar búsqueda de redes inalámbricas.

29



Impresoras, fotocopiadoras, escáner, fax.

Dispositivos móviles

Dispositivos almacenamiento externo (SD, USB, discos).

Correo electrónico: prohibido su uso con fines comerciales, financieros y personales.

Prohibido los envíos masivos.

30



Internet

Solo por la red propia.

Acceso a Internet filtrado a través de sistemas automatizados elaboración de perfiles

31


Muchas gracias

por su atención

Santiago Bermell

[email protected]

32

Documents

PD Obligaciones y Responsabilidades Jornadas STEPV