Upload
santitec
View
23
Download
8
Embed Size (px)
Citation preview
III Jornades del STEPV-Iv d'universitats
17 i 18 de gener de 2014 Protección de datos: obligaciones y
responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Santiago Bermell
IRTIC – Universitat de València
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Protección de datos . Derecho fundamental.
Artículo 18.4 Constitución.
Sentencia 292/2000. Otorga carácter de derecho fundamental a la protección de datos de carácter personal.
Desarrollado en Ley Orgánica
Reglamento de desarrollo RD 1720/2007
Agencias de protección de datos.
2
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Protección de datos . ¿Por qué es importante?
Doble vertiente: ciudadano – trabajador.
Obligación legal.
Garantía para el titular de los datos (trabajadores, cliente, administrado, alumnos).
Evolución TIC y administración electrónica, suponen una mayor trazabilidad.
Otras normas: ENS, ENI, Ley de transparencia.
Normativa europea que viene ¿o no?
Privacy by design, privacy by default, DPO.
3
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
PRINCIPIOS
DE PROTECCIÓN
DE
DATOS 4
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Calidad de datos. Artículo 4 LOPD
Adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades.
No pueden usarse para finalidades incompatibles.
Exactos y puestos al día.
Limitados en el tiempo.
Debe permitir ejercicio derechos ARCO.
5
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Deber de información. Artículo 5 LOPD
• Si los datos se recogen del afectado: – En todo caso
• De la existencia del tratamiento
• De la finalidad del mismo
• De los posibles destinatarios de los datos
• De la identidad del responsable del tratamiento
– Si no se deduce claramente de las circunstancias de la recogida • Del carácter obligatorio o potestativo de facilitar los datos
• De las consecuencias de la negativa a facilitar los datos
• De la posibilidad de ejercitar los derechos y ante quién
6
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Consentimiento. Artículo 6 LOPD
El tratamiento de datos requiere el consentimiento inequívoco del afectado,
Salvo habilitación legal
No es preciso;
Funciones propias de Administraciones Públicas.
Contrato en una relación negocial, laboral o administrativa.
Interés vital (salud)
Fuentes accesibles al público y para un interés legítimo.
7
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Encargados de tratamiento. Artículo 12 LOPD
No es comunicación de datos el acceso a datos para la prestación de un servicio al responsable.
Deber de diligencia del responsable.
Contrato por escrito.
Se tratarán los datos solo bajo las instrucciones del responsable.
No se usarán para fin distinto, ni se comunicará a otros.
Si se usa para otro fin o se comunica sin permiso, el encargado se convierte en responsable.
Finalizado el contrato, serán devueltos o destruidos.
8
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Cesión de datos. Artículos 3.i y 11
Toda revelación de datos a persona distinta del interesado.
Solo para fines relacionados con las funciones legítimas del cedente y del cesionario, y con el consentimiento previo del interesado.
Excepciones:
• Previsto en una ley
• Provenga de fuentes accesibles al público
9
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Cesión de datos. Artículos 3.i y 11
• Dirigido a Defensor del Pueblo, Fiscal, Jueces o Tribunal de Cuentas.
• Cesiones entre AAPP para fines históricos, estadísticos y científicos.
• Urgencia por temas de salud.
Es revocable.
Disociación.
10
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Tratamiento de datos de menores. Art.13 RLOPD
• Pueden consentir los mayores de catorce años.
• Necesitan la asistencia de los titulares de la patria potestad o tutela:
– Los mayores de catorce años cuando la Ley la exija.
– En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
11
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Tratamiento de datos de menores. Art.13 RLOPD
No se puede a través del menor obtener información del grupo familiar.
Si para recabar la autorización de padre, madre o tutor.
Lenguaje comprensible para el menor.
Procedimiento de verificación de edad y autenticación del consentimiento. http://ticyprivacidad.es/2011/02/10/verificacin-de-edad-en-internet/
12
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Ejercicio de derechos. ARCO. Art. 15-19 LOPD
Título II RLOPD (art. 23-36)
Derechos:
• Acceso
• Rectificación
• Consulta
• Oposición
Impugnación de valoraciones (art. 13 LOPD)
13
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Seguridad de los datos (artículo 9 LOPD).
Se deben adoptar medidas
– técnicas.
– organizativas.
Que eviten:
– Alteración
– Pérdida
– Tratamiento o acceso no autorizado.
Título VIII Real Decreto 1720/2007
14
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Deber de secreto (artículo 10 LOPD).
Responsable y quienes traten datos.
Obligados al secreto profesional y al deber de guardarlos.
Incluso después de finalizar su relación.
15
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Medidas de seguridad. Título VIII RLOPD
Niveles: básico, medio y alto.
Medio:
• Infracciones administrativas o penales.
• Ficheros solvencia patrimonial
• Administraciones tributarias
• Servicios financieros
• Seguridad Social
• Evaluación de la personalidad
16
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Alto: ficheros con datos
• Ideología
• Afiliación sindical
• Religión
• Creencias
• Origen racial
• Salud o vida sexual
• Fines policiales sin consentimiento
• Derivados de actos de violencia de género
17
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Podrán aplicar básico Los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. - Los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
18
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Casos
y
normas
19
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Sentencia Tribunal Constitucional 2013-02-29
Videovigilancia Universidad Sevilla.
Control de jornada laboral mediante el análisis de las grabaciones de las cámaras.
Sanciones declaradas nulas en base a esta prueba.
20
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Sentencia Tribunal Constitucional 2013-12-16 Acceso empresa a correo electrónico corporativo.
Empresa accede al correo corporativo de un empleado y descubre revelación de secretos, que es causa de despido.
El convenio colectivo establece como falta leve el uso personal del correo corporativo.
No existe expectativa de privacidad.
21
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Política de seguridad de la información
Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos.
Real Decreto 3/2010 ENS
Políticas de seguridad
Normas de seguridad
Procedimientos de seguridad
22
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Política de seguridad de la información
Universidad de Murcia.
Propósito. Sentar las bases de la fiabilidad de los SI, a través de un conjunto de medidas, tanto técnicas como organizativas.
Objetivo:
Cumplimiento legal,
Disponibilidad y
Confidencialidad de la información.
23
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Política de seguridad de la información
Universidad de Murcia.
ENS se aplica a todos los recursos informáticos.
Define que son recursos TIC y que no se considera recurso TIC de la Universidad – BYOD.
Aplicable a nivel interno y externo (personas, instituciones, entidades, unidades, servicios)
Responsabilidad – remisión al régimen disciplinario.
24
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Decreto 66/2012 establece la política de seguridad de la información de la Generalitat.
Tratamiento de la información:
Reserva, confidencialidad y sigilo, incluso tras haber finalizado la relación o cesado en sus funciones.
Identificación y privilegios acorde a sus funciones.
Prohibido alojar información en SI externos.
25
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Propiedad y uso
Los medios son propiedad de la GVA
No están destinados al uso personal
No se pueden instalar, usar o conectar medios ajenos (BYOD)
No se pueden instalar programas no autorizados
26
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Contraseñas
Identificación es personal e intransferible
Contraseñas seguras
Incidencias
Borrado y destrucción de información
Cese de actividad
27
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Ordenadores
No se puede alterar la configuración hardware o software
Obligatorio bloquear la sesión
Prohibido almacenar información privada
Prohibido copiar, extraer o transmitir información.
Borrado de ficheros temporales.
28
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Portátiles
No se almacenará información sensible o confidencial.
Si es preciso Cifrado
Custodia
No conectar a redes ajenas
Desactivar búsqueda de redes inalámbricas.
29
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Impresoras, fotocopiadoras, escáner, fax.
Dispositivos móviles
Dispositivos almacenamiento externo (SD, USB, discos).
Correo electrónico: prohibido su uso con fines comerciales, financieros y personales.
Prohibido los envíos masivos.
30
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat Valenciana.
Internet
Solo por la red propia.
Acceso a Internet filtrado a través de sistemas automatizados elaboración de perfiles
31
Protección de datos: obligaciones y responsabilidades. El tratamiento de datos de los trabajadores y las trabajadoras
Muchas gracias
por su atención
Santiago Bermell
32