Embed Size (px)
Citation preview
Regulación Básica:
• Artículo 18.4 Constitución Española 1978. (Derecho Fundamental)• Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD).• R.D. 1720/2007, de 21 diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999. • Sentencia Tribunal Constitucional 292/2000
Obliga:
• En general a cualquier persona (física o jurídica, pública o privada) que posean datos de carácter personal de personas físicas en cualquier soporte (ficheros electrónicos o papel). La Ley distingue entre:
• Responsable del Fichero (titular o propietario del mismo)• Encargado del Tratamiento (por cuenta del responsable).
• Se excluyen los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Definiciones:• Art. 3 LO 15/1999
Definiciones:a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.b) Fichero: todo conjunto de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Principios de la protección de datos:
• Consentimiento, del afectado o interesado salvo ley que diga otra cosa• Calidad de los datos. Ser pertinentes, adecuado y no excesivos a las finalidades determinadas, expresas y legítimas• Deber de secreto, de quienes intervengan aunque temporalmente • Medidas de Seguridad, dependiendo del nivel de los datos:
•Básico, nombre, dni, dirección, teléfono, correo-e, fotografía, edad, sexo, nacionalidad…(art. 16 C.1978 Nadie obligado a declarar)•Medio, comisión infracciones, servicios financieros, solvencia, Hacienda pública, datos de los que se extraiga la personaclidad •Alto, ideología, afiliación sindical, creencias, raza, salud, vida sexual. (art. 16 C.1978 Nadie obligado a declarar)
• Cesión de datos, únicamente con consentimiento del interesado.• Acceso a datos por cuenta de terceros. Necesidad formalizar contrato entre encargado del tratamiento y responsable del fichero que especifique cómo va a llevarse a cabo el tratamiento.
Obligaciones:
• Inscripción de Ficheros en el Registro General de Protección de Datos• Creación del Documento de Seguridad y actualización constante • Deber de información al interesado • Adopción de medidas de seguridad de índole técnica y organizativa que garanticen la seguridad de los datos• Creación de contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos• Establecimiento de procedimientos para que los interesados puedan ejercitar sus derechos:
• Información • Acceso • Rectificación • Oposición • Cancelación
• Auditoría bienal de protección de datos (art. 110 RD 1720/2007)• Colaborar con la Agencia de Protección de Datos
Medidas de Seguridad Obligatorias:
• Datos Básicos:• Documento de Seguridad• Régimen de Funciones y obligaciones del personal• Registro de incidencias• Identificación y Autenticación de usuarios• Control de acceso• Gestión de Soportes• Copias de respaldo y recuperación
• Datos nivel medio:• Responsable de Seguridad• Auditoría bianual• Medidas adicionales de identificación y autenticación de usuarios.• Control de acceso físico
• Datos nivel alto:• Seguridad en la distribución de soportes• Registro de accesos• Medidas adicionales de copias de respaldo• Cifrado de telecomunicaciones
Inscripción de Ficheros:
• Registro General de Protección de Datos. Órgano integrado en la Agencia Española de Protección de Datos de dar publicidad de los ficheros y tratamientos existentes para facilitar al ciudadano el ejercicio de sus derechos.• Ficheros de Titularidad Pública se crean mediante norma publicada en Diario Oficial y notificar en 30 días. Ficheros de Titularidad Privada simplemente el responsable decide su creación, pero debe notificarlos antes de crearlos y comenzar el tratamiento.• Inscripción según procedimiento RD 1720/2007. Solo acredita cumplir la obligación de notificar, no del resto de obligaciones (formulario electrónico)• Información que hay que aportar: responsable del fichero, identificación fichero, finalidades y usos previstos, sistema de tratamiento empleado, colectivo de personas sobre el que se obtienen los datos, procedimiento y procedencia de los datos, categorías, servicio o unidad de acceso, nivel de medidas de seguridad, identificación del encargado del tratamiento, ubicación del fichero, destinatarios de cesiones y transferencias internacionales.• 1 mes para dictar Resolución inscripción o denegación inscripción.• Responsable obligado a mantener actualizada la inscripción.
Sanciones Administrativas:• Leves de 601 a 60.101 €:
• No atender solicitud rectificación o cancelación motivos formales• No informar a la APD (Agencia Española de Protección de Datos)• No solicitar inscripción si son datos básicos.• Recoger información sin proporcionar información a los afectados• Incumplir deber de secreto si son datos básicos.
• Graves de 60.101,01 a 300.506 €:• Recogida sin consentimiento expreso• Tratar incumplir la legislación (puede ser muy grave)• Mantener datos inexactos, sin rectificar o cancelar.• Mantener ficheros, locales, programas o equipos sin condiciones seguridad• Vulnerar deber secreto en datos de nivel medio.
• Muy Graves de 300.506,01 a 601.012 €:• Recoger datos de forma engañosa o fraudulenta• Comunicar o ceder datos de forma no permitida• Transferencia de datos a países sin nivel de protección equiparable ni autorización de la AEPD• No atender sistemáticamente derechos de acceso, rectificación, cancelación u oposición.• No atender sistemáticamente deber notificación de la inclusión de datos personales
Sanciones Civiles:
• Art. 1902 y 1903 del Código civil. Si se contrata con un tercero que tendrá acceso a los datos personales, hay que formalizar el correspondiente contrato de acceso en el que:
• Limiten facultades de tratamiento• Especifiquen medidas de seguridad• Se determinen las responsabilidades derivadas del incumplimento.
Sanciones Penales:
• Art. 197 y ss Tipifican delitos contra la intimidad, el descubrimiento y revelación de secretos.
Sanciones Laborales:
• Si se impone una sanción a la Organización, suele originar una derivación de responsabilidad laboral al causante del tratamiento inadecuado, acceso no autorizado, protección inadecuada, etc..
