tema3.pdf
Short Description
Download tema3.pdf...
Description
La protección de datos en España, en Europa y en Latinoamérica [3.1] ¿Cómo estudiar este tema? [3.2] La protección de datos en España [3.3] Reglamento europea de protección de datos [3.4] La protección de datos en Latinoamérica (especial referencia a Colombia y Ecuador)
A M E T
Aspectos Legales y Regulatorios
Esquema r o d a u c E
M A T A L n e D P a L
a c i r é m a o n i t a L n e y a ñ a p s E n e s o t a d e d n ó i c c e t o r P
e d l a r e n E e G U a o t l e n e d m D a P l g e R l E
a i b m o l o C
l n a r ó i s e n i V e g
s e d a d e v o N
o v l o i a c t a r u t a m r c M o a n
s o h c e r e D
) D P O L ( a ñ a p s E n E
s o i p i c n i r P
s o s n o i c i s m r á é b T
s e d a d i l a r e n e G
TEMA 3 – Esquema
2
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Esquema r o d a u c E
M A T A L n e D P a L
a c i r é m a o n i t a L n e y a ñ a p s E n e s o t a d e d n ó i c c e t o r P
e d l a r e n E e G U a o t l e n e d m D a P l g e R l E
a i b m o l o C
l n a r ó i s e n i V e g
s e d a d e v o N
o v l o i a c t a r u t a m r c M o a n
s o h c e r e D
) D P O L ( a ñ a p s E n E
s o i p i c n i r P
s o s n o i c i s m r á é b T
s e d a d i l a r e n e G
TEMA 3 – Esquema
2
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Ideas clave 3.1. ¿Cómo estudiar este tema? Para estudiar este tema lee las Ideas clave, además de los siguientes documentos: » Ley Orgánica de Protección de Datos 15/1999, disponible en el siguiente enlace: https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750 » También tendrás que leer las preguntas frecuentes sobre la Agencia Española de Protección de Datos (AEPD) disponibles en el enlace siguiente: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/pregunt as_frecuentes/index-ides-idphp.php » Además, tendrás que leer las guías g uías y publicaciones sobre la AEPD disponibles en el siguiente enlace: https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-idesidphp.php » Por último, tendrás que leer el Reglamento europeo euro peo de protección de datos disponible en el siguiente enlace: http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=es Nota importante: tras la aprobación y entrada en vigor del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPDUE) en España existe una situación de Transición de la LOPD al RGPDUE hasta el 25 de mayo de 2018.
TEMA 3 – Ideas clave
3
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
3.2. La protección de datos en España Generalidades sobre protección de datos
Para introducir el estudio del tema, el presente epígrafe analiza el concepto de la protección de datos, la normativa básica que se debe conocer, la configuración jurisprudencial de la protección de datos, la labor que desempeña la Agencia Española de Protección de Datos y la estructura del estudio de la protección de datos. » Protección de datos: el amparo debido a los ciudadanos contra la posible utilización por terceros en forma no autorizada de sus datos personales
susceptibles de tratamiento, para confeccionar una información que identificable con él afecte a su entorno personal, social o profesional. La protección de datos está jurídicamente considerada por el Tribunal Constitucional como un derecho fundamental autónomo e independiente del derecho a la intimidad personal y familiar (Sentencia 292/2000, de 30 de noviembre). El derecho a la protección de datos no solo protege a los datos íntimos de las personas, sino que amplía su ámbito de protección a «cualquier tipo de dato personal, sea íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, por lo que su objeto no es solo la intimidad individual que para ello está la protección que el artículo 18.1 de la Constitución Española otorga, si no los datos de carácter personal en el 18.4» de la CE . Es por ello que debemos atender al artículo 18.4 de la Constitución Española, que establece que: «la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Y continúa diciendo: «se garantiza a los individuos un poder poder de disposición sobre esos datos [...] que [...] nada vale si el afectado desconoce qué datos son los que poseen terceros, quiénes los poseen y con qué fin» (primer párrafo del Fundamento Jurídico 6). Se trata, por tanto, de un derecho fundamental (denominado por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre como el derecho fundamental a la protección de datos) que es autónomo e independiente del de la intimidad.
TEMA 3 – Ideas clave
4
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
En cuanto al ámbito de actuación, la intimidad es más reducida que la protección de datos como vamos en esta tabla:
Intimidad
Protección de datos
Protege frente a invasiones de su Garantiza a la persona un poder de control vida privada o familiar (es reactivo) sobre sus datos personales, sobre su uso y destino, para impedir un tráfico ilícito y lesivo para la dignidad y derecho del afectado (es proactivo). Datos íntimos de la persona
Cualesquiera datos personales, aunque no sean íntimos y aunque sean incluso públicos.
En cuanto al contenido: la protección de datos impone obligaciones adicionales e instrumentos para que sea efectivo. La intimidad no.
Intimidad
Protección de datos
No
Derecho a que se requiera el consentimiento para la recogida y uso de los datos.
No
Derecho a ser informado y saber el uso y destino de los datos.
No
Derecho a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos.
No
En definitiva: poder de disposición sobre sus datos.
» ¿Qué normativa hay que conocer? En el estudio de la protección de datos hay que atender a la siguiente normativa:
Nacional
Comunitaria
Constitución Española de 1978: 1 8,4 (CE). Ley Orgánica 1 5/1999, de 1 3 de diciembre, de Pro tección de Datos de Carácter Persona l (LOPD). Real Decre to 17 20/2007, de 21 de diciembre, por el que se aprueb a el Reglamento de desarrollo de la Ley Orgánica 1 5/1999, de 1 3 de dic iembre, de pro tección de dato s de carácter personal (RDLOPD). Otras no rmas. Instru cciones de la A gencia Española de Prote cción de Datos (A EPD).
TEMA 3 – Ideas clave
5
Direc tiv a 95/46/CE del Parlamento Europeo y del Consejo, de 2 4 de o ctubre, relativa a la p rotección de las personas físicas e n lo que r espec ta al tratamiento de dato s perso nales y a la libre c irculación de esto s datos (citada como Direc tiva 95/46/CE). Reglamento Genera l de Pro tección de Datos de la Unión Euro pea.
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» ¿Qué labor desempeña la Agencia Española de Protección de Datos y qué estructura tiene?
El órgano de control del cumplimiento de la LOPD (la Agencia Española de Protección de Datos, en adelante AEPD) se encuentra regulada en el Título VI (arts. 35 a 42), bajo la rúbrica de Agencia Española de Protección de Datos, como ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. La representación de la Agencia Española de Protección de Datos la ostenta su Director que será nombrado de entre quienes componen el Consejo Consultivo (art.
36) «mediante Real Decreto, por un período de cuatro años » y, teniendo la consideración de «alto cargo», podrá ser separado de su puesto (artículo 36.3). A continuación, se describen sucintamente las funciones de la Agencia agrupadas por materias según los actos/actores involucrados: En relación con los afectados: o
Atender a sus peticiones y reclamaciones.
o
Informar de los derechos reconocidos en la Ley.
o
Promover campañas de difusión a través de los medios.
o
Velar por la publicidad de los ficheros de datos de carácter personal.
TEMA 3 – Ideas clave
6
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» En relación con quienes tratan datos: o
Emitir las autorizaciones previstas en la Ley.
o
Requerir medidas de corrección.
o
o
Cese en el tratamiento y la cancelación de los datos en casos de ilegalidad. Ejercer la potestad sancionadora en los términos previstos en el Título VII de la Ley Orgánica de Protección de Datos.
o
Recabar de los responsables de los ficheros la ayuda e información que precise para el ejercicio de sus funciones.
o
Autorizar las transferencias internacionales de datos.
En la elaboración de normas: o
Informar preceptivamente los proyectos de normas de desarrollo de la Ley Orgánica de Protección de Datos o que incidan en materia de protección de datos.
o
Dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica de Protección de Datos.
o
Dictar recomendaciones de aplicación de las disposiciones legales y reg lamentarias en materia de seguridad de los datos y control de acceso a los ficheros.
» En materia de telecomunicaciones: o
Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente ( spam).
o
Recibir las notificaciones de las eventuales quiebras de seguridad.
» Otras funciones: o
Cooperación con diversos organismos internacionales y con los órganos de la Unión Europea en materia de protección de datos.
o
Representación de España en los foros internacionales en la materia.
o
Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
o
Elaboración de una memoria anual que es presentada por el Director de la Agencia ante las Cortes.
TEMA 3 – Ideas clave
7
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Integrado en la Agencia se encuentra el Registro General de Protección de Datos donde serán objeto de inscripción (art. 39), los ficheros de que sean titulares
las Administraciones Públicas, los ficheros de titularidad privada, los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición (Derechos A.R.C.O) y los Códigos Tipo que, mediante acuerdos sectoriales o decisiones de empresa, podrán formular los responsables de ficheros de titularidad privada, estableciendo artículo 32 de la LOPD. Términos básicos
En el estudio de la protección de datos y en particular de la LOPD es necesario atender a las definiciones que se incluyen en el artículo 3 , además de tener en consideración las definiciones que también figuran en el artículo 5 del R.D. 1720/2007. Las definiciones incluidas en la LOPD sirven para centrar algunas cuestiones en el sentido de que nos permitirán aclarar posteriormente la interpretación de algunos conceptos que pueden resultar problemáticos en la aplicación de esta norma si nos limitamos a su acepción coloquial. En concreto, los conceptos a los que vamos a prestar atención son los siguientes: » Datos de carácter personal : la letra a) del artículo 3 de la LOPD define datos de carácter personal como «cualquier información concerniente a personas físicas
identificadas o identificables». Es necesario destacar que con la referencia expresa a «personas físicas» se hace exclusión de los datos referentes a personas jurídicas . Es decir, esta norma
no es de aplicación al tratamiento de datos de personas jurídicas. En forma parecida se expresa la Directiva 95/46/CE que, en su artículo 1.1, indica que «los Estados miembro garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas [...]» excluyendo también a las personas jurídicas.
TEMA 3 – Ideas clave
8
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Debemos destacar que los datos de carácter personal no son solamente los alfabéticos mediante los que se representan las palabras en el lenguaje, sino que
también son datos de carácter personal los números, los gráficos, las fotos, los sonidos, etc., siempre que conciernan o se puedan asociar a una persona física identificada o identificable. Apartado 1.f del artículo 5 del R. D. 1720/2007. » Fichero. distinguimos a los ficheros en base al: Procedimiento de almacenamiento: o
Fichero automatizado: Conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Es decir, cualquier dato que tengamos sobre personas físicas en cualquier tipo de soporte, tanto papel como a nivel informático. El concepto de fichero no se corresponde necesariamente con una base de datos, sino que siempre que exista un conjunto de datos que estén organizados mediante algún criterio nos encontraremos ante la existencia de un fichero. o
Fichero no automatizado : todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. Por su titularidad, en base al sujeto que crea el fichero: A) Públicos. B) Privados. Una de las obligaciones del responsable del fichero (sea de titularidad pública o de titularidad privada) es la de inscribirlo en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos, y entre sus
obligaciones, la identificación del responsable del fichero , la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos de carácter personal que se
prevean realizar.
TEMA 3 – Ideas clave
9
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Toda institución, pública o privada, que posea un fichero de datos de carácter personal tiene la obligación de comunicarlo a la AEPD que, tras el análisis de su contenido y si cumple con todos los requisitos exigidos por la propia LOPD y por el Reglamento, lo inscribirá en el Registro General de Protección de Datos. También deberán notificarse a la Agencia los cambios que se produzcan «en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación». » Tratamiento de datos (art 3.c de la LOPD): «operaciones y procedimientos técnicos de carácter automatizado o no que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». » Responsable del fichero o tratamiento (art 3.d de la LOPD): «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento». La capacidad de tomar decisiones sobre el objeto, utilización y fin del tratamiento o sobre el uso que se va a dar a los datos de carácter personal resultantes del tratamiento o, en su caso, si van o no a ser cedidos, definen la figura del responsable del fichero. Decide también contenido del fichero o contenido del tratamiento. Debe distinguirse claramente esta figura de la del encargado del tratamiento, puesto que este último no decide sobre la finalidad, contenido y uso
del tratamiento, sino que lleva a cabo un tratamiento por cuenta del responsable del fichero. » Encargado del tratamiento (art 3.g de la LOPD): «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento». El encargado del tratamiento es un tercero (normalmente una empresa pero no necesariamente distinta e incluso independiente del responsable del fichero) que le presta un servicio al responsable del fichero y que para ello requiere
acceder a datos del responsable.
TEMA 3 – Ideas clave
10
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Ejemplos típicos de encargados lo son la asesoría laboral, contable o fiscal (que accede a los datos de empleados, clientes o proveedores de su cliente para asesorarle). » Afectado o interesado (art 3.e de la LOPD): «persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo [operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias]». Vemos que la Ley califica como «afectado» a todas las personas físicas cuyos datos sean tratados o figuren en ficheros de los definidos en este artículo .
Podríamos decir qué afectados son: cliente, paciente, ciudadano, empleado… y qué sería más oportuno haberlos denominado solamente como «interesado» o, en su caso, como «titular del dato». La LOPD deja incluidas únicamente las personas físicas y excluidas las personas jurídicas de la protección conferida por sus disposiciones (con algunas excepciones) » Procedimiento de disociación (art 3.f de la LOPD): «todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable». Se encuentra unido a las estadísticas o al tratamiento de forma que los resultados del mismo no puedan identificar o asociarse a persona alguna; incluso, en estos casos, al tratar la cesión de datos, indica la LOPD que no necesitará el consentimiento del afectado (apartado 6 del artículo 11) si la cesión se efectúa previo procedimiento de disociación. » Consentimiento del interesado (art 3.h de la LOPD): «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen». Téngase en cuenta que el consentimiento es el eje vertebral de la protección de datos y ello exige que como regla general ( con la excepción de fuente accesible al público) no se puedan tratar datos de nadie sin ese consentimiento, sin perjuicio de que en ocasiones esta obligación está exenta.
TEMA 3 – Ideas clave
11
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Por ejemplo: cuando los datos se traten en el marco de la relación negocial, laboral o administrativa, cuando exista una Ley que disponga lo contrario, etc. En cuanto a la forma del consentimiento es necesario tener en consideración que se requiere en forma expresa cuando se trate de datos relativos a origen racial, salud o vida sexual y, además, por escrito cuando se sean datos relativos a la ideología, afiliación sindical, religión o creencias. » Fuentes accesibles al público (art 3.j de la LOPD): son aquellos ficheros cuya consulta puede ser realizada por cualquier persona. «Tienen la consideración de fuentes de acceso público, exclusivamente…»: o
Censo promocional: hoy en día no se han concebido como tal a nivel generalizado.
o
Repertorios telefónicos en los términos previstos por su normativa específica
o
Listas de personas pertenecientes a grupos de profesionales datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
o
Diarios y boletines oficiales
o
Medios de comunicación.
Nota importante: Internet no es una fuente accesible al público. La posibilidad de tratamiento de datos de carácter personal de las fuentes accesibles al público (en relación con el artículo 6.2 de la LOPD) es un tratamiento de datos sin consentimiento del titular , incluyendo recabar los
datos, tratarlos y, en su caso, cederlos a terceros y, siendo aún necesario, atender a los principios de interés legítimo en el conocimiento de los datos y de interpretación leal. » Cesión o comunicación de datos (art 3.i LOPD y art 5.1.c del R.D. RDLOPD): «toda revelación de datos realizada a una persona distinta del interesado». Lo relevante de esta definición es que podría ser considerado como cesión la simple consulta que un tercero realice a los datos , aunque sea a distancia y
sin creación de un fichero o tratamiento nuevo.
TEMA 3 – Ideas clave
12
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
La cesión es un punto conflictivo en las teorías sobre protección de datos, ya que implica una mayor posibilidad de que el interesado pierda el control sobre sus propios datos al haber sido comunicados a un tercero al que, probablemente, ni tan siquiera se conozca o, aunque así fuera, no se le hubieran proporcionado. Es por todo ello que la cesión, en un principio y salvo las excepciones que marca la norma, deberá ser siempre con consentimiento. » Bloqueo de los datos (art 5.1.b del R.D. 1720/2007): «la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las administraciones públicas, jueces y tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de dichas responsabilidades». La LOPD solamente se refiere al bloqueo de datos en dos ocasiones: en las definiciones al describir el concepto de «tratamiento de datos» como
operaciones y procedimientos técnicos «que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación» y cuando regula el ejercicio de los derechos de rectificación y cancelación (artículo 16), e indica
que «la cancelación dará lugar al bloqueo de los datos conservándose únicamente a disposición de las administraciones públicas, jueces y tribunales». Sin embargo, en ningún sitio define ni indica en qué consiste el bloqueo. Los principios de la protección de datos según la LOPD
Los principios contemplados en el Título II de la LOPD expuestos en un orden lógico que permita facilitar su compresión en la práctica son los siguientes: Estos principios tienen que estar presentes en las tres fases del tratamiento de los datos de carácter personal : recogida, tratamiento y utilización y, en su caso,
cesión o comunicación de los datos.
TEMA 3 – Ideas clave
13
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» El consentimiento del titular de los datos (art. 6 de la LOPD): con carácter general, el principio del consentimiento supone que solo el titular de los datos decide cuándo, dónde y cómo se tratan sus datos o se dan a conocer a terceros. Dicho principio cuenta con una serie de excepciones legalmente
previstas, y que son, básicamente, las siguientes: o
Cuando una ley disponga otra cosa.
o
Cuando los datos se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias.
o
Cuando se refiera a las partes de un contrato o precontrato de una relación negoci al o laboral y sean necesarios para su mantenimiento o cumplimiento.
o
Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la LOPD.
o
Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Y a su vez establece un régimen de protección especial para determinados datos, cuyo tratamiento puede comprometer especialmente la intimidad de los ciudadanos: o
Datos que revelen la ideología, afiliación sindical, religión y creencias.
o
Datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual.
o
Datos de carácter personal relativos a la comisión de infracciones penales o administrativas.
» La calidad de los datos (art. 4 de la LOPD): a través de este principio se indica los parámetros que deben de guiar la recogida y el tratamiento de los datos de carácter personal estableciendo qué tipo de datos se deben recoger, cómo se deben obtener, almacenar, utilizar, mantener en un fichero y cuándo deben ser eliminados del tratamiento. Los parámetros de dicho principio son los siguientes:
TEMA 3 – Ideas clave
14
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Solo se podrán recoger los datos por medios que no sean fraudulentos, desleales o ilícitos: o
Pertinencia: los datos deben ser «adecuados, pertinentes, y no excesivos, en
relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido». o
Finalidad: los datos «no podrán usarse para finalidades incompatibles con
aquellas para las que hubieran sido recogidos». o
Límite temporal: los datos de carácter personal deberán ser cancelados
cuando hayan dejado de ser necesarios para la finalidad que originó su recogida. o
Actualización/ veracidad: los datos deben ser «exactos y puestos al día de
forma que respondan con veracidad a la situación actual del afectado». Por último, los datos personales deben ser almacenados de manera que el titular de los datos pueda ejercer su derecho de acceso cuando lo considere oportuno » La información en la recogida de datos (art. 5 de la LOPD): el principio de información en la recogida de datos (art. 5 de la LOPD) supone que cuando los datos se recaben del propio interesado , este debe ser informado con carácter
previo y de modo expreso, preciso e inequívoco de los siguientes aspectos: o
La existencia de un fichero o tratamiento de datos. La finalidad con la que se recaban los mismos.
o
Los destinatarios de la información.
o
Si tiene obligación o no de responder a las preguntas que se le plantean.
o
Las consecuencias que conllevaría la negación a contestar a las mismas o la negativa a proporcionar los datos.
o
La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
o
La identidad y dirección del responsable del tratamiento o de su representante, en su caso.
TEMA 3 – Ideas clave
15
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
En cuanto a la información a proporcionar es necesario distinguir dos supuestos en la recogida de datos: 1
Cuando los dato s son rec abados del propio interesado
2
Cuando los dato s son rec abados de un terc ero distinto del interesado
Determinando estos supuestos, la información que se tiene que proporcionar y el momento en que se tiene que facilitar al interesado, ya que, cuando los datos se recaban de un tercero esta información no debe ser previa, sino que tiene que proporcionarse al interesado dentro de los tres meses siguientes al registro de sus datos (art. 5.4 de la LOPD). » Los datos especialmente protegidos (art. 7 de la LOPD): entendiendo por tales aquellos datos que hacen referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual , relativos a la comisión de infracciones penales o administrativas; es necesario atender a la especial protección que la LOPD confiere a los mismos.
Manifestación de lo anterior es la exigencia de que los mismos solo puedan ser recabados y tratados con el consentimiento expreso y, en su caso, por escrito, cuando se refiera a los datos de ideología, afiliación sindical, religión y
creencias del titular de los mismos. Es necesario el consentimiento expreso para el tratamiento de los datos relativos al origen racial, salud o vida sexual, y es necesario que el consentimiento, además de expreso sea por escrito, cuando sean datos relativos a la ideología, afiliación sindical, religión y creencias del interesado.
TEMA 3 – Ideas clave
16
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Los datos relativos a la salud (art. 8 de la LOPD): tal y como establece el artículo 8 de la LOPD: «sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad». Por su parte, el apartado 1.g, del artículo 5 del Real Decreto 1720/2007 define los datos de carácter personal relacionados con la salud como: «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética». » La seguridad de los datos (art. 9 de la LOPD): el artículo 9 de la LOPD, desarrollado reglamentariamente por el Real Decreto Real Decreto 1720/2007, obliga al responsable del fichero y, en su caso, el encargado del tratamiento
a adoptar las medidas de índole técnica y organizativas necesarias con el fin de garantizar la seguridad de los datos personales objeto de tratamiento, evitando su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas de índole técnica y organizativas se adoptarán atendiendo a la naturaleza de los datos en función de la mayor o menor necesidad de garantizar su confidencialidad e integridad.
TEMA 3 – Ideas clave
17
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Respecto a la aplicación de los niveles de seguridad, el artículo 81 del Real Decreto 1720/2007 indica que: «1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: Los relativos a la comisión de infracciones administrativas o penales. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. Aquellos de los que sean responsables las administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquellos de los que sean responsables las entidades gestoras y servicios comunes de la seguridad social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquellos que contengan datos derivados de actos de violencia de género» Las medidas mínimas de seguridad a aplicar a cada tipo de fichero se encuentran recogidas en el Título VIII del Real Decreto 1720/2007 (el Reglamento de la LOPD). » El deber de secreto (art. 10 de la LOPD): la LOPD impone al responsable del fichero y a quienes intervengan en cualquier fase del tratamiento de datos la obligación de secreto profesional respecto de los datos tratados , así como el deber de guardarlos, aún una vez finalizadas sus relaciones con el titular del fichero, o en su
caso, con el responsable del mismo.
TEMA 3 – Ideas clave
18
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» La cesión o comunicación de datos (art. 11 de la LOPD): toda revelación de datos hecha a una persona distinta del propio interesado , la cesión o comunicación de datos solo podrá llevarse a cabo para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado , salvo que la Ley
disponga lo contrario. En concreto, el artículo 11.2 de la LOPD establece los supuestos en los que no será necesario el consentimiento del interesado para comunicar sus datos a terceros: «a) Cuando la cesión está autorizada en una ley. Cuando se trate de datos recogidos de fuentes accesibles al público. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. Cuando la cesión se produzca entre administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica». » El acceso a los datos por terceros (art. 12 de la LOPD): en el acceso a los datos por terceros, el encargado del tratamiento presta un servicio al responsable del fichero que supone el acceso a datos de carácter persona l, sin que tenga
la consideración legal de cesión o comunicación de datos. Dicha prestación de servicios tiene que estar regulada en un contrato que cumpla con los requisitos del artículo 12 de la LOPD. Tal y como hemos visto en las definiciones, el encargado del tratamiento es «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento» (art. 3.g de la LOPD).
TEMA 3 – Ideas clave
19
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Los derechos de las personas
Los derechos de las personas que la LOPD recoge, en su Título III, en materia de protección de datos, son: » Derecho de impugnación de valoraciones (art. 13 LOPD): el derecho de impugnación de valoraciones (también regulado en el artículo 36 del RDLOPD) faculta al interesado a impugnar aquellas decisiones que tengan efectos jurídicos y cuya base sea únicamente un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad
(rendimiento laboral, créditos, hábitos…etc.) y que utilice la información obtenida para tomar algún tipo de decisión que les afecte significativamente ( determinar si es válido para un puesto de trabajo, conceder una hipoteca…etc.). También podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad pudiendo obtener información del responsable del fichero sobre los criterios de valoración y el programa utili zados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto. Pero como siempre, encontramos dos excepciones donde los usuarios podrán verse sometidos a una decisión basada únicamente en un tratamiento automatizado de datos: o
Cuando dicha decisión se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado siempre que se le otorgue la posibilidad de alegar lo que estime conveniente.
o
Cuando dicha decisión esté autorizada por una norma con rango de ley que establezca medidas que garanticen el interés legítimo del interesado.
» Derecho de consulta al RGPD (art. 14 LOPD): permite a cualquier persona recabar información con el fin de conocer la existencia de tratamientos de datos de carácter personal, la finalidad de los mismos y la identidad del responsable del fichero . Dicho registro se configura legalmente como de
consulta pública y gratuita, no existiendo limitación alguna para las consultas efectuadas por parte del interesado.
TEMA 3 – Ideas clave
20
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Derecho de acceso (art. 15 LOPD): el interesado podrá dirigirse al responsable del fichero con objeto de conocer qué datos suyos figuran en el mismo, cuál es el origen de los mismos y las comunicaciones que se hubieran realizado o que se prevean realizar en el futuro. Dicho derecho se ejercitará de forma gratuita a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo. » Derecho de rectificación y cancelación (art. 16 LOPD): son dos derechos independientes que facultan al interesado para instar al responsable del fichero a rectificar o, en su caso, cancelar aquellos datos cuyo tratamiento no se ajuste a las previsiones de la ley , y en particular cuando los mismos
resulten ser inexactos o incompletos y a cancelarlos también cuando hayan dejado de ser necesarios para la finalidad para la cual hubieran sido registrados. » Derecho de oposición (art. 6.4 LOPD): en aquellos casos en los que no resulte necesario el consentimiento del interesado para el tratamiento de sus datos y sie mpre que una ley no disponga lo contrario, este podrá oponerse al tratamiento de los mismos cuando existan motivos fundados y legítimos relativos a una concreta
situación personal. El responsable del fichero tendrá que proceder a la exclusión de los datos relativos al afectado. » Derecho a indemnización (art. 19 LOPD): aquellos interesados que sufran algún daño o lesión en sus bienes o derechos como consecuencia del
incumplimiento de las obligaciones que tienen el responsable o el encargado del tratamiento, en su caso, en el tratamiento de sus datos de carácter personal, puedan ser indemnizados. Por lo que se refiere al ejercicio de este derecho, cuando se trata
de ficheros de titularidad pública la responsabilidad será exigida conforme a lo previsto en la legislación que regula el régimen de responsabilidad de las administraciones públicas. Si se trata de ficheros de titularidad privada
deberá acudirse a los órganos de la jurisdicción ordinaria.
TEMA 3 – Ideas clave
21
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
3.3. Reglamento europeo de protección de datos Marco normativo actual de la privacidad en Europa
Tal y como hemos comentado, en Europa acabamos de estrenar un nuevo marco normativo en materia de protección de datos con la reciente aprobación del Reglamento General de Protección de Datos de la Unión Europea (RGPDUE). El RGPDUE ha entrado en vigor el 25 de mayo de 2016 aunque no comenz ará a aplicarse hasta dos años después (el 25 de mayo de 2018). Ello tiene como objetivo permitir que los Estados de la UE, sus Instituciones y también las organizaciones que tratan datos vayan preparándose y adaptándose paulatinamente al mismo para cuando sea aplicable. Intentaremos resumir a continuación cuales son los principales cambios que el RGPDUE ha supuesto. El marco vigente hasta la actualidad en materia de privacidad en Europa tenía como base principalmente la Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Y cada uno de los estados miembros traspuso esta Directiva comunitaria a su ordenamiento jurídico de forma diferente, lo que supuso existencia de asimetrías entre ellos. Por ello el RGPDUE llega con un claro objeto de armonizar la legislación en la U.E. «igualando» los derechos de sus ciudadanos y (como apunta su considerando 9) rompiendo obstáculos al libre ejercicio de las actividades económicas, evitando que se falsee la competencia y que no se pueda impedir que las autoridades de control cumplan sus funciones: «Para garantizar un nivel uniforme y elevado de protección de las personas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los estados miembros. Debe garantizarse en toda la Unión la aplicación coherente y homogénea de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal».
TEMA 3 – Ideas clave
22
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Ello enlaza con la propia forma jurídica que se ha escogido: hemos pasado de una directiva a un reglamento. Como sabemos la Directiva requiere de desarrollo ulterior por parte de los estados (cosa que por ejemplo se ha hecho en España con la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal – LOPD- y correspondientes normas de desarrollo). En cambio, el reglamento no lo requiere. Lo anterior sin perjuicio de que se puedan aprobar normas que sean necesarias para permitir o facilitar la aplicación del Reglamento, pero que no podrán ser contrarias ni sobrepasar los límites que el mismo dispone. A continuación, apuntaremos de forma sintética los principales cambios que implica el RGPDUE. Por cuestión de espacio no se han podido mencionar todos (faltan muchos aspectos como las transferencias internacionales, el tratamiento de datos de los menores, etc.) ni entrar en detalle en los seleccionados. Es importante, de forma previa, apuntar que a pesar de que con el RGPDUE se producen cambios en algunos principios, derechos y obligaciones, que gran parte de la columna vertebral del derecho a la protección de datos de la actual regulación se mantiene intacta.
TEMA 3 – Ideas clave
23
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Principales cambios
A continuación, indicamos cuáles son los principales cambios que se avecinan, aunque hay otros que no pueden ser desarrollados en este resumen. » Ampliación del ámbito territorial: el reglamento europeo amplía el ámbito territorial de aplicación, pues se extiende a todos aquellos responsables que tratan datos personales de europeos, aunque no estén establecidos en la Unión Europea: «1. El presente reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte del interesado; o b) el control de su conducta, en la medida en que esta tenga lugar en la Unión Europea. 3) El presente reglamento se aplica al tratamiento de datos personales por parte de un responsable del tratamiento que no esté establecido en la Unión sino en un lugar en que sea de aplicación la legislación nacional de un estado miembro en virtud del derecho internacional público. Es importante tenerlo en consideración, ya que incluso es aplicable a quienes sin estar establecidos en el territorio de la U.E. tratan datos personales de ciudadanos europeos al dirigir sus bienes o servicios a los mismos, con independencia de dónde se produzca el pago.
TEMA 3 – Ideas clave
24
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Aparecen nuevas definiciones: el futuro reglamento europeo incluye un elenco de nuevas definiciones a conceptos no recogidos expresamente en la legislación de protección de datos española:
o
Datos genéricos. Datos de biometría.
o
Establecimiento principal.
o
Elaboración de perfiles.
o
Empresa y grupo de empresas.
o
Normas corporativas vinculantes.
o
o
Autoridad de control interesada.
o
Violaciones de datos personales.
o
Tratamiento transfronterizo de datos.
o
Objeción pertinente y motivada.
o
Pseudoanonimización.
o
Cesionarios.
o
Restricción de tratamiento.
o
Objeción pertinente y motivada.
o
Servicio de la sociedad de la información.
o
Organización internacional.
» Consentimiento: la Directiva 95/46/CE exige que el consentimiento sea «inequívoco». El reglamento europeo no solo establece la obligatoriedad de un consentimiento «inequívoco», sino también «explícito» para categorías especiales de datos de manera que se tendrá que articular medios o mecanismos que permitan acreditar al responsable la obtención de dicho consentimiento. El reglamento europeo recoge una nueva definición de «consentimiento» del interesado que difiere de la recogida por la legislación española: «consentimiento del interesado es toda manifestación de voluntad, libre, específica, informada e inequívoca mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
TEMA 3 – Ideas clave
25
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Debe estar claramente distinguido del resto del texto con un lenguaje claro y sencillo. Se procura que el mismo no sea válido en situaciones de desequilibrio: o
o
Cuando no permita dar consentimiento por separado a las distintas operaciones de tratamiento de datos, pese a ser lo adecuado en ese caso concreto. Cuando el cumplimiento de un contrato dependa del consentimiento pese a no ser necesario en ese contrato y el interesado no pueda razonablemente obtener servicios equivalentes de otra fuente sin dar su consentimiento .
Debe ser sencillo e inmediato retirar el consentimiento en cualquier momento. Existen cambios respecto del tratamiento de datos de los menores especialmente en lo relativo a los servicios de la sociedad de la información. » Derechos del titular de los datos : aparte de los derechos de acceso, rectificación, cancelación y oposición (A.R.C.O) cuyos plazos para atender las solicitudes de ejercicio por el interesado cambian (indistintamente el derecho, prevé el plazo de 1 mes, pudiendo extenderse a otros 2 meses más, atendiendo a la complejidad o al número de estos) se han introducido nuevos derechos, aunque también no son considerados absolutos e ilimitados: o
Derecho a la supresión o coloquialmente conocido como «derecho al olvido». El interesado tendrá derecho a obtener del responsable del tratamiento
la supresión de los datos personales que le conciernan sin demora injustificada. En todo caso se prevén unos límites a su ejercicio. Llevado al ámbito de Internet, decir que el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que traten los datos de que el interesado les solicita que supriman cualquier enlace a esos datos personales o cualquier copia o réplica de los mismos.
TEMA 3 – Ideas clave
26
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
o
Derecho a la portabilidad. Se entiende como un derecho de acceso ampliado en el que el interesado siempre que hubiera facilitado sus datos personales y estos se traten electrónicamente puede exigir al responsable del tratamiento que se los proporcione en formato electrónico interoperable, para poder facilitárselos o transferirlos a un nuevo proveedor/responsable cuando sea técnicamente viable y materialmente posible. De este modo se tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
o
Derecho de objeción. Pensado para tratamientos basados en monitorización de la conducta ( profiling) y marketing directo.
o
Derecho de oposición a decisiones automatizadas. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles que produzca efectos jurídicos que le conciernan o, de modo semejante, le afecten significativamente.
» Derecho de información más completo: una de las principales novedades del reglamento se refiere al derecho de información mediante la combinación de ICONOS que permitan proporcionar de forma visible, inteligible y claramente legible una presentación adecuada del tratamiento de datos previsto. Cuando los iconos se presenten en formato electrónico, serán legibles por una máquina.
TEMA 3 – Ideas clave
27
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
La Comisión tendrá poderes para adoptar actos delegados con el propósito de determinar la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos. Cabe decir que ha de suministrar información adicional a la obligada por el legislador español, tales como el periodo de conservación de los datos, el derecho a presentar una reclamación, en relación con las transferencias internacionales y con la fuente de la que proceden los datos, entre otros. » Contratos con encargados del tratamiento: el reglamento prevé, como en la actual legislación española, la obligación de formalizar un contrato con los proveedores o prestadores de servicios con acceso a datos de carácter personal. Así, la realización del tratamiento por un encargado se regirá por un contrato u otro acto jurídico establecido con arreglo al derecho de la Unión Europea o de un estado miembro que vincule al encargado del tratamiento con el responsable del tratamiento. Y, en relación a los supuestos de subcontratación, recoge que el encargado del tratamiento no recurrirá a otro encargado del tratamiento sin el consentimiento previo por escrito, específico o general, del responsable del tratamiento. » No obligación de notificar e inscribir ficheros en el registro: otra de las principales novedades del reglamento es la relativa a que no se recoge la obligación de notificación e inscripción de ficheros ante las autoridades de control. No obstante, obliga a tener un registro de actividades de tratamientos de datos a los responsables de tratamiento y, en su caso, encargados de tratamiento. » A coou nta bi li ty : es otro de los principios que inspiran el reglamento y se refiere a «responsabilidad» o «rendición de cuentas» . Se pretende que la organización pueda rendir cuentas acerca de cómo ha establecido sus políticas de privacidad y responder ante las autoridades de control. Se deja más libertad a la organización para cumplir las obligaciones, pero debe estar dispuesta a rendir cuentas en el momento en que se le requiera.
TEMA 3 – Ideas clave
28
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Este principio se desarrolla mediante diferentes obligaciones que ahora vemos:
o
Seguridad: las medidas de seguridad ya no vendrán establecidas por niveles (básico, medio, alto). En determinados supuestos será obligatorio realizar evaluaciones de impacto ( privacy impact assessment (PIA)) sobre la protección de los datos personales y, en otros casos, serán recomendables. Los supuestos exigidos son:
-
Evaluación sistemática y exhaustiva de aspectos personales de personas físicas. Elaboración de perfiles con decisiones que produzcan efectos jurídicos o les afecten gravemente.
-
Tratamiento de categorías especiales de datos.
-
Seguimiento a gran escala de zonas de acceso público.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento sujetas y podrá también establecer y publicar supuestos en que no estén sujetas. » Privacidad desde el diseño y por defecto: la privacidad desde el diseño (privacy by design) se refiere a la necesidad de tener en cuenta la privacidad en el ciclo de vida del dato, esto es, desde la recogida hasta la cancelación. Por su parte, la privacidad por defecto (privacy by default) exige la minimización de recogida de datos y la limitación de los fines.
» Otros: existen otros aspectos novedosos como códigos de conducta, esquemas de certificación, etc.
TEMA 3 – Ideas clave
29
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
D ata pr otection officer (D PO)
Se trata de una nueva figura incluida en el reglamento europeo, la cual será exigible en algunos casos. En el mapa se representa la figura adoptada por los diversos países de la UE en relación a la protección de datos de naturaleza personal.
Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html
Términos utilizados: » DPO (data protection officer ). » DSO (responsable de seguridad). Hay que distinguir los supuestos de exigencia de los de conveniencia: Supuestos de exigencia: » El tratamiento es realizado por una autoridad u organismo público, a excepción de los tribunales que actúan a título judicial. » Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en virtud de su naturaleza, alcance y/o sus efectos, requieren un seguimiento regular y sistemático a gran escala, de los datos de los titulares. » Las actividades principales del responsable o del encargado consisten en tratamientos basados en categorías especiales de datos y datos relativos a las condenas penales y delitos.
TEMA 3 – Ideas clave
30
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Pero la conveniencia en muchos más supuestos es evidente si tenemos en cuenta varios factores: » Las elevadas sanciones previstas en el RGPDUE. » La cada vez mayor importancia dada por los interesados al activo datos personales. » La complejidad cada vez mayor de la regulación. » El principio de accountability. » La existencia de normas relacionadas (ENS, ISO 27001, PCI DSS etc.) Nuevo régimen sancionador
Dentro del objetivo de armonización del reglamento europeo se contempla un régimen sancionador homogéneo para toda Europa. Además, pueden imponerse sanciones económicas no solo a profesionales o entidades privadas, sino también a entidades del sector público. Cabe añadir que el montante económico de las multas aumenta consider ablemente. Con el fin de prevenir comportamientos irregulares se hacen efectivas las nuevas sanciones: » Sanciones de hasta 10.000.000€ o el 2% de la facturación bruta anual (la cantidad que sea mayor). » Sanciones de hasta 20.000.000€ o el 4% de la facturación bruta anual, en caso de que se puedan aplicar agravantes.
TEMA 3 – Ideas clave
31
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
3.4. La protección de datos en Latinoamérica (especial referencia a Colombia y Ecuador) Visión general en algunos países
En muchos países de Lationamérica existe un avance importante en materia de protección de datos, pero existen evidentes asimetrías entre ellos. En la mayoría de ellos se configura como un derecho constitucional y poco a poco se ha ido desarrollando mediante leyes tanto concretas sobre privacidad como en otras disposiciones legales sectoriales que hacen referencia a la misma. Por regla general los países latinoamericanos siguen un modelo más europeo que de EEUU. Se podría decir que Argentina es el país más similar a Europa (el único reconocido por la UE con un nivel adecuado de protección) aunque su inicial avance ha dado paso a que otros países hayan avanzado más en este tiempo y hoy en día podríamos decir que los países más avanzados en protección de datos en Latinoamérica son Chile, Colombia, México y Perú. Por el contrario, en Latinoamérica la legislación de transparencia e stá desarrollada antes que en algunos países de Europa. (Por ejemplo, España que ha sido de los últimos en desarrollarla). Hay aspectos comunes a casi todos los países: inscripción de los fich eros/bases de datos, necesidad de consentimiento como principal causa de legitimación del tratamiento de datos, necesidad de cumplir con el deber de información a los interesados, reconocimientos de derechos a estos (acceder a su información, modificarla, suprimirla etc., aunque con diferencias), regulación de los accesos por parte de terceras organizaciones que presten servicios, formación/concienciación de los usuario y medidas de seguridad. En relación con las medidas de seguridad hay que distinguir entre algunos países en los que no se han desarrollado, otros en los que sí y algunos países en los que incluso se exige en el sector público la ISO 27002, cosa similar a lo que sucede en España con en el Esquema Nacional de Seguridad.
TEMA 3 – Ideas clave
32
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Colombia
» Marco Normativo de Protección de Datos. las principales normas en materia de protección de datos en Colombia son las siguientes: o
Ley estatutaria 1266 de 2008, por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. o
Decreto 1727 de 2009 por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países deben presentar la información de los titulares de la información.
o
Decreto 2952 de 2010 por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008.
o
Ley estatutaria 1581 de 2012 reglamentada parcialmente por el Decreto Nacional 1377 de 2013 por la cual se dictan disposiciones generales para la protección de datos personales.
o
Decreto 1377 de 2013 por el cual se reglamenta parcialmente la Ley 1581 de 2012.
o
Decreto 886/2014 que reglamenta el artículo 25 de la Ley 1581 de 2012 relativa al Registro Nacional de Bases de Datos.
Puedes consultar aquí todas las disposiciones legales en materia de protección de datos en Colombia utilizando el siguiente buscador: http://www.sic.gov.co/normatividad?field_tipo_de_norma_value=All&field_tema_ge neral_tid=5&field_anos_value=All
TEMA 3 – Ideas clave
33
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Régimen. Principios y obligaciones. Visión comparada.
Principales obligaciones
España
Colombia
Inscripción en ficheros/bases de datos
Art. 26 LOPD
Art. 19 Ley estatutaria 1581 de 2012 y Decreto 886/2014.
Consentimiento y deber de información/autorización
Art. 5. LOPD
Art.12 Ley estatutaria 1581 de 2012
Art. 6 y 11 LOPD
Encargados del tratamiento
Art. 12 LOPD
Art. 18 Ley estatutaria 1581 de 2012
Principio de seguridad
Art. 9 LOPD y concretas medidas RD 1720/2007
Art. 4 g) Ley estatutaria 1581 de 2012 pendiente de desarrollo
Formación
Art. 89 RD 720/2007
Art. 27.2 Herramientas de implementación, entrenamiento y programas de educación
» Algunas reflexiones: o
Los principios son muy similares: legitimación, seguridad etc.
o
Los conceptos también, aunque haya cambios de nombre.
o
Datos sensibles/no sensibles: similar, aunque se incluyen los datos biométricos como sensibles.
o
o
También hay más distinción de datos. Públicos, semiprivados, privados y sensibles. Los derechos reconocidos también son similares: - Derechos a conocer, actualizar y rectificar los datos. -
Derecho de información.
-
Revocación del consentimiento.
-
Presentar reclamación.
-
Acceder a los datos.
o
Hay aspectos pendientes de desarrollo aún, como las medidas de seguridad.
o
Hay «disfunciones» entre Ley Estatutaria 1581/2012 y Decreto 1377/2013.
TEMA 3 – Ideas clave
34
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Análisis de las principales obligaciones: o
Identificación y registro de las bases de datos : realizar el registro de bases
de datos debiendo los interesados aportar a la delegación de protección de datos las políticas de tratamiento de la información e inscribirlas en el registro nacional de bases de datos (at. 25).
o
Información mínima que debe inscribirse:
Artículo 5 del Decreto 886 de 2014: o
Datos de identificación, ubicación y contacto del responsable del tratamiento de la base de datos.
o
Datos de identificación, ubicación y contacto del o de los encargados del tratamiento de la base de datos.
o
Canales para que los titulares ejerzan sus derechos.
o
Nombre y finalidad de la base de datos.
o
Forma de tratamiento de la base de datos (manual y/o automatizada).
o
Política de tratamiento de la información.
TEMA 3 – Ideas clave
35
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Información y autorización. Avisos de privacidad. Políticas de tratamiento. Deber de información (art.12): cuando se recojan datos de interesados (instancias,
formularios, impresos) se les deberá proporcionar determinada información. Cuando se recojan datos de interesados: o
Existencia de las bases de datos o tratamiento de datos personales.
o
Finalidad de la recogida de estos y destinatarios de la información (cesiones).
o
Posibilidad de ejercitar Derechos que le asisten (conocer, actualizar, rectificar, suprimir).
o
Identidad y dirección y teléfono del responsable.
Nota: Hay que guardar prueba del cumplimiento. RG: autorización expresa, previa e informada. Autorización (art. 9): los datos solo pueden ser objeto de tratamiento o cesión si el
interesado ha presentado previamente su consentimiento. Casos en que no es necesaria: o
Requerimiento por entidad pública para ejercicio de sus funciones u orde n judicial.
o
Datos de naturaleza pública.
o
Casos de urgencia médica o sanitaria.
o
Tratamiento autorizado por ley (fines estadísticos, históricos o científicos).
o
Datos relacionados con Registro Civil.
TEMA 3 – Ideas clave
36
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Encargados del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el tratamiento de datos personales por cuenta del responsable del tratamiento. Esto será normalmente como consecuencia de una relación jurídica para prestar un servicio. Ejemplos: asesoría laboral, fiscal, contable, mantenimiento informático, alojamiento web, mensajería, etc. La forma de regular la relación entre responsable y encargado será mediante un contrato. » Seguridad de los datos: Los responsables y encargados de las bases de datos deben adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado (art. 17 d y 18 d de la Ley). Debe adoptar un manual de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente Ley y, en especial, para atención de consultas y reclamos por parte de los titulares. Además, debe revisarse. » Formación: Art. 27: políticas internas efectivas. 2. Adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
TEMA 3 – Ideas clave
37
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Sanciones. Son las siguientes: o
Multas de hasta el equivalente de 2.000 salarios mínimos mensuales legales vigentes a momento de la imposición de la sanción.
o
o
Suspensión y cierre temporal de las actividades. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
Las sanciones indicadas en el presente artículo solo se aplican para las personas de naturaleza privada. En el caso de una autoridad pública se remitirá la actuación a la procuraduría general de la nación, para que adelante la investigación respectiva. La protección de datos en Ecuador
» Marco normativo de protección de datos: el derecho a la protección de datos (realmente un derecho de la familia de la privacidad como es la intimidad) se contempla en el artículo 66 de la Constitución numeral 20 que garantiza a las personas «el derecho a la intimidad personal y familiar». Aún no se ha aprobado una ley que de forma general desarrolle este derecho, pero el 12 de julio de 2016 se aprobó un proyecto de Ley Orgánica de Protección de los Derechos de la Intimidad y Privacidad sobre los Datos Personales. Asimismo, existe legislación sectorial aprobada: o
Ley Nº 162, de 31 de marzo de 2010, del Sistema Nacional de Registro de Datos Públicos.
o
Ley Nº 13, de 18 de octubre de 2005, de Burós de Información Crediticia (arts. 5 a 10).
o
Ley Nº67, de 17 de abril de 2002de Comercio Electrónico, Firmas y Mensajes de Datos (Artículo 9).
o
Ley Orgánica de Transparencia y Acceso a la Información Pública, de 18 de mayo de 2004.
TEMA 3 – Ideas clave
38
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Régimen. Principios y obligaciones. Visión comparada.
Principales obligaciones
España
Ecuador
Inscripción en ficheros/bases de datos
Art. 26 LOPD
Ley del Sistema Nacional de Registro de Datos Público de 31 de marzo de 2010
Consentimiento y deber de información/autorización
Art. 5. LOPD
En el artículo 8 del proyecto de ley habla del consentimiento y deber de información
Art. 6 y 11 LOPD
Encargados del tratamiento
Art. 12 LOPD
Se le menciona, pero no se habla de contrato
Principio de seguridad
Art. 9 LOPD y concretas medidas RD 1720/2007
Art. 4 de la Ley del Sistema Nacional de Registro de Datos Público de 31 de marzo de 2010. En general, «responderán de la custodia y debida conservación de los registros».
Formación
Art. 89 RD 720/2007
No se regula
» Sanciones. Son las siguientes: o
Amonestación por escrito.
o
Multa de 1 a 10 salarios básicos unificados.
o
Inmovilización de la bbdd,banco de datos, ficheros o archivos.
o
Retiro temporal de la bbdd,banco de datos, ficheros o archivos.
o
Retiro definitivo de la bbdd,banco de datos, ficheros o archivos.
También se contemplan criterios de graduación de las sancione: o
o
La valoración de os derechos constitucionales afectados. Volumen de tratamientos afectados.
o
Beneficios económicos obtenidos.
o
Grado de intencionalidad.
o
Reincidencia.
o
Daños y perjuicios causados a los titulares de los datos.
TEMA 3 – Ideas clave
39
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Lo + recomendado No dejes de ver… Protección de datos
En este vídeo verás cómo la protección de datos es tu derecho y hay que conocerlo.
Accede al vídeo desde el aula virtual o a través de la siguiente dir ección web: https://www.youtube.com/watch?v=lRozhQS6kN8
No dejes de visitar… Agencia española de protección de datos
Página web de la entidad encargada de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España.
Accede al artículo desde el aula virtual o a través de la siguiente dirección w eb: https://www.agpd.es/portalwebAGPD/index-ides-idphp.php
TEMA 3 – Lo + recomendado
40
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Protección de datos personales
Página web de la autoridad colombiana de protección de datos personales.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.sic.gov.co/informacion-sobre-la-proteccion-de-datos-personales
TEMA 3 – Lo + recomendado
41
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
+ Información A fondo Ojo con tus datos
En este vídeo puedes saber más sobre la protección de datos.
Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: http://www.rtve.es/television/20150128/ojo-tus-datos-documentos-tv-premioproteccion-datos-2014/1089002.shtml
TEMA 3 – + Información
42
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Actividades Trabajo: Elaboración de una evaluación de impacto de datos personales (EIPD) El trabajo consiste en la elaboración de una EIPD. Para ello tendrás que tener en cuenta las siguientes cuestiones: » Debes partir del siguiente supuesto de hecho: una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW System S.L es la proveedora del mismo, a la vez la encargada de efectuar su mantenimiento. El propietario de la clínica ha decidido cambiar dicho software por el de la empresa No problem S. L. que además se entrega en modo software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos siendo la sede física del alojamiento de estos un CPD que se encuentra en España. La denominación social No problema S.L. está registrada también en España. El resto de datos que se requieran pueden ser ficticios e inventados porque lo relevante es el aprendizaje de la mecánica o proceso de elaboración. » Debe emitirse un informe de evaluación de impacto. » Para ello debe utilizarse la plataforma Sandas GRC Privacidad, cuyo acceso se facilitará.
TEMA 3 – Actividades
43
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
» Para conocer cómo se realiza una evaluación de impacto se puede consultar la siguiente información: Guía de evaluaciones de impacto de la AEPD: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/G uias/Guia_EIPD.pdf Vídeo demostrativo (contraseña: DemoRGPDUE16): https://govertis.webex.com/govertis/lsr.php?RCID=98ac57a2c55494938f3074f78bb5 d148
TEMA 3 – Actividades
44
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
Test 1. La LOPD entiende por dato de carácter personal:
A. Cualquier información concerniente a personas físicas identificadas o identificables. B. Cualquier información concerniente a personas físicas o jurídicas identificadas o identificables. C. Cualquier información concerniente a personas jurídicas identificadas. D. Cualquier información concerniente a personas jurídicas identificables. 2. Según la LOPD: ¿la prestación de un servicio por parte de un tercero al responsable
del tratamiento deberá figurar en un contrato? A. Depende del carácter de si los datos de carácter personal que se comunican son sensibles o no. B. Sí, salvo que el tercero prestador del servicio acredite tener las mismas medidas de seguridad que el titular del fichero. C. Sí. D. No. 3. Las medidas de seguridad deberán ser adoptadas:
A. Solo por el encargado del tratamiento. B. Solo por el responsable del tratamiento. C. Por el responsable del fichero y, en su caso, por el encargado del tratamiento. D. Ninguna de las anteriores. 4. Las medidas de seguridad deberán ser:
A. Solo de índole organizativo. B. De índole técnico y organizativo. C. Únicamente de índole técnico. D. Técnicas organizativas y automatizadas.
TEMA 3 – Test
45
© Universidad Internacional de La Rioja (UNIR)
Aspectos Legales y Regulatorios
5. En relación con los derechos de los interesados el RGPDUE:
A. No realiza modificaciones respecto de la regulación de la Directiva 95/46 y la LOPD. B. Realiza modificaciones entre las que se incluye añadir el derecho de portabilidad de los datos. C. Realiza modificaciones entre la que se incluye añadir el derecho de acceso. D. Realiza modificaciones entre la que se incluye añadir el derecho de transferencias internacionales. 6. Respecto de los supuestos de realización de evaluaciones de impacto en el RGPDUE:
A. No hay previstos supuestos de obligación. B. Solo debe realizarse cuando estemos ante categorías especiales de datos. C. Hay supuestos obligatorios, pero la organización también puede realizarla porque lo estime conveniente. D. Cada autoridad de control establecerá los supuestos obligatorios, ya que no los define el RGPDUE. 7. El criterio/s de impacto para la evaluación en protección de datos:
A. Viene establecido expresamente en el RGPDUE y solo puede ser la sanción. B. No viene establecido en el RGPDUE, pero la lógica dice que solo puede ser la sanción. C. No viene establecido en el RGPDUE, pero la lógica dice que pueden ser la sanción y otros criterios. D. El criterio de impacto lo establece siempre la autoridad de control. 8. La única forma de tratar el riesgo en protección de datos es:
A. Aceptarlo. B. Trasladarlo. C. Mitigarlo. D. Ninguna de las anteriores respuestas es correcta.
TEMA 3 – Test
46
© Universidad Internacional de La Rioja (UNIR)
View more...
Comments
