Upload File

el tres

15
Curso LOPD 1

Upload: lali-lali

Post on 13-Mar-2016

215 views

Category:

Documents


3 download

Report

DESCRIPTION

es una tema

TRANSCRIPT

Page 1: el tres

Curso LOPD 1

Page 2: el tres

Curso LOPD 2

Tema 3

3. MOVIMIENTO DE DATOS.

Consentimiento previo y excepciones

1. Aspectos generales

Como ya se ha comentado al desarrollar el principio de calidad de los datos, los datos

personales no pueden emplearse para finalidades incompatibles con aquellas para

aquellas para las que hubieran sido recabados, pero sí pueden emplearse para muchas

actividades compatibles. Surge, de este modo, la denominada “comunicación o cesión

de datos a terceros”, así como el “movimiento internacional de datos”

Una actividad muy habitual entre las empresas hoy en día consiste en enviar grandes

cantidades de datos a terceros, ya sea para:

-Cumplir con obligaciones de tipo legal, como para que las empresas filiales reporten su

estado a la empresa principal.

-Externalizar diferentes servicios (asesoría laboral o contable, gestión de recursos

humanos, marketing, servicios informáticos, etc.). Esta externalización también

denominada Outsourcing, es una práctica cada día más frecuente, que permite a las

empresas centrarse en la actividad principal y contar con servicios secundarios,

disminuyendo de esta manera los costes de naturaleza económica y organizativa.

Las mencionadas actividades conllevan, por tanto, un movimiento de datos fuera de la

empresa responsable de los mismos. En el caso de que la información que se remita

contenga datos de carácter personal, habrá que cumplir con las disposiciones de la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,

más conocida como LOPD.

Dependiendo del movimiento de datos personales que la empresa desee llevar a cabo

habrá que cumplir con unos u otros requisitos, por lo que, a continuación, se describirá

de la forma más clara posible los distintos tipos de flujos de datos que la LOPD

contempla, así como los requisitos que habría que adoptar en cada caso.

Page 3: el tres

Curso LOPD 3

En concreto, la LOPD regula tres tipos de movimientos de datos, por lo que será

necesario desgranar las diferencias fundamentales entre los mismos. Estos movimientos

son:

- Cesión o comunicación de datos

- Acceso a datos por cuenta de terceros

- Movimiento internacional de datos

En relación a los mismos, para que se comprenda adecuadamente la diferencia entre

dichos movimientos, habrá que comenzar definiendo lo que la LOPD entiende por

tratamiento, que se define como "el conjunto de operaciones y procedimientos técnicos

de carácter automatizado o no, que permitan la recogida, grabación, conservación,

elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que

resulten de comunicaciones, consultas, interconexiones y transferencias". Esto quiere

decir que, por ejemplo, si una empresa contrata a una gestoría la gestión de nóminas del

personal, a una empresa de marketing para efectuar acciones publicitarias, o solicitase el

alojamiento de su intranet, bases de datos, página Web, en los servidores de un tercero,

existirá tratamiento y, por lo tanto, le será de aplicación la LOPD en estos movimientos

de datos.

En la mayor parte de los servicios de externalización de datos, se encuentra la

necesidad de tratar ficheros de datos de carácter personal e información confidencial

titularidad de la empresa que externaliza los servicios. La LOPD establece que en

estos supuestos existe un acceso a datos por cuenta de terceros, en el que intervienen

fundamentalmente dos figuras: el responsable del fichero (empresa que contrata y titular

del mismo) y el encargado del tratamiento (empresa contratada).

Llegados a este punto, es necesario definir legalmente el concepto de responsable del

tratamiento y de encargado del tratamiento. La LOPD los define como:

Page 4: el tres

Curso LOPD 4

Definiciones de puestos:

Titular responsable del fichero

“Toda persona física o jurídica, de

naturaleza pública o privada u órgano

administrativo, que decida sobre la

finalidad, contenido y uso del

tratamiento”

Encargado del tratamiento

“ La persona física o jurídica, autoridad

pública, servicio o cualquier otro

organismo que sólo o conjuntamente con

todos, trate de personales por cuenta del

Responsable del Tratamiento”

La relación jurídica que se establece entre ambos, en el caso del acceso a datos por

cuenta de terceros (externalización de servicios), es normalmente una prestación de

servicios y, como tal, deberá estar regulada en un contrato, que comprenda además el

contenido del artículo 12 de la LOPD, que comentaremos con más detalle en el punto 3

de este modulo.

La justificación del tratamiento que el tercero (encargado del tratamiento) hace de los

datos, que ha de ser un tratamiento compatible, viene dada por el hecho de que el

acceso a la información de carácter personal es necesario para la prestación de un

servicio al responsable del tratamiento. Esta última cuestión es realmente

significativa, pues constituye la principal nota diferenciadora entre el acceso de

datos por cuenta de terceros y la cesión-comunicación de datos a terceros, dos figuras

que habitualmente suelen confundirse, pero que cuentan con regímenes jurídicos

diferentes. Sin embargo, las diferencias entre la cesión y el acceso a terceros no son sólo

importantes en relación a las formalidades jurídicas a adoptar, sino también lo son en

relación al régimen sancionador aplicable.

Page 5: el tres

Curso LOPD 5

Según lo comentado, en el caso de la cesión o comunicaci6n de datos, el tercero

cesionario que trata los datos lo hace con una finalidad propia y no para prestar

un servicio a favor del responsable del fichero.

Esta comunicación de datos acontece en cualquier flujo de datos que se lleve

a cabo par imperativo legal, como por ejemplo, la cesión de datos a la Agenda

Tributaria, a la Mutua que actúa como el servicio de Prevención de Riesgos Laborales,

etc. También se incluyen las comunicaciones de datos que se producen entre empresas

pertenecientes a un mismo grupo, los flujos de datos entre la empresa principal y las

empresas filiales, etc.

Par el contrario, como ya hemos mencionado, se dice que existe acceso a los datos

por cuenta de terceros cuando se produzca una externalización de servicios u

outsourcing

Los artículos 11 y 12 de la LOPD se encuentran dirigidos a regular las condiciones

específicas de utilización de datos personales por terceros, bien por cesión o acceso.

Otro tipo de movimiento de datos, que es tratado específicamente en los artículos 33 y

34 de la LOPD, es el relativo al movimiento internacional de datos, el cual como

norma general está prohibido a países que no proporcionen el nivel de protección

equiparable al que presta la LOPD.

Los citados artículos se desarrollan con más detenimiento en los siguientes apartados (2,

3 y 4) de este módulo.

2. La comunicación de datos a terceros

El artículo 11 de la LOPD, con el título “Comunicación de Datos”, impone, con carácter

general, la obligación de informar-recabar el consentimiento del afectado de la

indicada comunicación. En el apartado 1 del citado artículo se dice, en concreto, lo que

sigue “Los datos de carácter personal objeto del tratamiento sólo podrán ser

comunicados a un tercero para el cumplimiento de fines directamente relacionados con

las funciones legítimas del cedente y del cesionario con el previo de consentimiento del

interesado”

Page 6: el tres

Curso LOPD 6

Vamos a desglosar este artículo. Para ello es fundamental recurrir al concepto de

tratamiento.

La LOPD entiende por tratamiento el conjunto de "operaciones y procedimientos

técnicos de carácter automatizado o no, que permitan la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones

de datos que resulten de comunicaciones, consultas, interconexiones y transferencias".

Vemos que la comunicación o cesión de datos a terceros se considera un tratamiento y,

por tanto, le es de aplicación la LOPD.

Llegados a este punto es importante explicar en qué consiste la comunicación o cesión

de datos. En la comunicación el tercero cesionario (encargado del fichero) que trata

los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del

cedente (responsable del fichero), ya que de existir esa prestación de servicio al

responsable del fichero hablaríamos de acceso de los datos por cuenta de terceros y no

de comunicación.

Es decir, la cesión o comunicación de datos comprende toda revelación de los mismos

realizada a una persona distinta del interesado.

Según el artículo 11 los datos solo pueden ser cedidos a un tercero para el cumplimiento

de fines directamente relacionados con las funciones legítimas del cedente y del

cesionario con el previo consentimiento del interesado.

Según el apartado 1 del artículo 27 de la LOPD (relativo a los ficheros de titularidad

privada) el responsable del fichero deberá informar de la comunicación de datos a

terceros a los interesados, indicando a su vez los siguientes aspectos:

- La finalidad del fichero

- La naturaleza de los datos que han sido cedidos

-El nombre y dirección del cesionario

Sin embargo en el apartado 2 de ese mismo artículo 27, se establece que no se estará

obligado a "Informar" al interesado en los siguientes casos:

- Cuando la cesión está autorizada en una Ley

Page 7: el tres

Curso LOPD 7

- Cuando el tratamiento responda a la libre y legítima aceptaci6n de una relación

jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión

de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será

legítima en cuanto se limite a la finalidad que la justifique.

- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del

Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el

ejercicio de las funciones que tiene atribuidas.

- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el

tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

- En el caso de que el tratamiento de datos personales se realice mediante un proceso de

disociación (que no puedan asociarse los datos al interesado).

- En relación al consentimiento del interesado, la empresa no estará obligada a "recabar

el consentimiento" del afectado para la comunicación de los datos personales en los

siguientes casos indicados en el artículo; cuando la comunicación tenga por objeto el

tratamiento posterior de datos con fines históricos, estadísticos o científicos". Para

llevar a cabo esta comunicación, como ya se citó, no es preciso recabar el

consentimiento del afectado.

También se establece que podrán ser objeto de comunicación entre administraciones

públicas los datos de carácter personal que una administración pública obtenga o

elabore con destino a otra administración, sin necesidad de recabar el consentimiento

del afectado.

En el caso de que los datos sean obtenidos de fuentes de acceso público, la

comunicación de estos datos no podrá comunicarse sino con el consentimiento del

interesado o cuando una ley prevea otra cosa.

3. El acceso a los datos por cuenta de terceros

Los datos que se comunican al responsable de un fichero son para el uso de ese res

ponsable y no de terceros, es por ello por lo que los terceros no pueden tener acceso

legítimo a los datos, si no concurren las circunstancias que prevé la LOPD en su artí-

culo 12.

Page 8: el tres

Curso LOPD 8

El artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero

cuando el mismo sea necesario para la prestación de un servicio al responsable del

fichero. Tal supuesto queda excluido el ámbito de aplicación del anterior artículo (11),

al establecer que este acceso no tendrá la consideración de comunicación (por

ejemplo, se incluiría en este epígrafe el servicio de mantenimiento llevado a cabo por

una empresa contratada al equipo informático del responsable del fichero).

De este régimen merece destacar la siguiente información:

La obligación legal, consistente en que la realización de tratamientos por

cuenta de terceros deba estar regulada con la suscripción de un contrato

por escrito, u otra forma que permita acreditar su celebración y conteni-

do. Hay que mencionar que es más conveniente la adopción de la forma escrita, ya que

permite una mayor facilidad probatoria ante el incumplimiento por parte del encargado

de sus obligaciones, dejando la comunicación verbal unilateral entre las partes como

solución provisional a la espera de que se suscriba definitivamente el contrato escrito.

- Dicho contrato deberá incluir, entre otras, las siguientes menciones:

• Indicación de que el encargado del tratamiento únicamente tratará los datos

conforme a las instrucciones del responsable del fichero.

• La finalidad del contrato y que los datos no serán utilizados o aplicados con

un fin distinto al indicado. Esta obligación es lógica, pues la justificación del acceso

reside en la necesidad para prestar un servicio, por tanto, una finalidad concreta y no

otra.

• Las medidas de seguridad que el encargado del tratamiento está obligado a

implementar. Esta es la principal obligación con la que se encuentran los encargados

del tratamiento, pues deben adoptar en su sistema de información unas medidas de

seguridad que dependen del nivel de sensibilidad de la información titularidad de su

cliente. Sin embargo, cabe mencionar que no es necesario enumerar las citadas medidas

de seguridad en el contrato, baste con indicar el nivel de seguridad exigido (besico,

medio o alto). En el caso de que el nivel a adoptar sea el alto, es importante hacer

mención a la obligación de implantar un nivel de seguridad alto, ya que este nivel

requiere no solo la aplicación de medidas de seguridad de índole organizativa, sino de

medidas técnicas cuyos costes son muy superiores a las de nivel besico y medio.

Incluso, se puede incluir en el contrato que el hecho de adoptar el nivel de seguridad

Page 9: el tres

Curso LOPD 9

alto podre suponer una renegociación del mismo con el objeto de que repercuta en el

responsable del fichero parte del coste relativo a la adopción de medidas de nivel alto.

- No podrán comunicarse los datos, ni siquiera para su conservación, a otra

persona. Es decir, el cesionario no podre permitir al acceso a la información por

terceros (como puede ocurrir en la subcontratación).

- Se establece la obligación de destruir o devolver at responsable del fichero los soportes

o documentos en que consten datos de carácter personal. Es decir, una vez cumplida la

prestación contractual, los datos de carácter personal que obtenga el tercero deben ser

destruidos o devueltos al responsable del fichero (al igual que los soportes o

documentos en los que consten).

-El incumplimiento de cualquier obligación o estipulación del contrato (como el empleo

de los datos a otra finalidad), dará lugar a que el encargado del tratamiento sea

considerado, a los efectos de la ley, como responsable del tratamiento del fichero,

respondiendo de las infracciones en que hubiera incurrido personalmente. Aunque es

una obligación legal, es conveniente la introducción de esta cláusula en el contrato para

añadir la obligación contractual.

En resumen, cuando se traten por una empresa ficheros de datos de carácter personal, es

de aplicación la LOPD y, por tanto, hay que tener en cuenta las obligaciones y

responsabilidades establecidas en la misma. Además vemos que para proteger la

información confidencial de la empresa, cuando se produce un acceso por cuenta de

terceros, es necesario firmar un contrato de prestación de servicios e incluir en él

referencias al deber de confidencialidad y secreto. Para ello se puede incluir alguna

cláusula, bien en el contrato principal o bien en un contrato adicional o anexo al

contrato principal.

Un problema actual relacionado con el acceso de datos por cuenta de terceros es el

de la subcontratación, ya que cada vez es más frecuente la colaboración entre diversos

entes y personas en la prestación de servicios.

Por tanto cuando para la prestación del servicio por parte del subcontratista requiera el

acceso a la información de carácter personal del contratante (encargado), que trata

información por cuenta de un tercero (responsable), surge el problema de la

imposibilidad del encargado para comunicar los datos a los subcontratistas (terceros)

establecida en el citado artículo 12 de la LOPD

Page 10: el tres

Curso LOPD 10

En este sentido, tras el análisis de la Memoria de la Agencia Española de Protección de

Datos (en adelante AEPD) del año 2000, pueden extraerse los siguientes requisitos de

subcontratación:

Que el responsable del tratamiento sea parte en la relación jurídica que regule la

subcontratación, por ejemplo, mediante la determinación de los servicios a subcontratar

en el contrato a firmar entre el responsable del tratamiento y el encargado del

tratamiento.

- Que el responsable del tratamiento disponga las instrucciones mediante las cuales el

subcontratista tratara los datos.

- Que en el contrato originario se establezcan las medidas de seguridad a adoptar por el

subcontratista.

4. Movimiento internacional de datos

A medida que la globalización avanza e Internet facilita el camino, la transmisión de

datos de carácter personal aumenta y, por tanto, las empresas deben ser conscientes de

que los datos de carácter personal se deben proteger. Hoy en día, uno de los valores más

importantes con los que cuenta una empresa es la información, es tan importante que

muchas de ellas se dedican exclusivamente a la recopilación de la misma, creando

ficheros y bases de datos. Un ejemplo de ello lo tenemos en las empresas de marketing,

para ellas los datos de carácter personal son muy valiosos, ya que les permiten identifi-

car y personalizar al consumidor y ofrecerle así los productos y servicios más adecuados

a sus necesidades.

Las nuevas tecnologías y la firme voluntad de crear una economía globalizada

conllevan un incremento de las transacciones mundiales, ello supone que también

los datos cada vez tienen más movilidad y, por lo tanto, se incrementa notablemente el

nivel de riegos de pérdida o manipulación de dicha información.

Dada su importancia, la transferencia internacional de datos se regula de forma

específica en el capitulo V de la LOPD, en concreto, en los artículos 33 y 34 A su vez,

la transferencia internacional de datos es tratada de en el Real Decreto 1332/1994 de

desarrollo de la LORTAD y, de forma concreta, en la Instrucción 1/2000 de la AEPD.

Page 11: el tres

Curso LOPD 11

Según la mencionada instrucción, se considera transferencia internacional de datos

"toda transmisión de los mismos fuera del territorio español. En particular, se

consideran como tales las que constituyan una cesión o comunicación de datos y las

que tengan por objeto la realización de un tratamiento de datos por cuenta del

responsable del fichero".

La LOPD establece como norma general que no podrán realizarse transferencias

temporales ni definitivas de datos de carácter personal que hayan sido objeto de

tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con

destino a países que no proporcionen el nivel de protección que presta la LOPD.

Existen dos órdenes por las que se declaran los Estados que ofrecen un nivel de

protección de datos equiparable al establecido en la legislación española, en concreto la

Orden del Ministerio de 2 de febrero de 1995, y por extensión la Orden de 31 de julio de

1998, por la que se ampliaba la relación contenida en la primera, las cuales han sido

derogadas por la LOPD que atribuye en exclusiva a la AEPD la potestad de resolver

sobre la materia.

La adecuación del nivel de protección que ofrece el país de destino lo evaluará la AEPD

atendiendo a:

- La naturaleza de los datos.

- La finalidad.

- La duración del tratamiento o de los tratamientos previstos.

- El país de origen y el país de destino.

- Las normas de derecho vigentes en el país tercero de que se trate.

-El contenido de los informes de la Comisión de la Unión Europea, así como las normas

profesionales y las medidas de seguridad en vigor en dichos países.

La transferencia de datos a países que no tengan el nivel de seguridad exigible está

prohibida, salvo que lo autorice el Director de la AEPD.

Page 12: el tres

Curso LOPD 12

Sin embargo, la transferencia internacional de datos no se ciñe a lo anteriormente

expuesto en los siguientes casos:

Cuando la transferencia internacional de datos de carácter personal resulte de la

aplicación de tratados o convenios en los que sea parte España.

Cuando la transferencia se haga a efectos de prestar ó solicitar auxilio judicial

internacional.

Cuando la transferencia sea necesaria para la prevención o para diagnósticos

médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión

de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia

Page 13: el tres

Curso LOPD 13

prevista.

- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el

afectado. y el responsables del fichero o para la adopción de medidas precon-

tractuales adoptadas a petición del afectado.

-Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda

de un interés público.

-Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa

de un derecho en un proceso judicial.

-Cuando la solicitud de transferencia se efectúe, a petición de persona con interés

legitimo, desde un Registro público y aquella sea acorde con la finalidad del

mismo.

Page 14: el tres

Curso LOPD 14

-Cuando la transferencia tenga como destino un Estado miembro de la Unión

Europea, o un Estado respecto del cual la Comisión de Comunidades Europeas, en

el ejercicio de sus competencias, haya declarado que garantiza un nivel de

protección adecuado.

Además de lo indicado en el título V de la LOPD, al respecto, la Agencia Española de

Protección de Datos ha procedido a dictar la ya mencionada Instrucción 1/2000, de 1 de

diciembre, sobre regulación de los movimientos internacionales de datos personales,

que ha permitido en gran medida esclarecer y facilitar la actuación de los responsables

de los ficheros en el ámbito del movimiento internacional de datos, cuestión que desde

la aprobación de la derogada Ley Orgánica 5/1992 (LORTAD) ha suscitado un gran

número de dudas por parte de los responsables de los ficheros. El motivo de estas dudas

probablemente se encuentre en el hecho de que las normas reguladoras en esta materia

contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a:

Las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento

Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las

personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos.

Así como las decisiones que en cumplimiento de los citados preceptos se adopten

por la Comisión de las Comunidades Europeas

Page 15: el tres

Curso LOPD 15

En esta instrucción de la AEPD (el artículo 37 de la LOPD) consagra la competencia de

la Agencia de Protección de Datos para “dictar, en su caso y sin perjuicio de las

competencias de otros órganos, las instrucciones precisas para adecuar los

tratamientos a los principios de la presente Ley” se accede al conocimiento de los

criterios de actuación de la AEPD ante este tipo de transferencias, ofreciéndose

concretas instrucciones para la realización de tales movimientos (sirve como modelo)

Por tanto, no es finalidad de esta Instrucción efectuar innovación alguna dentro de la

normativa reguladora de la protección de datos de carácter personal sino simplemente,

aclarar y facilitar a todo los interesados en un único texto, el procedimiento seguido por

la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de las

normas que se refieren al movimiento internacional de datos.

¡FIN DEL

TEMA 3!


El legado de tres hombres

de tres en tres 4

Tres Jóvenes por el municipio. 2009

El tres por ciento

El Poder de Tres Os Liberara

TRES NUS EN EL BOSC

Capítulo 1 · 2019-07-22 · escuchaste el cuento de Los tres cerditos? Las tres Casas DeL amor y eL Lobo feroz Había tres hermanos cerditos que construyeron tres casas. El menor

Los Tres Cerditos y El Lobo

TRES ESPACIOS, TRES LUGARES, TRES PLAZASsignificado del espacio y, en consecuencia, el espacio en sí mismo”.4 El análisis realizado por el autor, en el que se plantea la relación

05-El Dios de Tres Generaciones

El kybalion - Tres Iniciados

El Sombrero de Tres Picos

El descensor - A01N06 - Tres muertes

Tres de tres

Julio Verne - Aventura de Tres Rusos y Tres Ingleses en El África Austral

Tres Trampas en El Noviazgo

los tres cerditos les encantaba el bosque y vivían …leeparaunnino.com/cuentos/tres-cerditos/files/tres...A los tres cerditos les encantaba el bosque y vivían allí felices, aunque

El tres de maig de 1808

El problema de ser tres

El Texto y Sus Tres Dimensiones

Tres días y tres noches

Tres eran tres T - ayuntamientoparla.es

El Circo de Tres Pistas2

Tocar el Tres

tres leyes tres - informe

Aventuras de tres rusos y tres ingleses en el África Austral

Tres Obispos, Tres Estilos, Tres Epocas

Tres Consideraciones Sobre El Deslinde

Tres amigas, tres conflictos

El pais de los tres pavos

El Tres Cubano[1]

El cuento de los tres cerditos

ARTES CLASICAS - colgaitan.edu.co · simplifica en tres para el literario coplero, refranes y dichos, tres para el musical principales instrumentos, tonadas y cantos, tres para el

Hackear el periodismo tres casos

3X3: Tres museos tres miradas