Guía rápida de la Protección de Datos Personales en España

Alberto López Tallón

www.inap.map.es

La problemática de los datos

personales y su regulación

Objetivo principal:

“… garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las

libertades públicas y los derechos fundamentales de las personas físicas, y

especialmente de su honor e intimidad personal y familiar” (artículo 1, LOPD)

¿Qué hace exactamente la LOPD?

Regula el tratamiento de los datos y ficheros,

de carácter personal, independientemente del soporte en el cual sean tratados, los

derechos de los ciudadanos sobre ellos y las

obligaciones de aquellos que los crean o tratan

Motivos:

Desarrollar el artículo 18 de la Constitución

Transponer a la normativa española la Directiva 95/46/CE sobre el tratamiento de datos personales y libre circulación de esos datos

Afrontar la enorme amenaza que suponen las TIC para la privacidad e intimidad de las personas

Ejemplos de riesgos actuales:

Uso de información por buscadores como Google para elaborar perfiles de hábitos y personalidad

Actividades criminales, especialmente relativas a menores y a través de redes sociales

Discriminación de personas por datos relativos a ámbitos como la salud, privacidad y profesional

Ejemplos de riesgos actuales:

Uso de datos personales para realizar prácticas comerciales abusivas

Diseño de nuevas estafas que combinan las TIC con el uso de datos personales, ejemplo: phishing

Amenazas para la democracia, derechos y libertades: ciudadano transparente

Marco legal:

Real Decreto 428/1993, Estatuto de la Agencia Española de Protección de Datos

Directiva 95/45/CE, de protección de datos personales

Artículo 18 de la Constitución Española

Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal

Real Decreto 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD)

LOPD - Ámbito

Cuando sea de aplicación la legislación española, haya un establecimiento en territorio español o medios usados se hallan en territorio español

Se excluyen de la LOPD: ficheros domésticos, protección de materias clasificadas, investigación del terrorismo y formas graves de delincuencia

Tienen además normativa propia ficheros de: régimen electoral, datos estadísticos, Registro Civil, audio/video Fuerzas de Seguridad, etc.

LOPD - Conceptos clave

Datos de carácter personal

Responsable del fichero

Encargado del tratamiento

Fichero

Procedimiento de disociación

Fuentes accesibles al público

LOPD - Contenidos

Título I. Disposiciones GeneralesTítulo II. Principios de la Protección de DatosTítulo III. Derechos de las PersonasTítulo IV. Disposiciones SectorialesCapítulo I. Ficheros de Titularidad Pública

Capítulo II. Ficheros de Titularidad Privada

Título V. Movimiento Internacional de DatosTítulo VI. Agencia Española de Protección de DatosTítulo VII. Infracciones y Sanciones

LOPD - Principios

Calidad de los datos: adecuados, pertinentes y no excesivos, exactos, puestos al día, ...

Derecho de información en la recogida de los datos y necesidad de consentimiento del afectado

Datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, raza, salud vida sexual)

Deber de secreto del responsable y quienes intervengan en el tratamiento

Límites en el acceso a los datos por terceros

LOPD - Derechos de las personas

Impugnación de valoraciones: no sometimiento a efectos jurídicos basados únicamente en la valoración de datos relativos a la personalidad

Derecho de consulta al Registro General de Protección de Datos, acceso, oposición, rectificación y cancelación de datos personales

Tutela de los derechos, Agencia Española de Protección de Datos

Derecho a indemnización

LOPD - Disposiciones sector público

Disposición en BOE para la creación, modificación o supresión de ficheros bajo LOPD

Comunicación entre AAPP solo para el ejercicio de sus competencias, salvo fines históricos, estadísticos o científicos

Disposiciones específicas para los ficheros de las Fuerzas y Cuerpos de Seguridad

Excepciones a los derechos (acceso, rectificación y cancelación) para supuestos de seguridad públicay persecución de infracciones penales

LOPD - Disposiciones sector privado

Notificación a AEPD del fichero e inscripción en el Registro General de Protección de Datos

Comunicación de cesión de datos a los afectados

Los datos incluidos en las fuentes de acceso público deben ceñirse a su finalidad

Condiciones y limitaciones para servicios de solvencia patrimonial y crédito

Datos con fines de publicidad y de prospección comercial, censo promocional y códigos tipo

LOPD - Movimiento internacional de datos

Regla general: no pueden cederse datos personales a países sin un nivel de protección similar a la LOPD

La AEPD es quien evalúa si el país destino se considera con un nivel de protección adecuado

Excepción: tratados con España, países UE o declarados aptos por la UE

Otras excepciones: auxilio judicial internacional, asistencia médica, consentimiento del afectado, salvaguarda interés público, contratos, …

LOPD - AEPD

Naturaleza: Ente de Derecho Público, personalidad jurídica propia, plena capacidad pública y privada

Actúa con independencia de las AAPP

Funciones: velar por el cumplimiento de LOPD, autorizaciones, informes, control e inspección, potestad sancionadora, memorias, …

Aloja el Registro General de Protección de Datos

Las CCAA pueden crear órganos propios, similares a la AEPD, con ciertas limitaciones

LOPD - Infracciones y Sanciones

Afectados: responsables del fichero y encargados de los tratamientos

Tipos de infracciones y sanciones: leves (600 -60.000€), graves (60.000 - 300.000€) y muy graves(300.000 - 600.000€)

En caso de ficheros de titularidad pública el Director de la AEPD dictará una resolución con las medidas correctivas a adoptar

El Director de la AEPD tiene la potestad de inmovilizar los ficheros en infracciones muy graves

El Reglamento de Desarrollo de la LOPD: el Real Decreto 1720/2007

Motivos:

El anterior databa de 1999, se ha adquirido mucha experiencia nueva. Se pasa de 29 a 158 artículos

Era necesario aclarar determinados conceptos, por ejemplo: actividades domésticas

El RD 994/1999 se centraba en las medidas de seguridad, éste desarrolla la LOPD entera

El anterior (RD 994/1999) no regulaba los ficheros en papel , sólo los automatizados

Medidas de Seguridad - Niveles

Medidas de nivel básico: se aplican a cualquier fichero o tratamiento de datos personales

Medidas de nivel medio: infraccionesadministrativas o penales, solvencia patrimonial y crédito, gestión tributaria, datos financieros, Seguridad Social, mutuas, evaluación personalidad

Medidas de nivel alto: datos especialmente protegidos, recogidos sin consentimiento para fines policiales, violencia de género

Medidas de Seguridad - Doc. de Seguridad

Elaborado por responsable del fichero o encargado del tratamiento

Recoge medidas técnicas y organizativas obligatorias para el personal con acceso a los datos

Contenido mínimo: ámbito de aplicación, normasde actuación, funciones y obligaciones del personal, estructura de los ficheros, procedimiento de notificación, gestión y respuesta ante incidencias, …

Medidas de Seguridad - Medidas TIC

Nivel básico: registro de incidencias, control de acceso, identificación y autenticación, gestión de soportes y documentos, copias de seguridad

Nivel medio: creación de un responsable de seguridad, auditorías, registro de entrada/salida de soportes, control de acceso físico, …

Nivel alto: etiquetado y cifrado de soportes, cifrado de portátiles, almacenar copias de seguridad fuera de las instalaciones, telecomunicaciones cifradas, …

Medidas de Seguridad - Medidas papel

Nivel básico: registro de incidencias, control de acceso, gestión de soportes, criterios de archivo, dispositivos de almacenamiento “bajo llave”, …

Nivel medio: creación de un responsable de seguridad, auditorías

Nivel alto: protección de acceso a áreas de almacenamiento, copias sólo bajo supervisión, acceso a documentos sólo para personal autorizado, medidas de seguridad para traslados

Muchas Gracias

www.inap.map.es

Alberto López Tallón