Archivo de la etiqueta: LOPD

LOPD: El documento de seguridad y las medidas de seguridad.

Posted on por
Responder

Nuestra LOPD y el Reglamento que lo desarrolla, nos obliga a:

1.- DOCUMENTAR todas las medidas de seguridad que implantemos para la protección de los ficheros de datos de carácter personal. En este sentido, se debe indicar cómo, quién y de qué manera se manejarán los datos por parte del responsable/encargado del tratamiento.

2.- DAR A CONOCER el documento de seguridad.

3.- LISTA DE USUARIOS del documento de seguridad, claramente identificados.

4.- Qué DERECHOS DE ACCESO tienen los mencionados usuarios de estos datos.

5.- Utilización de NOMBRE DE USUARIO Y PASSWORD para cada uno de los usuarios, la cual debe renovarse cada año, como mínimo.

6.- Se debe HACER COPIAS DE SEGURIDAD semanalmente, y cada 6 meses comprobar que puedo recuperar los datos.

7.- MANTENER LAS MEDIDAS DE SEGURIDAD durante traslados de la información.

8.- Cuando se produce un CAMBIO DE ORDENADOR, se debe borrar de forma segura la información (destrucción de datos segura).

9.- Si se trata de papel, los documentos han de mantenerse BAJO LLAVE.

10.-  Llevar un REGISTRO DE INCIDENCIAS.

Estas son, grosso modo, las medidas de nivel básico a las que la LOPD nos obliga.

¿Dónde se aplican las medidas?

Por supuesto en los datos de carácter personal, pero también en los procesos relacionados con los mismos, aplicaciones, sistemas operativos (software), ordenadores (hardware), en las propias personas, etc.

Las medidas de seguridad deben evitar cuatro cosas:

1.- Alteración no consentida o autorizada de los datos
2.- Pérdida de los datos.
3.- Tratamiento no autorizado de los datos.
4.- Acceso no autorizado de los datos.

El análisis de riesgos

Respecto a este asunto, simplemente apuntar que, obviamente, será necesario un exhaustivo análisis de riesgos previo para poder saber qué medidas de seguridad debemos implantar (aunque ya nos las dice la Ley), y sobre todo cómo. Para ello, necesitaremos la ayuda de un abogado o consultor/auditor especializado en la materia.

Tipos de tratamiento de datos

El tratamiento puede ser automatizado o no automatizado (papel). El tratamiento NO automatizado está en desuso.

Dentro del tratamiento automatizado (informatizado, digitalizado), existen a su vez 3 tipos de tratamiento:

1.- Básico
2.- Medio
3.- Alto

Según el tipo de datos, se aplicará un tratamiento u otro, ya que la LOPD determina, como ya expliqué en su momento, que existen datos personales especialmente protegidos relativos a la salud, orientación sexual, religión, afiliación sindical, etc. Lógicamente para este tipo de datos se aplica un tratamiento de nivel alto.

Y por último, simplemente indicar, que cada tipo de tratamiento lleva aparejadas unas medidas diferentes, que se diferencian en función del tipo de datos. Las medidas de nivel medio incluyen todas las del nivel básico más las de nivel medio. Las medidas de nivel alto incluyen todas las básicas, las de nivel medio y las de nivel alto.

Seguridad y protección de datos. Las medidas de seguridad.

Posted on por
Responder

El objeto de protección obviamente son las personas. Históricamente, el uso indiscriminado de datos personales sin ninguna protección ha provocado daños irreparables, por eso surgió esta necesidad.

La mayor parte de estos daños surgieron a raíz de la aparición de tecnologías que permitían el tratamiento de datos de forma masiva, además de automatizada.

Ya en 1890, Samuel Samuel Warren y Louis Brandeis (Universidad de Harvard) publicaron «The Right to Privacy,» que se considera como uno de los artículos jurídicos más influyentes en las legislaciones relativas a la privacidad y protección de datos, criticando la forma indiscriminada en la que se trataban datos personales por parte de la prensa sensacionalista.

Otro acontecimiento relevante es el indiscriminado control que los nazis ejercieron sobre los judíos para llevar a cabo la aniquilación de la población judía en Europa durante la Segunda Guerra Mundial.

Sobre este tema, por si alguien quiere ampliar información, existe un libro llamado “IBM y el Holocausto” de Edwin Black, y que, por increíble que parezca, se publicó en 2001. El libro narra la alianza nazi con IBM a través de su filial alemana Deutsche Hollerith Maschinen GmbH (Dehomag), empresa norteamericana que ideó las máquinas Hollerith (máquinas que fabricaban las tarjetas perforadas para identificación de los judíos en Europa). El libro en sí quizás no sea del todo objetivo, pero en todo caso es un documento curioso.

De hecho, no es casualidad que precisamente sea Alemania el país impulsor de las primeras legislaciones en materia de protección de datos.

Así, en 1970 nace la primera Ley de protección de datos en la región de Hesse, y en 1978 la Ley Federal de Protección de Datos para todo Alemania.

Y siguiendo con derecho comparado, nos trasladamos quizás, al otro lado más extremo. Como muchos ya saben, en el Estado de California existe la Megan´s Law. Esta ley surgió a raíz de una niña de 7 años de New Jersey, Megan Kanka, que fue violada y asesinada, cuyo violador y asesino posteriormente pasó a vivir, por tener acceso a determinados datos, justo al lado de los padres de la víctima.

El partido republicano californiano aprobó entonces la Megan´s Law, basada principalmente en un Registro público de personas que han cometido un delito sexual.

Esto dio lugar a la creación de una web en la que cualquiera, de cualquier país, puede acceder a un mapa en donde se localizan los domicilios de aquellas personas que hayan sido condenados por delitos sexuales. Si se mudan, tienen obligación de comunicar su nuevo domicilio en California, y de no hacerlo incurrirán en un delito grave.

Obviamente aquí nos surgen algunas dudas: ¿qué pasa con los condenados por error? ¿serán capaces estas personas de reinsertarse a la sociedad? ¿y de tener un trabajo, amigos, vida social? ¿realmente sirve de algo teniendo en cuenta que las cifras de delitos sexuales no se han reducido?

En todo caso, si tienes curiosidad, puedes echar un vistazo a la web (www.meganslaw.ca.gov), en la que no sólo verás en un mapa la localización del domicilio de estas personas, sino que haciendo “click” en los puntos azules del mapa (los domicilios), verás su fotografía en alta calidad, nombre y apellidos, alias, delitos imputados, color de ojos, altura…

Otro ejemplo sería la web del estado de Texas http://www.blueservo.net, en el que se hace una vigilancia constante de la frontera mediante cámaras, en la que se implica a los ciudadanos que colaboran en esta vigilancia. Actualmente hay unos 25.000 vigilantes. Volvemos de nuevo a preguntarnos si esto encajaría en nuestro país, si hemos traspasado los límites, si es realmente útil, si el ser humano debe actuar así ante otros seres humanos…

España

En nuestro país, rige tanto la ya comentada LOPD como el Reglamento que la desarrolla. En este sentido, la normativa nos obliga a aplicar determinadas medidas de seguridad sobre el tratamiento de datos de carácter personal, y éstas debe estar documentadas. Esta obligación hace que surja el denominado Documento de Seguridad, cuyas características y contenido desarrollaré en posteriores entradas.

El derecho a la protección de datos de carácter personal.

Posted on por
Responder

Antecedentes

La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos (LOPD), derogó la LORTAD (derogada) de 1992, que ya protegía este derecho.

La Transposición de la Directiva 95/46/CE eleva el nivel de protección establecido en el Convenio 108/81.

La LOPD es una norma general que presente los Principios, derechos y reglas básicas, es decir, dibuja el contenido esencial del derecho a la protección de datos personales, pero a cada caso deberá aplicarse la legislación sectorial que corresponda (laboral, tributaria, penal…).

LOPD-Ámbito de aplicación

Tratamientos regulados por la LOPD (art. 2.1):

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, pero sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Importante:

Ubicación de los medios

Ejercicio actividad o tratamiento

 

Tratamientos excluidos de la LOPD (art. 2.2):

a) Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) Los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) Los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Tratamientos excluidos de la LOPD (art. 2.2):

Actividades personales o domésticas

• Son todas aquellas que se realizan en el ámbito doméstico y respecto de actividades domésticas.

• Directiva 95/46/CE

• Correspondencia

• Llevanza de un repertorio de direcciones

• Sentencia curiosa y extraña del TSJ Madrid (17/julio/2000) El ordenador de un profesional médico que ejerce su actividad sin dependencia laboral de ninguna clase y, en cuyo ordenador exclusivamente recopilaba datos personales y de salud de sus pacientes, sometido al secreto profesional queda fuera de la LORTAD, y no se consideran datos de carácter personal.

Actividades personales o domésticas

• LORTAD:  ficheros mantenidos por personas físicas para fines exclusivamente personales

• LOPD: ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas

• LOPD + Directiva:

¿ficheros de profesionales? ¿Dispositivos teléfonicos?

• “exclusivamente” Agenda con datos de amigos y datos de clientes está dentro del ámbito de aplicación de la LOPD

Sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.

Materias Clasificadas

Ley 97/1968, de 5 de abril, sobre secretos oficiales (modificada por la Ley 48/1978)

Defensa del Estado

Seguridad del Estado

Secreto Transparencia

Sistema de amparo de personas y datos

Materias Clasificadas

Derecho Fundamental

Clasificación/ Secreto

Órganos Jurisdiccionales

Pugna

Ponderación

•Tribunal Supremo : Papeles CESID – Tutela judicial efectiva

•El acceso de los jueces a información clasificada como garantía de tutela judicial efectiva

Investigación del terrorismo

• Doctrina: posibilidad de incluirlo en el art. 22 LOPD relativo a los ficheros de las Fuerzas y Cuerpos de Seguridad.

• Circunstancias sociales y políticas

Amplio debate:

• Clandestinidad de los tratamientos

• Vaciar de contenido el derecho

• Necesario y justificado en atención a la materia

• Necesario en atención a las circunstancias sociales y políticas

Ficheros regidos por sus disposiciones específicas (art. 2.3)

a)Los ficheros regulados por la legislación de régimen electoral.

b)Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

c)Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas armadas

d)Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

e)Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Leyes Sectoriales

• No pueden vaciar de contenido: art. 18.4 CE

• Criterios de especialidad

• Acorde con la Directiva 95/46/CE: considerando 23

 

Ficheros regulados por la legislación de régimen

electora (LOREG):

•Fichero del Censo electoral:

Inscripción obligatoria: seguridad respecto de quienes son electores y elegibles

Publicidad a efectos de comprobación individual

Prohibición de facilitar información particularizada sobre datos personales (excepto a los representantes de cada candidatura)

•Censo promocional: fuente accesible al público

Ficheros con fines exclusivamente estadísticos:

• Objetivo: presentar descripciones a partir de datos para facilitar la gestión, planificación y toma de decisiones.

• Dato personal no es importante en sí mismo

Criterios definidos por la LFEP para el tratamiento de la información

estadística:

• Transparencia: derecho de información

• Proporcionalidad: adecuación / resultado

• Especialidad: finalidad

• Seguridad

• Secreto estadístico: confidencialidad

• Conservación determinada: cancelación

• Protección especial datos sensibles

Ficheros con fines exclusivamente estadísticos (cont.):

Artículo 37.m) LOPD – Funciones de las agencias de protección de datos

• Velar por el cumplimiento de la LFEP

• Dictar instrucciones

• Dictaminar sobre las condiciones de seguridad

• Ejercer la potestad sancionadora

Ficheros del Registro Civil y del Registro Central de

Penados y Rebeldes

Registro Civil:

•Finalidad

Registro público

Constancia oficial del estado civil y de la condición de las personas

•Responsabilidad en la exactitud

•Conflicto entre derecho a la intimidad (datos íntimos) y derecho a la protección de datos de carácter personal

Registro Civil: Derecho de acceso

• Autorización special

Filiación adoptiva, no matrimonial o desconocida

Rectificación del sexo

Causas de nulidad

Separación, divorcio

• Régimen general:

Interés (presunto)

Posibilidad de denegar el acceso si se considera que no está relacionado con la prueba del estado civil

Registro Civil:

• Derecho de rectificación: por resolución firme según el procedimiento que corresponda

• Derecho de cancelación:

Obligación del Registro aportando el título adecuado

Nota marginal

Registro Central de Penados y Rebeldes

• Registro administrativo  Contiene resoluciones judiciales (antecedentes penales de los condenados en sentencia firme)

• No es un registro público

• Acceso restringido:

Jueces y Tribunales

Autoridades administrativas para ejercicio de competencias

• Finalidad informar a autoridades responsables del sistema de justicia penal para toma de decisiones individuales (reinserción social)

•Derecho de cancelación

A instancia del interesado acreditando (expediente Ministerio

Justicia)

De oficio

Por orden judicial

Tratamiento de datos de imagen y sonido por las Fuerzas

y Cuerpos de Seguridad

• Información contenida o con destino a archivos estructurados

• Control: Comisión de Garantías de Videovigilancia

• Resolución de peticiones de acceso y/o cancelación

• Dicta recomendaciones

OBJETO

Objeto de la LOPD (art. 1)

• Garantizar las libertades públicas y los derechos fundamentales

• Especialmente el honor y la intimidad personal y familiar

• Tratamiento

• Datos de carácter personal

• Personas físicas

Normativa de protección de datos no es aplicable a:

• Datos referidos a personas jurídicas

• Ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en empresas/AAPP (personas jurídicas), consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

• Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

• Datos referidos a personas fallecidas (personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos y solicitar la cancelación de los datos)

DEFINICIONES

Dato de carácter personal:

art. 3 a) LOPD: cualquier información concerniente a personas físicas identificadas o identificables.

art. 2 a) Directiva 95/46/CE: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

art. 5.1 h) RLOPD: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables

Dato de carácter personal:

• Datos biométricos: Huella digital, Reconocimiento facial, Iris, voz, …

• Imágenes: Webcam, videovigilancia

• Dirección IP

• Datos genéticos

Afectado o interesado

Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

titular del derecho (ejercicio de las potestades de control)

Procedimiento de disociación (art. 3.f) LOPD):

Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

RLOPD

p) Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

e) Dato disociado: aquél que no permite la identificación de un afectado o interesado.

o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.

Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Clave de disociación

• Iniciales

• Fecha y hora de nacimiento

• Código Postal

¿Cuánta información?

Fichero

art. 3.b) LOPD: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

art. 2 c) Directiva 95/46/CE: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica

art. 5.1 k) RLOPD: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Fichero no automatizado, art. 5.1 n) RLOPD:

Conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.

Tratamiento

art. 3.c) LOPD: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

art. 2.b Directiva 95/46/CE: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

art. 5.1 t) RLOPD: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Cancelación (art. 3.1 b) RLOPD)

Procedimiento en virtud del cual el responsable cesa en el uso de los datos.

La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Responsable del fichero o tratamiento (art. 3.d LOPD):

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Responsable del tratamiento (art. 2.d Directiva 95/46/CE)

Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos, personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario

Responsable del fichero o del tratamiento (art. 5.1 q) RLOPD): Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica

Responsable del fichero o tratamiento

• Grupos de empresas

• Administraciones Públicas: empresas de gestión, departamentos

Encargado del tratamiento

art. 3 g) LOPD: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

art. 3.g Directiva 95/46/CE: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento

art. 5.1 i) RLOPD: persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Consentimiento del interesado

art. 3 h) LOPD: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

art. 2 h) Directiva 95/46/CE: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

art. 5.1 d) LOPD: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Consentimiento del interesado (cont.)

Características acumulativas:

• Libre no conoce ningún vicio según lo establecido en el Código Civil

• Específico  tratamiento y finalidad determinada, explícita y legítima

• Informado conocer que existe antes de que se produzca el tratamiento

• Inequívoco  no deducible de meros actos del afectado (consentimiento presunto). Debe ser expresamente una acción u omisión.

Consentimiento del interesado (cont.): Tipos de consentimiento:

• Consentimiento tácito

• Consentimiento expreso

• Consentimiento expreso y por escrito

• Consentimiento de los menores de edad (14 años)

Ejemplo: Consentimiento no inequívoco: Información en asamblea de trabajadores sobre la instalación webcam (SAN 24-01-03)

Consentimiento del interesado (cont.): consentimiento tácito

Definición del Tribunal Supremo:

“ […] la declaración de voluntad emitida indirectamente ha de resultar terminante, clara e inequívoca, sin que sea lícito deducirlo de expresiones, actitudes de dudosa significación, sino por el contrario reveladores del deseo de crear, modificar o extinguir algún derecho”

Conducta determinada

Deducción razonable

Usos sociales

Expresión de la voluntad

Consentimiento del interesado (cont.): Consentimiento tácito:

Conducta determinada

Deducción razonable

Usos sociales

Expresión de la voluntad

Silencio:

No es producto de efectos jurídicos más que en el caso de que la Ley o la voluntad de las partes se los reconozca o conceda previamente.

Consentimiento del interesado (cont.): Excepciones al consentimiento:

• Por Ley: art. 53.1 CE (art. 6.1 LOPD)

• Ejercicio de las funciones propias de las

Administraciones Públicas en el ejercicio de sus competencias (Interpretar según “misión de interés público o inherente al ejercicio del poder público”)

• Relación negocial, laboral o administrativa necesarias para su mantenimiento o cumplimiento

• Protección de un interés vital (art. 7.6 LOPD)

• Fuentes accesibles al público: tratamiento necesario para conseguir el interés legítimo del responsable del fichero o del tercero al que se comuniquen los datos

Consentimiento del interesado (cont.)

Problemas:

• Amplitud de las excepciones

• Concepto jurídico indeterminado

• Complejidad de las relaciones jurídicas definidas

Cesión o comunicación de datos (art. 3 i) LOPD)

Toda revelación de datos realizada a una persona distinta del interesado.

Art. 5 . c) RLOPD: Tratamiento de datos que supone su revelación a una persona distinta del interesado.

Transferencia internacional de datos (art. 5.1 s) RLOPD)

Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Fuentes accesibles al público (art. 3.j) y art. 28 LOPD)

ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.

Tienen la consideración de fuentes de acceso público, exclusivamente:

– el censo promocional

– los repertorios telefónicos en los términos previstos por su normativa específica

– las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.

La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.

– los diarios y boletines oficiales

– los medios de comunicación social

Fuentes accesibles al público

Sentencia Tribunal Supremo de Madrid de 8 de 1998 en relación al censo electoral

La expresión fuentes accesibles al público no viene referida a la posibilidad de acceso material sino jurídico que comprende la posibilidad material o física de examinar los datos y la posibilidad de su apropiación y utilización mediante la obtención de copia de los mismos.

PRINCIPIOS DE CALIDAD DE LOS DATOS

Principios de calidad de los Datos

Finalidad

• Determinada, explícita y legítima

• Cancelación: datos no pertinentes

• Disociación

• Finalidades incompatibles (uso del dato de cuota sindical en procedimiento de despido)

• Finalidades no incompatibles: históricas, estadísticas, científicas

Proporcionalidad:

Los datos deben ser adecuados, pertinentes y no excesivos

Recogida leal y lícita

Tratamiento con fines estadísticos, históricos o Científicos

• Ley 12/1989, de 9 de mayo, Reguladora de la función estadística pública

• Ley 16/1985, de 25 junio, del Patrimonio histórico español y la Ley

13/1986, de 14 de abril de Fomento y coordinación general de la investigación científica y técnica, y sus respectivas disposiciones de desarrollo

• La Agencia Española de Protección de Datos y las autoridades de control de las comunidades autónomas podrán, previa solicitud del responsable del tratamiento acordar el mantenimiento íntegro de determinados datos, atendidos sus valores históricos, estadísticos o científicos.

Principios de calidad de los datos (cont.)

Exactitud:

-Datos exactos y puestos al día (los datos recogidos directamente del afectado se considerarán exactos): han de responder a la situación actual del individuo

-Rectificación y cancelación de oficio: 10 días y comunicación a los cesionarios conocidos (no al interesado)

Conservación:

– Permitir ejercicio de derecho de acceso mientras no se proceda a la cancelación

– Podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo

DERECHO DE INFORMACIÓN

Objetivo: control de los datos de carácter personal

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas (principio de pertinencia de la información tratada)

c) De las consecuencias de la obtención de los dato o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Uso de formularios

Derecho de Información (art. 5 LOPD)

Cláusula claramente legible

Naturaleza de los datos

Circunstancias en que se recogen

Excepción apartados b), c), d) art. 5 LOPD

¿Destinatarios?

¿Cesionarios?

Recogida por un tercero por encargo del

Responsable del Fichero

Datos no recogidos del interesado (art. 5.4 LOPD)

Información posterior dentro de los 3 meses posteriores al registro de los datos :

• Expresa, precisa e inequívoca

• Relativa a:

• Contenido del tratamiento

• Procedencia de los datos

• Existencia del fichero

• Finalidad del tratamiento

• Destinatarios de los datos

• Derechos de acceso, rectificación, cancelación y oposición

• Identidad del Responsable del fichero

Excepciones al derecho de información en el supuesto de datos no recogidos del interesado (art. 5.5 LOPD)

• Previsto por ley: referencia expresa a la cesión (no aplicable a supuestos en que la ley se limite a establecer un criterio que autoriza o habilita la cesión de los datos)

• Tratamiento con finalidades históricas, estadísticas o científicas

• Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

• Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Cumplimiento del deber de información en supuestos especiales

Supuestos de modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, pero debe cumplirse con el deber de información regulado en el art. 5 LOPD

CONSENTIMIENTO DEL TITULAR DE LOS DATOS

Régimen general

• Consentimiento inequívoco

• La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

• En el consentimiento para la cesión de sus datos deberá informarse de la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.

•Corresponde al responsable del tratamiento la prueba de la existencia

del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

Forma de recabar el consentimiento (art. 14 RLOPD)

– Comunicación al titular de los datos informando del tratamiento en los términos del art. 5 LOPD y art. 12.2 RLOPD.

– Conceder un plazo de 30 días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal (servicio que genere información periódica o reiterada, podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible)

– Posibilidad de conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.

– Facilitar un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos (envío prefranqueado, número telefónico gratuito o a los servicios de atención al público.

Forma de recabar el consentimiento (art. 14 RLOPD)

Procedimiento no utilizable cuando la Ley exija la obtención del consentimiento expreso para el tratamiento de los datos.

No será posible solicitar el consentimiento nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de 1 año

Consentimiento de los menores de edad (art. 13 RLOPD)

Mayores de 14 años:

Podrá procederse al tratamiento de sus datos con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela.

Consentimiento de los menores de edad (art. 13 RLOPD)

Menores de 14 años:

Se requerirá el consentimiento de los padres o tutores

————————————————————————————————————-

No podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo (actividad profesional, información económica, datos sociológicos, … ) sin el consentimiento sus titulares.

Sí podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar su autorización para el tratamiento de datos de menores de 14 años.

—————————————————————————————– ——————-

La información dirigida a los menores deberá ser en lenguaje fácilmente comprensible

————————————————————————————————————-

Corresponde al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma (art. 15 RLOPD)

Solicitud del consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, se deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

Por ejemplo, cuando se permite al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Revocación del consentimiento (art. 17 RLOPD)

Medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. Por ejemplo, procedimiento envío prefranqueado o la llamada a un número telefónico gratuito o a los servicios de atención al público.

No se considerarán conformes a la LOPD: envío de cartas certificadas o envíos semejantes, utilización de servicios de telecomunicaciones de tarificación adicional o cualesquiera otros medios que impliquen un coste adicional al interesado

Cese del tratamiento:

• Plazo máximo de 10 días a contar desde el de la recepción de la revocación del consentimiento (bloqueo).

• Cuando el interesado solicite del responsable la confirmación del cese en el tratamiento de sus datos, se deberá responder expresamente a la solicitud.

• Cesionarios: deberá comunicarlo en el mismo plazo de 10 dias.

DATOS ESPECIALMENTE PROTEGIDOS

Art. 18.4 CE – libertad informática

Art. 16 CE – libertad ideológica

Art. 14 CE – prohibición de cualquier tipo de discriminación

Datos que revelen:

  • Ideología
  • Afiliación sindical
  • Religión
  • Creencias

• Nadie puede ser obligado a declarar sobre su ideología, religión y creencia

• Obligación de advertir que no puede no prestar el consentimiento

• Consentimiento expreso y por escrito

Excepciones:

• Ficheros mantenidos por:

• Partidos políticos

• Sindicatos

• Iglesias, confesiones, comunidades religiosas

• Asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, religiosa o sindical.

• Respecto a:

• Datos relativos a sus asociados o miembros

Cesión: siempre con consentimiento

Datos que hagan referencia a:

• Salud

• Origen racial

• Vida sexual

• Pueden ser recabados, tratados y cedidos si:

• Existe una ley (razones de interés general)

• Consentimiento expreso

Datos especialmente protegidos (art. 7.3) (cont.)

Prohibición de ficheros cuya finalidad exclusiva sea almacenar datos que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas:

• sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes

• supuestos previstos en las respectivas normas reguladoras.

•Regla general  Consentimiento expreso y por escrito o expreso (art. 7.1, 2 y 3 LOPD)

•Excepciones: (art. 7.6)

tratamiento necesario para prevención o diagnóstico médicos

prestación de asistencia sanitaria o tratamientos médicos

gestión de servicios sanitarios

Personal sanitario (u otra persona) sujeto a secreto profesional

tratamiento necesario para salvaguardar el interés vital del afectado o de otra persona (afectado física o jurídicamente incapacitado para dar su consentimiento.

• Las instituciones

• Los centros sanitarios

• Los profesionales correspondientes

Legislación sanitaria estatal o autonómica

Tratamiento datos de carácter personal relativos a la salud de las personas que acudan a estos para ser tratados

Datos de carácter personal relacionados con la salud

(art. 5.1 g) RLOPD)

Informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

Datos de Salud

• Consentimiento expreso

• Legislación:

• Ley 14/86, de 25 de abril, General de Salud

• Ley 31/1998, de 8 de noviembre, de prevención de riesgos laborales

• Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente

• Llei 21/2000, de 29 de desembre, sobre els drets d’informació concernent la salut i l’autonomia del pacient, i la documentació clínica

• LEY 16/2010, de 3 de junio, de modificación de la Ley 21/2000, de 29 de

diciembre, sobre los derechos de información concerniente a la salud y la

autonomía del paciente, y la documentación clínica.

Datos de Salud: Historia clínica

 

•Derecho de los usuarios

•Historia clínica única

• Datos identificativos y de asistencia clínica

•Criterios de seguridad, conservación y futura recuperación

•Garantía de autenticidad del contenido

• Registro de cambios indicando quien los realiza

•Garantía de confidencialidad

Datos de Salud -Historia clínica

•Delimitación de usos

•Acceso restringido

• Médicos y profesionales que intervienen en la

diagnosis o tratamiento

• Finalidades epidemiológicas, de investigación o de docencia:

• Consentimiento

• Anonimización

• Personal administrativo y de gestión

LOPD y derechos fundamentales

Posted on por
Responder

En cuanto al Derecho de protección de datos de carácter personal, a modo de introducción debemos tener claros varios puntos:

1.- Sólo aplica sólo a persona físicas (no afecta a personas jurídicas – empresas-).

2.- Es un derecho fundamental protegido por la Constitución española de una forma «indirecta», y que básicamente versa sobre el control de MI información y MI vida. Por tanto es un derecho autónomo.

3.- Cualquier límite a este derecho se debe interpretar de forma restrictiva.

4.- Para solventar un problema de protección de datos, hay que acudir no sólo a la LOPD, sino a todas las disposiciones que dependerán del ámbito de cada caso (mercantil, laboral…).

5.- La titularidad de los datos siempre es del individuo, de la persona física. Jamás del responsable del fichero o de quien lo gestiona (encrgdo del fichero).

6.- No es tan importante qué tipo de dato es, como el uso que le van a dar si lo cedo, y el por qué de esa comunicación de los datos.

7.- La protección de datos no es algo exclusivo de las nuevas tecnologías, ni es una novedad jurídica como veremos.

Todos los derechos y libertades fundamentales están conectados con el derecho a la protección de datos de carácter personal, y su dimensión es amplísima: no se reduce a nombre y apellidos, dirección, email o teléfono, sino que incluye datos relativos a la religión, informes médicos, correspondencia, diarios, dibujos, fotografías, canciones, etc…

Antecedentes.

Un hito importante es el caso del Censo que se creó en Alemania en los ochenta en el que se solictó a todos los ciudadanos datos de carácter personal tan íntimos como la religión. Teniendo en cuenta lo ocurrido años antes con el Holocausto, esto provocó la queja de la sociedad alemana ante esta desprotección, solictando la «autodeterminación informativa». Es decir, «mi información personal yo la controlo y la comparto con quien quiero«.

En USA pronto se advirtió que las autoridades controlaban a sus ciudadanos través de las bibliotecas, donde quedaban registrados los libros que se prestaban y a qué persona. De esta manera la CIA podía saber si alguien era comunista, disidente del sistema o hacerse una idea muy aproximada de su carácter, y por tanto se entendía que esto atentaba contra la libertad de cada uno. Es, hablando mal y pronto, el derecho «a que me dejen en paz».

En conexión con esto, encontramos el «derecho al olvido». Hace poco salía una noticia en televisión en la que un hombre que hace 20 años cometió un supuesto crimen del que además salió absuelto, el cual si ponía su nombre en el buscador Google lo primero que salía era el delito que no cometió junto a su nombre y fotografía. Esto afecta a su reputación y uno debe tener el derecho a que ciertos datos de su vida queden cancelados, por inciertos o por su caracter personal y por tanto fundamental, que afectan a su vida y a su persona, a su honor, a su reputación, a su intimidad personal…

En España, es el artículo 18.4 de la Constitución española junto con las Directivas Comunitarias transpuestas, las que dan pie al desarrollo del derecho a la protección de datos de carácter personal: «La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.»

Tres derechos dan sustento a la protección de datos de carácter personal:

1.- Dignidad

2.- Libertad

3.- Libre desarrollo de la personalidad.

Lectura recomendada: Caso Olaverri. Este hombre sólo quería saber de qué datos personales disponía el Gobierno Vasco y peleó en los Tribunales hasta conseguir una Sentencia favorable cuando aún no existía la LOPD. Se valió de la Constitución española y tratados internacionales. Al ser un derecho fundamental, es de ejercicio directo para llevarlo a los Juzgados y Tribunales, lo que demuestra que efectivamente se trata de un derecho fundamental.