2. Derecho fundamental a la protección de datos.
Un dato de carácter personal es cualquier información que permita identificar a
una persona o hacerla identificable.
El derecho fundamental a la protección de datos reconoce al ciudadano la
facultad de controlar sus datos personales y la capacidad para disponer y
decidir sobre los mismos.
¿Qué es un dato personal?
Fuente: Agencia española de protección de datos
3. La Agencia Española de Protección de
Datos
Es la autoridad de control independiente que vela por el
cumplimiento de la normativa sobre protección de datos y
garantiza y tutela el derecho fundamental a la protección de
datos personales.
4. Marco normativo de protección de datos personales
Artículo 18.4 de la CE
La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos
personales y a la libre circulación de estos datos.
Ley Orgánica de Protección de Datos de Carácter Personal (actualmente en trámite).
5. Calendario: entrada en vigor y aplicabilidad
1. El 27 de abril de 2016 se publicó en el DOUE (Diario Oficial de la Unión Europea)
el Reglamento General de Protección de Datos (RGPD).
2. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD).
3. El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos (RGPD).
4.El 25 de mayo de 2018 entrará en vigor la nueva LOPD (según establece la Disposición final quinta
del proyecto de ley, actualmente en trámite).
5. Quedará derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.
6. Ámbito de aplicación del reglamento general de
protección de datos
I. Ámbito de aplicación material
Según su artículo 2, el RGPD se aplica al tratamiento total o parcialmente automatizado de datos
personales, así como al tratamiento no automatizado de datos personales contenidos o destinados
a ser incluidos en un fichero.
7. Excepciones
El RGPD no se aplicará en los siguientes casos:
a. En el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión
b. En la actuación de las autoridades con fines de prevención o investigación de delitos o de
protección de la seguridad pública.
c. En las actividades de los Estados miembros comprendidas en el ámbito de aplicación del capítulo
2 del títuloV delTUE (Tratado de la Unión Europea) que trata sobre materia de política exterior y de
seguridad común.
d. Al tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente
personales o domésticas.
8. II. Ámbito de aplicación territorial
Ámbito de aplicación del reglamento general de
protección de datos
Es importante resaltar que, conforme a su artículo 3, el Reglamento se aplica al tratamiento de datos personales
en el contexto de las actividades de un establecimiento, del responsable o encargado del mismo, perteneciente a la
Unión Europea, independientemente de que el tratamiento de los datos tenga lugar dentro de ella o no.
Al mismo tiempo, hay que señalar que el Reglamento se aplica también al tratamiento de datos personales de
residentes en la Unión “por parte de un responsable o encargado no establecido en la Unión, cuando las actividades
de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos
se les requiere su pago. O bien,
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
9. Principales novedades del RGPD
1. Privacidad desde el diseño y por defecto (art.25.1).
Se trata de pensar en términos de protección de datos desde el primer momento en el
que se diseña un producto o servicio que conlleve un tratamiento de datos personales.
Por ejemplo, en materia de redes sociales, los perfiles de privacidad de los usuarios
deberán estar cerrados por defecto, debiendo ser el usuario el que los abra.
2. Principios que se aplican al tratamiento de datos.
Licitud
Lealtad
Transparencia (Novedad)
10. 3. Se acaban los conocidos en España como derechos ARCO (acceso, rectificación,
cancelación y oposición). Ahora se refiere a los derechos en términos de:
Transparencia
Información,
Acceso
Rectificación
Supresión o derecho al olvido
Limitación del tratamiento
Portabilidad de datos
Oposición.
Derecho a no ser objeto de decisiones individualizadas
11. 4. Se imponen condiciones para la validez del consentimiento.Ya no
se considera válido el consentimiento tácito y es necesario que el
responsable del tratamiento del dato pueda probar que se prestó
el consentimiento.
El consentimiento tiene que ser verificable y quienes recopilen datos personales
deben poder probar que el afectado les concedió su consentimiento
5. Regulación específica del conocido como Derecho al olvido
o, más propiamente, derecho de supresión.
Derecho de los ciudadanos a que sus datos sean suprimidos cuando estos ya no
sean necesarios para el fin para el que se trataron, o porque fueran tratados de
forma ilegal.
12. 6. Introducción de la figura del Delegado de protección de datos (art.37 a 39)
Se trata de una nueva figura de responsabilidad dentro de la entidad.
El DPO, se encargará de la planificación de las medidas de seguridad
aplicables a los tratamientos de datos. así como la gestión de los mismos.
7. Criterio “One stop shop” (ventanilla única) para la reclamación de la
violación de las obligaciones de protección de datos por parte de una
multinacional (art.60 a 67).
El principio de ventanilla única (un único supervisor en toda Europa) permite
a una empresa que tenga establecimientos en varios estados o que afecten
a ciudadanos de varios estados, tener una sola agencia de protección de
datos como interlocutora. Esto supondrá en la práctica la necesidad de
colaboración entre agencias de diferentes estados, y en caso de discrepancia
insalvable, se podrá acudir al Comité Europeo de Protección de datos,
organismo integrado por los directores de todas las agencias de protección
de datos de la Unión, siendo sus decisiones vinculantes para las agencias de
todos los estados.
13. 8.Tratamiento de datos de personas fallecidas por parte
de sus herederos (art.3 del proyecto de ley LOPD).
El Reglamento no se aplica a la protección de datos personales de
personas fallecidas. Los Estados miembros son competentes para
establecer normas relativas al tratamiento de los datos personales
de estas, pero los herederos de una persona fallecida que acrediten
tal condición mediante cualquier medio válido conforme a Derecho,
podrán dirigirse al responsable o encargado del tratamiento al objeto
de solicitar el acceso a los datos personales de aquella y, en su caso,
su rectificación o supresión.
9.En España, a través de la LOPD, la edad para
el consentimiento, se reduce desde los 14 a los
13 años (art.7 de la LOPD).
Para los menores de 13 años el tratamiento será lícito si consta el
consentimiento del titular de la patria potestad.
14. 10. No hay mínimos en las cuantías de las sanciones, pero si tiene máximos más
elevados.
Las cuantías se ligan al volumen de la facturación. Aunque el reglamento es más flexible, ya que tiene en cuenta
más elementos para que se puedan modular las sanciones, las cuantías pueden llegar a 20 millones de euros o
el 4% de la facturación anual de la empresa infractora.
La clasificación de las sanciones será de : leves, graves y muy graves
15. La nueva ley de Protección de datos
y
La educación
16. Las siete obligaciones de la nueva ley de Protección de Datos
que atañen a los Centros Educativos
Como ya hemos comentado, el próximo 25 de mayo de 2018 será de aplicación efectiva
y directa en España el nuevo Reglamento Europeo de Protección de Datos de
Carácter Personal (RGPD). Este Reglamento supondrá la modificación de algunos
aspectos del régimen actual y la introducción de nuevas obligaciones en relación
con su cumplimiento que afectará a las empresas grandes y pequeñas, instituciones,
Organizaciones y, por supuesto, a la Administración Pública.Vamos a destacar algunas
novedades que afectarán de una manera directa al sector educativo, y en concreto
a los centros formativos
17. 1.Deberán realizar una valoración del riesgo que implique el tratamiento de datos
personales (pérdida, destrucción o alteración por mero accidente o de forma ilícita
o acceso no autorizado).Y también planificar los servicios que ofrezcan para adoptar
las medidas que, por defecto, garanticen el tratamiento necesario para la finalidad
para la que se recabaron y que no estén accesibles a un número indeterminado de personas.
2.Tendrán que hacer evaluaciones de impacto, en los siguientes supuestos, que se
completarán con los que determine la Agencia Española de Protección de Datos (AEPD) o
las autoridades autonómicas correspondientes:
Tratamiento a gran escala de datos sensibles como son: origen étnico o racial,
opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos
genéticos, biométricos, de salud y los relativos a la vida u orientación sexual.
Observación sistemática a gran escala de una zona de acceso público
(videovigilancia).
18. 3.Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan
efectos jurídicos sobre los interesados o les afecte de modo similar.
4.Habrán de designar obligatoriamente un Delegado de Protección de Datos,
figura que hasta hoy no existía. El Delegado puede estar en la plantilla de la
organización o ser contratado como externo y deberá ser experto en la
legislación que regula la protección de los datos personales.
5.Deberán elaborar un registro de actividades respecto del tratamiento
de datos de carácter personal que se realice.
19. 6.Tendrán que recabar el consentimiento de los alumnos o de sus padres o tutores,
mediante una clara acción afirmativa del interesado y, en el caso de datos sensibles
o para transferencias internacionales, el consentimiento además deberá ser expreso.
7.En el caso de que se produzca una “violación de seguridad”, deberán notificarlo
a la AEPD o a la Autoridad autonómica correspondiente y, en su caso también
comunicarlo a los interesados.