SlideShare una empresa de Scribd logo
1 de 54
JORNADA SOBRE PROTECCION
     DE DATOS DE CARÁCTER
        PERSONAL (ICAV)



@eduardchaveli

http://www.linkedin.com/in/eduardchavelI

e.chaveli@gesconsultor.com
    © 2012. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.
CURRICULUM REPRESENTACIÓNSUMIDO EDUARD CHAVELI
 •   Socio Director de AUDEDATOS

 •   Licenciado en Derecho por la Universitat de Valencia 1990/95

 •   D.E.A. (Diploma de Estudios avanzados de doctorado en Derecho Procesal en la Universidad de Valencia)

 •   Abogado en ejercicio desde 1995.

 •   Profesor Asociado del departamento de Derecho Procesal de la Universitat de Valencia

 •   Máster en Derecho Informático (Máster en Derecho y las Transmisiones Electrónicas).

 •   Presidente de la Sección de Derecho Informático del Ilustre Colegio de Abogados de Valencia.-

 •   Vicepresidente de la Asociación Española de Privacidad (APEP)▫

 •   Profesor de la Agencia Catalana de Protección de Datos.▫ Profesor de la oferta formativa del Consejo General del
     Poder Judicial▫ Profesor de la oferta formativa de la Diputación de Valencia.▫

 •   Coordinador y profesor de diferentes Másters Profesor de Derecho de las Nuevas Tecnologías de la Escuela de
     Práctica Jurídica del Ilustre Colegio de Abogados de Valencia.

 •   Ha impartido numerosas conferencias, cursos y seminarios sobre aspectos técnicos y organizativos de la Ley
     Orgánica de Protección de Datos de carácter personal, el Reglamento de Medidas de Seguridad y el Reglamento
     de Desarrollo de la LOPD.

 •   Dispone de numerosas publicaciones en la materia.

 •   Amplia experiencia en la adaptación y auditoría de seguridad en organizaciones en los sectores público y privado
     desde el año 2000.
INDICE



   1. INTRODUCCIÓN: ORIGEN, MARCO LEGAL Y CONCEPTOS

   2. EL A,E,I,O,U, DE LA LOPD

   3.PRINCIPALES INFORMES DE LA AEPD SOBRE ABOGADOS

   4. RESOLUCIONES DE LA AEPD SOBRE ABOGADOS

         4.1 RESOLUCIONES SANCIONADORAS
         4.2 RESOLUCIONES ARCHIVO DE ACTUACIONES
NOTA ACLARATORIA

   Estos materiales sirven como base para la exposición en una charla en el Ilustre Colegio
   de Abogados de Valencia de las obligaciones básicas que - en la materia – tienen los
   abogados.

   No obstante y aunque se simplifican las obligaciones haciendo referencia a las
   “principales”, ello no significa que estas sean las únicas.

   Asimismo se ponen ciertos ejemplos de sanciones y archivo de
   expedientes a abogados o que están relacionados.
   Estas resoluciones sólo son ejemplificativas y además algunas de ellas pueden
   modificarse en vía judicial.
1. INTRODUCCIÓN

  1.1 ORIGEN


  Artículo 18 C.E.
  “La Ley limitará el uso de la informática para garantizar el honor y la intimidad
     personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”


  Desarrollo constitucional: STC 290/2000, 292/2000 etc…


  La habitual confusión entre Derecho a la protección de datos y:
      •    Derecho a la intimidad
      •    Secreto profesional
1.2 MARCO LEGAL
BÁSICO.
- Artículo 18.4 de la Constitución Española.
   Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de julio de 1995,
   relativa a la protección de las personas físicas en lo que respecta al tratamiento de
   datos personales y a la libre circulación de estos datos.
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
    Personal [LOPD]


- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
    de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
    datos de carácter personal [RDLOPD] Entró en vigor el 19 de abril de 2008
- No obstante hay más normas, algunas de ellas sectoriales.


- Todas ellas se pueden consultar en la web de la AEPD: www.agpd.es
1.3.CONCEPTOS BÁSICOS        Dato de Carácter personal

     TIPO DE               CONCERNIENTE A PERSONA              SUSCEPTIBLE DE
  INFORMACIÓN                 FÍSICA O NATURAL                  TRATAMIENTO

• Numérica.                • Características
                                                                 • Soporte físico
  • DNI,                     • Físicas,
                                                                   • Automatizados
  • Matrícula de             • Psíquicas
                                                                   • No
    vehículo.                • Fisiológicas
                                                                     Automatizados
• Alfabética.                • Económicas
  • Nombre y apellidos.      • Culturales
• Fotográfica.               • Sociales
  • Imágenes captadas
    por cámaras o vídeo,                       QUE PERMITAN DIRECTA O INDIRECTAMENTE
  • Cámaras de vídeo                                  IDENTIFICAR A LA PERSONA.
    vigilancia.
• Acústica.                                         SIN EMPLEAR MEDIOS O PLAZOS
  • Voz humana.                                          DESPROPORCIONADOS
¿QUIÉN ES QUIÉN?
Afectado o interesado: Persona física titular de los datos que sean objeto de
    tratamiento: CLIENTES, CONTRAPARTE, OTROS ABOGADOS, PERITOS, TESTIGOS,
    FUNCIONARIOS, AUTORIADES ETC…

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública
    o privada, u órgano administrativo, que sólo o conjuntamente con otros decida
    sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase
    materialmente… ABOGADO.

PREGUNTA FRECUENTE: ¿QUIÉN ES EL RESPONSABLE?
- Si es un abogado sólo (autónomo): El mismo.

- Si es una sociedad: La sociedad. No es el administrador

- Si es una comunidad de bienes: La Comunidad de bienes.

“Una regla “habitual”: el responsable es quien factura al cliente”
Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano
    administrativo que, solo o conjuntamente con otros, trate datos personales por
    cuenta del responsable del tratamiento o del responsable del fichero, como
    consecuencia de la existencia de una relación jurídica que le vincula con el
    mismo y delimita el ámbito de su actuación para la prestación de un servicio.
    PROVEEDORES

PREGUNTA FRECUENTE: Pero un abogado tiene terceros que tratan datos de los que es
    responsable y a su vez él trata datos de terceros ¿cómo puede ser?

El abogado/asesor:

- Por un lado es Responsable de sus ficheros

- Por otro lado puede ser Encargado del tratamiento de ficheros de otros cuando
     para prestarles servicios acceda a sus datos.
Usuario: sujeto autorizado para acceder a datos o recursos (cualquier parte
    componente de un sistema de información). Normalmente aquellas personas
    que tratan los datos. Habitualmente empleados del despacho.



Responsable de seguridad: persona o personas a las que el responsable del fichero
    ha asignado formalmente la función de coordinar y controlar las medidas de
    seguridad aplicables. En un despacho grande puede ser alguien especializado
    pero en uno pequeño normalmente alguien que asuma esta tarea como una
    mas.
2. EL A, E, I, O ,U DE LA LOPD
  Aspectos Jurídicos
  2.1 VISIÓN GENERAL

  a. Inscripción de ficheros en a AEPD

  e. Deber de información del interesado y legitimación para el tratamiento de
      datos (obtención del consentimiento o excepciones)

  i. Formalización de contratos de acceso a datos por cuenta de terceros y
       contratos de prestación de servicios sin acceso a datos por terceros.

  o. Medidas de seguridad de carácter técnico y organizativo (especial
      referencia al documento de seguridad).

  u. Formación: usuarios y responsables de seguridad.
a) INSCRIPCIÓN DE FICHEROS (modificación y cancelación)
I.    ¿Qué es?
Se trata de la obligación que tiene el Responsable de inscribir sus ficheros en el
    RGPD de la AEPD.
ii.   ¿Cómo se hace? (modificación y cancelación)
Con el programa NOTA
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notifi
    caciones_tele/obtencion_formulario/index-ides-idphp.php
o con cualquier otra aplicación que lo permita
iii. ¿Dónde se consultan los ficheros?
https://www.agpd.es/portalwebAGPD/ficheros_inscritos/index-ides-idphp.php
PREGUNTA FRECUENTE: Entonces ¿tengo que comunicar a la Agencia los datos de
   mis clientes?
No. Lo que se inscribe en el Registro no son datos personales concretos sino la estructura. Por
    ejemplo no se comunica que tengo un cliente que se llama Juan Pérez García, que vive en
    tal domicilio, cuyo teléfono es el 22222222 y que …. sino que de mis clientes trato su nombre
    y apellidos, su domicilio, su teléfono,


PREGUNTA FRECUENTE: ¿Qué ficheros tiene que inscribir un abogado?
Los ficheros normales son:
-   Expedientes o asuntos (incluye tanto datos de expedientes judiciales como extrajudiciales y
    no sólo datos de clientes sino de otras personas cuyos datos figuran en el procedimiento).
-   Datos de contacto
-   Empleados (si se tienen empleados).
-   Curriculums (si se almacenan).
-   Proveedores (si no se tiene solo los datos exceptuados de aplicación por art. 2.2. RD
    1720/2007).
-   Videovigilancia (si se graban imágenes).
•   NOTA: No obstante se pueden inscribir con diferente “granulación” y con diferentes nombres
(e). EL DEBER DE INFORMACIÓN Y LA LEGITIMACIÓN EN LA RECOGIDA DE
    DATOS (artículos 5,6,7 y 11 LOPD)

DEBER DE INFORMACIÓN


 ¿Qué es?

 Nace de un derecho del interesado a ser informado
     sobre dónde irán los datos aportados, para qué
     serán utilizados, a quienes se cederán …
 Es una obligación o deber para el Responsable del
     Fichero [Abogado].
 Por tanto en cualesquiera recogida de datos
    efectuada,     mediante    formularios   o
    cuestionarios,     en      papel       y/o
    electrónicos,  debiera  proporcionarse  al
    interesado la información preceptiva     =
    CLAUSULAS
¿Cuál es la información que debe proporcionarse al interesado ?


De la existencia de un fichero o tratamiento de datos de carácter personal, de la
    finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
    planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
    oposición.
De la identidad y dirección del Responsable del Tratamiento.
Praxis cumplimiento del deber de información.

Artículo 5.2 LOPD << Cuando se utilicen cuestionarios u otros impresos para la
     recogida, figurarán en los mismos, en forma claramente legible, las advertencias
     antes mencionadas >>

Se deberán redactar cláusulas informativas a introducir con el fin de cumplir con este
    derecho, en diferentes documentos:

Ejemplos: FORMULARIOS ELECTRÓNICOS Y/O EN PAPEL. EJ. HOJA DE ENCARGO
          PROFESIONAL
          CLÁUSULA EN MINUTAS (para clientes anteriores)
           ADENDA EN CONTRATOS DE EMPLEADOS.
           CLÁUSULA PARA PROCESO DE SELECCIÓN DE PERSONAL (Curriculum)
          DEBER DE INFORMACIÓN EN RELACIÓN CON LA VIDEO VIGILANCIA
          CLÁUSULA PARA EL CORREO ELECTRÓNICO
           CLÁUSULA PARA LA PORTADA DEL FAX
(e ) LEGITIMACIÓN PARA TRATAR LOS DATOS (Art. 6 LOPD y 10 y ss. RDLOPD)
Regla general: Necesario el consentimiento

Excepciones:

•   a. No es necesario el consentimiento:

     -   Recogidos para el ejercicio de las funciones propias de Administración;
     -   Cuando se trata de una relación negocial, laboral o administrativa y
         necesarios para su cumplimiento o mantenimiento;
     -   Salvaguarda de intereses vitales del interesado;
     -   Fuentes accesibles al público.

•   b. Consentimiento expreso: Raza, salud o vida sexual.

•   c. Consentimiento expreso y por escrito: Ideología, afiliación sindical, religión o
    creencias.
(e ) LEGITIMACIÓN PARA LA CESIÓN (Art. 11 LOPD y 10 y ss. RDLOPD)
Cesión o comunicación de datos: toda revelación de datos realizada a una
     persona distinta del interesado (articulo 3 LOPD y 5 RDLOPD)

Regla general: Es necesario el consentimiento del interesado.

Excepciones: Hay una serie de excepciones (art. 11.2. LOPD).

Ej.   Cuando la cesión esté autorizada por Ley, Cuando se trate de una jurídica
      cuyo desarrollo, cumplimiento y control implique necesariamente la conexión
      de dicho tratamiento con ficheros de terceros, cuando tenga por destinatarios
      a jueces, ministerio fiscal etc…
¿Qué ocurre con los menores? (artículo 13 RDLOPD)
    •   Si < 14: Necesario el consentimiento de los padres.
    •   Si > 14: Consentimiento del menor.


        MATICES:
    1. No se puede pedir a menor datos sobre demás miembros de su familia si no
        existe el consentimiento de éstos.
    2. La información dirigida a los mismos deberá expresarse en un lenguaje que
        sea fácilmente comprensible por aquéllos.
    3. Articular los procedimientos que garanticen que se ha comprobado de
       modo efectivo la edad del menor y la autenticidad del consentimiento
       prestado en su caso, por los padres, tutores o representantes legales.
(i). RELACIÓN CON TERCEROS
CONTRATOS DE ACCESO A DATOS POR CUENTA DE TERCEROS.


Encargado de Tratamiento = La persona física o jurídica, autoridad pública servicio o
   cualquier otro organismo que, sólo o conjuntamente con otros, trate datos
   personales por cuenta del responsable del tratamiento.
Ficción legal = Estos supuestos no se consideran “cesión o comunicación de datos”
    y, por tanto, no se rigen por las reglas del consentimiento antes citadas sobre
    comunicaciones de datos.

     ¡¡ Cualquier supuesto en el que un tercero [empresa o
     profesional] para prestar un servicio, remunerado o
     no, eventual o indefinido, acceda a datos personales de los
     ficheros en papel o informático titularidad del Responsable
     del fichero !!
Praxis formalización contratos de acceso a datos por cuenta de terceros


a) Firma del Contrato
En estos supuestos, norma obliga a que se firme un contrato entre el Responsable
   de Fichero o Tratamiento y el Encargado de Tratamiento [Tercero, prestador del
   servicio].


No obstante, para la formalización, puede optarse por las siguientes alternativas:
       Contrato ad hoc, de acceso a datos por terceros.


       Inclusión de una cláusula o estipulación en el contrato de prestación de
        servicios, que recoja los extremos preceptivos.


       O se incluya en un anexo [adenda] al citado contrato de prestación de
        servicios.
b) Control y observancia de cumplimiento de la obligación


A estos efectos, es necesario que:


* Identifique los supuestos en los que la ejecución del servicio, puede
   comportar un acceso y/o tratamiento de datos personales, obrantes
   en los ficheros informáticos y/o en papel.


* En caso afirmativo, comprobar si el contrato de prestación de servicios
   que presenta a firma el tercero, incluye una cláusula o estipulación que
   se recoja en los términos, esto es, disponga del contenido legal que a
   continuación se expone.
c) Contenido del contrato


Sujeción al Responsable de Fichero = Se deberá establecer “que el encargado del tratamiento
    únicamente tratará los datos conforme a las instrucciones del Responsable
Finalidad y Uso del acceso o tratamiento = También se hará constar “que (el encargado) no los
    aplicará o utilizará con un fin distinto al que figure en dicho contrato”.
Cesión o comunicación de datos = Asimismo hay que hacer constar que el encargado “no los
   comunicará, ni siquiera para su conservación, a otras personas”.
Adopción de medidas de seguridad = De igual forma el precepto obliga a que “en el contrato se
   estipulen las medidas de seguridad exigidas por esta normativa que el encargado del
   tratamiento está obligado a implementar”.
Deber de devolución y/o destrucción = “una vez cumplida la prestación contractual, los datos
   de Carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al
   igual que cualquier soporte o documentos en que conste algún dato de carácter personal
   objeto del tratamiento”.
Responsabilidad = “En el caso de que el encargado del tratamiento destine los datos a otra
   finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será
   considerado también responsable del tratamiento, respondiendo de las infracciones en que
   hubiera incurrido personalmente”.
1. Algunos ejemplos de servicios que habitualmente recibe un abogado como
    responsable del fichero por parte de terceros que son encargados del
    tratamiento


    - Empresas de mantenimiento informático: Software y hardware
    (Si alguna empresa le mantiene el software o el hardware)


    - Asesorías y gestoría laborales/contables/fiscales.
    (Si otra asesoría le lleva su contabilidad, su fiscalidad, sus nóminas etc.. al
        abogado)


    - Servicio de copias de seguridad externalizada


    - Otros que reciba y en los que los proveedores deban tratar datos
2. Algunos ejemplos de servicios que habitualmente presta un abogado (o
   asesor) como encargado del tratamiento a terceros que son responsables


    - Asesoramiento laboral/contable/ fiscal.


    - Cobro de deudas


    - Reclamaciones a propietarios de comunidades de propietarios (a veces
       por cuenta del administrador).


    - Otros servicios que el abogado o asesor preste y que para prestarlos
       deba tratar datos del responsable
(i´´) Prestación de servicios sin acceso a datos (art.83 RDLOPD)
¿Qué es?

•   El responsable del fichero o tratamiento adoptará las medidas adecuadas
    para limitar el acceso del personal a datos personales, a los soportes que los
    contengan o a los recursos del sistema de información, para la realización de
    trabajos que no impliquen el tratamiento de datos personales.

•   Cuando se trate de personal ajeno, el contrato de prestación de servicios
    recogerá expresamente la prohibición de acceder a los datos personales y la
    obligación de secreto respecto a los datos que el personal hubiera podido
    conocer con motivo de la prestación del servicio.

Praxis

Ejemplo: Servicios de limpieza, destrucción de documentos, mantenimiento en
    general
(o) MEDIDAS DE SEGURIDAD
ESPECIAL REFERENCIA A LA ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD


   El Responsable del Fichero, y, en su caso, el Encargado del Tratamiento, deberán
    adoptar las medidas de índole técnica y organizativas necesarias, que
    garanticen la seguridad de los datos de carácter personal y eviten su alteración,
    pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
    tecnología, la naturaleza de los datos almacenados y los riesgos a que están
    expuestos, ya provengan de la acción humana o del medio físico o natural.


   No se registrarán datos de carácter personal en ficheros que no reúnan las
    condiciones que se determinen por vía reglamentaria con respecto a su
    integridad y seguridad y a las de los centros de tratamiento, locales, equipos,
    sistemas y programas.
Las medidas se dividen en niveles: BÁSICO, MEDIO Y ALTO (según la tipología de datos
   tratados. (Vid. art. 81 RD 1720/2007).


Existen medidas técnicas y organizativas


Hay medidas comunes a todos los ficheros y otras específicas:
   - Para los ficheros automatizados: Ej. Copias de seguridad, Control de acceso lógico
   (ej. Contraseñas), control de acceso lógico, etc…
   - Para los ficheros no automatizado: Ej. Armarios cerrados con llave, destructoras de
   papel etc …
Se trata de medidas mínimas
Las medidas se recogerán en el denominado Documento de Seguridad. SU contenido
   mínimo se prevé en el RD 1720/2007.
Puedes ver un modelo en:
   https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/commo
   n/Guias/modelo_doc_seguridad.pdf
(U) FORMACIÓN

-   DE NADA SIRVE QUE TENGAMOS TODO LO ANTERIOR SI:


-   LOS USUARIOS no están formados y concienciados en la materia.


-   LOS RESPONSABLES DE SEGURIDAD no conocen sus funciones y saben
    como cumplirlas.
3. PRINCIPALES INFORMES DE LA
     AEPD SOBRE ABOGADOS
3.1 Informe jurídico 2000-0000
Tratamiento-por-abogados-y-procuradores-de-los-datos-de-las-partes-en-un-
     proceso”



                           OBJETO CONSULTA
¿ Los abogados y procuradores habrán de recabar el consentimiento de sus
    clientes y de la contraparte de los mismos en procesos en que aquéllos les
    confieran su representación o defensa?
RESUELVE

Tratamiento de datos de Clientes: podrá efectuarse el mismo sin
     consentimiento del afectado, a tenor de lo establecido en el artículo 6.2
     de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos
     en que los datos “se refieran a las partes de un contrato o precontrato de
     una relación negocial, laboral o administrativa y sean necesarios para su
     mantenimiento o cumplimiento”.



Tratamiento de datos del oponente de tu cliente: Cuando los datos se refieran
     a los oponentes de los clientes del abogado o procurador, dado que en
     ese caso el tratamiento resulta absolutamente imprescindible para la
     asistencia letrada al cliente (tutela judicial efectiva).
Existe una colisión de derechos:

1. Derecho a la protección de datos de carácter personal, derivado del artículo 18
    de la Constitución

2. Derecho a la asistencia letrada, como manifestación del derecho de los
    ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales,
    contenido en el artículo 24.2 de la Constitución.

“… debería darse una prevalencia al derecho consagrado por el artículo 24 de la
    Constitución, garantizando a su vez las medidas que evitarán un mayor perjuicio
    a los afectados (en este caso, los oponentes de los clientes cuyos datos son
    objeto de tratamiento).

Ello se funda en que la comunicación a los afectados de las informaciones de que
      los abogados o procuradores puedan disponer, procedentes de sus clientes,
      podrían perjudicar, como ya se indicó, el adecuado ejercicio por el propio
      interesado de las facultades vinculadas con su derecho a obtener la tutela
      efectiva de los Jueces y Tribunales (al quedar en conocimiento de la otra parte
      los datos que pudieran ser aportados a juicio en defensa de su derecho)”
3.2 Informe jurídico 2000-0000
Difusión de datos de sentencias condenatorias por negligencia médica


                             OBJETO CONSULTA
¿Es posible la difusión a través de Internet de datos relativos a sentencias firmes
    condenatorias por delitos relacionados con negligencia médica (el ejemplo
    sería extrapolable a otras sentencias)?.
RESUELVE
•   El artículo 3.j) de la LOPD indica que las resoluciones judiciales no pueden
    ser consideradas como fuente accesible al público, sin perjuicio del
    principio de publicidad contenido en la Ley Orgánica del Poder Judicial.



•   Ello no contradice el principio de publicidad de las actuaciones judiciales,
    consagrado en cuanto a las sentencias por los artículos 205.6, 232 y 266 de
    la Ley Orgánica del Poder Judicial, al que ya hicimos referencia.



•   La publicidad a la que se refieren dichos preceptos tiene por objeto
    asegurar el pleno desenvolvimiento del derecho de las partes a obtener la
    tutela efectiva de los jueces y Tribunales en el ejercicio de sus derechos,
    sin que en ningún modo pueda producírseles indefensión, consagrado por
    el artículo 24.1 de la Constitución.
•   La colisión entre la publicidad de las sentencias y el derecho a la intimidad de
    las personas ya ha sido, por otra parte, analizado por el Consejo General del
    Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se
    modifica el Reglamento número 5/1995, de 7 de junio, regulador de los
    aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo
    artículo 5 bis del Reglamento, que "en el tratamiento y difusión de las
    resoluciones judiciales se procurará la supresión de los datos de identificación
    para asegurar en todo momento la protección del honor e intimidad personal y
    familiar".

•   En consecuencia, el tratamiento de los datos contenidos en las sentencias
    condenatorias firmes resulta contrario a las previsiones contenidas en la LOPD,
    al quedar éste limitado a las Administraciones Públicas, en el ejercicio de las
    atribuciones que les son conferidas por la Ley, sin que quepa amparar su
    tratamiento por partes ajenas al proceso en normas cuyo fundamento es
    precisamente salvaguardar los derechos procesales de quienes son parte en el
    propio proceso.
•   En cuanto a la difusión de los datos a través de Internet, se recordó que la
    misma, dado que el contenido de la citada lista podría resultar conocido por
    cualquier usuario en la citada red, supondría un cesión de datos de carácter
    personal, respecto de la cual el artículo 11.1 de la Ley Orgánica prevé, con
    absoluta rotundidad que "los datos de carácter personal objeto del tratamiento
    sólo podrán ser comunicados a un tercero para el cumplimiento de fines
    directamente relacionados con las funciones legítimas del cedente y del
    cesionario con el previo consentimiento del interesado".

•   Esta regla sólo se ve exceptuada en los supuestos contemplados en el apartado
    segundo del propio artículo 11, ninguno de los cuales daría cobertura a la
    publicación pretendida, dado que el único que podría resultar de dudosa
    aplicación al caso es el contenido en la letra b) del artículo 11.2 ("cuando se
    trate de datos recogidos de fuentes accesibles al público") y, como se ha dicho,
    los datos no se encuentran, en este caso, recogidos en fuentes accesibles al
    público.
4. PRINCIPALES RESOLUCIONES DE
  LA AEPD SOBRE ABOGADOS
4.1 RESOLUCIONES SANCIONADORAS
4.1.1 Procedimiento Nº PS/00039/2008
                                         HECHOS
TIPOLOGÍA: El denunciante había sido cliente y colaborador del despacho. Ejemplo
    de cliente/ex empleado “cabreado”

RESOLUCIÓN: R/00957/2008

    - Denuncia que un abogado le llevó diversos asuntos para lo cual le facilitó sus
    datos y papeles y que:

    - no le informó sobre el tratamiento informatizado, n ide la posibilidad de ejercer los
    derechos de acceso, rectificación y cancelación.

    - manifiesta también que los datos personales de los clientes son incluidos en un fichero
    automatizado ubicado en un ordenador que carece de contraseña de entrada

    - y que dicho fichero no se encuentra inscrito en la Agencia.
RESUELVE
•   PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como
    grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de
    conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

•   (… no consta acreditada intencionalidad ni reincidencia … apreciándose una cualificada
    disminución de la culpabilidad. En consecuencia, teniendo en cuenta la rapidez para
    corregir la infracción cometida una vez tuvo conocimiento de la misma, y las medidas
    adoptadas tales como la implantación de un documento de seguridad … en aplicación
    de lo dispuesto en el trascrito artículo 45.5 de la LOPD)

•   SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, Tipificada
    como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros
    con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley
    Orgánica.

•   (… atendiendo a los criterios de graduación de las sanciones recogidos en el artículo 45.4, y
    en concreto la ausencia de beneficios y daños a perjuicios, que no se acredita, causados a
    terceras personas, procede imponer una sanción de 601,01 € por la infracción del artículo
    44.2.c) de la LOPD).
4.1.2 Procedimiento Nº PS/00311/2007
                                  HECHOS
         TIPOLOGÍA: Ejemplo de cliente “cabreado”

RESOLUCIÓN: R/00209/2008

Denuncia que un abogado posee en su despacho profesional un fichero
automatizado que no ha sido inscrito en el Registro General de Protección de Datos
ni cumple las medidas de seguridad.
RESUELVE
PRIMERO: IMPONER a D. I.I.I., por una infracción del artículo 9 de la LOPD,
    tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de
    601,01 € (seiscientos un euros con un céntimo) de conformidad con lo
    establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.



(1. Inscribió el fichero.

2. Reconoció que no tenía documento de seguridad ni medidas pero después
     lo elaboró y aportó.

Aplicación at. 45.5 y 45.4 LOPD)
4.1.3 Procedimiento Nº PS/00074/2005

                                    HECHOS
TIPOLOGÍA: Ejemplo de envío de publicidad por email. Aplica LSSI

RESOLUCIÓN: R/00882/2005
-   Se solicita presupuesto al despacho y no se acepta.

-   Para ello entrega una tarjeta en la que constan sus datos y sus email.

-   Posteriormente esa persona y otras 2670 recibieron sendos correos con
    publicidad del despacho (en este caso de un Máster)

-   En el email no ofrecía la posibilidad de oponerse.
RESUELVE
IMPONER a la entidad CREMADES & CALVO-SOTELO ABOGADOS, S.L.
   Una sanción por infracción del art. 21.1. LSSI tipificada como
   grave en el art. 38.3.c de la citada norma, de 30.001 euros.
4.1.4 Procedimiento Nº PS/00443/2010

                                HECHOS
TIPOLOGÍA: Exposición por parte del administrador de una comunidad de
    propietarios de una sentencia. Sanción a comunidad denunciada. Art. 10
    LOPD
RESOLUCIÓN: R/02558/2010
Exposición por parte del administrador de una sentencia que se siguió por
    parte de la comunidad de propietarios contra un vecino en el tablón de
    la comunidad.
RESUELVE
IMPONER a la COMUNIDAD DE PROPIETARIOS EDIFICIO HIGUERA A, de
    c/(C/..................), en Torrevieja, Alicante, por una infracción del artículo 10
    de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma,
    una multa de 601,01 €, de conformidad con lo establecido en el artículo
    45.1 y 4 de la citada Ley Orgánica.
4.1.5 Procedimiento Nº PS/00229/2009

                                 HECHOS
TIPOLOGÍA: Información dejada por el administrador en buzones, referida a
    un vecino. Sanción a administrador no a comunidad. Art. 10 LOPD

RESOLUCIÓN: R/02558/2010

El administrador dejó en los buzones información relativa a sentencias que se
     habían dictado en relación con litigios con un vecino derivados de
     desórdenes producidos en la celebración de reuniones de la comunidad.
RESUELVE
IMPONER a GARCÍA & DELMASTRO SERVICIOS S.L, por una infracción del artículo
    10 de la LOPD, tipificada como grave en el artículo 44.3.g) de dicha
    norma, una multa de 1.000 €, de conformidad con lo establecido en el
    artículo 45.2 y 4 de la citada Ley Orgánica.
4.1.6 Procedimiento Nº PS 00517/2010
                                 HECHOS
TIPOLOGÍA: Datos en contenedor de residuos orgánicos

RESOLUCIÓN: R/00434/2011

Con fecha de … tiene entrada en esta Agencia un escrito de Ajuntament de
   Premia de Mar (en lo sucesivo el denunciante), en el que declara que la
   Policía Local de la localidad, a requerimiento de un ciudadano, ha
   localizado diversa documentación con datos personales en la Calle Jacinto
   Verdaguer esquina con la Calle la Placa.

Esta documentación estaba en el interior de un contenedor de residuos
    orgánicos y corresponde a la Gestoría Agustín Pla y Margarit.
RESUELVE

IMPONER a la entidad GESTORIA AGUSTI PLA I MARGARIT, por una infracción del
    artículo por una infracción del artículo 9 de la LOPD, tipificada como
    grave en el artículo 44.3.h de dicha norma, una multa de una multa de
    4.000 € (cuatro mil euros) de conformidad con lo establecido en el artículo
    45.3, 4 y 5 de la citada Ley Orgánica.
4.2 RESOLUCIONES ARCHIVO DE ACTUACIONES

4.2.1 Procedimiento Nº E/01312/2007/2007
                                 HECHOS
TIPOLOGÍA: Aportación de documentos en juicio. Posible vulneración del
    deber de secreto (art. 10 LOPD).Presunción de inocencia: no se ha
    determinado quien facilitó las sentencias

•   La denunciante manifiesta que la abogada de su ex marido aportó en un
    juicio de modificación de medidas planteado contra ella por su ex marido dos
    sentencias de juicios previos en los que ni la citada abogada ni su ex marido
    eran parte.

•   Indica que el posible origen de los datos puede deberse a que en los citados
    juicios actuó como procuradora de una de persona la misma actúa a su vez
    como tal en el juicio de modificación de medidas citado.
4.2.2 Procedimiento Nº E/01019/2008
                                           HECHOS
TIPOLOGÍA: Los documentos citados no constituyen un “fichero” (ojo, en papel) + se
    obtuvieron por el denunciado como persona privada (no como abogado) + la
    utilización se realizó al amparo de los derechos fundamentales a la “defensa
Denuncia al administrador de una sociedad de abogados porque dice que proporcionó, sin su
    consentimiento, a su ex mujer su número de teléfono, que conocía al haber sido
    previamente su Letrado.

Asimismo, denuncia que en la vista sobre medidas provisionales previas por Demanda de Divorcio
     la letrada que representaba a la ex-mujer del denunciante, aportó, mostró y divulgó de viva
     voz, información y documentos relativos al denunciante, que reconoció en la vista le fueron
     enviados por el anterior abogado del denunciante.

Los documentos entregados consistían en una copia de la denuncia interpuesta por el
    denunciado contra el denunciante en la Comisaría de y una citación del Juzgado de lo
    Penal para comparecer en el procedimiento Abreviado, correspondiente a un supuesto
    delito de estafa en que el acusado era el denunciante.
4.2.3 Procedimiento Nº E/000493/2007
TIPOLOGÍA: Firma contrato (art. 12 LOPD).

                                           HECHOS
Con fecha … tuvo entrada escrito de D. M.M.M., en el que declara que debido a un desacuerdo
     con los importes facturados por la entidad denunciada ordenó a su banco que procediera
     a devolver el recibo girado en el mes de agosto de 2006. Expone que el 8 de enero de 2007
     recibió carta de un abogado que le requirió el pago, “al cual lógicamente Telefónica ha
     tenido que ceder mis datos personales para este fin, desconociendo en qué condiciones se
     han cedido mis datos a esta tercera persona y si se cumplen las condiciones de cesión que
     previene la LOPD”. El denunciante considera que la comunicación de sus datos por parte de
     Telefónica de España SAU a la entidad Gigirey Abogados SL, constituye una infracción de los
     artículos 10 y 11 de la Ley Orgánica 15/1999.

… ha quedado acreditado que la denunciada suscribió un contrato de gestión de cobro con el
    bufete Gigirey Abogados S.L y, anexo a aquél, un acuerdo de confidencialidad y
    tratamiento de datos que reúne todos los requisitos exigidos en el apartado 2 del artículo 12
    de la LOPD.
@eduardchaveli

http://www.linkedin.com/in/eduardchavelI

e.chaveli@gesconsultor.com

Más contenido relacionado

La actualidad más candente

Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopddosn
 
Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)nuriaribas
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPDruthherrero
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterasociacionadia
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personalAGM Abogados
 
José Ramón Cortiñas Jurado 1.3.pptx
José Ramón Cortiñas Jurado 1.3.pptxJosé Ramón Cortiñas Jurado 1.3.pptx
José Ramón Cortiñas Jurado 1.3.pptxjoseliramon
 
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.Imadeinnova
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDRamiro Cid
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEBehargintza Sestao
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Alvaro J. Thais Rodríguez
 
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...NUGAR PMO
 
Resumen LOPD 15/1999
Resumen LOPD 15/1999Resumen LOPD 15/1999
Resumen LOPD 15/1999angelbgcc
 
Ley de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de tercerosLey de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de terceroscapacitacionpkfqueretaro
 
Ley Organica de Proteccion de Datos
Ley Organica de Proteccion de DatosLey Organica de Proteccion de Datos
Ley Organica de Proteccion de Datosguest95d2d1
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalIsabel Barles Brun
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en InternetCarlos Verano
 
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Alvaro J. Thais Rodríguez
 
Ley de protección de datos personales
Ley de protección de datos personalesLey de protección de datos personales
Ley de protección de datos personalesJohn Garmac
 

La actualidad más candente (20)

Guia implantacion de lopd
Guia implantacion de lopdGuia implantacion de lopd
Guia implantacion de lopd
 
Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)Ley Orgánica de Protección de Datos (LOPD)
Ley Orgánica de Protección de Datos (LOPD)
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPD
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
 
José Ramón Cortiñas Jurado 1.3.pptx
José Ramón Cortiñas Jurado 1.3.pptxJosé Ramón Cortiñas Jurado 1.3.pptx
José Ramón Cortiñas Jurado 1.3.pptx
 
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPD
 
Ley Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPDLey Orgánica de Protección de datos - LOPD
Ley Orgánica de Protección de datos - LOPD
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
 
El comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICEEl comercio minorista, la LOPD y la LSSICE
El comercio minorista, la LOPD y la LSSICE
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
 
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
LOPD, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de car...
 
Resumen LOPD 15/1999
Resumen LOPD 15/1999Resumen LOPD 15/1999
Resumen LOPD 15/1999
 
Ley de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de tercerosLey de protección de datos personales en propiedad de terceros
Ley de protección de datos personales en propiedad de terceros
 
Ley Organica de Proteccion de Datos
Ley Organica de Proteccion de DatosLey Organica de Proteccion de Datos
Ley Organica de Proteccion de Datos
 
Ud 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personalUd 1.2 principios de la proteccion de datos de caracter personal
Ud 1.2 principios de la proteccion de datos de caracter personal
 
Protección de Datos Personales en Internet
Protección de Datos Personales en InternetProtección de Datos Personales en Internet
Protección de Datos Personales en Internet
 
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
 
Ley de protección de datos personales
Ley de protección de datos personalesLey de protección de datos personales
Ley de protección de datos personales
 

Destacado

Infográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdInfográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdformulalopd
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piquerascepgranada
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosmipasquau
 
Programación cultural Mayo-Junio-Julio en Santa Lucía
Programación cultural Mayo-Junio-Julio en Santa LucíaProgramación cultural Mayo-Junio-Julio en Santa Lucía
Programación cultural Mayo-Junio-Julio en Santa LucíaEmprende Santa Lucía
 
Gorrion Rojo Collar,Zonotrichia capecis
Gorrion Rojo Collar,Zonotrichia capecisGorrion Rojo Collar,Zonotrichia capecis
Gorrion Rojo Collar,Zonotrichia capeciswilfrido-lanchimba
 
Infografico lssi-ley-de-cookies
Infografico lssi-ley-de-cookiesInfografico lssi-ley-de-cookies
Infografico lssi-ley-de-cookiesformulalopd
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datosezegn
 
Mecanismo de contro coco.
Mecanismo de contro coco.Mecanismo de contro coco.
Mecanismo de contro coco.Piipe Cruz
 
Seminario evaluacion personas
Seminario evaluacion personasSeminario evaluacion personas
Seminario evaluacion personasYanis Ramos
 
Protección de Datos Personales
Protección de Datos PersonalesProtección de Datos Personales
Protección de Datos Personalesladyna30
 
Cómo afecta la LOPD a las empresas y adaptarse a ella
Cómo afecta la LOPD a las empresas y adaptarse a ellaCómo afecta la LOPD a las empresas y adaptarse a ella
Cómo afecta la LOPD a las empresas y adaptarse a ellaConversia
 
Proteccion de datos personales
Proteccion de datos personalesProteccion de datos personales
Proteccion de datos personalesyellyyellyyelly
 
Objetivo general del curso
Objetivo general del cursoObjetivo general del curso
Objetivo general del cursojazminorsenigo
 
Jornada Ley de Proteccion de Datos (LOPD)
Jornada Ley de Proteccion de Datos (LOPD)Jornada Ley de Proteccion de Datos (LOPD)
Jornada Ley de Proteccion de Datos (LOPD)SATI pyme
 

Destacado (17)

Infográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopdInfográfico cómo cumplir la lopd
Infográfico cómo cumplir la lopd
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piqueras
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Curso de LOPD
Curso de LOPDCurso de LOPD
Curso de LOPD
 
Programación cultural Mayo-Junio-Julio en Santa Lucía
Programación cultural Mayo-Junio-Julio en Santa LucíaProgramación cultural Mayo-Junio-Julio en Santa Lucía
Programación cultural Mayo-Junio-Julio en Santa Lucía
 
Gorrion Rojo Collar,Zonotrichia capecis
Gorrion Rojo Collar,Zonotrichia capecisGorrion Rojo Collar,Zonotrichia capecis
Gorrion Rojo Collar,Zonotrichia capecis
 
Infografico lssi-ley-de-cookies
Infografico lssi-ley-de-cookiesInfografico lssi-ley-de-cookies
Infografico lssi-ley-de-cookies
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datos
 
ley 1581 del 2012
ley 1581 del 2012ley 1581 del 2012
ley 1581 del 2012
 
Mecanismo de contro coco.
Mecanismo de contro coco.Mecanismo de contro coco.
Mecanismo de contro coco.
 
Seminario evaluacion personas
Seminario evaluacion personasSeminario evaluacion personas
Seminario evaluacion personas
 
Protección de Datos Personales
Protección de Datos PersonalesProtección de Datos Personales
Protección de Datos Personales
 
Cómo afecta la LOPD a las empresas y adaptarse a ella
Cómo afecta la LOPD a las empresas y adaptarse a ellaCómo afecta la LOPD a las empresas y adaptarse a ella
Cómo afecta la LOPD a las empresas y adaptarse a ella
 
Proteccion de datos personales
Proteccion de datos personalesProteccion de datos personales
Proteccion de datos personales
 
Objetivo general del curso
Objetivo general del cursoObjetivo general del curso
Objetivo general del curso
 
Jornada Ley de Proteccion de Datos (LOPD)
Jornada Ley de Proteccion de Datos (LOPD)Jornada Ley de Proteccion de Datos (LOPD)
Jornada Ley de Proteccion de Datos (LOPD)
 

Similar a Protección de datos

Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Emisor Digital
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASGinecólogos Privados Ginep
 
Asesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesAsesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesJuan Pedro Peña Piñón
 
Protección de datos en colegios y centros de enseñanza
Protección de datos en colegios y centros de enseñanzaProtección de datos en colegios y centros de enseñanza
Protección de datos en colegios y centros de enseñanzaLEGITEC
 
Protección de datos redes sociales metodología
Protección de datos redes sociales metodologíaProtección de datos redes sociales metodología
Protección de datos redes sociales metodologíaLuisAlbertoRaveloLob
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterJavier Peña Alonso
 
Guía Protección de Datos y Administración Local
Guía Protección de Datos y Administración LocalGuía Protección de Datos y Administración Local
Guía Protección de Datos y Administración LocalAlfredo Vela Zancada
 
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociALProtección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociALEUROsociAL II
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterPROFESIONALWEB
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionKeinerDuvanMirandaPi
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personalesBetoMassa
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personalesBetoMassa
 
LOPDP Alcance ley de datos en aplicación
LOPDP Alcance ley de datos en aplicaciónLOPDP Alcance ley de datos en aplicación
LOPDP Alcance ley de datos en aplicaciónADRIANABUSTAMANTEVEL
 
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...EncarnacinMuozGarca
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 

Similar a Protección de datos (20)

Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
 
Asesoría en Protección de Datos Personales
Asesoría en Protección de Datos PersonalesAsesoría en Protección de Datos Personales
Asesoría en Protección de Datos Personales
 
Protección de datos en colegios y centros de enseñanza
Protección de datos en colegios y centros de enseñanzaProtección de datos en colegios y centros de enseñanza
Protección de datos en colegios y centros de enseñanza
 
Protección de datos redes sociales metodología
Protección de datos redes sociales metodologíaProtección de datos redes sociales metodología
Protección de datos redes sociales metodología
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
1.3 proteccion de_datos
1.3 proteccion de_datos1.3 proteccion de_datos
1.3 proteccion de_datos
 
Guía Protección de Datos y Administración Local
Guía Protección de Datos y Administración LocalGuía Protección de Datos y Administración Local
Guía Protección de Datos y Administración Local
 
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociALProtección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
Protección de Datos El Salvador / FIIAPP, IAIP, CEDDET, EUROsociAL
 
LOPD
LOPDLOPD
LOPD
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacion
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
LOPDP Alcance ley de datos en aplicación
LOPDP Alcance ley de datos en aplicaciónLOPDP Alcance ley de datos en aplicación
LOPDP Alcance ley de datos en aplicación
 
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...
Encarnación Muñoz García 1.3. Una pechakucha sobre temas delicados. Ley Orgán...
 
Lopd
LopdLopd
Lopd
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
 

Protección de datos

  • 1. JORNADA SOBRE PROTECCION DE DATOS DE CARÁCTER PERSONAL (ICAV) @eduardchaveli http://www.linkedin.com/in/eduardchavelI e.chaveli@gesconsultor.com © 2012. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.
  • 2. CURRICULUM REPRESENTACIÓNSUMIDO EDUARD CHAVELI • Socio Director de AUDEDATOS • Licenciado en Derecho por la Universitat de Valencia 1990/95 • D.E.A. (Diploma de Estudios avanzados de doctorado en Derecho Procesal en la Universidad de Valencia) • Abogado en ejercicio desde 1995. • Profesor Asociado del departamento de Derecho Procesal de la Universitat de Valencia • Máster en Derecho Informático (Máster en Derecho y las Transmisiones Electrónicas). • Presidente de la Sección de Derecho Informático del Ilustre Colegio de Abogados de Valencia.- • Vicepresidente de la Asociación Española de Privacidad (APEP)▫ • Profesor de la Agencia Catalana de Protección de Datos.▫ Profesor de la oferta formativa del Consejo General del Poder Judicial▫ Profesor de la oferta formativa de la Diputación de Valencia.▫ • Coordinador y profesor de diferentes Másters Profesor de Derecho de las Nuevas Tecnologías de la Escuela de Práctica Jurídica del Ilustre Colegio de Abogados de Valencia. • Ha impartido numerosas conferencias, cursos y seminarios sobre aspectos técnicos y organizativos de la Ley Orgánica de Protección de Datos de carácter personal, el Reglamento de Medidas de Seguridad y el Reglamento de Desarrollo de la LOPD. • Dispone de numerosas publicaciones en la materia. • Amplia experiencia en la adaptación y auditoría de seguridad en organizaciones en los sectores público y privado desde el año 2000.
  • 3. INDICE 1. INTRODUCCIÓN: ORIGEN, MARCO LEGAL Y CONCEPTOS 2. EL A,E,I,O,U, DE LA LOPD 3.PRINCIPALES INFORMES DE LA AEPD SOBRE ABOGADOS 4. RESOLUCIONES DE LA AEPD SOBRE ABOGADOS 4.1 RESOLUCIONES SANCIONADORAS 4.2 RESOLUCIONES ARCHIVO DE ACTUACIONES
  • 4. NOTA ACLARATORIA Estos materiales sirven como base para la exposición en una charla en el Ilustre Colegio de Abogados de Valencia de las obligaciones básicas que - en la materia – tienen los abogados. No obstante y aunque se simplifican las obligaciones haciendo referencia a las “principales”, ello no significa que estas sean las únicas. Asimismo se ponen ciertos ejemplos de sanciones y archivo de expedientes a abogados o que están relacionados. Estas resoluciones sólo son ejemplificativas y además algunas de ellas pueden modificarse en vía judicial.
  • 5. 1. INTRODUCCIÓN 1.1 ORIGEN Artículo 18 C.E. “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” Desarrollo constitucional: STC 290/2000, 292/2000 etc… La habitual confusión entre Derecho a la protección de datos y: • Derecho a la intimidad • Secreto profesional
  • 6. 1.2 MARCO LEGAL BÁSICO. - Artículo 18.4 de la Constitución Española. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. - Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal [LOPD] - Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal [RDLOPD] Entró en vigor el 19 de abril de 2008 - No obstante hay más normas, algunas de ellas sectoriales. - Todas ellas se pueden consultar en la web de la AEPD: www.agpd.es
  • 7. 1.3.CONCEPTOS BÁSICOS Dato de Carácter personal TIPO DE CONCERNIENTE A PERSONA SUSCEPTIBLE DE INFORMACIÓN FÍSICA O NATURAL TRATAMIENTO • Numérica. • Características • Soporte físico • DNI, • Físicas, • Automatizados • Matrícula de • Psíquicas • No vehículo. • Fisiológicas Automatizados • Alfabética. • Económicas • Nombre y apellidos. • Culturales • Fotográfica. • Sociales • Imágenes captadas por cámaras o vídeo, QUE PERMITAN DIRECTA O INDIRECTAMENTE • Cámaras de vídeo IDENTIFICAR A LA PERSONA. vigilancia. • Acústica. SIN EMPLEAR MEDIOS O PLAZOS • Voz humana. DESPROPORCIONADOS
  • 8. ¿QUIÉN ES QUIÉN? Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento: CLIENTES, CONTRAPARTE, OTROS ABOGADOS, PERITOS, TESTIGOS, FUNCIONARIOS, AUTORIADES ETC… Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente… ABOGADO. PREGUNTA FRECUENTE: ¿QUIÉN ES EL RESPONSABLE? - Si es un abogado sólo (autónomo): El mismo. - Si es una sociedad: La sociedad. No es el administrador - Si es una comunidad de bienes: La Comunidad de bienes. “Una regla “habitual”: el responsable es quien factura al cliente”
  • 9. Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. PROVEEDORES PREGUNTA FRECUENTE: Pero un abogado tiene terceros que tratan datos de los que es responsable y a su vez él trata datos de terceros ¿cómo puede ser? El abogado/asesor: - Por un lado es Responsable de sus ficheros - Por otro lado puede ser Encargado del tratamiento de ficheros de otros cuando para prestarles servicios acceda a sus datos.
  • 10. Usuario: sujeto autorizado para acceder a datos o recursos (cualquier parte componente de un sistema de información). Normalmente aquellas personas que tratan los datos. Habitualmente empleados del despacho. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. En un despacho grande puede ser alguien especializado pero en uno pequeño normalmente alguien que asuma esta tarea como una mas.
  • 11. 2. EL A, E, I, O ,U DE LA LOPD Aspectos Jurídicos 2.1 VISIÓN GENERAL a. Inscripción de ficheros en a AEPD e. Deber de información del interesado y legitimación para el tratamiento de datos (obtención del consentimiento o excepciones) i. Formalización de contratos de acceso a datos por cuenta de terceros y contratos de prestación de servicios sin acceso a datos por terceros. o. Medidas de seguridad de carácter técnico y organizativo (especial referencia al documento de seguridad). u. Formación: usuarios y responsables de seguridad.
  • 12. a) INSCRIPCIÓN DE FICHEROS (modificación y cancelación) I. ¿Qué es? Se trata de la obligación que tiene el Responsable de inscribir sus ficheros en el RGPD de la AEPD. ii. ¿Cómo se hace? (modificación y cancelación) Con el programa NOTA https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notifi caciones_tele/obtencion_formulario/index-ides-idphp.php o con cualquier otra aplicación que lo permita iii. ¿Dónde se consultan los ficheros? https://www.agpd.es/portalwebAGPD/ficheros_inscritos/index-ides-idphp.php
  • 13. PREGUNTA FRECUENTE: Entonces ¿tengo que comunicar a la Agencia los datos de mis clientes? No. Lo que se inscribe en el Registro no son datos personales concretos sino la estructura. Por ejemplo no se comunica que tengo un cliente que se llama Juan Pérez García, que vive en tal domicilio, cuyo teléfono es el 22222222 y que …. sino que de mis clientes trato su nombre y apellidos, su domicilio, su teléfono, PREGUNTA FRECUENTE: ¿Qué ficheros tiene que inscribir un abogado? Los ficheros normales son: - Expedientes o asuntos (incluye tanto datos de expedientes judiciales como extrajudiciales y no sólo datos de clientes sino de otras personas cuyos datos figuran en el procedimiento). - Datos de contacto - Empleados (si se tienen empleados). - Curriculums (si se almacenan). - Proveedores (si no se tiene solo los datos exceptuados de aplicación por art. 2.2. RD 1720/2007). - Videovigilancia (si se graban imágenes). • NOTA: No obstante se pueden inscribir con diferente “granulación” y con diferentes nombres
  • 14. (e). EL DEBER DE INFORMACIÓN Y LA LEGITIMACIÓN EN LA RECOGIDA DE DATOS (artículos 5,6,7 y 11 LOPD) DEBER DE INFORMACIÓN ¿Qué es? Nace de un derecho del interesado a ser informado sobre dónde irán los datos aportados, para qué serán utilizados, a quienes se cederán … Es una obligación o deber para el Responsable del Fichero [Abogado]. Por tanto en cualesquiera recogida de datos efectuada, mediante formularios o cuestionarios, en papel y/o electrónicos, debiera proporcionarse al interesado la información preceptiva = CLAUSULAS
  • 15. ¿Cuál es la información que debe proporcionarse al interesado ? De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del Responsable del Tratamiento.
  • 16. Praxis cumplimiento del deber de información. Artículo 5.2 LOPD << Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias antes mencionadas >> Se deberán redactar cláusulas informativas a introducir con el fin de cumplir con este derecho, en diferentes documentos: Ejemplos: FORMULARIOS ELECTRÓNICOS Y/O EN PAPEL. EJ. HOJA DE ENCARGO PROFESIONAL CLÁUSULA EN MINUTAS (para clientes anteriores)  ADENDA EN CONTRATOS DE EMPLEADOS.  CLÁUSULA PARA PROCESO DE SELECCIÓN DE PERSONAL (Curriculum) DEBER DE INFORMACIÓN EN RELACIÓN CON LA VIDEO VIGILANCIA CLÁUSULA PARA EL CORREO ELECTRÓNICO  CLÁUSULA PARA LA PORTADA DEL FAX
  • 17. (e ) LEGITIMACIÓN PARA TRATAR LOS DATOS (Art. 6 LOPD y 10 y ss. RDLOPD) Regla general: Necesario el consentimiento Excepciones: • a. No es necesario el consentimiento: - Recogidos para el ejercicio de las funciones propias de Administración; - Cuando se trata de una relación negocial, laboral o administrativa y necesarios para su cumplimiento o mantenimiento; - Salvaguarda de intereses vitales del interesado; - Fuentes accesibles al público. • b. Consentimiento expreso: Raza, salud o vida sexual. • c. Consentimiento expreso y por escrito: Ideología, afiliación sindical, religión o creencias.
  • 18. (e ) LEGITIMACIÓN PARA LA CESIÓN (Art. 11 LOPD y 10 y ss. RDLOPD) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado (articulo 3 LOPD y 5 RDLOPD) Regla general: Es necesario el consentimiento del interesado. Excepciones: Hay una serie de excepciones (art. 11.2. LOPD). Ej. Cuando la cesión esté autorizada por Ley, Cuando se trate de una jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, cuando tenga por destinatarios a jueces, ministerio fiscal etc…
  • 19. ¿Qué ocurre con los menores? (artículo 13 RDLOPD) • Si < 14: Necesario el consentimiento de los padres. • Si > 14: Consentimiento del menor. MATICES: 1. No se puede pedir a menor datos sobre demás miembros de su familia si no existe el consentimiento de éstos. 2. La información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos. 3. Articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.
  • 20. (i). RELACIÓN CON TERCEROS CONTRATOS DE ACCESO A DATOS POR CUENTA DE TERCEROS. Encargado de Tratamiento = La persona física o jurídica, autoridad pública servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Ficción legal = Estos supuestos no se consideran “cesión o comunicación de datos” y, por tanto, no se rigen por las reglas del consentimiento antes citadas sobre comunicaciones de datos. ¡¡ Cualquier supuesto en el que un tercero [empresa o profesional] para prestar un servicio, remunerado o no, eventual o indefinido, acceda a datos personales de los ficheros en papel o informático titularidad del Responsable del fichero !!
  • 21. Praxis formalización contratos de acceso a datos por cuenta de terceros a) Firma del Contrato En estos supuestos, norma obliga a que se firme un contrato entre el Responsable de Fichero o Tratamiento y el Encargado de Tratamiento [Tercero, prestador del servicio]. No obstante, para la formalización, puede optarse por las siguientes alternativas:  Contrato ad hoc, de acceso a datos por terceros.  Inclusión de una cláusula o estipulación en el contrato de prestación de servicios, que recoja los extremos preceptivos.  O se incluya en un anexo [adenda] al citado contrato de prestación de servicios.
  • 22. b) Control y observancia de cumplimiento de la obligación A estos efectos, es necesario que: * Identifique los supuestos en los que la ejecución del servicio, puede comportar un acceso y/o tratamiento de datos personales, obrantes en los ficheros informáticos y/o en papel. * En caso afirmativo, comprobar si el contrato de prestación de servicios que presenta a firma el tercero, incluye una cláusula o estipulación que se recoja en los términos, esto es, disponga del contenido legal que a continuación se expone.
  • 23. c) Contenido del contrato Sujeción al Responsable de Fichero = Se deberá establecer “que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable Finalidad y Uso del acceso o tratamiento = También se hará constar “que (el encargado) no los aplicará o utilizará con un fin distinto al que figure en dicho contrato”. Cesión o comunicación de datos = Asimismo hay que hacer constar que el encargado “no los comunicará, ni siquiera para su conservación, a otras personas”. Adopción de medidas de seguridad = De igual forma el precepto obliga a que “en el contrato se estipulen las medidas de seguridad exigidas por esta normativa que el encargado del tratamiento está obligado a implementar”. Deber de devolución y/o destrucción = “una vez cumplida la prestación contractual, los datos de Carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. Responsabilidad = “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.
  • 24. 1. Algunos ejemplos de servicios que habitualmente recibe un abogado como responsable del fichero por parte de terceros que son encargados del tratamiento - Empresas de mantenimiento informático: Software y hardware (Si alguna empresa le mantiene el software o el hardware) - Asesorías y gestoría laborales/contables/fiscales. (Si otra asesoría le lleva su contabilidad, su fiscalidad, sus nóminas etc.. al abogado) - Servicio de copias de seguridad externalizada - Otros que reciba y en los que los proveedores deban tratar datos
  • 25. 2. Algunos ejemplos de servicios que habitualmente presta un abogado (o asesor) como encargado del tratamiento a terceros que son responsables - Asesoramiento laboral/contable/ fiscal. - Cobro de deudas - Reclamaciones a propietarios de comunidades de propietarios (a veces por cuenta del administrador). - Otros servicios que el abogado o asesor preste y que para prestarlos deba tratar datos del responsable
  • 26. (i´´) Prestación de servicios sin acceso a datos (art.83 RDLOPD) ¿Qué es? • El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales. • Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. Praxis Ejemplo: Servicios de limpieza, destrucción de documentos, mantenimiento en general
  • 27. (o) MEDIDAS DE SEGURIDAD ESPECIAL REFERENCIA A LA ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD  El Responsable del Fichero, y, en su caso, el Encargado del Tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.  No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  • 28. Las medidas se dividen en niveles: BÁSICO, MEDIO Y ALTO (según la tipología de datos tratados. (Vid. art. 81 RD 1720/2007). Existen medidas técnicas y organizativas Hay medidas comunes a todos los ficheros y otras específicas: - Para los ficheros automatizados: Ej. Copias de seguridad, Control de acceso lógico (ej. Contraseñas), control de acceso lógico, etc… - Para los ficheros no automatizado: Ej. Armarios cerrados con llave, destructoras de papel etc … Se trata de medidas mínimas Las medidas se recogerán en el denominado Documento de Seguridad. SU contenido mínimo se prevé en el RD 1720/2007. Puedes ver un modelo en: https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/commo n/Guias/modelo_doc_seguridad.pdf
  • 29. (U) FORMACIÓN - DE NADA SIRVE QUE TENGAMOS TODO LO ANTERIOR SI: - LOS USUARIOS no están formados y concienciados en la materia. - LOS RESPONSABLES DE SEGURIDAD no conocen sus funciones y saben como cumplirlas.
  • 30. 3. PRINCIPALES INFORMES DE LA AEPD SOBRE ABOGADOS
  • 31. 3.1 Informe jurídico 2000-0000 Tratamiento-por-abogados-y-procuradores-de-los-datos-de-las-partes-en-un- proceso” OBJETO CONSULTA ¿ Los abogados y procuradores habrán de recabar el consentimiento de sus clientes y de la contraparte de los mismos en procesos en que aquéllos les confieran su representación o defensa?
  • 32. RESUELVE Tratamiento de datos de Clientes: podrá efectuarse el mismo sin consentimiento del afectado, a tenor de lo establecido en el artículo 6.2 de la Ley Orgánica 15/199, que excluye del consentimiento los supuestos en que los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. Tratamiento de datos del oponente de tu cliente: Cuando los datos se refieran a los oponentes de los clientes del abogado o procurador, dado que en ese caso el tratamiento resulta absolutamente imprescindible para la asistencia letrada al cliente (tutela judicial efectiva).
  • 33. Existe una colisión de derechos: 1. Derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución 2. Derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24.2 de la Constitución. “… debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, garantizando a su vez las medidas que evitarán un mayor perjuicio a los afectados (en este caso, los oponentes de los clientes cuyos datos son objeto de tratamiento). Ello se funda en que la comunicación a los afectados de las informaciones de que los abogados o procuradores puedan disponer, procedentes de sus clientes, podrían perjudicar, como ya se indicó, el adecuado ejercicio por el propio interesado de las facultades vinculadas con su derecho a obtener la tutela efectiva de los Jueces y Tribunales (al quedar en conocimiento de la otra parte los datos que pudieran ser aportados a juicio en defensa de su derecho)”
  • 34. 3.2 Informe jurídico 2000-0000 Difusión de datos de sentencias condenatorias por negligencia médica OBJETO CONSULTA ¿Es posible la difusión a través de Internet de datos relativos a sentencias firmes condenatorias por delitos relacionados con negligencia médica (el ejemplo sería extrapolable a otras sentencias)?.
  • 35. RESUELVE • El artículo 3.j) de la LOPD indica que las resoluciones judiciales no pueden ser consideradas como fuente accesible al público, sin perjuicio del principio de publicidad contenido en la Ley Orgánica del Poder Judicial. • Ello no contradice el principio de publicidad de las actuaciones judiciales, consagrado en cuanto a las sentencias por los artículos 205.6, 232 y 266 de la Ley Orgánica del Poder Judicial, al que ya hicimos referencia. • La publicidad a la que se refieren dichos preceptos tiene por objeto asegurar el pleno desenvolvimiento del derecho de las partes a obtener la tutela efectiva de los jueces y Tribunales en el ejercicio de sus derechos, sin que en ningún modo pueda producírseles indefensión, consagrado por el artículo 24.1 de la Constitución.
  • 36. La colisión entre la publicidad de las sentencias y el derecho a la intimidad de las personas ya ha sido, por otra parte, analizado por el Consejo General del Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo artículo 5 bis del Reglamento, que "en el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar". • En consecuencia, el tratamiento de los datos contenidos en las sentencias condenatorias firmes resulta contrario a las previsiones contenidas en la LOPD, al quedar éste limitado a las Administraciones Públicas, en el ejercicio de las atribuciones que les son conferidas por la Ley, sin que quepa amparar su tratamiento por partes ajenas al proceso en normas cuyo fundamento es precisamente salvaguardar los derechos procesales de quienes son parte en el propio proceso.
  • 37. En cuanto a la difusión de los datos a través de Internet, se recordó que la misma, dado que el contenido de la citada lista podría resultar conocido por cualquier usuario en la citada red, supondría un cesión de datos de carácter personal, respecto de la cual el artículo 11.1 de la Ley Orgánica prevé, con absoluta rotundidad que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado". • Esta regla sólo se ve exceptuada en los supuestos contemplados en el apartado segundo del propio artículo 11, ninguno de los cuales daría cobertura a la publicación pretendida, dado que el único que podría resultar de dudosa aplicación al caso es el contenido en la letra b) del artículo 11.2 ("cuando se trate de datos recogidos de fuentes accesibles al público") y, como se ha dicho, los datos no se encuentran, en este caso, recogidos en fuentes accesibles al público.
  • 38. 4. PRINCIPALES RESOLUCIONES DE LA AEPD SOBRE ABOGADOS
  • 39. 4.1 RESOLUCIONES SANCIONADORAS 4.1.1 Procedimiento Nº PS/00039/2008 HECHOS TIPOLOGÍA: El denunciante había sido cliente y colaborador del despacho. Ejemplo de cliente/ex empleado “cabreado” RESOLUCIÓN: R/00957/2008 - Denuncia que un abogado le llevó diversos asuntos para lo cual le facilitó sus datos y papeles y que: - no le informó sobre el tratamiento informatizado, n ide la posibilidad de ejercer los derechos de acceso, rectificación y cancelación. - manifiesta también que los datos personales de los clientes son incluidos en un fichero automatizado ubicado en un ordenador que carece de contraseña de entrada - y que dicho fichero no se encuentra inscrito en la Agencia.
  • 40. RESUELVE • PRIMERO: IMPONER a D. S.S.S., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. • (… no consta acreditada intencionalidad ni reincidencia … apreciándose una cualificada disminución de la culpabilidad. En consecuencia, teniendo en cuenta la rapidez para corregir la infracción cometida una vez tuvo conocimiento de la misma, y las medidas adoptadas tales como la implantación de un documento de seguridad … en aplicación de lo dispuesto en el trascrito artículo 45.5 de la LOPD) • SEGUNDO: IMPONER a D. S.S.S., por una infracción del artículo 26.1 de la LOPD, Tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica. • (… atendiendo a los criterios de graduación de las sanciones recogidos en el artículo 45.4, y en concreto la ausencia de beneficios y daños a perjuicios, que no se acredita, causados a terceras personas, procede imponer una sanción de 601,01 € por la infracción del artículo 44.2.c) de la LOPD).
  • 41. 4.1.2 Procedimiento Nº PS/00311/2007 HECHOS TIPOLOGÍA: Ejemplo de cliente “cabreado” RESOLUCIÓN: R/00209/2008 Denuncia que un abogado posee en su despacho profesional un fichero automatizado que no ha sido inscrito en el Registro General de Protección de Datos ni cumple las medidas de seguridad.
  • 42. RESUELVE PRIMERO: IMPONER a D. I.I.I., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. (1. Inscribió el fichero. 2. Reconoció que no tenía documento de seguridad ni medidas pero después lo elaboró y aportó. Aplicación at. 45.5 y 45.4 LOPD)
  • 43. 4.1.3 Procedimiento Nº PS/00074/2005 HECHOS TIPOLOGÍA: Ejemplo de envío de publicidad por email. Aplica LSSI RESOLUCIÓN: R/00882/2005 - Se solicita presupuesto al despacho y no se acepta. - Para ello entrega una tarjeta en la que constan sus datos y sus email. - Posteriormente esa persona y otras 2670 recibieron sendos correos con publicidad del despacho (en este caso de un Máster) - En el email no ofrecía la posibilidad de oponerse.
  • 44. RESUELVE IMPONER a la entidad CREMADES & CALVO-SOTELO ABOGADOS, S.L. Una sanción por infracción del art. 21.1. LSSI tipificada como grave en el art. 38.3.c de la citada norma, de 30.001 euros.
  • 45. 4.1.4 Procedimiento Nº PS/00443/2010 HECHOS TIPOLOGÍA: Exposición por parte del administrador de una comunidad de propietarios de una sentencia. Sanción a comunidad denunciada. Art. 10 LOPD RESOLUCIÓN: R/02558/2010 Exposición por parte del administrador de una sentencia que se siguió por parte de la comunidad de propietarios contra un vecino en el tablón de la comunidad.
  • 46. RESUELVE IMPONER a la COMUNIDAD DE PROPIETARIOS EDIFICIO HIGUERA A, de c/(C/..................), en Torrevieja, Alicante, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
  • 47. 4.1.5 Procedimiento Nº PS/00229/2009 HECHOS TIPOLOGÍA: Información dejada por el administrador en buzones, referida a un vecino. Sanción a administrador no a comunidad. Art. 10 LOPD RESOLUCIÓN: R/02558/2010 El administrador dejó en los buzones información relativa a sentencias que se habían dictado en relación con litigios con un vecino derivados de desórdenes producidos en la celebración de reuniones de la comunidad.
  • 48. RESUELVE IMPONER a GARCÍA & DELMASTRO SERVICIOS S.L, por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 1.000 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
  • 49. 4.1.6 Procedimiento Nº PS 00517/2010 HECHOS TIPOLOGÍA: Datos en contenedor de residuos orgánicos RESOLUCIÓN: R/00434/2011 Con fecha de … tiene entrada en esta Agencia un escrito de Ajuntament de Premia de Mar (en lo sucesivo el denunciante), en el que declara que la Policía Local de la localidad, a requerimiento de un ciudadano, ha localizado diversa documentación con datos personales en la Calle Jacinto Verdaguer esquina con la Calle la Placa. Esta documentación estaba en el interior de un contenedor de residuos orgánicos y corresponde a la Gestoría Agustín Pla y Margarit.
  • 50. RESUELVE IMPONER a la entidad GESTORIA AGUSTI PLA I MARGARIT, por una infracción del artículo por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h de dicha norma, una multa de una multa de 4.000 € (cuatro mil euros) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.
  • 51. 4.2 RESOLUCIONES ARCHIVO DE ACTUACIONES 4.2.1 Procedimiento Nº E/01312/2007/2007 HECHOS TIPOLOGÍA: Aportación de documentos en juicio. Posible vulneración del deber de secreto (art. 10 LOPD).Presunción de inocencia: no se ha determinado quien facilitó las sentencias • La denunciante manifiesta que la abogada de su ex marido aportó en un juicio de modificación de medidas planteado contra ella por su ex marido dos sentencias de juicios previos en los que ni la citada abogada ni su ex marido eran parte. • Indica que el posible origen de los datos puede deberse a que en los citados juicios actuó como procuradora de una de persona la misma actúa a su vez como tal en el juicio de modificación de medidas citado.
  • 52. 4.2.2 Procedimiento Nº E/01019/2008 HECHOS TIPOLOGÍA: Los documentos citados no constituyen un “fichero” (ojo, en papel) + se obtuvieron por el denunciado como persona privada (no como abogado) + la utilización se realizó al amparo de los derechos fundamentales a la “defensa Denuncia al administrador de una sociedad de abogados porque dice que proporcionó, sin su consentimiento, a su ex mujer su número de teléfono, que conocía al haber sido previamente su Letrado. Asimismo, denuncia que en la vista sobre medidas provisionales previas por Demanda de Divorcio la letrada que representaba a la ex-mujer del denunciante, aportó, mostró y divulgó de viva voz, información y documentos relativos al denunciante, que reconoció en la vista le fueron enviados por el anterior abogado del denunciante. Los documentos entregados consistían en una copia de la denuncia interpuesta por el denunciado contra el denunciante en la Comisaría de y una citación del Juzgado de lo Penal para comparecer en el procedimiento Abreviado, correspondiente a un supuesto delito de estafa en que el acusado era el denunciante.
  • 53. 4.2.3 Procedimiento Nº E/000493/2007 TIPOLOGÍA: Firma contrato (art. 12 LOPD). HECHOS Con fecha … tuvo entrada escrito de D. M.M.M., en el que declara que debido a un desacuerdo con los importes facturados por la entidad denunciada ordenó a su banco que procediera a devolver el recibo girado en el mes de agosto de 2006. Expone que el 8 de enero de 2007 recibió carta de un abogado que le requirió el pago, “al cual lógicamente Telefónica ha tenido que ceder mis datos personales para este fin, desconociendo en qué condiciones se han cedido mis datos a esta tercera persona y si se cumplen las condiciones de cesión que previene la LOPD”. El denunciante considera que la comunicación de sus datos por parte de Telefónica de España SAU a la entidad Gigirey Abogados SL, constituye una infracción de los artículos 10 y 11 de la Ley Orgánica 15/1999. … ha quedado acreditado que la denunciada suscribió un contrato de gestión de cobro con el bufete Gigirey Abogados S.L y, anexo a aquél, un acuerdo de confidencialidad y tratamiento de datos que reúne todos los requisitos exigidos en el apartado 2 del artículo 12 de la LOPD.