Monogràfic protecció de dades. On està la frontera del legal i il·legal
1. Monogràfic protecció de dades
En qüestió de dades, on és la frontera
entre legal i il·legal
Nina Costas
www.nc-consultors.com
2. PREMISA IMPORTANT
Totes les persones físiques tenen dret a la
protecció de les seves dades de caràcter
personal, perque li afecten i li pertanyen i,
aquest dret li atribueix la facultat de
controlar totes les seves dades.
Nina Costas
www.nc-consultors.com
3. Què hem de preveure en l’activitat professional quan
tractem dades personals dels nostres clients?
1. La Directiva UE i al LOPD ens obliga a implementar les
mesures de seguretat per la protecció de dades i la
informació.
2. S’ha de legalitzar la pàgina web (LOPD i LSSI i política de
COOKIES)
3. Hem de preveure la LOPD en els contractes dels
col·laboradors professionals i els contractes laborals
4. Preveure la “Privacy by design” En els programes i
aplicacions per mòvil
5. Donar garantia als clients en el tractament de les seves
dades personals constitueix un segell de qualitat en
l’activitat empresarial.
Nina Costas
www.nc-consultors.com
4. Aspectes de la normativa de la societat
de la informació (LSSI)
- ús del mail: última sentència on es permet la
vigilància de l’empresa als treballadors i sanció al
treballador amb l’acomiadament per ús inadequat
de les eines de treball. Sala 1ª TC 7/10/2013
- La Prohibició i intervenció del mòvil a
l’escola/treball. Debat que s’ha obert per a sta AN
de 26 de setembre de 2013
- L’enviament de publicitat
• Legalització de les webs: art 10 LSSI i autorització
usuari per ús de les cookies (d’acord amb RDL 13/2012
transposa Directiva Telecomunicacions i societat de la informació)
Nina Costas
www.nc-consultors.com
5. QUÈ PROTEGIM AMB LA LOPD?
• Garantir el Dret a la PRIVACITAT. Què vol dir?
un derecho fundamental a la protección de datos por el que se garantiza a la persona el control
sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito
de los mismos o lesivo para la dignidad y los derechos de los afectados
CE Art 18-Dret fonamental legislat amb Llei Orgànica
LORTAD (sols per fitxer automatitzats i redactat confús i difícil d’interpretar)
(5/1992)
DIRECTIVA 95/46/CEE
i RD 994/1999
i la LOPD 15/1999, de 13 de desembre i el seu Reglament
1720/2007, de 21 de desembre, el qual engloba tots els arxius automatitzats i NO
automatitzats (format paper) i juntament amb el RD aclara els dubtes plantejats.
Nina Costas
www.nc-consultors.com
6. Àmbit d’aplicació de la LOPD
• Ambit objectiu:
• Ambit subjectiu: S’aplica
• S’aplica a les dades de caràcter
personal registrades en suport
físic que les faci susceptibles de
tractament tant en el sector
públic com el privat, EN
TERRITORI ESPANYOL.
Ex: Dades client…
Resolució AEPD R/00216/2005
Cessió no autoritzada de CV entre
Hotels . Multa de 300.000€ H
Papagayo i de 60.000€ H Riu.
a totes les dades personals
• I no s’aplica a:
-Tractaments persones jurídiques
-Fitxers de dades persones jurídiques
que incorporen dades persones
Físiques
- Persones difuntes
- Base de dades domèstiques
Nina Costas
www.nc-consultors.com
7. Definicions:
DADA DE CARÀCTER PERSONAL
Qualsevol informació (numèrica,
alfabètica, gràfica, fotogràfica, acústica, o
qualsevol altre tipus) relativa a persones
físiques identificadas o identificables.
Resolució: fitxer sols amb tel mòvils
FITXER: conjunt organitzat de dades
personals qualsevol que sigui la forma o
modalitat de la seva creació,
emmagatzematge, organització o
accés.
Qualsevol que vulgui crear un FITXER ho
ha de notificar a l’AEPD
Concepte de FITXER a STA TS PARTIDES
DE BAPTISME- 2008
DADES ESPECIALMENT PROTEGIDES:
• Dades que fan conèixer ideologia,
afiliació sindical, religió i creences,
origen racial, salud i vida sexual.
• Sempre s’han de recollir amb
consentiment exprés i per escrit i les
mesures de seguretat estrictes per la
seva conservació
Exemples de dades
Nina Costas
www.nc-consultors.com
9. Definicions
TRACTAMENT DE DADES PERSONALS
Operacions i procediments tècnics
de caràcter automatitzat o no, que
permeten la recollida,
enregistrament, conservació,
elaboració, modificació, bloqueig i
cancel·lació, així com la cessió de les
dades que resultin de
comunicacions, consultes,
interconexions i transferències.
CONSENTIMENT: Manifestació de
voluntat, lliure, inequívoca, específica i
Informada on l’interessat consenteix el
tractament de dades personals que li
afecten.
Característiques del consentiment:
• Necessari pel tractament i cessió de
dades de l’afectat (hi ha excepcions)
• Ha de ser previ i informat: finalitat…..
• Si és per cessió de dades: conèixer de
forma inequívoca la finalitat i activitat del
cessionari
RESPONSABLE DEL FITXER O
TRACTAMENT: Persona física o jurídica,
pública o privada o organisme públic,
que decideix sobre la seva finalitat,
contingut i ús del tractament de les
dades personals.
El Resp del tractament: se li imputa
decisions sobre un determinat
tractament (una aplicació)
Nina Costas
www.nc-consultors.com
10. Definicions
ENCARREGAT DEL TRACTAMENT:
Persona física o jurídica que sola o
conjuntament amb altres, tracta dades
personals per compte del RF.
Accedeix a les dades personals del RF
per prestar al servei.
Obligació de formalitzar contracte d’
acord amb l’article 12 LOPD
Informe AEPD 34/2006 Relació RF vs EF
S’admet la figura del subencarregat del
Tractament en 2 casos:
1.- Estigui autoritzat per RF i autoritzi l’empresa
subencarregada
2.- Sense autorització quan: el contracte pevegi la
subcontractació, el tractament s’ha de fer amb
les instruccions del RF i el ET i l’empresa
subonctractada han de formalitzar ctre art 12
LOPD
Persona física ex dret cancel·lació, Gaezen SL no
Contesta+tutela efectiva+reiterada publicitat de
Gaezen i empreses subcontractades , via mail via
postal
CESIÓN O COMUNICACIÓN DE DATOS:
Tota revelació de dades realitzada a
persona diferent de l’interessat.
Aquest revelació implica que s’estableixi
un nou vincle entre qui accedeix a les
dades i l’afectat.
Requereix el consentiment previ i
informat de l’interessat.
Excepcions: Art 11.2 LOPD (per llei,
Dades fonts accés públic, ctres,
Admó de justícia…)
Ex: R/03127/2012 AEPD (col·legi de metges
Cedeix dades de l’afectada a l’asseguradora
sense el seu Consetiment. Sanció 10.000€)
R/02116/2010 AEPD: (enviament de fax amb
dades nivell alt, no encritpat ni consentit
per la Pacient. Sanció 3.000€)
Sta. 2006-enviament publicitat 60.001€
Nina Costas
www.nc-consultors.com
11. Exemples
Casos pràctics:
1.Ha d’haver document d’autorització de
tractament de dades entre advocat i la
Clienta per un tema de divorci?
2. Empresa A dissenyadora desenvolupa
una plataforma per allotjament de
continguts. El desenvolupament ha estat
fet amb una altre empresa (B).
L’explotació i gestió de la plataforma sols la
farà A. Han de signar una contracte de
cessió de dades entre A i B? I A signarà ctre
cessió dades amb clients que allotgin dades
a la plataforma tot i que A sols dóna servei
de “hosting”?
• 3. Els alumnes d’una Universitat
privada es troben que al
començar el curs se’ls hi dona un
nou carnet digital d’estudiant
amb el seu nom amb i els logos
VISA i una entitat finançera.
Encara que la targeta no funciona
com a targeta de crèdit si no es
sol·licita per l’interessat i encara
que no han rebut ninguna
comunicació ni de VISA ni de
l’entitat finançera, els alumnes els
hi preocupa que puguin perdre el
control de les seves dades.
• Podia la Universitat cedir les
dades a l’entitat finançera? És
cessió de dades o encàrrec de
tractament?
Nina Costas
www.nc-consultors.com
12. Definicions
FONTS ACCESSIBLES AL PÚBLIC:
Son els fitxers que poden ser consultats
per qualsevol persona. Sols poden ser:
Cens Promocional
Repertoris telefònics
Llistes de persones que pertanyen a
grups Professionals (col·legiats)
Diaris i butlletins oficials
Mitjans de comunicació: premsa
Què són les llistes Robinson?
https://www.listarobinson.es
Qualsevol persona de forma gratuïta
pot demanar fromar part de la llista
Robinson.
Alerta en la compra de base de
dades a les empreses: fonts d’accés
públic, autorització, llista Robinson!!!
Important! quan fem mailings
massius i ….no tant massius hem
de consultar les fonts accés
Públic i llistes Robinson.
Nina Costas
www.nc-consultors.com
13. LES AUTORITATS DE CONTROL
LA AEPD:FUNCIONS
• Ens dret públic amb
personaliat jurídica pròpia i
plena capacitat pública i
privada, actua amb plena
independència de les
Administracions públiques.
• Objecte: Garantir el
cumpliment i l’aplicació de les
mesures contingudes a la
LOPD.
• Es pot tramitar a través de la
AEPD: tutela de drets,
inscripció arxius, potestat
sancionadora, tranferències
int, inscripció codis tipus.
AUTORITAT CATALANA DE PROTECCIÓ
DE DADES
•
•
Solament és per fitxers públics de
l’administració autonòmica.
S’ha d’incsriure el fitxer per mitjà de
disposició general o acord publicat al
DOGC
www.agpd.es
www.apd.cat
14. ASPECTES FONAMENTALS A TENIR
EN COMPTE QUAN PARLEM DE PROTECCIÓ DE
DADES
• Qui és el Responsable? El Responsable d’un
fitxer és l’organ administratiu, entitat, o persona que
decideix sobre la finalitat, el contingut i l’ús del tractament de les
dades.
• Exemples: una empresa serà resp del fitxer de dades dels seus empleats i
clients, un autònom o empresari individual serà respo de les dades dels clients,
un hotel dels seus hospedats, un gimnàs del fitxer dels seus socis, un centre
educatiu serà respo del fitxer dels seus alumnes, l’ajuntament del fitxer del padró
dels seus ciutadans, etc
OBLIGACIONS DEL RESPONSABLE: Respondrà davant l’oficina de
qualsevol reclamació o sanció i davant dels clients o empletas per qualsevol
queixa, o situació conflictiva que que pugui donar.
Nina Costas
www.nc-consultors.com
15. Responsabilitats del RF
-Notificar els fitxers a la AEPD perque siguin incrits
-Assegurar-se de que les dades siguin adequades i certes i, s’hagin obtingut de forma
lícita i legítima.
- Que les dades es tractin de forma proporcional a la finalitat per la qual es van
recollir.
-Garantir el compliment del deure de secret i seguretat.
- Informar als titulars de les dades personals en la recollida d’aquestes.
- Obtenir el consentiment pel tractament de les dades personals.
-Facilitar i garantir l’exercici dels drets d’oposició al tractament, accés, rectificació i
cancel·lació.
- Si hi ha legislació sectorial aplicar-la i complir-la (per ex: sanitat, ensenyament,..)
- Assegurar que amb els tercers que li presten serveis i accedeixin a les seves dades
es compleixi el que disposa a la LOPD, es a dir:
SIGNAR CONTRACTE ART 12.2
ASSEGURAR-TE QUE EL TERCER COMPLEIX AMB LA LOPD
RECORDAR QUE RF I ENCARREGAT DEL TRACTAMENT PODEN SER
SANCIONATS
Nina Costas
www.nc-consultors.com
16. Qui és l’encarregat del tractament? Per què és
tant important aquesta figura?
El encargado del tratamiento es la persona física o jurídica, pública o privada,
u órgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del responsable del fichero, como
consecuencia de la existencia de una relación jurídica que le vincula con el
mismo y delimita el ámbito de su actuación para la prestación de un servicio.
EXEMPLES
• Una empresa que presta serveis per la realització d’enviaments postals;
• L’informàtic aliè a l’empresa que realitza tasques de manteniment de
software o hardware;
• El gestor que confecciona nòmines i porta la comptabilitat i temes
Fiscals
• Empresa d’events esportius: l’empresa que fa les inscripcions i cobraments de la quota
Nina Costas
www.nc-consultors.com
17. EL TRACTAMENT DE LES DADES: QUÈ HEM DE FER?
CADA DIA ENS TROBEM QUE….les persones facilitem les nostres dades personals
constantment, quan obrim un compte en el banc, quan ens matriculem a la
universitat, en el curs d’idiomes, al gimnàs, concursos, curses, supermercat per la
compra on-line, per la reserva d’un vol, d’un hotel, per demanar hora al metge,
per buscar feina, per pagar amb targeta de crèdit, per navegar per internet ….…
Sols que recollim i tractem el nom, cognom, mail, adreça fiscal, DNI, etc estem
identificant a una persona i per tant, estem sotmesos a la LOPD.
Per tant, la nostra activitat professional ens obliga, en primer lloc, a prendre la
primera mesura de seguretat que serà la NOTIFICACIO DEL FITXER AL REGISTRE
DE L’AGENCIA
EXCEPCIONS: Base de dades domèstiques o personals, matèries classificades, fixers
d’investigació de terrorisme, Registre Civil, les Forces de l’Estat, etc…..
Si no ho fem pot ser falta lleu o greu amb sanció de ………..euros
Nina Costas
www.nc-consultors.com
18. 1NOTIFICACIÓ DEL FITXER
• Anar a la pàgina: https://www.agpd.es/
• Anar a notificaciones telemáticas a la AEPD: inscripción de
ficheros
• Part inferior de la pàgina “Obtención del formulario nota”
• Formulario nota de titularidad privada
• Cliquem i entrem a l’aplicació
RECORDAR QUE: També queden afectats els fitxers NO AUTOMATITZATS (en format paper), han de
complir les obligacions de la LOPD
Nina Costas
www.nc-consultors.com
19. NOTIFICACIÓ DE FITXERS
EL DEURE DE NOTIFICAR
LA CREACIÓ DE FITXERS S’HA DE NOTIFICAR
PER LA SEVA INSCRIPCIÓ EN EL REGISTRE GENERAL
DE PROTECCIÓ DE DADES (RGPD) DE LA AEPD
¿QUAN?
- Abans de fer ús dels fitxers.
- Quan es produeixen canvis respecte
a la inscripció inicial.
-Quan s’acaba la utilització del fitxer .
¿PER QUÈ SERVEIX?
Permet que els titulars de les dades
puguin conèixer qui són els responsables
dels fitxers i poder exercitar directament els drets
d’accés, rectificació, cancel·lació i
Oposició
¿QUI HO FA?
El responsable del fitxer
¿QUÈ IMPLICA?
El compromis per part del responsable
de que el fitxer declarat per
la seva inscripció compleix amb totes les
exigencies legals
LA NO NOTIFICACIÓ ESTÀ SANCIONADA COM A FALTA LLEU O GREU:AMB MULTES DE 900 A
40.000€ I DE 40.001 A 300.000€
QUÈ INSCRIBIM? S’ha d’incriure els fitxers, públic i privats, els codis tipus, les autoritzacions
de transferències internacionals i dades per exercir els drets ARCO
Nina Costas
www.nc-consultors.com
20. 2. AL RECOLLIR I TRACTAR DADES
DEURE D’INFORMAR ALS
AFECTATS DE QUE: ART 5
LOPD
Les seves dades formaran part d’un
fitxer i la finalitat del fitxer
El responsable del fitxer (amb nom,
domicili mail i tel)
On exercir els drets ARCO
Tot això per garantir de que el
consentiment és previ, específic i
informat i també per permetre
exercir els drets ARCO dels afectats.
No informar és una infracció lleu
(sanció de 900€ a 40.000€)
PRINCIPI GENERAL: SEMPRE
DEMANAR EL CONSENTIMENT
EXCEPCIONS:
- Quan una llei ho autoritzi
- Quan hi ha un contracte entre les
parts (laboral, administratiu,etc…)
- Per protegir l’interés vital d’una
personal
- Per complir les funcions de l’Admó
Pública
- Les dades provenen de fonts d’accés
públic
-
No demanar el consentiment és
infracció greu (sanció de 40.001€ a
300.000€)
Resolució PS 197/2012, foto de
menor a l’aparador de la botiga de
fotografia. Multa 1.500€
Nina Costas
www.nc-consultors.com
21. Dades especialment protegides
La CE estableix que: “Nadie podrá ser
obligado a declarar sobre su ideología,
religión o creencias”
Tenir en compte que estem tractant
DADES DE NIVELL ALT i per tant:
Es necessita consentiment exprés i per
escrit del interessat per tractar dades que
indiquin ideologia, afiliació sindical, religió
i creençes.
Es necessita consentiment exprés o per
llei per recollir dades relatives a l’origen
racial, salut o vida sexual.
No es permet crear fitxers amb la única
finalitat d’emmagatzemar dades de
caràcter personal, de ideologia, afiliació
sindical, religió, origen racial, salut o vida
sexual. Solment en el cas que es necessiti
per un diagnòstic mèdic o assistència
sanitària.
Qualitat i proporcionalitat
amb les dades
Es imprescindible que les dades:
Es recullin per una
determinada finalitat. No es
poden utilitzar per cap altre
finalitat
No recollir-les si no són
necessàries: sols les
adequades, pertinents i no
excessives
Han de ser verídiques:
manternir-les actualitzades
Cancel·lar-les si no són
necessàries.
APLICAR MESURES DE SEGURETAT DE NIVELL
ALT
Nina Costas
www.nc-consultors.com
22. 3. Els drets dels afectats
El titular de les dades que són tractades per un
tercer té els següents drets gratuïts:
a) DRET D’ACCÉS: obtenir informació de totes les dades
que es tenen d’ell/a, l’origen de les dades, i a on hane
stat cedides.
b) DRET DE RECTIFICACIÓ: s’actualitzin les dades si no
són exctes.
c) DRET DE CANCEL·LACIÓ: que es suprimeixin les dades
d) DRET D’OPOSICIÓ: sol·licitar que no es tractin les
seves dades (motius publicitaris)
Nina Costas
www.nc-consultors.com
23. Neix un nou dret: el dret a l’oblit
El dret de l’oblit fa referència als casos que:
- La informació d’una persona queda indexada als
buscador d’internet i a les xarxes socials i li causa un
perjudici en la seva vida personal i professional.
(compliment de pena, dopatge, anorexia, etc…)
- Empreses que la seva imatge queda perjudicada per
falçes acusacions de tercers i queda en al memòria
caché dels navegadors, a les xarxes socials, greu
perjudici a la bona reputació i la marca de l’empresa.
- Indexacions en els Butlletins Oficials, en els mitjans de
comunicació: multes, sts,
- La informació de le persones difuntes
Nina Costas
www.nc-consultors.com
24. 4. LES MESURES DE SEGURETAT
• Una obligació de vital importànica és establir
les mesures de seguretat per tal d’adoptar els
mitjans tècnics que garantitzin la seguretat de
les dades de caràcter personal i evitin la seva
alteració, pèrdua, tractament i accés no
autoritzat.
• Per això hem de tenir en compte si la
naturalesa de les dades què tractem són de
nivell bàsic, mitjà i alt.
Nina Costas
www.nc-consultors.com
25. Nivell de les dades personals:
NIVELL ALT: que facin referència a les dades de ideologia, filiació
sindical,religió, creences, origen racial, salut o vida sexual, dades derivades
d’actes de violència de gènere.
NIVELL MIG; infracciones administrativas o penales, dades que són
responsables l’administració pública, les entitats financeres i dades que
evaluin la personalitat, CV, etc
NIVELL BÀSIC: totes
Es infracció greu no mantenir fitxers, equips, programes etc que
continguin dades de caràcter personal amb les mesures de seguretat
adequades establertes per reglament. Sanció: de 60.101€ a 300,506€
Nina Costas
www.nc-consultors.com
26. Per portals webs i aplicacions
•
•
•
•
Tenir un avís legal amb cara i ulls
Tenir una política de privacitat coherent
Tenir la sol·licitud d’autorització per les cookies.
En el cas de fer venda on-line: Afegir les
condicions generals de contractació, i altres
aspectes de la llei de telecomunicacions, aspectes
fiscals si la venda és a tercers països,
autoritzacions Director AEPD per cessió dades
països tercers.
• El cloud computing: millor allotjar els continguts
a servidors d’Espanya o a la UE
Nina Costas
www.nc-consultors.com
27. IMPLEMENTAR LA PROTECCIÓ DE
DADES COM A MESURA DE:
• PRIVACITAT DE LES DADES DELS NOSTRES CLIENTS
• GARANTIA DE SEGURETAT I INTEGRITAT I
DISPONIBILITAT DE LES DADES
• PROTECCIÓ DE LA INFORMACIÓ DE L’EMPRESA
• PER AFEGIR QUALITAT EN EL NOSTRE SERVEI
• EVITAR SANCIONS
Nina Costas
www.nc-consultors.com