Introducción al Derecho de las Nuevas Tecnologías: la regulación de las TIC y la protección de datos. Contenido perteneciente al máster en Seguridad de la Información.
3. 1. LA PROTECCIÓN DE DATOS (I)
REGULACIÓN
CONCEPTO
Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (LOPD) y
Real Decreto 1720/2007, de 21 de diciembre, por
el que se aprueba el Reglamento de desarrollo de
la LOPD.
Derecho fundamental que busca proteger la
intimidad y privacidad de las personas físicas,
frente a las vulneraciones que puedan producirse
por
la
recogida,
almacenamiento
y
uso
indiscriminado de sus datos de carácter personal.
ÁMBITO DE APLICACIÓN
Los datos de carácter personal registrados en un soporte físico que los haga susceptibles de tratamiento, y
toda modalidad posterior de éstos por los sectores público y privado, siempre que el tratamiento sea
realizado en territorio español, o cuando al responsable de tratamiento le sea de aplicación la legislación
española.
Excepciones: datos de personas jurídicas, datos de personas fallecidas, datos recogidos en ficheros
domésticos, datos para investigar el terrorismo, etc.
4. 1. LA PROTECCIÓN DE DATOS (II)
TIPO DE DATOS
EJEMPLOS
IDENTIFICATIVOS
DNI/NIF, Nº Seguridad Social, Nombre y Apellidos, Dirección, E-Mail, Teléfono,
Imagen, Voz…
DE CIRCUNSTANCIAS
SOCIALES
Propiedades, Posesiones, Aficiones, Estilos de vida, Pertenencia a Clubes y
Asociaciones, Estado civil, Edad…
ACADÉMICOS,
PROFESIONALES Y DE
FORMACIÓN
Formación, Titulaciones, Experiencia profesional, Pertenencia a Asociaciones o
Colegios Profesionales…
DE DETALLES DE EMPLEO
Cuerpo, Escala, Categoría, Grado, Puesto de trabajo, Historial del trabajador…
ECONÓMICOSFINACIEROS
Ingresos, Rentas, Inversiones, Bienes patrimoniales, Datos bancarios, Planes
de Pensiones, Jubilación…
DE SEGURIDAD
Seguridad y control de acceso a edificios, Medidas de seguridad física, Emisión
de tarjetas de seguridad…
MÉDICOS O DE SALUD
Biométricos, Historial clínico, Control y gestión sanitario…
DE CARÁCTER SINDICAL
Afiliación sindical, Pertenencia a Comité de Empresa, Asociación o pertenencia a
agrupación sindical…
DE CARÁCTER
ADMINISTRATIVO
Procedimientos administrativos, Reclamaciones o recursos, Sanciones,
Registros…
ESPECIALMENTE
PROTEGIDOS
Ideología, Afiliación sindical, Religión, Creencias religiosas, Origen racial y
étnico, Vida sexual, Salud…
5. 1. LA PROTECCIÓN DE DATOS (III)
DERECHO ADMINISTRATIVO SANCIONADOR
A menudo, el ciudadano o administrado puede sentir que existe un afán recaudatorio por parte de
las Administraciones Públicas, o una deliberada inseguridad jurídica:
• Imposición de obligaciones o prohibiciones excesivas o de difícil cumplimiento.
• Falta de claridad en la definición de las obligaciones o prohibiciones.
• Percepción de arbitrariedad en la interpretación o aplicación de la norma por parte de la
Administración competente.
• Sanciones desproporcionadas por hechos de poca relevancia.
La PROTECCIÓN DE DATOS cumple estas 4 situaciones anteriores.
•Práctica defensiva.
•Anticipar posibles riesgos legales.
•Evitar responsabilidades innecesarias.
•Juego de estrategia.
6. 1. LA PROTECCIÓN DE DATOS (IV)
PRINCIPIOS DE PROTECCIÓN DE DATOS
Calidad de los datos
Se trata de evitar que se proceda a una recopilación masiva datos de carácter personal que
se desvíe de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y
tratados.
Derecho de información en la recogida de datos.
Obligación de informar siempre al afectado previamente a la recogida de los datos y de
manera expresa de que los datos se almacenarán en un fichero, su finalidad, destinatarios,
identidad del responsable del fichero así como la posibilidad del ejercicio de derechos de
acceso, rectificación, cancelación y oposición.
- Menores de 14 años: consentimiento padre, madre o tutor legal.
- Fuentes accesibles al público: excluyendo internet.
Consentimiento del afectado.
Consentimiento previo e inequívoco del afectado para el tratamiento de sus datos, recayendo
sobre el responsable del fichero la obligación de obtener el consentimiento del interesado.
- Permitir revocar el consentimiento para finalidades accesorias. Ejemplo:
- [ ] No deseo recibir comunicaciones comerciales.
7. 1. LA PROTECCIÓN DE DATOS (V)
PRINCIPIOS DE PROTECCIÓN DE DATOS
Datos especialmente protegidos.
IDEOLOGÍA
Consentimiento expreso
y por escrito
AFILIACIÓN SINDICAL
RELIGIÓN
CREENCIAS
---------------------------------Consentimiento
expreso
ORIGEN RACIAL
SALUD
VIDA SEXUAL
8. 1. LA PROTECCIÓN DE DATOS (VI)
PRINCIPIOS DE PROTECCIÓN DE DATOS
Seguridad de los datos.
Se deberán aplicar las medidas de seguridad oportunas en el tratamiento de datos personales.
Tres niveles de seguridad:
Nivel básico: aplicable a todos los datos personales.
Nivel medio: aplicable a datos de nivel alto y aquellos de nivel medio: infracciones administrativas o
aquellos que ofrezcan una definición del individuo.
Nivel alto: aplicable a datos especialmente protegidos.
Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter
personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso,
con el responsable del mismo.
Establecido igualmente en el Código Penal (art. 199).
Comunicación de datos.
Sólo podrán ser comunicados datos a un tercero:
- Cuando la comunicación se realice para el cumplimiento de fines directamente relacionados
con las funciones legítimas del cedente y del cesionario.
- Se deberá obtener el consentimiento previo del interesado.
9. 1. LA PROTECCIÓN DE DATOS (VII)
PRINCIPIOS DE PROTECCIÓN DE DATOS
Acceso a los datos por cuenta de terceros.
Firma de contrato, cuando haya prestación de servicios de terceros en las que se acceda a
datos personales (gestorías, desarrollo de campañas de terceros, hosting, gestión de BBDD,
etc.)
• El encargado del tratamiento, tratará los datos conforme a las instrucciones especificadas en
el contrato de prestación de servicios. No podrá tratarlos ni utilizarlos con otro fin distinto al
contrato.
• El encargado del tratamiento no cederá, ni comunicará a terceros, ni siquiera para su
conservación, los datos personales a los que tenga acceso durante la prestación del servicio.
• Las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.
• La destrucción o devolución, por parte encargado del tratamiento, de cuantos soportes y
documentos que contengan datos de carácter personal, una vez cumplida la prestación.
• Las consecuencias para el encargado del tratamiento en caso de incumplimiento del
contrato. En caso será considerado, también, responsable del tratamiento, respondiendo de
las infracciones en que hubiera incurrido personalmente.
10. 1. LA PROTECCIÓN DE DATOS
(VIII)
DERECHOS LOPD
Impugnación de valoraciones.
Consulta al Registro General de Protección de Datos.
Derechos ARCO:
• Acceso.
• Rectificación.
• Cancelación.
• Oposición.
Indemnización.
11. 1. LA PROTECCIÓN DE DATOS (IX)
OBLIGACIONES LOPD
INFRACCIONES LOPD
• Creación e inscripción de los ficheros que
contengan datos personales en la Agencia
Española de Protección de Datos, que tendrán
un responsable y un encargado.
El cumplimiento de la normativa de protección
de datos es muy importante para una empresa,
pues las infracciones de la misma pueden
conllevar sanciones elevadísimas:
• Aplicación de medidas de seguridad de
distintos niveles en función de la relevancia de
los datos a los ficheros que los contengan.
Las infracciones leves serán sancionadas con
multa de 900 a 40.000 euros.
• Solicitud de autorización al Director de la
AEPD
para
realizar
determinadas
transferencias internacionales de datos.
• Etc.
Las infracciones graves serán sancionadas con
multa de 40.001 a 300.000 euros.
Las
infracciones
muy
graves
serán
sancionadas con multa de 300.001 a 600.000
euros.