Este documento resume las principales novedades y desarrollos en materia de protección de datos personales en España. En particular, analiza la jurisprudencia reciente del Tribunal Supremo sobre recursos contra la Ley Orgánica de Protección de Datos, confirmando algunos artículos y anulando otros. También revisa sentencias de la Audiencia Nacional sobre temas como el ámbito de aplicación de la ley, los conceptos de ficheros y responsables de tratamiento, y los principios de proporcionalidad e información a los afectados.
Este resumen describe las principales cuestiones tratadas en la jurisprudencia del Tribunal Supremo sobre la protección de datos personales en España. En particular, se analizan los recursos contra el Reglamento de desarrollo de la Ley de Protección de Datos, se plantean cuestiones prejudiciales sobre el tratamiento de datos basado en el interés legítimo, y se confirman o anulan diversos artículos del reglamento. También se describen sentencias de la Audiencia Nacional sobre conceptos generales de protección de datos, información y legitimación para el tratamiento
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Marrugo Rivera & Asociados
El decreto 1377 de 2013 reglamenta parcialmente la Ley 1581 de 2012 sobre protección de datos personales en Colombia. Algunos puntos clave incluyen: 1) Excluye los datos mantenidos en ámbitos personales o domésticos; 2) Requiere autorización para continuar tratando datos recolectados antes de 2013; 3) Obliga a las empresas a designar un responsable de datos y adoptar políticas de tratamiento. El decreto busca fortalecer la protección de datos en el contexto corporativo global.
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...EUROsociAL II
Este documento resume la situación actual de la protección de datos en Costa Rica y los retos que enfrenta. Explica la evolución de la normativa de protección de datos en el país, incluyendo la Ley de Protección de Datos Personales de 2011 y su reglamento de 2013. También describe las acciones realizadas por la Agencia de Protección de Datos de Costa Rica y los logros con el sector público. Finalmente, identifica varios retos pendientes como la regulación de expedientes únicos, transferencias internacionales de datos y la consolidación de la cultura de protección
El documento discute el estado actual de la protección de datos personales en Costa Rica, el cual se considera insuficiente. Se analizan varios proyectos de ley propuestos para mejorar la regulación, incluyendo uno que crearía una agencia de protección de datos (PRODAT) para supervisar el tratamiento de datos personales y aplicar sanciones por violaciones. El documento concluye que se necesitan mayores estándares de protección de la privacidad e intimidad para garantizar los derechos de los ciudadanos costarricenses.
Mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención.
La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante Tratamiento) por parte de entidades de naturaleza pública y privada.
En la siguiente presentación, establecemos la visión del lado del Ingeniero, no solo Jurídico, puesto que la Ley nos dice que debemos hacer, mas no como hacerlo, de esta forma brindamos un Plan de Acción para la aplicabilidad de la Ley alineado a las buenas practicas que garanticen la seguridad, calidad y cumplimiento de la Legislación Colombiana.
La ley 1581 de 2012 establece el marco legal para la protección de datos personales en Colombia. El objetivo principal de la ley es desarrollar el derecho a la protección de datos consagrado en la Constitución, garantizando a las personas el conocimiento, actualización y rectificación de sus datos personales. La ley se aplica a cualquier entidad pública o privada que realice el tratamiento de datos y establece deberes específicos para los responsables y encargados del tratamiento. También crea mecanismos para que las personas puedan hacer valer sus
Este documento resume los principales aspectos de la protección de datos personales en Colombia de acuerdo con la Ley 1581 de 2012. Explica conceptos como titular, responsable del tratamiento, encargado del tratamiento, tratamiento de datos y principios como libertad, finalidad y calidad. También describe el consentimiento del titular, las excepciones al consentimiento, y los deberes de los responsables y encargados del tratamiento de datos personales.
Presentación de Écija para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Este resumen describe las principales cuestiones tratadas en la jurisprudencia del Tribunal Supremo sobre la protección de datos personales en España. En particular, se analizan los recursos contra el Reglamento de desarrollo de la Ley de Protección de Datos, se plantean cuestiones prejudiciales sobre el tratamiento de datos basado en el interés legítimo, y se confirman o anulan diversos artículos del reglamento. También se describen sentencias de la Audiencia Nacional sobre conceptos generales de protección de datos, información y legitimación para el tratamiento
Analisis del decreto 1377 de 2013 reglamentario de la Ley 1581 de 2012 sobre ...Marrugo Rivera & Asociados
El decreto 1377 de 2013 reglamenta parcialmente la Ley 1581 de 2012 sobre protección de datos personales en Colombia. Algunos puntos clave incluyen: 1) Excluye los datos mantenidos en ámbitos personales o domésticos; 2) Requiere autorización para continuar tratando datos recolectados antes de 2013; 3) Obliga a las empresas a designar un responsable de datos y adoptar políticas de tratamiento. El decreto busca fortalecer la protección de datos en el contexto corporativo global.
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...EUROsociAL II
Este documento resume la situación actual de la protección de datos en Costa Rica y los retos que enfrenta. Explica la evolución de la normativa de protección de datos en el país, incluyendo la Ley de Protección de Datos Personales de 2011 y su reglamento de 2013. También describe las acciones realizadas por la Agencia de Protección de Datos de Costa Rica y los logros con el sector público. Finalmente, identifica varios retos pendientes como la regulación de expedientes únicos, transferencias internacionales de datos y la consolidación de la cultura de protección
El documento discute el estado actual de la protección de datos personales en Costa Rica, el cual se considera insuficiente. Se analizan varios proyectos de ley propuestos para mejorar la regulación, incluyendo uno que crearía una agencia de protección de datos (PRODAT) para supervisar el tratamiento de datos personales y aplicar sanciones por violaciones. El documento concluye que se necesitan mayores estándares de protección de la privacidad e intimidad para garantizar los derechos de los ciudadanos costarricenses.
Mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención.
La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante Tratamiento) por parte de entidades de naturaleza pública y privada.
En la siguiente presentación, establecemos la visión del lado del Ingeniero, no solo Jurídico, puesto que la Ley nos dice que debemos hacer, mas no como hacerlo, de esta forma brindamos un Plan de Acción para la aplicabilidad de la Ley alineado a las buenas practicas que garanticen la seguridad, calidad y cumplimiento de la Legislación Colombiana.
La ley 1581 de 2012 establece el marco legal para la protección de datos personales en Colombia. El objetivo principal de la ley es desarrollar el derecho a la protección de datos consagrado en la Constitución, garantizando a las personas el conocimiento, actualización y rectificación de sus datos personales. La ley se aplica a cualquier entidad pública o privada que realice el tratamiento de datos y establece deberes específicos para los responsables y encargados del tratamiento. También crea mecanismos para que las personas puedan hacer valer sus
Este documento resume los principales aspectos de la protección de datos personales en Colombia de acuerdo con la Ley 1581 de 2012. Explica conceptos como titular, responsable del tratamiento, encargado del tratamiento, tratamiento de datos y principios como libertad, finalidad y calidad. También describe el consentimiento del titular, las excepciones al consentimiento, y los deberes de los responsables y encargados del tratamiento de datos personales.
Presentación de Écija para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
La Ley 1266 de 2008 establece el marco jurídico para el derecho de hábeas data en Colombia. Regula el derecho de las personas a conocer, actualizar y rectificar la información que reposa sobre ellas en bancos de datos, tanto públicos como privados. Asimismo, establece los deberes de las fuentes, operadores y usuarios de datos personales, y los mecanismos para que los titulares puedan hacer valer sus derechos a través de consultas y reclamos.
Este documento establece las regulaciones para la protección de datos personales. Describe los principios de licitud, consentimiento y responsabilidad que deben seguir quienes recolectan y almacenan datos personales. También especifica los derechos de los titulares de datos a acceder, rectificar y cancelar su información personal, así como oponerse a su uso.
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
La Ley 1581 de 2012 regula el tratamiento de datos personales en Colombia y desarrolla el derecho a la habeas data. Establece principios como legalidad, finalidad y calidad de la información. Define conceptos clave como datos personales, sujetos del tratamiento, y categorías especiales de datos. Determina derechos de los titulares y deberes de los responsables y encargados del tratamiento de datos. Además, reglamenta procedimientos y sanciones por incumplimiento de la ley.
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
Tratamiento de datos y relaciones laboralesAdigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 15 de noviembre de 2016 de Barcelona.
El documento describe la legislación española de protección de datos, incluyendo la Ley Orgánica de Protección de Datos de 1999 y el Reglamento de 2007. Explica las obligaciones de las personas y organizaciones respecto a la recopilación, almacenamiento y uso de datos personales, como obtener el consentimiento informado y adoptar medidas de seguridad adecuadas. También enumera los derechos de las personas sobre sus datos personales y las sanciones por incumplimiento de la ley.
La Ley 1266 de 2008 regula el derecho de habeas data en Colombia. Establece que todas las personas tienen derecho a conocer, actualizar y rectificar la información personal recogida sobre ellas en bancos de datos. Aplica a datos personales en bases de datos públicas y privadas, excepto datos mantenidos de forma personal o doméstica. Las personas u organizaciones que recopilan, almacenan o proveen acceso a datos personales deben cumplir con requisitos como mantener la información actualizada y responder a consultas y reclamos de los titulares de datos.
El documento explica que el habeas data es un recurso constitucional que permite a las personas acceder a información sobre sí mismas contenida en registros o bancos de datos, y solicitar correcciones. Aunque no está expresamente consagrado en la Constitución de Costa Rica, la jurisprudencia lo ha reconocido como un derecho fundamental autónomo relacionado con la intimidad y autodeterminación informativa. El documento también describe proyectos de ley en la Asamblea Legislativa para regular este derecho.
Este documento presenta una guía para implementar el principio de responsabilidad demostrada en el cumplimiento de la Ley 1581 de 2012 sobre protección de datos personales en Colombia. Explica el marco normativo de protección de datos y el principio de responsabilidad demostrada. Además, proporciona una herramienta de diagnóstico para que las empresas evalúen el estado de su programa de protección de datos personales y determinen los pasos a seguir para cumplir con la ley.
Protección de Datos Personales en Argentina @facambroneroFátima Cambronero
Este documento resume la Ley de Protección de Datos Personales de Argentina. Establece el derecho a la protección de datos personales y los principios de legalidad, calidad de datos, consentimiento, seguridad y confidencialidad. También explica los derechos del titular de datos a conocer, acceder, rectificar y suprimir sus datos personales almacenados.
El decreto 886 de 2014 reglamenta el Registro Nacional de Bases de Datos creado por la Ley 1581 de 2012, el cual es un directorio público de las bases de datos sujetas a tratamiento en Colombia. Los responsables del tratamiento deben inscribir cada una de sus bases de datos en el registro, aportando información mínima como datos de contacto, finalidad del tratamiento, forma de tratamiento y política de tratamiento de la información. Los ciudadanos podrán consultar el registro para facilitar el ejercicio de sus derechos sobre los datos personales.
La nueva ley de habeas data establece multas de hasta $1.1800 millones para aquellos que envíen correo no deseado (spam) o vendan información personal sin autorización. La ley busca desarrollar el derecho a conocer, actualizar y rectificar la información recogida sobre las personas. El decreto 1377 de 2013 reglamenta parcialmente esta ley, la cual comienza a regir desde el 1 de agosto de 2013 y se aplica principalmente a entidades públicas que recopilan información sin consentimiento y a páginas web con regist
El documento resume las principales responsabilidades de las organizaciones en materia de protección de datos personales según la ley colombiana. Estas incluyen cumplir con los principios de autorización, finalidad y seguridad de la información, designar un responsable de protección de datos, llevar un registro nacional y notificar a las autoridades en caso de violaciones a la seguridad. Asimismo, deben establecer políticas internas, canales de comunicación y modificar contratos para proteger los datos que recolectan.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Decreto 886 del 13 de mayo de 2014 Registro de Bases de Datos Heidy Balanta
Este decreto establece la información mínima que debe contener el Registro Nacional de Bases de Datos creado por la Ley 1581 de 2012, así como los plazos y procedimientos para la inscripción de bases de datos personales por parte de los responsables del tratamiento. El decreto determina que la información mínima debe incluir datos de identificación del responsable y encargado del tratamiento, canales para ejercer derechos, nombre y finalidad de la base de datos, forma de tratamiento y política de tratamiento de información. Además, establece que los respons
Sesion abierta de la Agencia de Proteccion de Datosederdata
Este resumen presenta los principales puntos de la jurisprudencia del Tribunal Supremo sobre recursos contra el Real Decreto de desarrollo de la Ley Orgánica de Protección de Datos. El Tribunal Supremo plantea una cuestión prejudicial sobre el artículo 10.2 del Real Decreto y estima parcialmente los recursos, anulando algunos artículos y confirmando la legalidad de otros.
Este documento trata sobre la Agencia Española de Protección de Datos y diferentes aspectos relacionados con la protección de datos personales en España. Se explican conceptos como el ámbito de aplicación de la normativa, los principios de calidad de los datos, los derechos de los afectados como el acceso, rectificación y cancelación, y los ficheros de información sobre solvencia patrimonial y crédito.
La Ley 1266 de 2008 establece el marco jurídico para el derecho de hábeas data en Colombia. Regula el derecho de las personas a conocer, actualizar y rectificar la información que reposa sobre ellas en bancos de datos, tanto públicos como privados. Asimismo, establece los deberes de las fuentes, operadores y usuarios de datos personales, y los mecanismos para que los titulares puedan hacer valer sus derechos a través de consultas y reclamos.
Este documento establece las regulaciones para la protección de datos personales. Describe los principios de licitud, consentimiento y responsabilidad que deben seguir quienes recolectan y almacenan datos personales. También especifica los derechos de los titulares de datos a acceder, rectificar y cancelar su información personal, así como oponerse a su uso.
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
La Ley 1581 de 2012 regula el tratamiento de datos personales en Colombia y desarrolla el derecho a la habeas data. Establece principios como legalidad, finalidad y calidad de la información. Define conceptos clave como datos personales, sujetos del tratamiento, y categorías especiales de datos. Determina derechos de los titulares y deberes de los responsables y encargados del tratamiento de datos. Además, reglamenta procedimientos y sanciones por incumplimiento de la ley.
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
Presentación de Rafael García Gozalo, Jefe del Departamento Internacional de la AEPD, para la jornada #AdigitalDatos celebrada el 13 de marzo de 2017 en Madrid.
Tratamiento de datos y relaciones laboralesAdigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 23 de noviembre de 2016 en Madrid.
Tratamiento de datos y relaciones laborales; uso de las herramientas digitale...Adigital
Presentación de Miliners para la tercera sesión del Curso Legal Compliance en Digital Business de Adigital celebrada el pasado 15 de noviembre de 2016 de Barcelona.
El documento describe la legislación española de protección de datos, incluyendo la Ley Orgánica de Protección de Datos de 1999 y el Reglamento de 2007. Explica las obligaciones de las personas y organizaciones respecto a la recopilación, almacenamiento y uso de datos personales, como obtener el consentimiento informado y adoptar medidas de seguridad adecuadas. También enumera los derechos de las personas sobre sus datos personales y las sanciones por incumplimiento de la ley.
La Ley 1266 de 2008 regula el derecho de habeas data en Colombia. Establece que todas las personas tienen derecho a conocer, actualizar y rectificar la información personal recogida sobre ellas en bancos de datos. Aplica a datos personales en bases de datos públicas y privadas, excepto datos mantenidos de forma personal o doméstica. Las personas u organizaciones que recopilan, almacenan o proveen acceso a datos personales deben cumplir con requisitos como mantener la información actualizada y responder a consultas y reclamos de los titulares de datos.
El documento explica que el habeas data es un recurso constitucional que permite a las personas acceder a información sobre sí mismas contenida en registros o bancos de datos, y solicitar correcciones. Aunque no está expresamente consagrado en la Constitución de Costa Rica, la jurisprudencia lo ha reconocido como un derecho fundamental autónomo relacionado con la intimidad y autodeterminación informativa. El documento también describe proyectos de ley en la Asamblea Legislativa para regular este derecho.
Este documento presenta una guía para implementar el principio de responsabilidad demostrada en el cumplimiento de la Ley 1581 de 2012 sobre protección de datos personales en Colombia. Explica el marco normativo de protección de datos y el principio de responsabilidad demostrada. Además, proporciona una herramienta de diagnóstico para que las empresas evalúen el estado de su programa de protección de datos personales y determinen los pasos a seguir para cumplir con la ley.
Protección de Datos Personales en Argentina @facambroneroFátima Cambronero
Este documento resume la Ley de Protección de Datos Personales de Argentina. Establece el derecho a la protección de datos personales y los principios de legalidad, calidad de datos, consentimiento, seguridad y confidencialidad. También explica los derechos del titular de datos a conocer, acceder, rectificar y suprimir sus datos personales almacenados.
El decreto 886 de 2014 reglamenta el Registro Nacional de Bases de Datos creado por la Ley 1581 de 2012, el cual es un directorio público de las bases de datos sujetas a tratamiento en Colombia. Los responsables del tratamiento deben inscribir cada una de sus bases de datos en el registro, aportando información mínima como datos de contacto, finalidad del tratamiento, forma de tratamiento y política de tratamiento de la información. Los ciudadanos podrán consultar el registro para facilitar el ejercicio de sus derechos sobre los datos personales.
La nueva ley de habeas data establece multas de hasta $1.1800 millones para aquellos que envíen correo no deseado (spam) o vendan información personal sin autorización. La ley busca desarrollar el derecho a conocer, actualizar y rectificar la información recogida sobre las personas. El decreto 1377 de 2013 reglamenta parcialmente esta ley, la cual comienza a regir desde el 1 de agosto de 2013 y se aplica principalmente a entidades públicas que recopilan información sin consentimiento y a páginas web con regist
El documento resume las principales responsabilidades de las organizaciones en materia de protección de datos personales según la ley colombiana. Estas incluyen cumplir con los principios de autorización, finalidad y seguridad de la información, designar un responsable de protección de datos, llevar un registro nacional y notificar a las autoridades en caso de violaciones a la seguridad. Asimismo, deben establecer políticas internas, canales de comunicación y modificar contratos para proteger los datos que recolectan.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE D...Javier Alvarez Hernando
Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
Decreto 886 del 13 de mayo de 2014 Registro de Bases de Datos Heidy Balanta
Este decreto establece la información mínima que debe contener el Registro Nacional de Bases de Datos creado por la Ley 1581 de 2012, así como los plazos y procedimientos para la inscripción de bases de datos personales por parte de los responsables del tratamiento. El decreto determina que la información mínima debe incluir datos de identificación del responsable y encargado del tratamiento, canales para ejercer derechos, nombre y finalidad de la base de datos, forma de tratamiento y política de tratamiento de información. Además, establece que los respons
Sesion abierta de la Agencia de Proteccion de Datosederdata
Este resumen presenta los principales puntos de la jurisprudencia del Tribunal Supremo sobre recursos contra el Real Decreto de desarrollo de la Ley Orgánica de Protección de Datos. El Tribunal Supremo plantea una cuestión prejudicial sobre el artículo 10.2 del Real Decreto y estima parcialmente los recursos, anulando algunos artículos y confirmando la legalidad de otros.
Este documento trata sobre la Agencia Española de Protección de Datos y diferentes aspectos relacionados con la protección de datos personales en España. Se explican conceptos como el ámbito de aplicación de la normativa, los principios de calidad de los datos, los derechos de los afectados como el acceso, rectificación y cancelación, y los ficheros de información sobre solvencia patrimonial y crédito.
Este documento resume las principales novedades y desarrollos en materia de protección de datos personales en España en 2008, incluyendo jurisprudencia relevante del Tribunal Supremo y la Audiencia Nacional, así como informes clave de la Agencia Española de Protección de Datos. Cubre temas como el ámbito de aplicación de la ley de protección de datos, conceptos legales, calidad y legitimación de los datos, deberes de los responsables del tratamiento y procedimientos sancionadores.
Este documento proporciona información sobre la normativa de protección de datos en España, incluyendo la Ley Orgánica de Protección de Datos, el Reglamento de desarrollo de la ley, y el Estatuto de la Agencia Española de Protección de Datos. Explica las obligaciones de los responsables de ficheros con respecto a la calidad de los datos, el deber de información, el tratamiento y cesión de datos, y las medidas de seguridad requeridas. También cubre los derechos de los ciudadanos a acceder, rectificar, cancel
Este documento presenta las consideraciones clave sobre la protección de datos personales en las administraciones públicas y la administración electrónica según la Agencia Española de Protección de Datos. Se analizan temas como la recogida y comunicación de datos, los principios de tratamiento de datos, los derechos de los ciudadanos y la seguridad. Además, se ofrecen recomendaciones sobre cómo aplicar la normativa de protección de datos en entornos de administración electrónica.
El documento trata sobre la legislación de protección de datos y seguridad en España. En la primera parte, explica el Reglamento General de Protección de Datos de la UE y la nueva Ley Orgánica de Protección de Datos española, incluyendo los derechos de los ciudadanos y las obligaciones del sector público y privado. La segunda parte habla sobre organismos españoles relacionados con la seguridad como CCN-CERT e INTECO-CERT y explica la familia de normas ISO 27000 sobre gestión de seguridad de la información.
La Ley Orgánica de Protección de Datos de Carácter Personal de España regula el tratamiento de datos personales y los derechos de los ciudadanos sobre ellos. Establece los principios de protección de datos, los derechos de las personas, las agencias de control y sanciones, y los requisitos para el tratamiento y comunicación de datos personales.
La Ley Orgánica de Protección de Datos de Carácter Personal de España regula el tratamiento de datos personales y los derechos de los ciudadanos sobre ellos. Establece los principios de protección de datos, los derechos de las personas, las disposiciones sectoriales, el movimiento internacional de datos y la Agencia Española de Protección de Datos. Asimismo, detalla los requisitos de consentimiento, comunicación y acceso a los datos por parte de terceros.
La Ley Orgánica de Protección de Datos de Carácter Personal de España regula el tratamiento de datos personales y protege los derechos de privacidad de los ciudadanos. Establece los principios de protección de datos, los derechos de las personas sobre sus datos, y las obligaciones de quienes crean o tratan datos personales. También describe los órganos de control como la Agencia Española de Protección de Datos y establece sanciones por infracciones a la ley.
Este documento presenta información sobre un curso de derecho corporativo impartido por los profesores Héctor Rodríguez Herrera y Alida Esperanza Ploneda Barreto. Al final del curso, los participantes tendrán conocimiento de aspectos clave de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y podrán crear avisos de privacidad para sus empresas.
La Ley Orgánica de Protección de Datos de Carácter Personal de España regula el tratamiento de datos personales y los derechos de los ciudadanos sobre ellos. Establece los principios de protección de datos, los derechos de las personas, las disposiciones sectoriales, y la Agencia Española de Protección de Datos, que es el organismo encargado de velar por el cumplimiento de la ley y puede imponer sanciones. Asimismo, la ley regula cuestiones como el deber de información a los ciudadanos, los tipos de consentimiento neces
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Alvaro J. Thais Rodríguez
El documento resume la Ley de Protección de Datos Personales de Perú, incluyendo su entrada en vigencia, principales conceptos como datos personales y sensibles, y obligaciones como la inscripción de bancos de datos personales y el nombramiento de un responsable del tratamiento de datos. Explica los derechos de los titulares de datos y las infracciones y sanciones contempladas en la ley.
AEPD_Derecho al olvido en Internet_Caso Google_Webinar_CEDDETFundación CEDDET
El 14 de mayo de 2014, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una importante sentencia en la que estaban en juego dos derechos fundamentales: el acceso a la información y la protección de los datos personales.
Todo partió de un caso en que un ciudadano reclamaba que Google borrase de su buscador datos relativos a su persona, en la actualidad obsoletos y cuya publicidad en la Red le podía perjudicar. En dicho caso también se había personado la Agencia Española de Protección de Datos, al estimar que esta reclamación del ciudadano contra Google era conforme al Derecho español (fuente).
A partir de esta sentencia, Google se vio en la compleja situación de tener que atender un ingente número de solicitudes de borrado de datos de su buscador, por lo que creó un consejo asesor que equilibrase, a la hora de analizar tales demandas, el derecho a la información con la protección de datos personales.
En el webinario organizado por la Red de Expertos en Parlamentos de Fundación CEDDET para el que se preparó esta presentación, Agustín Puente Escobar, Abogado del Estado - Jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos, ahondó en la sentencia y sus implicaciones.
La Red de Expertos en Parlamentos ofrece actividades abiertas, como webinarios, pero también otras exclusivas para miembros (asesores parlamentarios latinoamericanos).
Más info sobre esta y otras de nuestras actividades: redes@ceddet.org
La Ley Orgánica de Protección de Datos de Carácter Personal de España regula el tratamiento de datos personales y los derechos de los ciudadanos sobre ellos. Su objetivo es garantizar la privacidad y proteger datos personales al regular su recolección, uso y almacenamiento. Establece los principios de protección de datos, los derechos de las personas sobre sus datos y las obligaciones de quienes los recopilan. También crea la Agencia Española de Protección de Datos para supervisar el cumplimiento de la ley y aplicar sanciones en caso
Novedades Reglamento Europeo Protección de Datos. Jesús RubíAlicanTEC
Este documento discute las novedades del Reglamento General de Protección de Datos de la Unión Europea. Resume los principales cambios en el consentimiento, incluyendo que debe ser específico, informado y revocable. También cubre las bases legítimas para el tratamiento de datos y los principios como la minimización de datos y la limitación de la finalidad. El documento concluye que estas nuevas normas buscan incrementar la confianza de los ciudadanos en la protección de sus datos personales.
Ley Orgánica de Protección de datos - LOPDRamiro Cid
La presentación desarrolla la Ley Orgánica de Protección de Datos ( LOPD ), partiendo desde los hechos que marcaron su historia, se explica en el presente documento el órgano de control, el régimen sancionatorio, y los principales componentes de la ley como son el Deber de información, el consentimiento, comunicación de datos y acceso a los datos por cuenta de terceros.
El documento presenta un resumen de la Ley de Protección de Datos en España. Explica que la ley se basa en el derecho a la privacidad garantizado en la Constitución española y que la Agencia Española de Protección de Datos vela por el cumplimiento de la ley. También describe los principios clave de la ley, incluidos el consentimiento para el uso de datos personales y los derechos de los ciudadanos sobre sus propios datos.
1. El documento presenta tres casos resueltos por la SIC relacionados con incumplimientos a la Ley de Protección de Datos en Colombia.
2. El primer caso involucra una empresa que expuso datos personales de clientes en un sitio web sin controles de acceso adecuados.
3. El segundo caso trata sobre una empresa que recopilaba datos personales de forma ilegal y obstruyó una investigación de la SIC.
4. El tercer caso es sobre una empresa que no respondió oportunamente una solicitud de un cliente sobre el uso de sus
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Alvaro J. Thais Rodríguez
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú (Actualizado al mes de julio 2013).
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
Autorizaciones de transferencias internacionales de datosdataconsulting
Este documento presenta información sobre el procedimiento de autorización de transferencias internacionales de datos personales en España. Detalla las estadísticas de solicitudes recibidas en los últimos años, los principales países involucrados, y los modelos más comunes de transferencia (entre responsables y encargados del tratamiento). También resume los pasos del procedimiento de autorización y proporciona recomendaciones para su cumplimiento.
Informe sobre transferencias internacionales de datosdataconsulting
Este documento resume la situación actual de las transferencias internacionales de datos personales en España y las iniciativas de la Agencia Española de Protección de Datos para auditar y mejorar la transparencia en este proceso. Se ha observado un aumento importante en las transferencias notificadas, siendo las principales finalidades la gestión empresarial y la atención al cliente. La Agencia ha realizado inspecciones sectoriales y ha introducido un trámite de información pública para dotar de mayores garantías a los procedimientos de autorización.
Problemática jurídica de las transferencias internacionales de datosdataconsulting
Este documento presenta una introducción a las transferencias internacionales de datos y las Binding Corporate Rules. Explica que las transferencias internacionales de datos desde la Unión Europea pueden fundamentarse en el nivel adecuado de protección, las cláusulas contractuales tipo o las Binding Corporate Rules. También analiza cuestiones como la subcontratación de encargados del tratamiento en países terceros y los requisitos legales, de contenido y formalización de las Binding Corporate Rules.
El documento resume las conclusiones y recomendaciones de una inspección realizada por la Agencia Española de Protección de Datos a dos empresas de telecomunicaciones que transfieren datos internacionalmente a Colombia. La inspección concluyó que los tratamientos de datos cumplen con sus objetivos declarados y que se han implementado medidas de seguridad adecuadas. Sin embargo, también incluye algunas recomendaciones para mejorar la protección de datos, como auditar periódicamente la seguridad y restringir el acceso a dispositivos externos.
Este documento contiene varias preguntas y respuestas sobre la aplicación de la normativa española y europea de protección de datos. Se abordan cuestiones como el ámbito de aplicación de la ley, la diferencia entre responsable y encargado del tratamiento de datos, y los derechos de los afectados.
Este documento habla sobre la Agencia Española de Protección de Datos y varios temas relacionados con la protección de datos personales en España. Explica los requisitos para la creación e inscripción de ficheros, las transferencias internacionales de datos, los códigos tipo, y las medidas de seguridad que deben adoptarse. También menciona la inspección y potestad sancionadora de la Agencia.
Este documento contiene preguntas frecuentes sobre la creación, notificación e inscripción de ficheros, transferencias internacionales de datos, y medidas de seguridad según la normativa española de protección de datos. Se responden preguntas sobre cuándo es necesario notificar un fichero, qué ficheros requieren autorización para transferencias internacionales, y qué nivel de seguridad debe aplicarse a diferentes tipos de datos personales.
2ª sesión abierta 2ª parte (principales casos 2008)dataconsulting
Este documento resume varios casos relacionados con la protección de datos personales tratados por la Agencia Española de Protección de Datos en 2008. Algunos de los temas cubiertos incluyen la publicación de datos personales en convocatorias públicas, el consentimiento en contrataciones a distancia, la captación de imágenes de personas en internet y cámaras de vigilancia, y la conciliación entre privacidad y publicidad telefónica.
Este documento contiene las respuestas de la Agencia Española de Protección de Datos a varias consultas sobre la aplicación de la Ley Orgánica de Protección de Datos en España. Aborda cuestiones como el tratamiento de datos personales en publicaciones de esquelas, el uso de direcciones IP y números de teléfono, la cesión de datos entre empresas y la realización de llamadas con fines publicitarios.
2ª sesión abierta 1ª parte (videovigilancia)dataconsulting
El documento presenta la guía de videovigilancia de la Agencia Española de Protección de Datos. Explica que la videovigilancia debe realizarse respetando la privacidad de las personas y la legislación de protección de datos personales. Asimismo, destaca la necesidad de encontrar un equilibrio entre la seguridad y la intimidad, y otorgar claridad sobre los derechos de los ciudadanos y las obligaciones de quienes utilizan cámaras de videovigilancia.
2ª sesión abierta 2ª parte (desarrollos internacionales)dataconsulting
Este documento resume varios desarrollos internacionales recientes en materia de protección de datos personales. Brevemente describe la aprobación de tres documentos de trabajo sobre las Reglas Corporativas Vinculantes, el reconocimiento mutuo entre autoridades de protección de datos europeas sobre la aprobación de las RCV, y la opinión del Grupo de Trabajo del Artículo 29 sobre la aplicación de la Directiva de Protección de Datos a los buscadores de Internet. También menciona brevemente otros documentos sobre datos personales de menores y la Decisión Marco del Ter
Este documento contiene las preguntas planteadas por los asistentes a la 3a Sesión Anual Abierta de la Agencia Española de Protección de Datos. La Agencia responde brevemente a cada pregunta, aclarando aspectos como la obligación de declarar nuevos ficheros en entidades financieras, el tratamiento de datos de salud en informes de accidentes laborales, y los límites de la cesión de datos personales a asociaciones de consumidores en determinados procedimientos.
En la ciudad de Pasto, estamos revolucionando el acceso a microcréditos y la formalización de microempresarios informales con nuestra aplicación CrediAvanza. Nuestro objetivo es empoderar a los emprendedores locales proporcionándoles una plataforma integral que facilite el acceso a servicios financieros y asesoría profesional.
Business Plan -rAIces - Agro Business Techjohnyamg20
Innovación y transparencia se unen en un nuevo modelo de negocio para transformar la economia popular agraria en una agroindustria. Facilitamos el acceso a recursos crediticios, mejoramos la calidad de los productos y cultivamos un futuro agrícola eficiente y sostenible con tecnología inteligente.
José Luis Jiménez Rodríguez
Junio 2024.
“La pedagogía es la metodología de la educación. Constituye una problemática de medios y fines, y en esa problemática estudia las situaciones educativas, las selecciona y luego organiza y asegura su explotación situacional”. Louis Not. 1993.
1. 1
Agencia Española de Protección de Datos
3ª SESIÓN ANUAL ABIERTA DE LA AEPD
Principales novedades y desarrollos en
materia de protección de datos personales
Madrid, 20 de octubre de 2010
2. 2
Agencia Española de Protección de Datos
JURISPRUDENCIA DEL TRIBUNAL SUPREMO
RECURSOS CONTRA EL RLOPD
Agustín Puente Escobar
Abogado del Estado Jefe de la Asesoría Jurídica de la AEPD
Madrid, 20 de octubre de 2010
3. 3
Agencia Española de Protección de Datos
Resumen
• Recursos contra el RLOPD: tres SSTS de 15 de julio de
2010 y dos AATS de planteamiento de cuestión prejudicial
de 15 de julio de 2010
• Fallo
– Planteamiento de cuestión prejudicial respecto del
artículo 10.2 del RLOPD
– Estimación del recurso, anulando los artículos 11, 18,
parte del 38.1 a), 38.2 y 123
– Desestimación del recurso, confirmando la legalidad de
los artículos 5.1 q), 8.5, 12, 13.4, 15, 20.1, 21.2 a), 23.2
a), 24.3, 38.1 b), 38.3, 39, 40, 41, 42.2, 44.3, 45.1 b), 46,
47, 69, 70, 83 y la disposición adicional única
4. 4
Agencia Española de Protección de Datos
Cuestión prejudicial
(Autos de 15 de julio de 2010)
• Las SSTS dejan imprejuzgado el artículo 10.2 del
RLOPD, resolviendo el resto de los recursos.
Trámite novedoso
– Garantía de la seguridad jurídica (única duda
que se plantea la Sala)
– Se evita la demora en la resolución del resto
• Cuestión de fondo: tratamiento fundado en el
interés legítimo (artículo 7 f) de la Directiva)
– ¿Es posible la exigencia de requisitos
adicionales a la regla de “equilibrio de
derechos e intereses” prevista en la Directiva?
– ¿Tiene la Directiva en este punto efecto
directo?
5. 5
Agencia Española de Protección de Datos
Artículos anulados. Fundamento
• Falta de legitimación legal para que sea posible una
“verificación automática” de los datos aportados a la
Administración
• Falta de claridad en el modo de prueba del cumplimiento del
deber de información. Será válido cualquier medio de prueba, no
precisándose que conste necesariamente en documento
• Falta de claridad en el requisito de que no exista reclamación
previa para que un dato no sea incluido en un fichero de
solvencia. No toda reclamación impide este tratamiento
• Falta de claridad en la existencia de prueba indiciaria contraria a
la inclusión de datos en ficheros de solvencia
• Inexistencia de cobertura legal para que las inspecciones
puedan ser realizadas por funcionarios no pertenecientes a la
AEPD
6. 6
Agencia Española de Protección de Datos
Artículos confirmados
• Conceptos de responsables del fichero y del tratamiento y
posibilidad de que el responsable no trate materialmente
los datos
• Obligación de notificar a los cesionarios que sean
conocidos la rectificación o cancelación de oficio de los
datos
• En relación con el consentimiento:
– Alcance del consentimiento para el tratamiento y para
la cesión
– Exigencia de verificación del consentimiento en
menores de edad
– Exigencia de mecanismos de prestación del
consentimiento en contratos, como la marcación de
una casilla
7. 7
Agencia Española de Protección de Datos
Artículos confirmados
• En relación con el encargado del tratamiento
– Inexistencia de encargado del tratamiento cuando se
genera un “nuevo vínculo” entre él y el afectado
– Obligación de que el encargado conozca la identidad
del “subencargado” al que se pretenda subcontratar
• En relación con los derechos
– Posibilidad de ejercicio a través de representante
– Carácter gratuito del ejercicio de los derechos
• Posibilidad de suspensión de las transferencias
internacionales de datos
• Exigencia de cláusulas de confidencialidad en contratos
de servicios sin acceso a datos
8. 8
Agencia Española de Protección de Datos
Artículos confirmados
• En relación con los ficheros de solvencia
– Exigibilidad del consentimiento en los “ficheros positivos”,
que se rigen por las normas generales y no por las
específicas de los ficheros “de morosos”
– Inclusión en los ficheros de solvencia de tantos asientos
como vencimientos se produzcan de una deuda
– Obligación del acreedor de conservar la información a
disposición del fichero común y de la AEPD
– Obligación de informar al deudor en el momento de celebrar
el contrato acerca de la posible inclusión de sus datos en
caso de impago y de la posible consulta del fichero
– Exigencia de notificación de inclusión en cada
incumplimiento
– Prohibición del saldo cero
– Deber del acreedor de contestar al responsable del fichero
común acerca de las solicitudes de rectificación o
cancelación en el plazo de siete días
9. 9
Agencia Española de Protección de Datos
Artículos confirmados
• En relación con los ficheros para actividades de
publicidad y prospección comercial
– Alcance del consentimiento. Necesidad de que se
especifiquen los sectores de actividad respecto de los
que se remitirá publicidad
– Delimitación de la condición de responsable del
tratamiento en función del establecimiento de
“parámetros identificativos”
– Consideración como cesión de la “deduplicación” de
ficheros
• Exigencia de la indicación del nivel de seguridad para la
comercialización de productos de software
11. 11
Agencia Española de Protección de Datos
Jurisprudencia del
Tribunal Supremo
• Cuestiones relacionadas con el ámbito de aplicación:
– Objetivo: delimitación del concepto de fichero (Libros
de Bautismo)
– Territorial: aplicación de la LOPD en una campaña de
una empresa española, dirigida a españoles, aunque
los datos se recogen en página web ubicada en USA
• Calidad de datos
– Uso incompatible en riesgos laborales
– Recogida fraudulenta: necesidad de especial
motivación de la resolución sancionadora
• Tratamiento
– Alcance de la publicidad de las actuaciones judiciales
– Datos especialmente protegidos: licitud de la inclusión
del sindicato en la nómina
12. 12
Agencia Española de Protección de Datos
Jurisprudencia del
Tribunal Supremo
• Cesiones de datos
– Existe en caso de transmisión de la información en el
seno de un grupo de empresas
– Existe en caso de que una empresa reciba los datos de
otra para “enriquecerlos” y se los devuelva a la primera
– Existe en caso de realización de campañas publicitarias
aun cuando la “beneficiaria de la publicidad” no acceda
nunca a los datos
– Existe en caso de sucesión en la persona del
responsable si los interesados no han sido informados
(sector bancario)
– Sólo se ampara en el 11.2 d) la cesión de datos si son
requeridos directamente por un órgano judicial
– Momento de comisión: aquel en que se produce la
cesión. No es infracción continuada
13. 13
Agencia Española de Protección de Datos
Jurisprudencia del
Tribunal Supremo
• Encargado del tratamiento
– Necesidad de contrato escrito que acredite su
contenido y el cumplimiento del art. 12 LOPD
– No existe si se crea un “nuevo vínculo” (oferta
financiera a los clientes de una inmobiliaria)
• Derecho de acceso
– En la Administración: no incluye los datos del usuario
de la información, pero sí los del concreto órgano al
que se ceden los datos
– Si se da acceso permanente (a través de una web) no
es preciso otorgarlo en caso de solicitud específica
– Su denegación puede dar lugar a la formulación de una
denuncia sin necesidad de recabar previamente la
tutela de la AEPD.
14. 14
Agencia Española de Protección de Datos
Jurisprudencia del
Tribunal Supremo
• Deber de secreto y seguridad
– Confirmación de la doctrina de la AEPD y la AN en caso
de documentación hallada en la vía pública
• Cuestiones de procedimiento
– El denunciante no tiene por esa sola circunstancia un
“interés legítimo” que le legitime para recurrir una
resolución de archivo de la AEPD en vía contencioso-
administrativa
– La demora en las actuaciones inspectoras no implica la
existencia de “fraude de ley” en caso de que se
acredite la imposibilidad de concluirlas con
anterioridad como consecuencia del incremento de la
carga de trabajo de la AEPD
15. 15
Agencia Española de Protección de Datos
SENTENCIAS DE INTERÉS DE
LA AUDIENCIA NACIONAL
16. 16
Agencia Española de Protección de Datos
Aspectos generales de
protección de datos
• Colisión con otros derechos
– Prevalencia de la tutela judicial efectiva. Aportación de datos
en juicio
– Prevalencia de la libertad sindical. Aspectos
• Difusión limitada al entorno empresarial
• Datos relacionados con el puesto de trabajo
– Prevalencia de la libertad de información
• Carácter noticiable: relevancia pública
• Juicio de proporcionalidad: el dato debe aportar un
elemento noticiable por sí mismo
• Ámbito de aplicación
– Existencia, al menos, de tratamiento automatizado (opiniones
o valoraciones no sujetas si no lo hay)
– Sometimiento a la LOPD de los ficheros judiciales y del
Ministerio Fiscal
– Exclusiones de los artículos 2.2 y 2.3 RLOPD
17. 17
Agencia Española de Protección de Datos
Conceptos y principios
• Ficheros de titularidad pública
– Siempre en las entidades públicas empresariales
– Naturaleza del responsable del fichero, sin tener relevancia la
del encargado del tratamiento
• Proporcionalidad
– Comunicación de datos a la autoridad judicial
– Publicación de resoluciones en Boletines Oficiales
• Exactitud
– Se presumen exactos los datos facilitados por el afectado
– Vulneración si la inexactitud sólo se produce al comunicar
los datos a un tercero
– Posible actualización de datos facilitados en el ámbito de un
contrato aún vigente sin necesidad de nuevo consentimiento
(incluso mediante un encargado)
– Especial deber de diligencia
• Tratamiento no fraudulento
– Especial obligación de prueba del engaño en la resolución
18. 18
Agencia Española de Protección de Datos
Información y legitimación
para el tratamiento
• En general
– Legitimación de los detectives para la averiguación de datos,
pero con limitaciones en cuanto a su revelación
– Legitimación para el control horario con datos biométricos
– Tratamiento de datos que habían sido cancelados
– Posible cumplimiento del deber de información a través de
carteles
• Cesiones
– Cesión de créditos no informada al deudor
– Cesión de créditos cuya existencia no consta
– Envío por un mediador de seguros de contrato sin firmar
(también responsable el asegurador)
– Envío de comunicaciones a tercero con el mismo nombre y
apellidos que el afectado
– Responsabilidad de empresas que captan información de
terceros sin legitimación
– Traspaso de plan de pensiones sin que la cedente solicite la
acreditación de la solicitud del interesado para la cesión
19. 19
Agencia Española de Protección de Datos
Datos de salud y
consentimiento de menores
• Datos de salud
– Legitimación del acceso por la inspección sanitaria a
historias clínicas en la investigación a un determinado
facultativo
– Legitimación de la revelación de datos de salud de un
facultativo por otro en cumplimiento de deberes
deontológicos
• Consentimiento de menores
– Deber de comprobación. Ilicitud si en un contrato aparece la
fecha de nacimiento en blanco
– No es posible el consentimiento en menores de catorce años
• Ilicitud de la recogida y uso posterior de los datos sin
consentimiento de los padres del menor de catorce años
para remitirle una tarjeta de crédito
– Posible licitud del consentimiento prestado por el mayor de
catorce años en un contrato: reglas generales sobre indicios
20. 20
Agencia Española de Protección de Datos
Consentimiento en contratación
• Validez del consentimiento verbal si puede probarse (declaración ante
notario)
• Indicios de existencia
– Coincidencia de firma y DNI
– Pago de recibos
– Datos que en principio sólo pueden obtenerse del interesado
– Constancia de conversaciones con el interesado referidas al
servicio o en que no se niega el contrato
– Recepción del bien adquirido (pago aplazado)
– En telecomunicaciones: existencia de llamadas desde y a la línea
contratada
– En banca: disposición del saldo en cuenta
• Indicios de inexistencia
– Envío de facturas a persona distinta de la que teóricamente solicitó
el servicio
– Domiciliación en cuenta distinta a la que consta en el contrato
– No constancia de la firma o algún elemento esencial
– Rechazo del bien o reclamación inmediata a la primera
domiciliación
21. 21
Agencia Española de Protección de Datos
Encargado del tratamiento
y derechos ARCO
• Encargado del tratamiento
– Si se excede del mandato será responsable (por
ejemplo, recabando más datos de los solicitados o
recabando datos inexactos)
• Cuestiones generales sobre derechos
– Debe existir congruencia entre el derecho ejercitado y
su atención
– Es posible el ejercicio por representante, pero con un
apoderamiento “individual y otorgado en términos
estrictos”
– En las Administraciones no es necesario recurrir la
denegación, pudiendo acudirse a la tutela
• Acceso: Sólo referido a datos que “estén siendo tratados”
no a datos que ya no lo están siendo. Prueba suficiente
• Rectificación: No es posible respecto de datos obrantes
en un procedimiento administrativo
22. 22
Agencia Española de Protección de Datos
Seguridad
• Cuestiones generales
– Obligación de resultado
– Cabe sancionar al responsable incluso si el problema de
seguridad es causado por el encargado que diseñó el
sistema de información (posible atenuación)
• Documentos en la vía pública: Intervención de tercero
exculpatoria si los documentos no eran fácilmente accesibles o
no estaban en zonas de acceso público
• Programas de intercambio de archivos
– Posibilidad de instalación
– Irrelevancia de que el fallo se deba a la conducta aislada de
un trabajador que instaló el programa en su terminal
• Intervención de hackers
– Puede exculpar el fallo de seguridad, pero no en caso de que
el responsable no adopte medidas tendentes a evitar accesos
no autorizados una vez se produzca la fuga
23. 23
Agencia Española de Protección de Datos
Deber de secreto
• Inexistencia de vulneración
– Constancia en registro de correos del dato “solicitud
de información médica”
– Copia de extractos bancarios por excónyuge
– Publicación de morosos de comunidades de
propietarios previa notificación en domicilio
– Remisión de información a las secciones sindicales
representadas en el Comité de Empresa
– Revelación de datos por miembro de una Corporación,
no imputable a la misma
• Existencia de vulneración
– Envío de información de terceros por correo ordinario o
electrónico al alterarse los datos del destinatario pero
no el contenido de la información
– Divulgación a todo el personal de una empresa de una
demanda y una sentencia sin anonimizar
– Inclusión de datos en foros de Internet
24. 24
Agencia Española de Protección de Datos
Ficheros de solvencia patrimonial
• Inexistencia de la deuda
– Penalidad en un contrato objeto de litigio
– Aceptación de convenio de quita respecto de la parte condonada
– Modificación de tarifas sin conocimiento del interesado
– Reconocimiento del pago en un proceso judicial
– Facturación por servicio finalmente no prestado
• Existencia
– Imputación en casos de cotitularidad de cuentas
– Aumento de la deuda reconocida judicialmente con los intereses
• Requerimiento
– Necesidad de prueba por el acreedor
– Cabe un solo requerimiento en deudas de pago fraccionado
– No es preciso que sea inmediatamente antes de incluir el dato en el
fichero
– Validez del efectuado telefónicamente siempre que pueda probarse
• CIRBE
– Comunicación del riesgo derivado de un aval sin instar la
cancelación del riesgo por el preaval
25. 25
Agencia Española de Protección de Datos
Videovigilancia
• Sometimiento a la LOPD de la reproducción en tiempo real:
tratamiento automatizado
• No es posible alegar la inaplicabilidad de la LOPD porque la
calidad de imagen no sea buena
• Aplicación de los criterios de la Ley de Seguridad Privada en
cuanto a legitimación (antes de la Ley “Omnibus”)
• Es preciso contar con legitimación en caso de difusión de
imágenes en Internet (información al respecto)
• Proporcionalidad: invasión de la vía pública (“mínimo
imprescindible”)
• Comunidades de propietarios
– Si está en zonas comunes no se aplica la excepción de
tratamiento en el ámbito doméstico
– Necesidad de acuerdo de la Junta (posible convalidación a
posteriori)
• Prescripción: carácter de “infracción permanente”. Irrelevancia
del momento en que se capta al denunciante mientras siga
existiendo la cámara
26. 26
Agencia Española de Protección de Datos
Cuestiones procedimentales
o de aplicación
• Actuaciones inspectoras. Duración
– No existen dilaciones indebidas si se prueba el aumento de la carga
de trabajo.
– Inaplicabilidad retroactiva del plazo de 12 meses del RLOPD
• Prejudicialidad penal
– No la hay en casos de suplantación (estafa vs. tratamiento)
• Caducidad
– Inicio por la fecha del acuerdo de inicio. Conclusión por la fecha de
intento de notificación
• Prescripción
– Tratamiento y principios de calidad de datos son “infracciones
permanentes”
– Recogida por encargado del tratamiento: el plazo comenzará al
tiempo de la recogida si el encargado no almacena los datos
– Cesión de datos y deber de secreto: fecha de la última revelación
conocida. Si se debe a publicación en web, mientras los datos estén
en la web
• Legitimación del denunciante en el recurso: doctrina del TS
• Requisitos para la aplicación de la medida de inmovilización del fichero
27. 27
Agencia Española de Protección de Datos
Cuestiones procedimentales
o de aplicación (2)
• Principio de culpabilidad
– Supuestos de suplantación de identidad: dependencia de la
adopción de medidas de diligencia debida por el responsable
• Hay culpabilidad en caso de haberse aportado un DNI
falso y no constar en el contrato o si las firmas difieren
– Conducta imputable al afectado
• Documentos en la vía pública sustraídos por el afectado
– Confianza legítima
• Seguimiento de criterios mantenidos por la
Administración (publicación de sanciones en web)
• Cambio de criterio de las resoluciones de la AEPD
• Bis in idem. Existencia
– Existencia: Datos de salud en la vía pública y previa sanción
de Consejería de Sanidad
– Existencia: Hechos constitutivos de delito
– Inexistencia: Fraude en la contratación sancionado también
por el Organismo regulador sectorial
29. 29
Agencia Española de Protección de Datos
Informes relevantes
• Cuestiones generales y ámbito de aplicación
– Criterios de aplicación de los artículos 2.2 y 2.3 RLOPD.
• Especial importancia de la finalidad del tratamiento
• Limitación de los datos en el artículo 2.2
• La exclusión no opera si la LOPD sólo es aplicable a
algunos datos
– Excepción de personas fallecidas
• En particular, uso para fines históricos
– Ámbito de aplicación territorial
• Diferencias en el ámbito de aplicación de LOPD y
LSSI: servicios dirigidos a residentes en España
– Procedimiento de disociación. Codificación. Necesidad
de que sea irreversible
30. 30
Agencia Española de Protección de Datos
Informes relevantes
• Datos especialmente protegidos
– Ideología: posibilidad de publicación y tratamiento de
datos hechos manifiestamente públicos
• Candidatos en procesos electorales y diarios de
cámaras parlamentarias
– Salud
• Disociación de datos para acceso por inspección
tributaria a un facultativo
• Proporcionalidad: Real Decreto CMBD. En especial
las anotaciones subjetivas
• Cesión de datos para inspección sanitaria y
comprobación de incapacidad temporal
• Improcedencia de la cancelación de datos en
historias clínicas o en ficheros de las autoridades
sanitarias referidos a enfermedades de declaración
obligatoria
31. 31
Agencia Española de Protección de Datos
Informes relevantes
• Legitimación para el tratamiento.
– Acceso por colegios de procuradores a ficheros de
asuntos judiciales
– Publicidad de registros
• En general: necesidad de norma habilitante
• Limitación de accesos basada en el interés legítimo
• Alcance de los datos públicos. Aplicación del
principio de proporcionalidad. Registros de colegios
profesionales
– Acceso a los datos de productividad de los funcionarios
• Diferenciación del acceso por el personal y el
tratamiento por los sindicatos. No cesión
“automatizada”
– Acceso a datos de retribuciones por concejales: no debe
incluir los datos de la nómina referidos al trabajador y
distintos de sus retribuciones
32. 32
Agencia Española de Protección de Datos
Informes relevantes
• Legitimación para el tratamiento.
– Publicación de sentencias en medio de comunicación
• Prevalencia de la libertad de información. Juicio de
proporcionalidad
• No aplicable para repertorios de jurisprudencia.
Finalidad distinta a la información
– Movilización de fondos de inversión: no aplicación de la
doctrina judicial relativa a planes de pensiones.
Habilitación legal
– Creación de listas negras: necesidad de consentimiento
salvo que exista una ley expresamente habilitante
– Comunicación de datos de pasajeros a autoridades
aduaneras de otros países cuando lo requiere su Ley
nacional. Habilitación por ser necesario para el
desarrollo del contrato
33. 33
Agencia Española de Protección de Datos
Informes relevantes
• Legitimación para el tratamiento.
– Transparencia: acceso a la información en materia de medio
ambiente (Ley 27/2006)
• Necesidad de consentimiento, con carácter general, en
relación con los datos de carácter personal
– Necesidad de aplicación del criterio de proporcionalidad
para el tratamiento de la huella digital (ficheros de clientes)
– Acceso por asociados a datos de la asociación
• Regla general: habilitación estatutaria
• Especialidades en datos especialmente protegidos y en
procesos electorales
• Seguridad
– Aplicación de la excepción del artículo 81.5 b) a
tratamientos automatizados. Reforma RLOPD
– Plazo de conservación del informe de auditoría
34. 34
Agencia Española de Protección de Datos
Informes relevantes
• Especialidades en sectores concretos
– Especialidades de la normativa de blanqueo de capitales
• Ficheros comunes
• Exención de información y derechos ARCO
• Naturaleza de los OCP
– Requisitos para la creación de Listas Robinson
• Obligaciones de acceso e incidencia si se ha prestado el
consentimiento
– Requisitos de creación de ficheros sectoriales de solvencia
patrimonial y crédito
– Acceso a datos históricos por Internet. Necesidad de
consentimiento si se trata de personas vivas y los datos
tienen una antigüedad inferior a 50 años
– Especialidades en materia de prevención de riesgos
laborales
35. 35
Agencia Española de Protección de Datos
Informes relevantes
• Videovigilancia
– Incidencia de la Ley “Omnibus”: liberalización en la
instalación y mantenimiento salvo en los casos de
conexión a centrales de alarmas
• Supuestos de fusión u otras operaciones mercantiles
– Posible confusión con supuestos de cesión atendiendo
a la naturaleza de la operación
• En caso de persistir la personalidad jurídica de las
entidades, cada una será responsable de sus
ficheros, pero podrían caber cesiones necesarias
para el desarrollo de la relación con el cliente
– Posible aplicación de la exención de información del
artículo 5.5 si el domicilio de los afectados es
desconocido
– Posible transmisión de datos previa a la efectividad de
la operación. Requisitos mínimo necesarios
36. 36
Agencia Española de Protección de Datos
PRINCIPALES CASOS EN 2009-2010
José López Calvo
Subdirector General de Inspección de Datos
Madrid 20 octubre 2010
37. 37
Agencia Española de Protección de Datos
1.- MOROSIDAD
- Necesidad de reforzar los sistemas de acreditación de
consentimiento en la contratación de servicios. En especial
a distancia. La importancia de la grabación y de la
disponibilidad de documentación acreditativa.
(PS/535/2009). Tasación (PS 168/2009). Seguro de hogar (PS
182/2009).
- Necesidad de que en las operaciones de venta de deuda
se cumpla la condición de deudor (PS/18/2009).
- Necesidad de mantener deber de secreto sin que
concuerde con el mismo la comunicación telefónica de la
deuda a terceros o allegados. (PS 97/2010).
38. 38
Agencia Española de Protección de Datos
- Requerimiento previo de pago.
La existencia de un procedimiento estandarizado
de envío de cartas no constituye prueba de que
en el caso concreto se haya producido la efectiva
remisión y recepción (SAN 20-10-2009
CAJASOL).
Debe aportarse copia de la carta de
requerimiento enviada por la empresa o puesta
en correos o entregada a empresa de mensajería
con acreditación de envío con control de
devoluciones individualizado certificando la
entrega sin incidencias. (PS 400/2010).
39. 39
Agencia Española de Protección de Datos
- Necesidad de informar previamente al deudor
de la inclusión en caso de impago (artículo 39
ROPD). (PS 149/2010).
- Acceso a información de terceros en fichero de
solvencia debe estar justificado (PS 571/2009).
40. 40
Agencia Española de Protección de Datos
2.- VIDEOVIGILANCIA
- El enfoque de la vía pública con cámaras se
reserva en exclusiva a fuerzas y cuerpos de
seguridad salvo previsión legal. (PS/709/2009).
- En el cartel informativo debe figurar el
responsable del fichero, no la empresa de
seguridad correspondiente salvo que ostente tal
condición. (PS 524/2009).
- La instalación de cámaras disuasorias
(carcasas) no se considera una solución idónea
alternativa. (E 720/2010).
41. 41
Agencia Española de Protección de Datos
3.- TUTELA JUDICIAL EFECTIVA
La aportación de documentos en juicio en el libre
ejercicio del derecho a la tutela judicial efectiva
encuentra su contrapunto en la eventual
vulneración del deber de secreto que se
produciría en el caso de que el responsable
entregue datos de un tercero para que el receptor
lo aporte en juicio (PS 724/2009).
42. 42
Agencia Española de Protección de Datos
4.- INTERNET
A) Situaciones respecto de quien sube el dato.
Publicación de datos personales (incluyendo
vídeos) sin consentimiento previo del afectado,
cuando se vulnera el deber de secreto.
(PS 683/2009 y PS 508/2009).
Publicación de datos personales sin
consentimiento del afectado. La relevancia de la
sensibilidad de los datos (incluyendo videos o
sentencias (PS 117/2008 Y PS 479/2008).
43. 43
Agencia Española de Protección de Datos
B) Titular de la página.
No responde del contenido colgado por tercero
salvo:
- página de datos de especial sensibilidad en que,
deben extremar precauciones:
• Página web de menores sin comprobación
de edad. (PS 468/2009).
• Imágenes de menores en una página
“votamicuerpo”. (PS 23/2010).
• Página de contacto gay que no controla
identidad de quien inserta anuncios.
- Haya sido advertido y no lo retire.
44. 44
Agencia Española de Protección de Datos
5.- DATOS CUYO CONOCIMIENTO ES LEGÍTIMO
EN ENTORNO AFECTADO. NO POR TERCEROS:
- Miembros comunidad propietarios (deudas).
(PS 689/2008).
- Información a los trabajadores por sindicatos. A
través de Intranet (SAN 20-4-2009) no de Internet
(PS/51/2008) salvo relevancia pública.
- Correo electrónico. Uso de copia oculta.
(PS/553/2009).
45. 45
Agencia Española de Protección de Datos
- Interesados en un procedimiento de
adjudicación pública en que es necesario
garantizar transparencia y concurrencia: becas,
plazas colegios concertados, complemento
productividad entre funcionarios. (AP/67/2008,
AP/27/2008).
- Despido tras acceso a ordenador personal con
aviso previo (E3490/2009).
46. 46
Agencia Española de Protección de Datos
6.- TUTELAS
- Tutelas de derechos sobre “Derecho al olvido”:
a) Boletines:
- Fiscal; publicación en 1998 sentencia de TSJ
por infracción administrativa sancionada en
1993 (TD155/2008).
- Real Decreto de 1999 de indulto de un delito
contra la salud pública. (TD 989/2009).
47. 47
Agencia Española de Protección de Datos
b) Prensa digital:
- Noticia de 1989 en prensa digital;
imputándole delito de parricidio. (TD
1887/2009).
- Noticia de1975 en prensa digital; detención
de activistas del FRAP (TD 30/2010).
- Noticias de 1974 y 1975 en prensa digital;
detenciones por consumo y tráfico de drogas.
(TD 487/2010).
48. 48
Agencia Española de Protección de Datos
c) Blogs
- Se le arrestó en 2008 por delitos de tenencia
de pornografía infantil, pedofilia, abuso de
menores; delito archivados. (TD 92/2010).
- La AEPD no es competente para analizar
cuantía de deuda (TD 1950/2009).
- Exclusión acceso a la aplicación de los criterios
de clasificación de clientes MIFID. (TD 309/2010).
49. 49
Agencia Española de Protección de Datos
DESARROLLOS INTERNACIONALES
Rafael García Gozalo
Jefe del Área de Internacional
Madrid 20 octubre 2010
50. 50
Agencia Española de Protección de Datos
• Madrid sede de la XXXI Conferencia
Internacional de Privacidad.
• AEPD líder del proceso de redacción de
Propuesta Común de Estándares
Internacionales de Protección.
• Principales novedades producidas en
ámbito UE.
51. 51
Agencia Española de Protección de Datos
31ª Conferencia Internacional
Más de 1000 participantes.
Impacto de Internet en Protección de Datos
desde pluralidad de perspectivas.
Alto perfil de participantes.
Alta participación de comunidad de
protección de datos española.
Principales Resoluciones:
Renovación del marco institucional de la Conferencia.
Resolución de Madrid sobre Estándares Internacionales
de Privacidad.
52. 52
Agencia Española de Protección de Datos
Estándares Internacionales
Proceso iniciado con el mandato recibido por AEPD en Conferencia de
Estrasburgo:
Garantizar alto nivel de protección.
Facilitar flujos internacionales de datos.
Resultado de un año de redacción de un Grupo de Trabajo .
Integrado por 24 APD, 6 observadores y con participación de 400 expertos
de industria, universidad, ONG.
Que elaboró cuatro versiones sucesivas.
Que celebró dos reuniones de coordinación (Barcelona y Bilbao).
Estándares Internacionales.
Avalados por Conferencia Internacional de Madrid.
Respaldados en declaraciones de:
Consejo de Europa.
Industria.
Unión Europea.
Conferencia Public Voice.
53. 53
Agencia Española de Protección de Datos
Estándares Internacionales
No son un documento innovador (se basan en
principios y criterios ya presentes en otros
documentos internacionales) pero sí aportan
soluciones innovadoras para armonizar esos
documentos.
No son un documento europeo: buscan el máximo
consenso internacional.
Garantizan un adecuado nivel de protección:
principios, derechos, vías de recurso, mecanismos
de supervisión.
Importancia de transferencias internacionales.
Importancia de autoregulación.
54. 54
Agencia Española de Protección de Datos
Estándares Internacionales
Mandato AEPD + Israel para coordinar
Grupo de Promoción de Estándares
Internacionales.
Contactadas 20 Organizaciones
Internacionales.
Presentados a la industria (París, junio 2010).
Presentados IAPP.
Resoluciones Congreso y Senado.
Inclusión en normas nacionales (Méjico).
55. 55
Agencia Española de Protección de Datos
Revisión del marco internacional
Directrices OCDE.
Convenio 108 Consejo de Europa.
Directiva 95/46.
Normativa EEUU.
Accountability Project.
56. 56
Agencia Española de Protección de Datos
Desarrollos Unión Europea
Proceso de modificación de marco jurídico como
consecuencia de:
Globalización.
Desarrollo tecnológico.
Tratado de Lisboa.
Proceso complejo:
Conferencia Pública (MAYO 2009).
Consulta Pública iniciada JULIO 2009.
Adopción por GT29 de WP 168 (“El Futuro de la
Privacidad”) (DICIEMBRE 2009).
Consultas permanentes Comisión / Agencia Española de
Protección de Datos.
Presentación de Comunicación Estratégica por la Comisión
en noviembre de 2010.
Propuesta de nuevo instrumento 2011.
57. 57
Agencia Española de Protección de Datos
Otros desarrollos
Institucionales:
AEPD Vicepresidente del GT29.
AEPD miembro del Buró del TPDP Consejo de Europa.
Regulatorios:
Decisión COM sobre cláusulas contractuales tipo
Responsable-Encargado (2010/87/CE ).
Opinión relativa al marketing basado en comportamiento
(WP 171).
Opinión Redes Sociales (WP 163).
Opinión sobre inspección coordinada sobre aplicación de
Directiva “retención de datos” (WP 172).
Dictamen 1/2009 sobre Directiva (2001/58/CE “ePrivacy”).
Opinión sobre “accountability” (WP 173).
Nuevo Acuerdo “SWIFT”.
58. 58
Agencia Española de Protección de Datos
3ª SESIÓN ANUAL ABIERTA DE LA AEPD
NOVEDADES REGISTRO 2009-2010
María José Blanco Antón
Subdirectora General
Registro General de Protección de Datos
Madrid, 20 de octubre de 2010
59. 59
Agencia Española de Protección de Datos
Ficheros
2008 2009 09/2010 12/2010
1.267.579
∆anual 25%
1.377 operaciones diarias
2.171.841
∆>500.000 ficheros
2.041.320
2.724 operaciones diarias
1.647.756
∆anual 50%
2.137 operaciones diarias
60. 60
Agencia Española de Protección de Datos
Ficheros
• Incremento de la inscripción de ficheros de:
• Profesionales
• Micropymes
95%
5%
88%
12%
Responsables de ficheros 2000 2005 2010
Personas físicas 908 18.275 101.801 24%
Resto de personas jurídicas 15.977 132.493 323.052 76%
Sanidad (4.412)
Contabilidad,
auditoría …. (2.305)
Actividades
inmobiliarias (2.012)
Actividades jurídicas
(1.513)
Comercio (1.314)
Principales sectores de
actividad de responsables
de ficheros-personas físicas
Contabilidad, auditoría y
asesoría fiscal (209)
Comercio (198)
Sanidad (45)
Sanidad (17.519)
Comercio (15.091)
Turismo y hosteleria
(6.746)
61. 61
Agencia Española de Protección de Datos
Ficheros
• Incremento de un 40% de las solicitudes de
información relativa a la inscripción de ficheros
(copias de resoluciones del Director, contenido de
inscripciones, ..).
• Tiempos de respuesta amplios.
• Previsiones de la Agencia: En la sede electrónica se
publicará un modelo electrónico de solicitud
normalizada de información registral.
• No obstante, se recomienda mayor diligencia en el
intercambio de información registral cuando se cesa
en la prestación de servicios.
62. 62
Agencia Española de Protección de Datos
Ficheros
• Guía de Seguridad (actualización
disponible en www.agpd.es):
– Formato pdf – guía completa.
– Formato word – modelo de
documento de seguridad.
• EVALÚA
– Autoevaluación cumplimiento LOPD.
– Autoevaluación medidas de
seguridad.
63. 63
Agencia Española de Protección de Datos
Transferencias Internacionales
2008 2009 2010
Países nivel adecuado + excepciones art. 34 LOPD
Países Espacio Económico Europeo
Movimientos internacionales de datos inscritos en el RGPD
17.492
6.468
6.519
6.607
16.953
17.970
64. 64
Agencia Española de Protección de Datos
Transferencias Internacionales
Autorizaciones del Director
Transferencias internacionales de datos a países
que no disponen de un nivel adecuado de protección
2008 2009 2010
405
277
513
216
328
412
50
66
75
21
Responsable-responsable
Decisión 2001/497/CE
Responsable-encargado
Decisión 2002/16/CE
Autorizaciones totales
Responsable-encargado
Decisión 2010/87/UE
66. 66
Agencia Española de Protección de Datos
Transferencias Internacionales
Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de tratamiento
con posibilidad de subcontratación:
– El nuevo modelo de cláusulas contractuales aporta flexibilidad en relación con
las prestaciones de servicios fuera del territorio español y la subcontratación
posterior.
– El modelo es de aplicación desde el 15 de mayo de 2010, deroga la Decisión
2002/16/CE.
– Se han tramitado autorizaciones basadas en la Decisión derogada cuando la
fecha del contrato era anterior a 15 de mayo.
ArchivoAutorizacionesSolicitudesTipo de contrato
Responsable-responsable (2001/497/CE) 18 8 4
Responsable-encargado (2002/16/CE) 77 57 13
Responsable-encargado (2010(87/UE) 47 28 2
67. 67
Agencia Española de Protección de Datos
Transferencias Internacionales
Decisión 2010/87/UE: cláusulas contractuales tipo de encargado de
tratamiento con posibilidad de subcontratación:
– La Decisión 2010/87/UE permite a las autoridades de control aplicar
este modelo de cláusulas a situaciones en las que la prestación de
servicios se realice en territorio español siempre que se adopten las
garantías que establece la propia Decisión en las subcontrataciones
posteriores en terceros países (considerando 23).
– El RLOPD define al exportador de datos como la entidad establecida
en España que realiza transferencias internacionales de datos.
– Viabilidad:
• autorización de transferencias internacionales a encargados de
tratamiento (exportadores de datos establecidos en España)
basadas en un acuerdo marco con subencargados (fuera de
España) que recojan todas las garantías de la Decisión 2010/87/UE
para encargados.
• notificación posterior de los ficheros objeto de transferencias
internacionales por cada responsable, que firma un contrato de
prestación de servicios autorizando la subcontratación con un
encargado que tiene otorgada una autorización.
68. 68
Agencia Española de Protección de Datos
Códigos tipo
Dic-2007 Sep-2008
12 Códigos tipo inscritos
Aprobación RLOPD
Título VII. Regulación
códigos tipo
Plazo adecuación
Finaliza plazo transitorio
Presentación solicitudes
de adecuación de 9
códigos tipo
Cancelación de
inscripción 3 códigos
tipo
Presentación
Código tipo de
investigación clínica
y farmacovigilancia
Abr-2009 Dic-2009Jun-2009
Inscripción del
Código tipo de
Farmaindustria
Inscripción del
Código tipo EUDEL
– Agencia Vasca
Jul-2009
Inscripción de la modificación de
los 9 códigos tipo:
- UNESPA (FHSA)
- ACES
- UCH
- Confianza online
- Odontólogos y estomatólogos
- Universidad Castilla La Mancha
- ACRA
- AEGI
- Veraz Persus
Todos los códigos tipo inscritos
en el RGPD se encuentran
disponibles en la web de la
Agencia www.agpd.es
69. 69
Agencia Española de Protección de Datos
Códigos tipo
• Novedad: evaluación continua de los códigos
tipo:
– Memoria anual.
• En 2010 se han presentado 2 memorias.
– Inscripción condicionada a la evolución del
código.
• Incremento de adheridos.
70. 70
Agencia Española de Protección de Datos
Códigos Tipo
• Aclaraciones en materia de investigación clínica:
– Posición jurídica de los diferentes agentes que
intervienen en un ensayo clínico.
– Procedimiento de disociación de los datos
• Código de aleatorización – garantías de
irreversibilidad.
– Fichero de Investigación Clínica vs. Fichero de
Historias Clínicas.
71. 71
Agencia Española de Protección de Datos
Informe Hospitales
• Motivación del estudio:
– Incremento de tutelas y denuncias relacionadas con ficheros
de historias clínicas.
– Tratamiento de datos de salud. Garantías reforzadas LOPD.
• Inicio del estudio: marzo 2010.
• Alcance del estudio: 654 centros públicos y privados del Catálogo
Nacional de Hospitales sujetos al control de la Agencia Española
de Protección de Datos.
• Requerimiento de cumplimentación del Informe de cumplimiento
de la LOPD en Hospitales antes de 31 de julio de 2010.
654 centros
del CNH
605 centros
(duplicados,
devolución,
…)
562 centros
contestaron
72. 72
Agencia Española de Protección de Datos
Informe Hospitales
Datos por comunidades autónomas
Comunidad Autónoma
Centros
requeridos
Centros
contestados
% Centros
contestados
CIUDAD AUTÓNOMA DE CEUTA 2 2 100,00
CIUDAD AUTÓNOMA DE MELILLA 1 1 100,00
C.A. DE ANDALUCÍA 124 119 95,97
C.A DE ARAGÓN 29 27 93,10
C.A. DE CANARIAS 42 35 83,33
C.A. DE CANTABRIA 9 8 88,89
C.A. DE CASTILLA Y LEÓN 50 49 98,00
C.A. DE CASTILLA-LA MANCHA 33 28 84,85
C.A. DE EXTREMADURA 26 24 92,31
C.A. DE GALICIA 63 53 84,13
C.A. DE LA REGIÓN DE MURCIA 26 26 100,00
C.A. DE LA RIOJA 7 7 100,00
C.A. DE LES ILLES BALEARS 23 20 86,96
C.A. DEL PAÍS VASCO 26 24 92,31
C.A. DEL PRINCIPADO DE ASTURIAS 23 23 100,00
COMUNIDAD DE MADRID 48 47 97,92
COMUNIDAD FORAL DE NAVARRA 13 13 100,00
COMUNIDAD VALENCIANA 60 56 93,33
TOTAL GENERAL 605 562 92,89
73. 73
Agencia Española de Protección de Datos
Informe Hospitales
Datos por titularidad del centro
Desglose por titularidad de los centros:
- que han sido requeridos para cumplimentar el informe,
- que han atendido dicho requerimiento, y
- que presentan deficiencias en el cumplimiento de la LOPD.
Requeridos No contestan Contestan Envío de recomendaciones Requerimiento medidas
correctoras
Privados 313 20 294 251 43
Públicos 292 23 268 109 159
Total 605 43 562 360 202
74. 74
Agencia Española de Protección de Datos
Informe Hospitales
Cuestiones planteadas en el Informe:
► Medidas de seguridad y documento de seguridad; obligaciones del
personal; control y registro de acceso; comunicación de datos;
gestión de incidencias; gestión de soportes y documentos; copias
de respaldo; y documentación en papel.
► Auditoría de medidas de seguridad.
► Deber de información y atención al ejercicio de derechos ARCO.
► Inscripción de ficheros en el RGPD.
► Contratación de servicios de tratamiento de datos personales.
75. 75
Agencia Española de Protección de Datos
Informe Hospitales
Acciones siguientes:
► Remisión a la Subdirección General de Inspección de los más
de 40 centros que no han atendido el requerimiento, dado
que podrían haber incurrido en una infracción de la LOPD.
► Remisión del informe con recomendaciones a todos los
centros.
► Requerimiento a más de 200 centros de adopción de medidas
correctoras y comunicación de las mismas a la AEPD antes de
1 de abril de 2011.
► Informar a las Consejerías y al Ministerio de Sanidad y Política
Social.
76. 76
Agencia Española de Protección de Datos
Informe Hospitales - Recomendaciones
Mantener actualizada la inscripción de ficheros.
Incluir cláusulas informativas en los impresos y adaptarlas en
función del fichero en el que se van a incluir los datos.
Colocar carteles informativos sobre el derecho a la protección de
datos.
Informar al personal de limpieza sobre la necesidad de garantizar la
confidencialidad de los datos.
Aplicar procedimientos de disociación de los datos de carácter
personal en los tratamientos de datos que hayan sido
externalizados.
Registrar todos los accesos realizados a los historiales clínicos.
77. 77
Agencia Española de Protección de Datos
Informe Hospitales - Recomendaciones
Realizar auditorías que verifiquen si el personal utiliza los datos
para la finalidad que justificó el acceso.
Almacenar los archivos físicos de historias clínicas en áreas con
acceso protegido mediante llave o dispositivo equivalente y en
archivadores que dispongan de mecanismos que obstaculicen su
apertura.
Custodiar la documentación clínica de pacientes cuando ésta no se
encuentre archivada impidiendo que pueda ser accedida por
terceros.
Adoptar medidas para evitar la pérdida o sustracción de la
documentación durante su transporte.
Realizar la auditoría bienal de seguridad del fichero de historias
clínicas y de otros que puedan contener datos relativos a la salud
de las personas.