1. 1
Agencia Española de Protección de Datos
3ª SESIÓN ANUAL ABIERTA DE LA AEPD
Consultas planteadas por los asistentes
Agustín Puente Escobar
Jesús Rubí Navarrete
María José Blanco Antón
José López Calvo
Ricard Martínez Martínez
Madrid, 20 de octubre de 2010
2. 2
Agencia Española de Protección de Datos
CON LA RECIENTE LEY 10/2010 DE 28 DE ABRIL, DE PREVENCIÓN DEL
BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO,
ENTIENDO QUE SE TIENE DE DECLARAR UN NUEVO FICHERO EN LAS
ENTIDADES FINANCIERAS DE NIVEL ALTO ¿ES CORRECTO?¿Y
OBLIGATORIO?¿QUÉ CAMPOS DEBE DE LLEVAR EL FICHERO? ¿QUÉ
MEDIDAS DE SEGURIDAD SON NECESARIAS PARA ESTE TIPO DE FICHERO
DE "NIVEL ALTO"?
La Ley 10/2010 impone a los sujetos obligados una serie de deberes que
implican el tratamiento de datos personales de los clientes. En concreto, se
deben tener en cuenta las medidas de diligencia debida y examen especial de
operaciones.
Lo sujetos obligados deberán contar además con un órgano específico
para la prevención que, lógicamente, llevará a cabo los tratamientos de estos
datos y creará a tal efecto sus propios ficheros
Estos ficheros estarán sujetos a un régimen especial, cuyas características
aparecen recogidas en los artículos 32 y 33 de la Ley. SU extensión será la
necesaria para el cumplimiento de las obligaciones que aquélla impone
Las medidas de seguridad habrán de ser las de nivel alto, tal y como
establece la propia Ley, siendo de aplIcacIón para ello las normas generales de
la LOPD y el RLOPD.
3. 3
Agencia Española de Protección de Datos
¿SE CONSIDERA QUE SE ATENTA CONTRA EL ARTÍCULO 4 DE LA
LOPD, POR EJEMPLO, SI SE LE INFORMA AL AFECTADO DE QUE LOS
DATOS DE SU CURRICULO SE MANTENDRÁN DURANTE 5 AÑOS PARA
TENERLO EN CUENTA EN FUTURAS SELECCIONES DE PERSONAL?
La conservación de los datos deberá ir vinculada a la finalidad para
la que los datos fueros tratados y que fue informada al afectado
conforme exige la LOPD
Además, el tratamiento al que se refiere la pregunta, aún vinculado
en parte a la existencia de una relación jurídica con la empresa debería
ser objeto de información específica al interesado, de forma que pudiera
decidir si quiere que los datos sigan siendo objeto de tratamiento
durante el plazo de cinco años.
Si no se informase claramente de esta circunstancia y no se diera al
interesado la posibilidad de manifestar su opinión el tratamiento podría
contravenir los artículos 4 y 6 de la LOPD
4. 4
Agencia Española de Protección de Datos
¿SE CONSIDERAN DATOS DE SALUD LOS QUE SE ENCUENTRAN
DESCRIBIENDO EL ACCIDENTE Y LA PARTE DAÑADA DEL CUERPO (SIN
DIAGNÓSTICO MÉDICO) EN LOS INFORMES DE INVESTIGACIÓN DE
ACCIDENTES QUE LA LEY DE PREVENCIÓN DE RIESGOS LABORALES OBLIGA
A CUMPLIMENTAR A LA EMPRESA ANTE UN ACCIDENTE DE SUS
TRABAJADORES?
Sí, conforme al amplio concepto de datos de salud previsto en el RLOPD
¿EL EMPRESARIO DEBE DE OBTENER EL CONSENTIMIENTO DEL TRABAJADOR
PARA TRATAR LOS DATOS DE SALUD CUANDO AQUEL CUMPLE CON SU
OBLIGACIÓN LEGAL DE ENVIAR POR EL SISTEMA DELT@ LA COMUNICACIÓN
DE ACCIDENTES (CON O SIN BAJA MÉDICA) Y FALLECIMIENTOS DE
ACCIDENTADOS, CUYA COMUNICACIÓN CONTIENE DATOS DE SALUD? ¿O
PODRÍA ENTENDERSE QUE ES UNO DE LOS SUPUESTOS RECOGIDOS EN EL
ART. 6.2 DE LA LOPD Y 12.1 DEL REGLAMENTO?
La LPRL impone al empresario una serie de deberes de información, entre los
que se encuentra la comunicación de la información a la que se refiere esta
cuestión “a la autoridad laboral”
En consecuencia, la cesión está amparada por una norma con rango de Ley y
por tanto es conforme al artículo 7.3 de la LOPD.
El artículo 6 no es aplicable, porque se está haciendo referencia a datos de
salud
5. 5
Agencia Española de Protección de Datos
EL ARTÍCULO 256.6º DE LA LEY DE ENJUICIAMIENTO CIVIL PERMITE
A LAS ASOCIACIONES DE CONSUMIDORES INSTAR DILIGENCIAS
PRELIMINARES PARA AVERIGUAR LOS INTEGRANTES DE UN GRUPO
AFECTADO POR UN DETERMINADO HECHO DAÑOSO. ¿PUEDE LA
PARTE DEMANDADA FACILITAR A LA ASOCIACIÓN DEMANDANTE
LOS DATOS PERSONALES DE LOS INTEGRANTES DE ESE GRUPO SIN
EL CONSENTIMIENTO DE ÉSTOS? ACLARACIÓN DE LOS LÍMITES DE
LOS SUPUESTOS EXCLUIDOS
La LEC prevé que el juicio podrá prepararse “Por petición de quien pretenda
iniciar un proceso para la defensa de los intereses colectivos de consumidores y
usuarios al objeto de concretar a los integrantes del grupo de afectados cuando,
no estando determinados, sean fácilmente determinables”
En ese caso, añade que “A tal efecto el tribunal adoptará las medidas
oportunas para la averiguación de los integrantes del grupo, de acuerdo a las
circunstancias del caso y conforme a los datos suministrados por el solicitante,
incluyendo el requerimiento al demandado para que colabore en dicha
determinación”
Por tanto no es necesaria la comunicación a la asociación de consumidores,
sino que la misma podrá provenir de un requerimiento judicial, en cuyo caso la
cesión estará amparada por el artículo 11.2 d) de la LOPD
6. 6
Agencia Española de Protección de Datos
SI EL RESPONSABLE DEL FICHERO ES NO RESIDENTE Y EL
ENCARGADO DEL TRATAMIENTO ES RESIDENTE Y EL CONTRATO DE
PRESTACIÓN DE SERVICIOS ESTÁ SOMETIDO A LA LEGISLACIÓN
ESPAÑOLA. EN MATERIA DE PROTECCIÓN DE DATOS, ¿QUÉ LEY SE
APLICA: LA LOPD O LA LEY DE PROTECCIÓN DE DATOS DEL PAIS EN
QUE TIENE SU RESIDENCIA EL RESPONSABLE DEL FICHERO?
A los efectos de la aplicación de la legislación de protección de
datos resulta irrelevante el fuero al que se sometan las partes en el
contrato de encargo del tratamiento
La legislación aplicable en el caso planteado dependerá del lugar en
que se encuentre el establecimiento del responsable para el que se
traten los datos:
– Si estuviera en el Espacio Económico Europeo, sería aplicable la
Ley del Estado del responsable, salvo en lo referente a las medidas
de seguridad, en que se aplicarían la LOPD y el RLOPD
– Si estuviera fuera del Espacio Económico Europeo, el tratamiento
estaría íntegramente sometido a la LOPD
7. 7
Agencia Española de Protección de Datos
¿SE PUEDE EN UN SITIO WEB, TENER UNA OPCIÓN DE MENÚ
CON LOS CLIENTES QUE HA TENIDO SU NEGOCIO? SI LA
RESPUESTA ES SI ¿QUE RESTRICCIONES EXISTEN?
Como premisa se parte de que no nos encontramos ante las
excepciones de los artículos 2.2 y 2.3 del RLOPD
En este caso se estaría realizando un tratamiento de los datos
de los clientes, consistente en la difusión de su condición de tales
a través de Internet
Ese tratamiento excede de la relación jurídica del cliente con
la empresa, por lo que necesitará el consentimiento del cliente
8. 8
Agencia Española de Protección de Datos
OBLIGACIONES RESPECTO A LA LEY ORGANICA 15/1999, EN LOS
OBISPADOS, SI DEBEN DE CUMPLIR, QUE FICHEROS NO DEBEN DE
CUMPLIRLA POR NO ESTAR DENTRO DE SU AMBITO DE APLICACIÓN,
ETC...
Con carácter general no existe ninguna norma ni pronunciamiento
judicial que excluya a los Obispados de la aplicación de las normas de
protección de datos de carácter personal
En consecuencia, sería aplicable la Ley siempre que la actividad
realizada se encuentre dentro del ámbito de aplicación de la misma; es
decir:
– Siempre que se realice un tratamiento automatizado de datos
– Cuando se realice un tratamiento no automatizado de datos y los
mismos estén incluidos o estén destinados a ser incluidos en un
fichero
En el segundo caso, deberá tenerse en cuenta la doctrina derivada
de la STS de 19 de octubre de 2008 y las que la reproducen
9. 9
Agencia Española de Protección de Datos
A LOS EFECTOS DE DETERMINAR LEGALMENTE LA REPRESENTATIVIDAD
DE UNA ASOCIACIÓN EN UN PROCEDIMIENTO ESPECÍFICO CONVOCADO
A ESE EFECTO, Y TENIENDO EN CUENTA QUE EL CRITERIO
PREDOMINANTE A TENER EN CUENTA ES LA AFILIACIÓN: ¿TIENE LA
ADMINISTRACIÓN ALGUNA LIMITACIÓN A LA HORA DE SOLICITAR A LA
ASOCIACIÓN LOS DATOS PERSONALES DE LOS AFILIADOS?
La transmisión a la Administración competente supondrá una cesión de
datos de carácter personal. En consecuencia, deberá encontrarse amparada
en el artículo 11 de la LOPD para poder ser conforme a la misma
Por ello, habrá que estar a la regulación aplicable al procedimiento concreto
en que se solicita la información y si existe una norma con rango de Ley que
habilita la cesión
En todo caso, deberá tenerse en cuenta el principio de proporcionalidad,
de forma que si la representatividad puede determinarse sin acceder a la
relación nominal de asociados debería optarse por esta opción
En caso de que la información implique el tratamiento de datos
especialmente protegidos, debería estarse a las especialidades del artículo 7
de la LOPD
10. 10
Agencia Española de Protección de Datos
LA EMPRESA A DISPONE DE UN FICHERO CON DATOS DE CONTACTO DE
SUS CLIENTES, CON LOS CAMPOS DEL ART. 2.2. DEL REGLAMENTO.
¿SERÍA UN FICHERO A EFECTOS DE LOPD SI SE ENVÍA PUBLICIDAD DE
LOS PRODUCTOS A DICHOS CLIENTES? ¿Y SI FUERA UN FICHERO SÓLO
DE CONTACTOS AÚN NO CLIENTES DE A?
Con independencia de la condición concreta de los afectados, el artículo
2.2 de la LOPD únicamente será aplicable en caso de que los datos se limiten
a los citados en ese artículo y la referencia a la persona que ocupa el puesto
sea meramente “incidental”; es decir, la finalidad no sea contactar con la
persona sino con el puesto
Por ello, habrá que estar a esa finalidad en cada caso
EN UN FICHERO CON EL CONTENIDO DE UNA LISTA DE CONTACTOS CUYA
FINALIDAD EXCLUSIVA ES MANEJAR EL PLAN DE CONTINUIDAD DE
NEGOCIO DE UNA INSTITUCIÓN ¿SE PUEDEN CONSIDERAR EL TELEFONO
Y EL E-MAIL PARTICULAR COMO PROFESIONALES?
SI bien no aparece clara la finalidad a la que se refiere la pregunta, dado
que se hace referencia al teléfono y correo particular de los interesados no
sería aplicable la excepción del artículo 2.2 del RLOPD
¿LOS DATOS RELATIVOS AL NÚMERO DE DNI Y LA FIRMA MANUSCRITA
DEL REPRESENTANTE LEGAL DE UNA SOCIEDAD INCORPORADOS A UN
CONTRATO SON DATOS PERSONALES O SE ENCONTRARÍAN EXCLUIDOS
DEL ÁMBITO DE APLICACIÓN DE LA LOPD?
Estos datos exceden de los enumerados en el artículo 2.2, por lo que no
sería aplicable la excepción
11. 11
Agencia Española de Protección de Datos
EN UNA ENTIDAD FINANCIERA QUE GESTIONA SU
CONTRATACIÓN Y TRAMITES A TRAVÉS DE LA LÍNEA
TELEFÓNICA, ¿PUEDE UN CLIENTE QUE SE ENCUENTRA EN
MOROSIDAD EJERCITAR EL DERECHO DE OPOSICIÓN A
RECIBIR LLAMADAS TELEFÓNICAS DEL DEPARTAMENTO DE
RECOBROS? LA RELACIÓN COMERCIAL NO SE ENCUENTRA
EXTINGUIDA.
El acreedor está legitimado para el tratamiento de los
datos del deudor en virtud de la relación jurídica que les
vincula (art. 6.2 LOPD). Por tanto, puede realizar las
gestiones oportunas para el cobro de la deuda, incluidas
las llamadas telefónicas.
No obstante, vulneraría la LOPD si dirigiera las llamadas
a terceros distintos del deudor (vulneración del deber de
secreto)
12. 12
Agencia Española de Protección de Datos
¿PUEDE UN AGENTE DE RECOBRO LOCALIZAR DATOS
TELEFÓNICOS DE UN CLIENTE CON BUSCADORES DE
INTERNET?
La SAN de 14 de mayo de 2009, sintéticamente, señala:
• El deudor presta consentimiento para el tratamiento de datos en el marco
de la relación contractual con el acreedor.
• Manteniéndose la relación contractual los datos quedaron
desactualizados.
• La relación jurídica legitima el tratamiento de datos sin consentimiento.
• La empresa de recobro –encargada del tratamiento- por cuenta del
acreedor puede obtener datos para el cumplimiento del contrato como el
domicilio y el número de teléfono para poder comunicar con él,
especialmente, si está en mora y no cumple sus obligaciones.
13. 13
Agencia Española de Protección de Datos
¿DÓNDE ESTÁ EL LÍMITE AL DERECHO DE INFORMACIÓN
SOBRE LOS DATOS DE LOS TRABAJADORES/AS DE UNA
ADMINISTRACIÓN QUE SE DEBEN SUMINISTRAR A LAS
CENTRALES SINDICALES DE CARA A LAS ELECCIONES
SINDICALES?
El Tribunal Constitucional ha señalado que el envío de
información – incluido a través del correo electrónico- constituye
un derecho de los sindicatos (libertad sindical)
Los trabajadores pueden ejercer el derecho de oposición a
recibir tales comunicaciones, excepto en los períodos de
elecciones sindicales, en los que prevalece el derecho a la
libertad sindical (TD/01119/2008).
14. 14
Agencia Española de Protección de Datos
¿UN ENCARGADO DE TRATAMIENTO TIENE ALGUNA RESPONSABILIDAD SI
GESTIONA ADECUADAMENTE LOS DATOS DE SU CLIENTE, PERO EL CLIENTE NO
LE HIZO FIRMAR CONTRATO RELATIVO AL MODO EN QUE DEBEN GESTIONARSE
ESOS DATOS?¿HA INCUMPLIDO SU DEBER EL CLIENTE O TAMBIÉN EL
ENCARGADO DE TRATAMIENTO?¿CUÁL DE LOS DOS ES SANCIONABLE?
El artículo 12 LOPD exige para la lícita prestación de servicios que se regule en
un contrato que permita acreditar su celebración y contenido.
La Audiencia Nacional ha señalado que no basta con acreditar la relación
jurídica sino que debe poder acreditar su celebración y un contenido mínimo que
incorpore las garantías del art. 12 LOPD.
La obligación principal de celebrar el contrato es de quien encarga la prestación
del servicio.
El encargado también ha de ser diligente en el cumplimiento de la LOPD y
podría ser sancionado.
La apreciación de la diligencia y la culpabilidad sólo puede realizarse caso a
caso.
15. 15
Agencia Española de Protección de Datos
¿PODRÁN LAS ADMINISTRACIONES PÚBLICAS REALIZAR UNA
CESIÓN DE DATOS LIBRE ENTRE ELLAS GRACIAS A LA LEY
11/2007, DE MANERA QUE SE PUEDA USAR NORMALMENTE LOS
DATOS DE LOS CIUDADANOS PARA CUALQUIER TRÁMITE
ADMINISTRATIVO SEA O NO EL RELACIONADO CON EL ÁMBITO
DE LA RECOGIDA DE LOS DATOS? ¿EN QUÉ CASOS SE PUEDE
CEDER DATOS A TERCEROS? Y ¿CUÁL ES EL
PROCEDIMIENTO?
Las Administraciones públicas podrán ceder los datos de los ciudadanos cuando estos
ejerzan su derecho a no aportar los datos y documentos que obren en poder de
dichas Administraciones y presten su consentimiento para ello.
La disponibilidad de los datos estará limitada a aquellos que les son requeridos (art. 6.2.b
y 9 de la Ley 11/2007).
En los restantes casos, la cesión de datos entre AAPP puede llevarse a cabo sin
consentimiento cuando se realice para el ejercicio de funciones similares o exista
una habilitación legal, o la comunicación tenga por objeto el tratamiento de datos con
fines históricos, estadísticos o científicos (art. 21 LOPD).
16. 16
Agencia Española de Protección de Datos
GARANTÍAS A ADOPTAR POR EMPRESA ANUNCIANTE PARA LA
CONTRATACIÓN CON UN TERCERO DEL ENVÍO DE UN E-MAILING O SMS A
BASES DE DATOS EXTERNAS, PROPIEDAD DE ESE TERCERO PARA
PROMOCIONAR UN PRODUCTO O SERVICIO DE LA ENTIDAD QUE CONTRATA Y
QUE ACTÚA COMO ANUNCIANTE Y BENEFICIARIO DEL ENVÍO Y PROPONE AL 3
LOS PARÁMETROS IDENTIFICATIVOS DE LOS DESTINATARIOS.
Si es una base de datos con direcciones de correo electrónico se aplicaría la LSSI
y se sancionaría a quien realice los envíos (titular de la base de datos o
anunciante, en su caso).
El anunciante que fija los parámetros debe adoptar las medidas necesarias para
asegurarse de que la entidad contratada cumple la LOPD (art. 46.3 RLOPD).
SAN 21-Mayo-2009
La existencia de culpa requiere la falta de control por el anunciante en realizar las
comprobaciones.
El anunciante suscribió un contrato que incluía:
• Los datos son recogidos de fuentes accesibles al público o de los afectados con
su consentimiento.
• El anunciante debía devolver o destruir los datos sin poder guardar copia.
• Se previó que los datos fueran de mayores de 18 años.
Las precauciones adoptadas por el anunciante fueron máximas.
17. 17
Agencia Española de Protección de Datos
GARANTÍAS PARA PROCEDER A CESIONES DE
DATOS ENTRE EMPRESAS DE UN MISMO
GRUPO
Las cesiones de datos entre empresas del grupo
han de estar legitimadas por el consentimiento
del afectado, existir una habilitación legal o ser
necesarias para el cumplimiento o control de una
relación jurídica previa.
18. 18
Agencia Española de Protección de Datos
¿EL DATO RELATIVO AL NÚMERO DE MATRÍCULA
DE UN VEHÍCULO, POR SÍ SÓLO, ES UN DATO
PERSONAL?
El número de matrícula de un vehículo es un dato
personal, ya que puede asociarse a una persona
identificable sin un esfuerzo desproporcionado,
acudiendo al Registro de Vehículos regulado por el
RD 2822/1998, de 23 de diciembre, de titularidad de la
Dirección General de Tráfico, cuya finalidad esencial
es la identificación del titular, para lo cual únicamente
será necesaria la invocación del interés legítimo del
solicitante (Informe de Gabinete Jurídico 0425/2006 en
aptdo. Web “Conceptos Generales”).
19. 19
Agencia Española de Protección de Datos
¿ SE NECESITA INSCRIBIR LOS FICHEROS DE
LAS UNIONES TEMPORALES DE EMPRESAS?
¿QUÉ RESPONSABILIDAD TIENEN CADA UNA
DE LAS EMPRESAS?
• En una Unión Temporal de Empresas cada
empresa conserva su personalidad jurídica y su
responsabilidad individual.
• Sólo será necesario inscribir ficheros nuevos en
el caso de que el objeto de la UTE requiera
realizar tratamientos de datos diferentes de los
notificados por parte de cada una de las
empresas.
20. 20
Agencia Española de Protección de Datos
¿DEBE UN PARTICULAR O LA COMUNIDAD DE
PROPIETARIOS REGISTRAR SUS ARCHIVOS DE DATOS?
• Sólo se encuentran excluidos de la LOPD, y por lo tanto de
la notificación al RGPD, los ficheros o tratamientos
realizados o mantenidos por personas físicas en el
ejercicio de actividades exclusivamente personales o
domésticas.
• Los ficheros que pueda crear una persona física fuera del
ámbito estrictamente personal o doméstico, en el
desarrollo de una actividad profesional, mercantil,
comercial, … están sujetos a la LOPD y son objeto de
inscripción en el RGPD.
• Los ficheros de la comunidad de propietarios no se
consideran ficheros de uso personal o doméstico.
21. 21
Agencia Española de Protección de Datos
¿POR QUÉ LA AEPD EXIGE REQUISITOS ADICIONALES PARA LA
AUTORIZACIÓN DE UNA TRANSFERENCIA INTERNACIONAL A LA
SUSCRIPCIÓN DE LOS MODELOS DE CONTRATO BASADOS EN LAS
CLÁUSULAS CONTRACTUALES APROBADAS POR LA COMISIÓN, P.E.
CLÁUSULA 12 RELATIVA A LAS OBLIGACIONES UNA VEZ FINALIZADA LA
PRESTACIÓN DE LOS SERVICIOS DE TRATAMIENTO DE LOS DATOS DE
CARÁCTER PERSONAL?
– Las Decisiones de la Comisión establecen modelos de cláusulas
contractuales tipo.
– Es necesario adaptar el modelo a la situación concreta de la transferencia:
descripción de la transferencia, finalidades, categorías de colectivos,
categorías de datos, …. datos especialmente protegidos o no, medidas a
adoptar en la conclusión del contrato.
– Cláusula 12 (Obligaciones una vez finalizada la prestación de los servicios
de tratamiento):
• devolver los datos personales, o
• destruirlos por completo y certificar,
• salvo que la legislación aplicable al importador le impida devolver o
destruir los datos transferidos
– Si al celebrarse el contrato se definen las medidas a adoptar cuando éste
concluya, la cláusula 12 debe adecuarse a la situación. En caso de que esto
no sea posible mantener la redacción de la cláusula 12.
22. 22
Agencia Española de Protección de Datos
¿ SE CONSIDERAN TRANSFERENCIAS
INTERNACIONALES DE DATOS LAS COMUNICACIONES A
LA CIUDAD DEL VATICANO, Y CÓMO ACTUAR EN ESTOS
CASOS?
– Constituye una transferencia internacional de datos
cualquier tratamiento de datos que requiera la
transmisión de datos fuera del Espacio Económico
Europeo.
– La Ciudad del Vaticano no forma parte del Espacio
Económico Europeo ni es un país con nivel adecuado
de protección.
– Las transferencias a terceros países requieren:
• Autorización del Director de la Agencia, o
• Encontrarse amparadas en un supuesto del art. 34
LOPD (excepciones a la Autorización), entre los que
se encuentran la existencia de consentimiento del
interesado, la existencia de un Convenio
internacional en el que España forme parte.
23. 23
Agencia Española de Protección de Datos
¿SE MODIFICARÁ LA NORMATIVA SOBRE TRANSFERENCIAS
INTERNACIONALES DE DATOS, A RAÍZ DE LA NUEVA DECISIÓN 2010/87/UE
SOBRE ENCARGADOS DEL TRATAMIENTO Y LA PROBLEMÁTICA DE LOS
CONTRATOS DE OUTSOURCING DE CLOUD COMPUTING?
– Las transferencias internacionales de datos están reguladas por la LOPD y
el RLOPD
– La Decisión 2010/87/UE aporta flexibilidad en relación con las prestaciones
de servicios fuera del territorio español y la subcontratación posterior
– La Decisión 2010/87/UE permite a las autoridades de control aplicar este
modelo de cláusulas a situaciones en las que la prestación de servicios se
realice en territorio español siempre que se adopten las garantías que
establece la propia Decisión en las subcontrataciones posteriores en
terceros países (considerando 23)
– El RLOPD define al exportador de datos como la entidad establecida en
España que realiza transferencias internacionales de datos
– Posibilidad:
• autorización de transferencias internacionales a encargados de
tratamiento (exportadores de datos establecidos en España) basadas en
un acuerdo marco con subencargados (fuera de España) que recojan
todas las garantías de la Decisión 2010/87/UE para encargados
• notificación posterior de los ficheros objeto de transferencias
internacionales por cada responsable, que firma un contrato de
prestación de servicios autorizando la subcontratación con un
encargado que tiene otorgada una autorización
24. 24
Agencia Española de Protección de Datos
EXISTEN RESOLUCIONES DE LA AGENCIA
DONDE DISPONEN QUE DATOS PERSONALES
QUE APARECEN EN PÁGINAS WEB DEBEN SER
SUPRIMIDOS. EN EL CASO QUE HAGAN CASO
OMISO, ¿ACTÚA LA AGENCIA DE PROTECCIÓN
DE DATOS PARA QUE SE CUMPLA DICHA
RESOLUCIÓN?
En el supuesto de que el solicitante haya requerido la
supresión de imágenes suyas y no se haya realizado se
darían las circunstancias para requerir la tutela de la
Agencia o solicitar la iniciación de una procedimiento
sancionador que se inicia por el Director de oficio en
función de las circunstancias concurrentes
(identificabilidad, imágen en prensa …)
25. 25
Agencia Española de Protección de Datos
¿SANCIONARÁ LA AEPD A PARTICULARES POR GRABACIÓN
DE IMÁGENES YA SEAN RECOGIDAS POR VIDEOVIGILANCIA O
POR CÁMARAS FOTOGRÁFICAS MÓVILES, ETC..? ¿ES
SANCIONABLE QUE UN PARTICULAR SUBA A LA RED LA
IMAGEN DE OTRO PARTICULAR SIN SU PERMISO?
La captación de imágenes encuentra una excepción, desde el
régimen de protección de datos personales, en el ámbito
doméstico. En tal exclusión se encontraría la captación de
imágenes con cámaras fotográficas móviles personales. No
obstante, la inclusión en Internet desborda el ámbito doméstico
con lo que deben mantenerse únicamente si disponen del
consentimiento de las personas cuya imagen se incluye.
26. 26
Agencia Española de Protección de Datos
VIDEOVIGILANCIA: INSTALACIÓN MUY FRECUENTE DE
MONITORES DE VISUALIZACIÓN DEL CIRCUITO EN ZONA
DE COMERCIOS DONDE PUEDEN VER LAS IMÁGENES
TODOS LOS CLIENTES Y TRABAJADORES QUE ACCEDEN
A LA TIENDA. SUELEN INSTALARSE EN ESAS ZONAS
COMO ELEMENTO DISUASORIO. ¿ES SANCIONABLE QUE
EL MONITOR NO ESTÉ EN UNA ZONA DE ACCESO
CONTROLADO Y RESTRINGIDO?
El principio de proporcionalidad debe aplicarse también a
la visualización de imágenes captadas con cámaras. Así,
no concuerda con tal principio la opción de visionado por
todos los vecinos de una comunidad de las imágenes de
las cámaras en el portal a través de un canal de televisión.
Tampoco lo sería la visualización indiscriminada instalando
el monitor en una zona de acceso no restringido y
controlado.
27. 27
Agencia Española de Protección de Datos
• FICHEROS DE VIDEOVIGILANCIA QUE CAPTEN IMÁGENES
SUSCEPTIBLES DE INVESTIGACION POLICIAL. BLOQUEO
Y CUSTODIA. OBLIGACIONES.
• Rige con carácter general el deber de bloqueo.
• Los ficheros privados de videovigilancia: no tienen por
finalidad vigilar la vía pública.
• Pueden notificarse en el marco de la denuncia presentada
por el interesado.
• La cesión de datos puede estar amparada por el artículo 22
LOPD. Debería documentarse:
– El requerimiento de la autoridad policial o judicial.
– La salida y entrega de datos.
28. 28
Agencia Española de Protección de Datos
• ¿QUÉ LIMITACIONES TIENE COLOCAR CAMARAS IP DE VIDEO
EN EL PUESTO DE TRABAJO? Y EN LA OFICINA EN GENERAL,
¿DONDE PUEDO COLOCARLAS?
• Legitimación (artículo. 20.3 ET).
• Deber de información previa:
– Representación sindical: comité de empresa o
delegados de personal.
– Información al afectado.
• Proporcionalidad.
– Respeto a la dignidad del trabajador.
– Intervención mínima: medida menos gravosa.
– Idoneidad: medida más adecuada.
• Garantía de los derechos y principios de protección de
datos.
• Nunca se colocarán espacios de “vida privada” como
baños o vestuarios.
29. 29
Agencia Española de Protección de Datos
• EN LA SALIDA DE SOPORTES INFORMÁTICOS, ¿SI SE
TRATA DE UN SOPORTE QUE SALE DIARIAMENTE, ES
NECESARIO INTRODUCIR DIARIAMENTE SU SALIDA O SE
PUEDE MARCAR "DIARIAMENTE" Y NO TENER QUE
RELLENARLO DÍA A DÍA?.
• Existen elementos en una salida de soportes diaria que
suelen ser comunes: autorización del responsable, tipo de
datos, medio o soporte con el que se envían, destinatario
… Nada obsta a la presencia en el documento de seguridad
de una autorización general que recoja estos elementos
comunes. Sin embargo, el registro provee de trazabilidad
por tanto los elementos variables, -que salgan en horas
distintas, que por una situación de ILT cambie el usuario
que lo realiza etc.-, deberán registrarse.
30. 30
Agencia Española de Protección de Datos
• ¿QUE MEDIDAS DE SEGURIDAD HAY QUE APLICAR A UN
FICHERO DE PAPEL QUE CONTIENE CURRICULUM, LAS DE
NIVEL BÁSICO O MEDIO?
• En este ámbito deben diferenciarse distintos elementos:
– La naturaleza de los datos que requieran.
– La finalidad que se persiga.
– La capacidad de tratamiento en relación con la finalidad.
• Si expresamente se excluye por la empresa que se incluyan datos
a los que se deba aplicar un nivel básico o alto se podría dar una
situación de incidentalidad, y un nivel básico.
• Si no se dispone de medios para tratar los datos con el fin de
obtener una evaluación de la personalidad y si además no se
persigue tal finalidad el fichero podría ser de nivel básico.
• Si se dispone de medios, o se persigue el establecer aspectos
como “proactividad”, “capacidad de trabajo en equipo”,
“liderazgo” etc., el fichero sería de nivel medio.
• Si se oferta un puesto a personas con discapacidad podría ser de
nivel alto.
31. 31
Agencia Española de Protección de Datos
• REQUISITOS PARA ESTABLECER LOS INVENTARIOS DEL
SOPORTE PAPEL.
• Las medidas relativas a la gestión de soportes y
documentos se aplican a los ficheros no automatizados.
Evidentemente, los requisitos se ajustarán a las
condiciones del fichero concreto del que se trate, del
soporte etc. No es lo mismo un fichero con currículos, con
historias clínicas o con negativos fotográficos. Lo que con
toda seguridad incidirá en el inventario va a ser el criterio
de archivo que se establezca.
32. 32
Agencia Española de Protección de Datos
• ¿QUÉ MEDIDA DE SEGURIDAD SERÍA EQUIVALENTE A
LOS REQUISITOS DEL ARTÍCULO 113.2 DEL RD
1720/2007? ¿BASTARÍA CON UN REGISTRO DE ACCESOS
O DEBERÍAN INCLUIR SISTEMAS DE IDENTIFICACIÓN
PARA EL ACCESO A LOS ARMARIOS CON
DOCUMENTACIÓN?
• El precepto se refiere al acceso a documentos, de un
interpretación sistemática del RD se derivaría que:
– Debe existir una lista de usuarios autorizados.
– La profundidad de la trazabilidad alcanza al expediente
o incluso al documento.
• Hay que disponer de algún registro que alcance al
expediente, cuando este se retira completo, o al documento
según los casos.
33. 33
Agencia Española de Protección de Datos
• ¿ES NECESARIO DETALLAR EXPRESAMENTE TODAS Y CADA
UNA DE LAS CONCRETAS MEDIDAS DE SEGURIDAD A
ADOPTAR EN UN CONTRATO DE ENCARGADO DEL
TRATAMIENTO O ES SUFICIENTE CON INDICAR ÚNICAMENTE EL
NIVEL DE MEDIDAS DE SEGURIDAD QUE EL ENCARGADO DEL
TRATAMIENTO DEBE CUMPLIR?
• La LOPD señala que en el contrato se estipularán las medidas de
seguridad (art. 12.3)
• El RLOPD parte de distintas premisas:
– La diligencia en la elección del encargado (art. 20.2).
– La diferencia desde el punto de vista de la seguridad de
distintos tipos de encargado y el deber de fijar políticas
específicas (art. 82).
– La recogida en el documento de seguridad del encargo (art.
88).
– La posibilidad de delegar la llevanza del documento en el
propio encargado (art. 88).
• Todos los preceptos apuntan en la misma dirección: no basta con
una mera referencia al nivel de medidas a satisfacer, deben
definirse las condiciones de seguridad concretas.
34. 34
Agencia Española de Protección de Datos
• LAS MEDIDAS DE SEGURIDAD DE PROTECCIÓN DE
DATOS DE NIVEL ALTO EN LA EMPRESA, ¿SE CUMPLEN
PLENAMENTE CON LA IMPLANTACIÓN DE LAS ISO 27001
Y 27002?
• La aplicación de este u otros estándares de seguridad
puede contribuir al cumplimiento del RLOPD. Pero, las
obligaciones fijadas en el Reglamento, y el modo de
documentarlas poseen un carácter normativo y deben
cumplirse en sus propios términos.
35. 35
Agencia Española de Protección de Datos
• DE ACUERDO CON EL ARTÍCULO 96.1 DEL REAL
DECRETO 1720/2007, ¿SE CONSIDERA LA FUSIÓN,
ABSORCIÓN O ESCISIÓN DE EMPRESAS,
MODIFICACIONES SUSTANCIALES EN EL SISTEMA DE
INFORMACIÓN, Y SERÍA NECESARIO REALIZAR UNA
AUDITORÍA DE CUMPLIMIENTO DE LAS MEDIDAS DE
SEGURIDAD DEL REAL DECRETO?
• Si de lo que se trata es de anotar en el
documento de seguridad un cambio de
responsable: NO
• Si se trata de la implantación de una nueva
cultura corporativa, migraciones de datos a otros
servidores, integración de carteras de clientes,
cambios físicos o cualesquiera otros siempre que
el proceso de que se trate pudiera poner en
riesgo la seguridad de los datos: SI
36. 36
Agencia Española de Protección de Datos
• COMO REGLA GENERAL, ¿QUÉ NIVEL DE SEGURIDAD
AFECTA A LAS REDES SOCIALES QUE PIDEN DATOS
BÁSICOS CON LOS CUALES HACEN SEGMENTACIÓN DE
PERFILES CON FINES PUBLICITARIOS? ¿BÁSICO, MEDIO
O ALTO?
• Si la segmentación de perfiles alcanza a definir como
destinatario de la campaña un usuario concreto: MEDIO.
• Si esa segmentación que alcanza a definir como
destinatario de la campaña un usuario concreto se basa en
datos especialmente protegidos como salud o vida sexual:
ALTO.
37. 37
Agencia Española de Protección de Datos
• UNA MANERA DE INFORMAR A LA CIUDADANÍA SOBRE SUS
TRÁMITES CON LOS DISTINTOS ORGANISMOS DE UNA
ADMINISTRACIÓN ES LLEVAR LA INFORMACIÓN RELEVANTE A
UN PUNTO Y MANTENERLA ACTUALIZADA. ¿CUÁL ES LA
MEJOR MANERA DE REGULAR ESA POSIBLE "CESIÓN" (O NO)
ENTRE LOS ORGANISMOS Y EL PUNTO CENTRAL SIN
"BUROCRATIZAR" LA GESTIÓN Y SIN EXIGIR NECESARIAMENTE
EL CONSENTIMIENTO DEL CIUDADANO, PENSANDO SIEMPRE
QUE EL OBJETIVO ES CUMPLIR LA ATENCIÓN ON-LINE?
• Si la información online sobre trámites no requiere
identificar a un ciudadano no se aplicaría la LOPD.
• Si se requiere identificación, al ir referida la pregunta a las
consultas sobre el estado de tramitación, existen distintos
escenarios:
– Que el ciudadano se dirija “al informador” y se trate de
un sistema que edite “información” tomada
directamente, actuando como encargado.
– Que se cedan datos. La LAE establece para la
interoperabilidad consentimiento expreso o habilitación
legal.
38. 38
Agencia Española de Protección de Datos
• ¿COMO AFECTA EL ESQUEMA NACIONAL DE SEGURIDAD
(RD 3/2010) AL CONTENIDO DEL DOCUMENTO DE
SEGURIDAD? ¿Y SI LOS FICHEROS DE LA SEDE
ELECTRÓNICA DEBEN INSCRIBIRSE POR SEPARADO DE LOS
YA INSCRITOS ANTERIORMENTE Y CON IGUAL FINALIDAD EN
LA ADMINISTRACIÓN?
• El Esquema Nacional integra sus políticas de seguridad
con las del RLOPD. El documento de seguridad previsto
en esta norma podría ampliarse e integrarse con los del
ESN pero siempre que garantice los objetivos de
documentación del RLOPD.
• Será necesario inscribir o modificar el fichero cuando se
trate de una nueva aplicación con características
diferenciadas o bien se incorporen nuevas finalidades,
usos, cesiones etc.
39. 39
Agencia Española de Protección de Datos
• PUEDE LA ADMINISTRACIÓN PÚBLICA
PROHIBIR EXTRAER FICHEROS INFORMÁTICOS
EN SOPORTES EXTRAÍBLES.
• Debe fijar una política de autorizaciones para la
salida de soportes fuera de la organización. El
RLOPD exige autorización previa por el responsable
o en el documento de seguridad y, en el nivel alto,
cifrado de los soportes portátiles.
40. 40
Agencia Española de Protección de Datos
• EL FUNCIONARIO QUE TELETRABAJE, ¿SERÁ
ENCARGADO DE TRATAMIENTO, CESIONARIO O
USUARIO AUTORIZADO DEL FICHERO?, ¿DEBERÁ
IMPLANTAR EN SU DOMICILIO (PC Y ARCHIVO FÍSICO, EN
SU CASO) LAS MEDIDAS DE SEGURIDAD APLICABLES A
LOS EXPEDIENTES INCLUIDOS EN EL FICHERO DE LA
ADMINISTRACIÓN?
• En principio será usuario del sistema de información.
• Deberán implantarse medidas de seguridad. De
hecho, y a título de ejemplo, una de ellas podría
consistir en definir un entorno de trabajo remoto con
prohibición de guardar documentación en el domicilio
y/o de permitir su visionado a usuarios no
autorizados.
41. 41
Agencia Española de Protección de Datos
• SOLICITUD DE DERECHOS ARCO A TRAVES
DEL PORTAL WEB
• Se somete a los requisitos generales pero con el
deber de asegurar el carácter personalísimo del
ejercicio disponiendo de métodos de verificación
de la identidad o la representación que se
ostente.
42. 42
Agencia Española de Protección de Datos
• ¿EXISTE ALGUNA INICIATIVA PARA REGULAR LA PROTECCIÓN
DE DATOS PERSONALES CUANDO SE UTILICEN SERVICIOS DE
CLOUD COMPUTING EN LOS QUE ES DIFÍCIL DETERMINAR LA
LOCALIZACIÓN DE LOS DATOS FÍSICAMENTE?
• Se está estudiando implementar procedimientos en
el marco de las TID
• La contratación de un proveedor de Servicios de
Cloud Computing es un supuesto de tratamiento de
los datos por cuenta de terceros y corresponde al
responsable cumplir aquellos aspectos de la
normativa vigente que le sean exigibles y en
particular la relativa a:
– La formalización de un contrato en los términos
exigibles conforme a la legislación española.
– El cumplimiento, en su caso, de las reglas que
rigen las transferencias internacionales de datos.
43. 43
Agencia Española de Protección de Datos
• LA CUENTA DE CORREO ELECTRÓNICO Y RECURSO DE RED
PERSONAL ASIGNADO A EMPLEADO PÚBLICO (ADMINISTRACIÓN),
JURÍDICAMENTE ES DE USO EXCLUSIVO CORPORATIVO, Y ASÍ POR
MOTIVOS DE IT, VACACIONES, ETC., ¿SE PUEDE AUTORIZAR ACCEDER
A ELLOS PARA CONSULTAR SU CONTENIDO SIN NECESIDAD DE SU
AUTORIZACIÓN? ¿PROCEDIMIENTO LEGAL?
• Debe definirse de modo preciso y con información
previa el carácter corporativo de las cuentas.
• Deben fijarse las políticas que se seguirán en los
supuestos de ausencia del trabajador/funcionario por
un determinado periodo o en casos de urgencia.
• Es recomendable:
– Desarrollar procesos de formación donde se
informe adecuadamente.
– Documentar esta política.
– Atribuir identidades no nominativas.
44. 44
Agencia Española de Protección de Datos
• SI FINALIZA LA RELACIÓN LABORAL, EVENTUAL,
FUNCIONARIAL, ¿SE PUEDE ORDENAR ELIMINAR LA
CARPETA DE RED?
• Debe ser una política preestablecida y clara que:
– Defina los usos de la carpeta.
– Defina las condiciones que darán lugar al borrado.
– Tenga en cuenta posibles obligaciones de
conservación y/o bloqueo.
– Contemple sistemáticamente una política rigurosa
de altas y bajas de usuarios.