Seminario LOPD en la Universidad de Murcia. www.legitec.com en su habitual colaboración con la Universidad de Murcia, hemos impartido un seminario sobre protección de datos para los alumnos del Máster de Psicología Clínica.
El objetivo de este seminario es sensibilizar a los psicólogos de los riesgos en materia de protección de datos que implica su actividad diaria.
Entre los temas que se han tratado, se ha hecho hincapié en estos aspectos:
Qué no son datos personales
Sujetos obligados
Obligaciones legales
Derecho a la información y consentimiento
Tratamientos de menores
Deber de secreto
Medidas de seguridad
Ejercicio de derechos ARCO
Derecho al olvido
Uso habitual de aplicaciones y redes sociales
Sanciones
2. ¿Quién soy?
María Herrera y Mira de Orduña
Abogada
Vocal de la Sección TIC de ICAMUR
Postgrado en Auditoría Jurídica de Sistemas informáticos
Cursos de auditoría (ISO 9000, ISO 27OOO)
Consultora jurídica en protección de datos y nuevas tecnologías
Auditora jurídica en LEGITEC Consultores y Auditores
4. ¿Qué es la privacidad?
• La privacidad es el derecho a que te dejen en paz, a vivir tu propia
vida con las mínimas interferencias.
• Este derecho implica la facultad de disponer sobre el uso que se hace
de tus propios datos.
5. El Gran
Hermano
• El concepto tiene su origen en la
novela de George Orwen “1984”
• Vigilancia constante utilizando
avanzadas tecnologías
• Se difunde propaganda con el
objetivo de inculcar el modo de
pensar que el gobierno desea de
los ciudadanos y ciudadanas
• Podemos ser acusados de “crimen
de pensamiento” por la “policía de
control del pensamiento”
9. ¿Pero realmente estamos protegiendo datos?
• No, protegemos personas
• Protegemos el derecho de disposición de la persona sobre sus datos
personales, el derecho a saber por qué, para qué y cómo van a ser
tratados sus datos personales y a decidir acerca de su uso y de su
comunicación a terceros.
10. Sentencia 292/2000, de 30 de noviembre de
2000 del Tribunal Constitucional
• El objeto de protección del derecho fundamental a la protección de
datos no se reduce sólo a los datos íntimos de la persona, sino a
cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o
empleo por terceros pueda afectar a sus derechos, sean o no
fundamentales, porque su objeto no es sólo la intimidad individual,
que para ello está la protección que el art. 18.1 CE otorga, sino los
datos de carácter personal.
• Por consiguiente, también alcanza a aquellos datos personales
públicos, que por el hecho de serlo, de ser accesibles al conocimiento
de cualquiera, no escapan al poder de disposición del afectado
porque así lo garantiza su derecho a la protección de datos.
11. Normativa aplicable
• Constitución Española. Artículo 18.4: “La Ley limitará el uso
de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos, y el pleno ejercicio de sus derechos”.
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal. (LOPD)
• Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante
RLOPD)
12. Reglamento Europeo de Protección de Datos
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL
CONSEJO de 27 de abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos)
• Entra en vigor en mayo de 2018
13. Concepto de Protección de Datos
• La protección de datos consiste en el poder de disposición y control
sobre cualquier información concerniente a las personas (nombre y
apellidos, teléfono, dirección, datos bancarios, edad, historial médico,
ideología…).
• Constituye un dato de carácter personal cualquier información
concerniente a personas físicas identificadas o identificables; tanto
las relativas a su identidad (como nombre y apellidos, domicilio,
filiación, etc.) como las relativas a su existencia y ocupaciones
(estudios, trabajo, enfermedades, etc.)
• La imagen también es un dato personal, por lo que se tiene derecho
a decidir sobre su recogida, grabación y utilización.
14. • Además, existen dentro de los datos personales una serie de ellos que
merecen una protección reforzada:
• Cuando tienes un conjunto de datos que permiten ofrecer
una definición de la personalidad, o evaluar determinados
aspectos del comportamiento de las personas.
• Los datos relativos a salud, ideología, religión, creencias,
origen racial, violencia de género o vida sexual, que
pertenecen a la categoría de “datos especialmente
protegidos”.
15. • Datos sensibles (RGPD)
• Origen étnico o racial
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Tratamiento de datos genéticos
• Datos biométricos
• Datos relativos a la salud
• Datos sobre la vida sexual o la orientación sexual
• Datos relativos a condenas o infracciones penales
16. NO ES UN DATO PERSONAL
• Ficheros domésticos
Siempre que el tratamiento de datos se circunscriba al marco de la vida
privada o familiar de los particulares.
• Personas fallecidas
Pero las personas vinculadas al fallecido pueden solicitar la cancelación de
los datos.
• Personas jurídicas
Pero atención con los datos de las personas físicas vinculadas a la persona
jurídica.
17. Quien está obligado a cumplir la LOPD
•Responsables del fichero psicólogo por cuenta
propia
•Encargados de tratamiento psicólogos que trabajan
para un tercero con contrato mercantil (autónomos)
•Usuarios psicólogos por cuenta ajena (contrato
laboral o autónomo dependiente)
19. ¿Qué debo hacer si trato datos personales?
• Deben ser tratados de manera lícita leal y transparente en relación al interesado
(licitud, lealtad y transparencia)
• Deben ser recogidos para fines determinados, explícitos y legítimos, y no ser
tratados de manera incompatible con dichos fines (limitación de la
responsabilidad)
• Deben ser adecuados, pertinentes y limitados lo necesario en relación a los fines
para los que son tratados (minimización de datos)
• Deben ser exactos, si fuera necesario actualizados, debiendo suprimirse o
rectificarse aquellos que resulten inexactos con respecto a los fines sin dilaciones
indebidas (exactitud)
• Cancelados cuando ya no sean necesarios (limitación del plazo de conservación)
• Tratados de manera que garanticen la seguridad adecuada de los mismos
(integridad y confidencialidad)
20. ¿Por donde empezar?
• Protección de datos desde el diseño y por defecto
planificación
• Fase de análisis (RGPD: Evaluaciones de impacto)
• Elección de los medios tecnológicos y materiales teniendo
en cuenta los aspectos de privacidad en el diseño
• Elección de nuestros colaboradores teniendo en cuenta el
cumplimiento normativo en materia de protección de datos
• Auditar nuestra web antes de comenzar
21. Y luego
•Inscripción de ficheros (RGPD: Registro de las
actividades del tratamiento)
•Elaboración de cláusulas, peticiones de
consentimientos…
•Elaboración de contratos
•Procedimientos para la correcta atención de los
derechos del interesado
22. •Redacción de las medidas de seguridad necesarias:
Documento de seguridad
•Controles periódicos
•Auditorías cada dos años
•Cancelación de los datos una vez haya finalizado el
tratamiento
23. Necesito que el tratamiento sea lícito
• Consentimiento Acepto política de privacidad
• Es un tratamiento necesario para la ejecución de un contrato en la
que el interesado es parte
24. CONSENTIMIENTO
• Requisito para la licitud del tratamiento
• Cuando se solicite el consentimiento se realizará para un tratamiento
concreto delimitando su finalidad y las condiciones que concurran en el
mismo. Las cesiones o comunicaciones de datos tienen también que ser
consentidas por las personas interesadas.
• El responsable debe ser capaz de demostrar que el interesado consintió
• En los datos especialmente protegidos el consentimiento será expreso
• El consentimiento debe reunir una serie de características
25. • Es libre.
Salvo que la ley lo disponga no podemos ser obligados a facilitar nuestros datos. En
caso de que así fuera nos deben informar del carácter obligatorio de las preguntas
que realicen y de las consecuencias que se derivan si nos negamos a facilitar datos.
• Es previo e informado.
Por tanto, la información sobre el tratamiento siempre debe existir antes de que,
por ejemplo en Internet, marquemos la opción de aceptación.
• Es específico.
No consentimos en que traten nuestros datos para cualquier cosa que deseen. Nos
tienen que señalar de modo concreto para qué se van a usar.
• Es revocable.
Excepto cuando sea obligatorio facilitar los datos, si pudimos consentir libremente
podremos retirar nuestro consentimiento del mismo modo.
26. Derecho a la información / Transparencia de la
información
• La información debe ser concisa, transparente, inteligible y de fácil acceso,
con un lenguaje claro y sencillo.
• La información deberá facilitarse por escrito (RGPD)
• Se informará de:
• La existencia del fichero o tratamiento, la finalidad del a recogida y los destinatarios
de la información
• Cesiones previstas
• Carácter obligatorio o facultativo de las preguntas
• Consecuencias de la obtención de los datos o negativa a suministrarlos
• Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
• Identidad y dirección del responsable del tratamiento
27. RGPD:
Añade otras obligaciones de información y transparencia como
• base jurídica del tratamiento
• plazo de conservación de los datos
• si se van a elaborar perfiles automatizadamente la lógica aplicada y la
importancia y consecuencias previstas de dicho tratamiento para el
interesado
• …
28. Tratamiento de datos de menores
• Dictamen del Grupo de Protección de Datos del artículo 29, (órgano
europeo consultivo en materia de protección de datos y privacidad,) de
fecha11 de febrero de 2009. sobre la protección de los datos personales
de los niños (Directrices generales y especial referencia a las escuelas)
• Datos de personas especialmente vulnerables
• Las clausulas para menores deben estar en un lenguaje claro y sencillo.
¡Atención!
• Pueden consentir el tratamiento de sus datos desde los 14 años
• Pueden consentir tratamientos sanitarios desde los 16 años
29. Deber de secreto
• Del responsable de tratamiento , y todos los que tratan datos por cuenta de este,
incluso una vez finalizadas las relaciones.
• Tiene implicaciones como:
• Necesidad de establecer la identidad del llamante antes de facilitar datos personales por
teléfono.
• No facilitar nunca datos de mayores de edad a ninguna persona, salvo que tengamos el
consentimiento por escrito del titular.
• Los datos de los menores de edad solo se facilitan a sus padres o tutores, nunca a otros
familiares.
• Los datos personales de los mayores de 14 años solo se pueden comunicar a los padres o
tutores con autorización, o en los casos previstos legalmente.
33. 4. Ejercicio de derechos
CCESO
ECTIFICACION
ANCELACIÓN
POSICIÓN
34. Derecho de Acceso
• A solicitar y obtener información de sus datos de carácter personal
sometidos a tratamiento, y del origen de dichos datos así como las
comunicaciones realizadas o que se prevén hacer de los mismos.
• La Ley de Autonomía del Paciente nos autoriza a la reserva de las
anotaciones subjetivas contenidas en la historia clínica.
36. Derecho de Cancelación
• El interesado podrá solicitar cancelación de
aquellos datos cuyo tratamiento no se ajuste a lo
dispuesto en la ley, o sean inexactos o
incompletos, así como por la previa revocación
del consentimiento.
37. El derecho al olvido
• El RGPD, ha aumentado la regulación
del derecho de supresión (cancelación
en LOPD) para obligar al responsable
del tratamiento a la supresión de
cualquier enlace a los datos
personales, así como cualquier copia o
réplica del mismo.
• Esto siempre atendiendo a la
tecnología disponible y el coste, y con
ciertas excepciones (libertad de
expresión, obligación legal, interés
publico..)
38. Derecho de Oposición
• Si el interesado se opone al
tratamiento de sus datos, en
aquellos casos en los que no sea
necesario su consentimiento
para el tratamiento de estos, y
siempre que una ley no
disponga lo contrario
39. Derecho a la portabilidad de datos
• Derecho a recibir los datos
personales que le incumban, que
haya facilitado a un responsable del
tratamiento, en un formato
estructurado, de uso común y
lectura mecánica, y transmitirlos a
otro responsable del tratamiento sin
que lo impida el responsable al que
lo ha facilitado
40. Decisiones
individuales
automatizadas
• Derecho a no ser objeto de
una decisión basada
exclusivamente en el
tratamiento automatizado,
incluida la elaboración de
perfiles, que produzca
efectos jurídicos en él o le
afecte significativamente
de modo similar
42. ¿Puedo usar WhatsApp con los
pacientes?
• Cesión de datos
• Incumplimiento del deber de secreto
• Transferencias internacionales de datos
• Con consentimiento y para avisos
administrativos.
• No transmitir nunca datos de nivel alto.
43. Otras redes sociales
• No poner etiquetas con nombres en fotos o videos
• Avisar cuando se vayan a realizar fotografías o videos que tengan
como finalidad ser divulgados por internet
• No poner fotos de personas que no hayan dado previamente el
consentimiento.
• No compartir fotografías, salvo que se disponga de autorización
• Que aparezca claramente la posibilidad de solicitar la cancelación de
las imágenes.
• No incluir comentarios que afecten a la privacidad de las personas.
45. • Son infracciones leves,
• no remitir a la Agencia Española de Protección de Datos las
notificaciones previstas en la LOPD o Reglamento de desarrollo;
• no solicitar la inscripción del fichero de datos de carácter personal
en el Registro General de Protección de Datos;
• el incumplimiento del deber de información a quienes se les
soliciten datos personales,
• y la transmisión de datos a un encargado del tratamiento sin
cumplir los requisitos establecidos en el art. 12 de la LOPD.
46. • Son infracciones graves, entre otras,
• tratar o recabar datos de carácter personal sin recabar el
consentimiento del afectado;
• la vulneración del deber de guardar secreto;
• el impedimento u obstaculización al ejercicio de los derechos de
acceso, rectificación, cancelación u oposición por parte de los
afectados;
• la obstrucción del ejercicio de la función inspectora;
• o la comunicación o cesión de datos de carácter personal sin
contar con legitimación para ello.
47. • Por último, son infracciones muy graves, entre otras,
• la recogida de datos de forma engañosa o fraudulenta;
• la cesión de datos personales a terceros fuera de los casos
permitidos por la ley;
• no cesar en el tratamiento ilícito de los datos cuando el
responsable sea requerido para ello por el Director de la Agencia
de Protección de Datos;
• o la transferencia internacional de datos con destino a países que
no proporcionen un nivel de protección equiparable sin
autorización del Director de la AEPD.
48. Infracción Sanción
Leve Apercibimiento /900 a 40.000 €
Grave de 40.001 € a 300.000 €
Muygrave de 300.001 € a 600.000 €
RGPD: Hasta 20.000.000 € o 4% del
volumen de negocio total anual global del
ejercicio financiero anterior, optándose por
la de mayor cuantía
49. Gracias por vuestra atención
María Herrera y Mira de Orduña
Abogada
@MariaHerreraTIC
www.legitec.com
www.borrame.es