La Ley Orgnica de Proteccin de Datos de

La Ley Orgánica de Protección de Datos de Carácter Personal 15 /1999 Miercoles 9 de Octubre 2002 David Imízcoz- Encriptalia Seguridad y Comunicaciones S. L.

INTRODUCCIÓN PRIMEROS CASOS: – ESTADOS UNIDOS: OFFICE OF TELECOMUNICATION POLICY. “Ley de Privacidad” de 31 de diciembre de 1. 974 – Francia: Ley de 1. 978 relativa a la información a los ficheros y a las libertades. Creación de la CNIL – Alemania: Ley del Land de Hesse de 1. 970. Ley federal de 27 de enero de 1. 977. Sentencia del Tribunal Federal Constitucional Alemán de 15 de diciembre de 1. 983. TEXTOS INTERNACIONALES: – OCDE: Recomendaciones sobre circulación internacional de datos personales y protección de la intimidad de 23 de septiembre de 1. 980. – Consejo de Europa: Convenio 108, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1. 981

Normativa Aplicable: • Art. 18. 4 Constitución: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” • Ley Orgánica 5/1992, Reguladora del Tratamiento Automatizado de Datos (LORTAD) ØIntimidad: protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos. Ø Privacidad: constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado

Fuentes Aplicables: • Directiva 95/46/CEE • Real decreto 994/1999 (Reglamento de Medidas de Seguridad) • Ley Orgánica 15/1999 • STC 290 y 292/2000 • Carta de los Derechos Fundamentales de la Unión Europea • Instrucciones de la Agencia de Protección de Datos.

• STC 290 y 292/2000 Ø“. . . el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo. . . ”

Ámbito y Objeto de la LOPD: • Objeto de garantizar y proteger , en lo que se refiere al tratamiento de los datos; las libertades públicas y los derechos fundamentales de las personas físicas • Ámbito de aplicación: todos los datos de carácter personal ØExcluidos por tener regulación específica: ü Legislación del Régimen Electoral ü Padrones Municipales ü Legislación sobre función estadística pública ü Legislación del régimen de personal de las Fuerzas Armadas ü Registro Civil y Registro Central de Penados y Rebeldes ü Datos obtenidos mediante la utilización de videocámaras por los Cuerpos y Fuerzas de Seguridad del Estado

• Bien jurídico protegido Ø Libertad informática o autodeterminación informativa: el control de la información que nos concierne a cada uno, sea íntima o no, para preservar la propia identidad, la dignidad y la libertad de la persona

Definiciones: • Dato de carácter personal: ØArt. 3. a) LOPD: “Cualquier información concerniente a personas físicas identificadas o identificables” ØArt. 1. 4 RD 1332/1994: “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable”.

Definiciones: • Fichero: conjunto organizado de DCP cualquiera que fuere la forma o modalidad de su creación , almacenamiento, creación o acceso. • Dato susceptible de tratamiento: “Debe ser en forma automatizada, o que los datos se encuentren en soporte susceptible de tratamiento automatizado o que se encuentren bajo una estructura lógica que permita su acceso atendiendo a determinados criterios, se trate de un acceso automatizado o manual”

• Tratamientos manuales: ØConsiderando 27 Directiva: “. . . la protección de las personas debe aplicarse tanto al tratamiento automático como al manual; el alcance de la protección no debe depender de las técnicas utilizadas. . . ” Ø Directiva art. 3. 1: “. . . Se aplicarán al tratamiento total o parcialmente automatizado de DCP, así como al tratamiento no automatizado de DCP, contenidos o destinados a ser incluidos en un fichero” ØDisposición Adicional 1ª: la adecuación de los tratamientos o ficheros no automáticos deberá cumplimentarse en el plazo de 12 años a contar desde el 24 de octubre 1995. ØProtección de los productos de los ficheros: el volcado de la información de un fichero a soporte papel queda afectado por esta normativa

Definiciones: • Responsable del fichero: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento” Responsable de Ficheros Dpto. RRHH Dpto. SSII Dirección Gral. Empleados Fichero 1 Fichero 2 Fichero 3 Responsables internos de Ficheros Usuarios de Ficheros

Definiciones: • Afectado o interesado: “Persona física titular de los datos que sean objeto del tratamiento” • Encargado del tratamiento: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento” Gestoría Alojamiento Recursos Humanos • Acceso a los datos por cuenta de 3º: “Deberá estar regulada en un contrato por escrito, estableciéndose expresamente que este sólo tratará los datos conforme a las instrucciones del responsable del tratamiento; en el mismo contrato se estipularán las medidas de seguridad que el encargado habrá de implementar” Art. 12 LOPD

Definiciones: • Fuentes accesibles al público: “Tienen la consideración de fuentes de acceso público, exclusivamente: • Censo promocional • Repertorios telefónicos • Listas grupos de profesionales • Diarios y Boletines oficiales • Medios de comunicación

Principios de la LOPD: • Calidad de los datos: tratamiento leal: 1. “solo se podrán recoger cuando sean. . . adecuados, pertinentes y no excesivos. . . en relación con el ámbito y finalidades determinadas, explícitas y legítimas para que fueron recogidos” 2. “solo podrán ser utilizados para finalidades compatibles de aquellas que motivaron su recogida” 3. “. . . serán exactos y puestos al día. . . situación actual del afectado”; “rectificación y cancelación de oficio” 4. “. . . cancelación cuando dejen de ser necesarios o pertinentes para la finalidad para la que se recabaron” 5. “. . . prohibición de recogida por medios engañosos o fraudulentos”

Principios de la LOPD: • Derecho de Información en la recogida : tratamiento leal: A los interesados que se les solicite datos deberán ser previamente informados de modo expreso , preciso e inequívoco: 1. “Existencia de un fichero con datos de carácter personal, su finalidad y los destinatarios de la información” 2. “Carácter obligatorio o facultativo de su respuesta” 3. “Consecuencias de la obtención de los datos o de la negativa a suministrarlos” 4. “Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición” 5. “Identidad y dirección del responsable del tratamiento”

Principios de la LOPD: • Acepto que mis datos sean tratados por XXXX con la finalidad de realizar promociones comerciales. Acepto que estos datos sean cedidos a empresas del grupo con el mismo fin. Si deseo acceder, rectificar, cancelar u oponerme al tratamiento de estos datos lo comunicaré a XXXXX, Paseo de la Mikeletegi 53, 20009 Donostia – San Sebastián. • Acepto que mis datos sean tratados automáticamente por XXXX con la finalidad (del servicio) así como de servicios que pudieran resultar de su interés. Acepto que estos datos sean cedidos a otros. Si deseo acceder, rectificar, cancelar u oponerme al tratamiento de estos datos lo comunicaré en plazo de XXX días desde la presente a XXXXX, Paseo de la Mikeletegi 53, 20009 Donostia – San Sebastián.

Principios de la LOPD: • Información: 1. Cuando se recaben datos de terceros, el interesado deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero, dentro de los tres meses siguientes al momento del registro de los datos 2. Excepción: - fines históricos, estadísticos o científicos - cuando la información resulte imposible o exija esfuerzos desproporcionados (APD) - origen fuentes accesibles al público y se destinen a prospección comercial

Principios de la LOPD: • Consentimiento: 1. Regla general: el tratamiento de DCP requiere el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa 2. Excepciones: no se precisa cuando - se recojan para el ejercicio de las funciones propias de las Administraciones Públicas - provengan de partes de un contrato o precontrato de una relación negocial, laboral o administrativa - finalidad proteger un interés vital del interesado - fuente accesible al público

Principios de la LOPD: • Formas de otorgar el consentimiento: ØExpreso y por escrito Ø Expreso Ø Tácito Ø Presunto • Consentimiento: Datos especialmente protegidos: ØProtección máxima: datos referentes a ideología, afiliación sindical, religión o creencias. ü Nadie podrá ser obligado a declarar sobre estos datos, salvo que el afectado consienta expresamente y por escrito. ü Existe una obligación de advertir al interesado su derecho a no prestar su consentimiento. ØProtección media: Los datos que se refieran al origen racial, salud o vida sexual.

Principios de la LOPD: PROHIBICIÓN de crear o mantener ficheros con la finalidad exclusiva de almacenar datos que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual. • Seguridad de los Datos: ØSe deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal Art. 9 LOPD • Secreto Profesional: ØEl responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Principios de la LOPD: • Cesión de Datos: Ø Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado Ø Excepciones: ü cesión está autorizada en una Ley ü datos de fuentes accesibles al público ü para el desarrollo, cumplimiento y control de una relación jurídica ü destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas ü entre Administraciones Públicas con fines históricos, estadísticos o científicos ü estudios epidemiológicos o interés vital del interesado

Derechos de las personas en la LOPD: • Autodeterminación: facultad de conocer y controlar cuando y cómo se tratan los datos. • Información: facultad de conocer quien trata sus datos y con qué finalidad se han recabado. • Consulta: los ficheros inscritos pueden consultarse en la siguiente dirección: http: //www. agenciaprotecciondedatos. org

Derechos de las personas en la LOPD: • Acceso: El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos SUBSANACIÓN SOLICITUD DE ACCESO + FOTOCOPIA DNI PARTICULAR 10 DÍAS 30 DÍAS NOTIFICACIÓN EJERCICIO DEL ACCESO Limitación: Intervalos no inferiores a 12 meses SI NO RESOLUCIÓN

Derechos de las personas en la LOPD: • Rectificación y cancelación: serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos SUBSANACIÓN PARTICULAR SOLICITUD DE RECTIFICACIÓN O CANCELACIÓN NOTIFICACIÓN 10 DÍAS para hacer efectivo el derecho del particular EJERCICIO DEL DERECHO RESOLUCIÓN

Derechos de las personas en la LOPD: • Indemnización: Los interesados que sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados en la vía judicial correspondiente Registro de morosos Saldo de la deuda Situación actual del afectado Solicitud de préstamo Daño o perjuicio Indemnización

LOPD- Agencia de Protección de Datos: • Ente de Derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. • Ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas. • Actuaciones de la APD: ØDe oficio: inspecciones sectoriales: banca, sanidad, seguros, marketing directo, comercio electrónico etc. . . ØBajo denuncia: procedimiento de tutela de derechos

INFRACCIONES Y SANCIONES INFRACCIONES LEVES -No atender a la solicitud de rectificación o cancelación de los DCP. -No facilitar info. a la APD. -No inscribir los Ficheros. -Recoger Datos sin información debida. -Incumplir el deber de secreto INFRACCIONES GRAVES -Crear fichero de DCP alejados del interés legitimo de la empresa. -No recabar el consentimiento en lo caso necesarios. -Impedir o obstaculizar el ejercicio del acceso y oposición. -No rectificar o cancelar DCP cuando proceda. -No guardar el secreto de los datos de Nivel Medio -No cumplir las Medidas de Seguridad -No inscribir ficheros a requerimiento APD Multa de 600€ a 60000€ Multa de 60000€ a 300000€ INFRACCIONES MUY GRAVES -Recogida de DCP de forma fraudulenta. -Comunicación o cesión ilegal de datos (cesión internacional) -No recabar consentimiento en cuanto a los datos de Art. 7 LOPD. -No cesar en el tratamiento ilegitimo a requerimiento ADP -Tratar datos de forma ilegítima impidiendo el ejercicio de Dº; obstaculizarlos -No atender sistemáticamente a la inscripción RGPD Multa de 30000€ a 6000000€

MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO CAP II. RD 994/1999 • Documento de Seguridad, el responsable del fichero deberá elaborar una normativa de seguridad que contenga: - Ámbito de aplicación y especificación de los recursos protegidos. -Medidas y normas encaminadas a proteger datos. -Funciones y obligaciones del personal al manejar datos. -Estructura de los ficheros con DCP y descripción de los SSII que los tratan. -Procedimientos de respuesta ante incidencias realización de copias de respaldo. • Registro de incidencias: en el que conste el tipo de incidencia el momento en el que se ha producido y la persona que lo notifica • Identificación y Autenticación del usuario: necesario en el empleo de contraseñas, garantizar la autenticidad de las mismas, para lo que se cambiaran periódicamente • Control de Accesos: determinaran aquellos datos a los que puede acceder cada usuario para desarrollar sus funciones y solo el personal autorizado en el Documento de Seguridad podrán alterar, anular o acceder sobre los datos. • Gestión de Soportes: los soportes habrán de identificar el tipo de información que contienen y serán inventariados y almacenados en lugares de acceso restringido. • El responsable del fichero se encargara de la realización de copias de respaldo y de recuperación , estos deberán garantizar la reconstrucción en caso de perdida o destrucción; además habrán de hacerse al menos semanalmente.

MEDIDAS DE SEGURIDAD DE NIVEL MEDIO CAP. III. RD 994/1999 • El Documento de Seguridad deberá contener además - La identificación de los responsables de seguridad - Controles periódicos de cumplimiento y adecuación al propio DS. - Incorporar medidas para cuando el Soporte vaya a ser desechado o reutilizado • Los SSII se someterán a Auditoria interna o externa al menos cada dos años. El informe resultante de esta deberá determinar la adecuación a la normativa , identificar las deficiencias e implantar las medidas correctoras. • Se establecerá un sistema de Identificación inequívoca de los usuarios de accedan o intenten acceder a los datos . • En la Gestión de Soportes se establecerá un sistema de registro de entrada de soportes informáticos, que determine el tipo de soporte , la fecha y hora el emisor etc. . . existirá igualmente un registro de salida de soportes que facilite la información anteriormente dicha. • Registro de incidencias En los procesos de recuperación deberán hacerse constar los procedimientos que se emplearon y por parte de quien, y el establecimiento de los datos que han sido necesarios introducir de forma manual para ser recuperados.

MEDIDAS DE SEGURIDAD DE NIVEL ALTO CAP. IV. RD 994/1999 • La Distribución de Soportes que contengan datos de carácter personal se realizarán mediante el cifrado de los mismo , para garantizar la información que se contiene en estos. • Registro de Accesos , en el que constará la identificación del usuario, la fecha , el fichero accedido, el tipo de acceso y la autorización o denegación del mismo. El periodo mínimo de conservación de los datos será de dos años, el responsable de seguridad se encargará de revisar periódicamente la información de control registrada. • La transmisión de datos a través de redes de telecomunicaciones se realizará mediante el cifrado de estas.

IMPLANTACIÓN EN LA EMPRESA Departamento de Informática Departamento de Personal y RRHH Dirección General Control de Accesos a los sistemas Tratamiento de Nominas Formación y Mentalización Claves de Usuario: personales Personas con acceso para su confección Organización de los Trabajos Número de Personas con acceso a los Ficheros Servicio Externalizado Responsabilidad Gestión y Administración de las copias de Respaldo Mantenimiento de Datos históricos de trabajadores Datos que en ellas se contienen Exigencia

ACCIONES DIAGNÓSTICO TRATAMIENTOS Impagados Nóminas Clientes Personal Proveedores Agenda Control de accesos Promociones Internet Housing Salud Laboral CAPTACIÓN DE DATOS CONSENTIMIENTO TRATAMIENTO DESTINO CALIDAD DE LOS DATOS INFORMACIÓN MEDIDAS DE SEGURIDAD FINALIDAD OUTSOURCING Y CESIÓN DE DATOS DERECHOS A, R, C, O MEDIDAS DE SEGURIDAD FINALIDAD CESIÓN DE DATOS DERECHOS A, R, C, O MEDIDAS DE SEGURIDAD