pablo ortega ortega director responsable del área de protección de datos de asesunion
TRANSCRIPT
PABLO ORTEGA ORTEGA
Director responsable del área de protección de datos de Asesunion
Temas a tratar• LEY ORGÁNICA 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal.
• REAL DECRETO 1720/2007, 21 de diciembre.(aprueba el desarrollo LOPD)
• Disposición final quincuagésima sexta. Ley de economía sostenible 2011(Modificación LOPD).
• LEY 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico.
• REAL-DECRETO LEY 13/2012, 30 de Marzo.• (transpone varias directivas europeas a la LSSI)
¿QUÉ ES UN DATO PERSONAL?Un dato personal no es otra cosa que una información que podemos relacionar con una persona física.
¿ y los datos de una persona jurídica?
• No son datos personales los que se refieren a una persona jurídica, por ejemplo: en las sociedades, empresas o administraciones, los datos como la denominación social, el CIF o cualquier otro dato de naturaleza empresarial.
¿Cuándo se produce recogida de datos personales en mi empresa?
• Verbalmente
• Por escrito
• Usando formularios online.
• Mediante captación de imágenes.
• La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico informatizado (a lo que denominamos fichero) que sean susceptibles de tratamiento y toda modalidad de uso de finalidad comercial.
¿Qué es un fichero?
• Cuando los datos, contenidos en cualquier programa o soporte, están organizados para que podamos usarlos y recuperarlos, tenemos un fichero.
• A partir de este momento entre en juego la LOPD 15/1999, 13 de Diciembre.
LOPD 15/1999, 13 de Diciembre
• Tiene por objeto garantizar y proteger en lo que concierne al tratamiento de los datos personales, especialmente de su honor e intimidad personal y familiar.
¿Quién es el responsable del fichero?
• El responsable del fichero o tratamiento es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales.
Principales obligaciones del responsable del fichero
• Notificar al registro de la AEPD los ficheros para su inscripción.
• Asegurar la veracidad, obtención lícita, legítima y trato adecuado y proporcional.
• Garantizar los deberes de secreto y seguridad.
• Informar a los titulares de los datos personales en su recogida.
• Obtener el consentimiento para el tratamiento de los datos personales.
• Garantizar los derechos ARCO.
• Asegurar que las relaciones con terceros que le presten servicios compartiendo datos personales, se cumpla la LOPD.
• Cumplir con lo dispuesto en la legislación sectorial que le sea de aplicación.
¿Quién es el encargado del tratamiento?
• Es la persona física o jurídica, pública o privada, u organismo administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de aplicación para la prestación de un servicio.
¿Qué organismo vela por el cumplimiento de la LOPD?
• La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia, actuando con independencia de las administraciones públicas.
Algunas funciones de la AEPD
• Atender las peticiones y reclamaciones de afectados.
• Requerir a los responsables y encargados de tratamiento las medidas legales establecidas.
• Potestad de inspección.
• Potestad sancionadora.
Sanciones mas comunes tras la ley de economía sostenible del 2011.• Sanciones leves:
1.No remitir a la AEPD las notificaciones previstas en la ley.
2.No solicitar la inscripción de ficheros.
3.El incumplimiento del deber de información al afectado por el tratamiento de sus datos personales.
4. la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos.
• Las infracciones leves serán sancionadas con multas que oscilan entre 900 a 40.000 euros.
• Sanciones graves:
1. Tratar datos de carácter personal son recabar el consentimiento del afectado.
2. Tratar datos de carácter personal o usarlos posteriormente con una violación de los principios y garantías establecidos. Art.4
3. La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal.
4. El impedimento del ejercicio de los derechos ARCO.
5. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos personales, cuando no han sido recabados del propio interesado.
6. Incumplimiento de los deberes de notificación o requerimientos al afectado.
7. No mantener los niveles de seguridad reglados para cada fichero.
8. No atender los requerimientos de la AEPD o no proporcionarle la documentación o informes requerida.
9. Obstrucción al ejercicio de la función inspectora.
10. La comunicación o cesión de los datos de carácter personal son contar con legitimación para ello.
• las infracciones graves serán sancionadas con un multa que va desde los 40.001 euros a 300.000euros.
• Sanciones muy graves:
1.la recogida de datos en forma engañosa o fraudulenta.
2.No cesar en el tratamiento ilícito de datos de carácter personal.
Las infracciones muy graves son sancionadas con multa que va desde los 300.001 euros a 600.000 euros
Criterios para graduar las sanciones.• El carácter continuado de la infracción.
• El volumen de los tratamientos afectados.
• El volumen de negocio o actividad del infractor.
• Los beneficios obtenidos como consecuencia de la infracción.
• Grado de intencionalidad.
• Reincidencia de la infracción.
• La naturaleza de los perjuicios causados.
• Acreditación de que con anterioridad a los hechos la entidad imputada tenia los procedimientos adecuados de actuación de recogida y tratamiento de los datos, siendo la infracción por una anomalía del funcionamiento.
Criterios para graduar la cuantía• Cuando se aprecie la culpabilidad del imputado y de los
hechos anteriores.
• Cuando la entidad infractora haya regularizado su situación.
• Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
• Cuando el infractor ha reconocido su culpabilidad.
Error de envío de correo electrónico
• Hechos:
• Envió a 334 personas un email con un Excel adjunto por error con datos personales de 9293 abonados.
• Posteriormente pide disculpas a los destinatarios de los email enviados.
• Ante el inicio del proceso sancionador alega:
1. El envío fue por un error de una trabajadora.
2. Que se ajusta al artículo 45.6 LOPD.(no ha sido sancionada con anterioridad)
3. Que cumple con los criterios del artículo 45.4 (infracción aislada, ausencia de intencionalidad y de beneficio, medidas de seguridad implementadas)
• La AEPD impone una sanción de 3.000 euros por:
1. Infracción artículo 10 LOPD tipificada como grave.(El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional y al deber de guardarlos).
Modificación título III de la Ley de Servicios de la Sociedades de la Información 34/2002
Novedades basadas por el Real-Decreto ley 13/2012 del 30 de Marzo.
• Queda prohibido el envío de comunicaciones comerciales en las que se oculte o disimule la identidad del remitente.
• Se prohíbe el envío de comunicaciones comerciales en las que se incite a visitar páginas Web que contravengan las obligaciones de información.
• Se prohíbe el envío de comunicaciones comerciales que se incite a los usuarios a participar en promociones ilegales o que no se identifique al anunciante.
• Será obligatorio incluir una dirección electrónica válida para oponerse al tratamiento de los datos con fines comerciales.
No cumplir con lo establecido en la LOPD
• Se denuncia ante la AEPD:
1. No tiene inscritos sus ficheros.
2. No cuenta con medidas de seguridad.
3. No dispone de documento de seguridad.
4. No se dispone de medidas legales técnicas ni organizativas.
• El restaurante alega:
1. Que el denunciante causó baja voluntaria en la empresa.
2. El denunciante carece de legitimación activa.
3. El denunciante no se ve afectado o perjudicado.
4. relaciona irregularidades pero no se agrede ningún derecho o interés al denunciante.
• La AEPD Sanciona al restaurante con una multa de 601.01 euros por la infracción del artículo 26 LOPD. (no solicitar la inscripción de ficheros ante el registro de la Agencia con los extremos que debe tener la notificación).
MUCHAS GRACIAS POR SU ATENCIÓN