Post on 02-Feb-2016
LOPDLOPD
Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de
Carácter Personal
Agenda
• Leyes antecesoras• LOPD
1. Objetivo. Finalidad2. Datos de carácter personal3. Obligaciones básicas
• Niveles de seguridad• Datos estadísticos• Sanciones• Aplicación en casos reales
Leyes antecesoras
LOPD. Objetivo
REGULAR
1. el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados
2. los derechos de los ciudadanos sobre ellos3. las obligaciones de aquellos que los crean o
tratan
LOPD. Finalidad
GARANTIZAR y PROTEGER
1. las libertades públicas
2. los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar
LOPD. Datos de carácter personal
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
LOPD. Obligaciones básicas
1. LEGALIZAR
2. LEGITIMAR
3. PROTEGER
LOPD. Obligaciones básicas
1. LEGALIZAR
Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.
LOPD. Obligaciones básicas
2. LEGITIMAR
Todos los datos de carácter personal recogidos deben cumplir 3 principios básicos:
a) Principio del consentimiento del afectadob) Principio de informaciónc) Principio de calidad de los datos
LOPD. Obligaciones básicas
a) Principio del consentimiento del afectado
• Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que son recabados.
• El consentimiento deberá ser precedido por una declaración del Responsable del fichero en la que se indiquen, de forma clara y fácilmente comprensible:
– los datos que van a ser objeto de tratamiento– las finalidades a que van a ser destinados, para que los interesados
indiquen, sin ningún género de dudas, su conformidad con su tratamiento o su oposición al mismo
LOPD. Obligaciones básicas
b) Principio de información• Obligación que tienen las empresas de informarnos, de forma previa a
la recogida, de modo expreso, inequívoco y preciso de lo siguiente:
1. De la existencia de un fichero al que serán incorporados los datos que nos solicitan
2. Del carácter obligatorio o facultativo de consignar determinados datos
3. De las consecuencias de la obtención de los datos4. De la posibilidad del ejercicio de los derechos de acceso,
rectificación, cancelación u oposición al tratamiento de los datos5. De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante
LOPD. Obligaciones básicas
c) Principio de calidad de los datos
• Hace referencia a que los datos son recogidos para una finalidad concreta, y no podrán ser destinados por el Responsable del fichero a otras finalidades. La finalidad también nos permite reconocer qué fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley.
LOPD. Obligaciones básicas
3. PROTEGEREstablecer una serie de medidas con el fin de garantizar la seguridad de los datos de carácter personal recopilados.Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.
LOPD. Video y test
Video y test
Niveles de seguridad
• Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideración de mínimos legales exigibles
• Cada Empresa podrá incrementarlas de acuerdo a otros criterios de Seguridad Informática, ofreciendo de esta forma mayores garantías, tanto para el tratamiento de sus ficheros como para el resto de la información corporativa
Niveles de seguridad
• El Reglamento establece los niveles de seguridad de forma acumulativa
• Nivel medio = nivel básico + nivel medio• Nivel alto = nivel medio + nivel alto
Niveles de seguridad• Nivel Básico: Para todos los ficheros de datos de carácter
personal.• Nivel Medio: Serán adoptadas para ficheros que contengan
datos:a) relativos a la comisión de infracciones administrativas o penales.b) sobre Hacienda Pública.c) sobre Servicios Financieros.d) sobre solvencia patrimonial y crédito.e) un conjunto de datos suficientes que permitan elaborar un perfil del
afectado (se les aplican las medidas descritas en los art.17 a 20).• Nivel Alto: Aquellos que contengan datos de ideología,
religión, creencias, origen racial, salud, vida sexual.
Niveles de seguridad
Niveles de seguridad
Sanciones
Existen 3 tipos de sanciones cuya cuantía varia por:
• naturaleza de los derechos personales afectados• volumen de los tratamientos efectuados• beneficios obtenidos• grado de intencionalidad• reincidencia• daños y perjuicios causados a las personas
interesadas
Sanciones
• Leves (601,01€ - 60.101,21€)
– No solicitar la inscripción del fichero en la AEPD– Recopilar datos personales sin informar previamente – No atender a las solicitudes de rectificación o cancelación – No atender las consultas por parte de la AEPD
Sanciones• Graves (60.101,21€ - 300.506,25€)
– No inscribir los ficheros en la AEPD ni permitir el acceso– Utilizar los ficheros con distinta finalidad con la se crearon– No tener el consentimiento del interesado para recabar
sus datos personales– No permitir el acceso a los ficheros– Mantener datos inexactos o no efectuar las modificaciones
solicitadas – No remitir a la AEPD las notificaciones previstas en la LOPD– Mantener los ficheros sin las debidas condiciones de
seguridad
Sanciones• Muy graves (300.506,25€ - 601.012,1€)
– Crear ficheros para almacenar datos que revelen datos especialmente protegidos
– Recogida de datos de manera engañosa o fraudulenta– Recabar datos especialmente protegidos sin la
autorización del afectado– No atender u obstaculizar de forma sistemática las
solicitudes de cancelación o rectificación– Vulnerar el secreto sobre datos especialmente protegidos– La comunicación o cesión de datos cuando ésta no esté
permitida
Sanciones– No cesar en el uso ilegítimo a petición de la AEPD– Tratar los datos de forma ilegítima o con menosprecio de
principios y garantías que le sean de aplicación– No atender de forma sistemática los requerimientos de la
AEPD– La transferencia temporal o definitiva de datos de carácter
personal con destino a países sin nivel de protección equiparable o sin autorización
Datos y estadísticas
Informe de la AEPD sobre sanciones en 2008
• Hechos denunciados se incrementaron en más del 45%– alcanzando la cifra de 2.362
• Resolvió 630 procedimientos sancionadores, – casi un 58% más que en 2007,– 535 culminaron con la imposición de sanción
• Las multas impuestas – ascendieron hasta los 22,6 millones de euros– incremento de un 15% respecto al año anterior
Datos y estadísticas. 2008
Número de reclamaciones
Lugar Sector de actividad económica Procedimientos resueltos
1 Telecomunicaciones 454
2 Entidades Financieras 382
3 Video vigilancia 365
Número de reclamaciones
Datos y estadísticas. 2008
Número de sanciones por sectores
Lugar Sector de actividad económica Procedimientos resueltos
1 Telecomunicaciones 190
2 Entidades Financieras 111
3Comunicaciones
electrónicas y spam 39
4 Comercio, transporte y hostelería 31
5 Video vigilancia 27
Número de sanciones por sectores
Datos y estadísticas. 2008
Sectores más sancionados y tipo de denuncia
Datos y estadísticas. 2009
Ranking de sanciones en 2009 (datos hasta Septiembre)
Datos y estadísticas
Comparativa 2008-2009
Datos y estadísticas
Conclusiones
• Origen de las sanciones se produce en los ámbitos:– Inclusión en Fichero de morosos (art. 29 LOPD, sector financiero)– Calidad de datos
• mantener los datos inexactos, • no cancelar los datos debidamente (sector telecomunicaciones y otros sectores).
– Consentimiento• falta de consentimiento previo o • falta de consentimiento en la cesión o comunicación de datos
– Publicidad• envío de spam, recepción de publicidad sin consentimiento
– Deber de secreto• revelación de información por parte de personal de la organización
– Seguridad de los sistemas • ataques informáticos, intrusismo, pérdida de información…
– Video-vigilancia: falta de información y/o consentimiento .
Datos y estadísticas
Empresas más sancionadas en 2009
La empresa sancionada con la cuantía más elevada en una multa hasta el momento ha sido “Saberlotodo” Internet S.L. con 360.607,32 €.
Aplicación en casos reales: Infracción muy grave
“Saberlotodo” Internet S.L. con 360.607,32 €.
• Título de la sentencia– Sanción protección de datos.
• Año de la sentencia– Madrid, a doce de julio de dos mil seis.
• Exposición de los hechos– Un Colegio Profesional de Fisioterapeutas
• Tiene un convenio suscrito con una escuela de osteopatía:– Le cede etiquetas con el nombre y dirección de sus colegiados– Para que puedan remitirles cursos sobre osteopatía.
Aplicación en casos reales: Infracción muy grave
Ley aplicada– Artículos 11, 44, 45 de la Ley Orgánica 15/1999, de 13 de
diciembre (LOPD)• articulo 11.doc• artículos 44, 45.doc
– La resolución considera tal conducta • una cesión sin consentimiento del art.11 de la LOPD, • calificándola como falta muy grave del art. 44.b) de dicho texto
legal.• si bien se aminora la sanción en aplicación del art.45.5 de la
misma norma.
Aplicación en casos reales: Infracción muy grave
• Resultado– Finalmente, se confirma la culpabilidad del colegio recurrente en la infracción que se le imputa que además se ha visto atenuada de forma cualificada con la Aplicación del indicado art.45.4 de la LOPD.
• Se le impone a dicha entidad una sanción de 60.101,21 euros.
• La ley es muy dura con este tipo de actos• Cada día más rigurosa en cuanto su aplicación
Aplicación en casos reales:Sanción leve
Multa de 600 euros por dejar a la vista 42 direcciones de correo electrónico
• Fin lucrativo (no un uso doméstico o personal del correo)– en tanto que se enviaba un mensaje promocional de telefonía móvil
por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.
• Uno de los destinatarios de este mensajesintió que se violaba su intimidad al exponersu dirección por no haber sido utilizada la opción de copia oculta (CCO).
Aplicación en casos reales
• Ayuntamiento de ARGES – Envío de felicitaciones de cumpleaños contando con los datos del padrón municipal.
• Ayuntamiento de Oviedo– Cesión de datos a la UTE (Unión Temporal de Empresas)
• con la que tenía contratados los servicios
– Con las exigencias legales que esto conlleva y que el Ayuntamiento no llevó a cabo.
• Ayuntamiento de GRADO– No incluir una leyenda informativa LOPD en un formulario – para recabar datos personales que se distribuyó en el 2004 durante
una competición internacional de Hockey sobre patines.
Ejemplos de sanciones a entidades públicas
Aplicación en casos reales
• Protección de Datos recibe 30 denuncias contra redes sociales en 2009. 24/12/2009
• La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales. 31/12/2009
• La video-vigilancia deja de ser servicio exclusivo de las empresas de seguridad. 31/12/2009
– Hasta ahora era necesario que la instalación de las videocámaras y sistemas de vigilancia fueran realizadas por una empresa de seguridad.
– A partir de 27 de diciembre de 2009 con la ley 25/2009 49, (Conocida como ley Ómnibus) la instalación puede realizarla cualquier empresa siempre y cuando no implique conexión con central de alarma.
• Diariamente se producen cambios y actualizaciones de las leyes de protección de datos
Más ejemplos de sanciones
Aplicación en casos reales
• Estos son pequeños ejemplos entre los cientos de ellos que se pueden encontrar cada día:
• Abarcan:– desde las empresas privadas hasta las instituciones públicas,– desde las más pequeñas, a las mayores Compañías y Empresas, – desde una PYME, hasta una gran multinacional.
• Hay que ser conscientes de que esta ley – nos protege como usuarios en todo ámbito y – debemos hacer uso de nuestros derechos y obligaciones
Aplicación en casos reales
http://www.apdasesores.com/apd/index.php?option=com_content&task=view&id=28&Itemid=41
Test para calcular las sanciones
Conclusiones• Internet ofrece infinitas posibilidades:
– infraestructura económica y cultural • para facilitar muchas de las actividades humanas • y contribuir a una mejor satisfacción de nuestras necesidades y a nuestro desarrollo
personal.
• El uso de Internet también conlleva riesgos. • El avance vertiginoso de la tecnología hace que, por ejemplo,
– los peligros para nuestra privacidad son cada vez más sofisticados e invisibles
• se hacen muy difíciles de detectar para la mayoría de usuarios.
• El uso indiscriminado de datos personales de usuarios una práctica muy habitual en los últimos tiempos.
• Mayor éxito la persecución de esta violación de privacidad.
Conclusiones• Importancia a la protección de datos
– 28 de enero de 2007 == primera jornada dedicada a asuntos vinculados a la privacidad informática y la protección de datos
– Consejo de Europa – La fecha se volvió un evento anual
• al que se unieron en 2008 Estados Unidos y Canadá.
• Ante la gravedad de estos riesgos y la relativa novedad que supone Internet en nuestra sociedad– Deberían hacerse campañas informativas a nivel nacional
• a través de todos los medios de comunicación.
Conclusiones
• Debe continuar:– La legislación que regule el uso de Internet – Las medidas policiales dirigidas a la captura de los delincuentes del
ciberespacio
• Comercios, gobiernos y organizaciones deben involucrarse en el tema:– enseñando a los usuarios de computadoras a proteger su información en línea, – Y fomentando políticas de salvaguardia de la privacidad.
Bibliografía
• Páginas de ayuntamientos y otras instituciones: – http://dialnet.unirioja.es/servlet/articulo?codigo=2937324– http://www.juntadeandalucia.es/empleo/raute/lopd/curso/lopd/quees.htm
• Boletín Oficial del Estado: – Real Decreto 994/1999 del 11 de Junio.
• Trabajo de Andrés, C. y Núñez, M.– Ley Orgánica de Protección de Datos
• Internet:– http://www.inter-ius.com/html/modules/news/index.php?storytopic=2 -casos reales – http://www.arcanumdata.com/ley-proteccion-datos/ley-proteccion-de-datos_lopd.htm– Wikipedia: http://es.wikipedia.org/wiki/LOPD– http://www.lopd-proteccion-datos.com/sanciones-lopd.php – http://jurisprudencia.vlex.es/vid/11-lopd-45-5-12-as-4-24301854#ixzz0dc8HaHFA – http://www.emagister.com/de-8-12-anos-que-peligros-beneficios-tiene-internet-para-ninos-cursos-
314246.htm#programa
¡Gracias!