Cómo afrontar el reto de la información personal en las compañías

Trebia Abogadoswww.trebiaabogados.com

Telf.- 91.000.47.83Fax.- 91.001.02.75Cta. Fuencarral 44 (Campus Tribeca)Edif. 3-L1228108 Alcobendas (Madrid)

Seminario LOPD4 de Julio de 2011

Miguel Valdés

Luis Mª Latasa

http://www.trebiaabogados.com/

2

I. Introducción

A. Legislación aplicable

B. Objeto y ámbito de aplicación

C. Fuentes accesibles al público

II. Principales obligaciones a cumplir en el tratamiento de datos de carácter personal

A. Inscripción de ficheros

B. Medidas de Seguridad

C. Calidad de datos

D. Deber de información al interesado

E. Consentimiento y legitimación del tratamiento

F. Deber de secreto

G. Encargado del tratamiento

III. Derechos de los interesados

IV. Transferencias internacionales de datos

V. Régimen sancionador

Indice

3

VI. Tratamiento de Datos con fines de publicidad y de marketing

A. Principios Generales

B. Campañas

C. Depuración de datos

D. Ficheros de Exclusión

E. Especialidades derechos ARCO

F. Comunicaciones Comerciales

G. Recomendaciones

H. Ejemplos

VII. Servicios de la Sociedad de la Información:

A. Buscadores

B. Servicios en la nube

C. Redes Sociales

D. Foros, comentarios, etc.

E. Publicidad

F. Cookies

G. Comercio Electrónico

Indice

4

VIII. Control empresarial y protección de datos

A. Control de la utilización de medios de la Empresa:

• Equipos informáticos

• Dispositivos Móviles

• Correo electrónico

• Carpetas personales

B. Videovigilancia

Indice



I. Introducción


6

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de

la LOPD

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (comunicaciones

comerciales por medios electrónicos y cookies)

Ley 32/2003, de 3 de noviembre, de General de Telecomunicaciones

Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones

para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección

de los usuarios (llamadas no solicitadas con fines de venta directa, tratamiento de datos de tráfico,

identificación de línea llamante, facturación detallada, guías telefónicas, datos de localización,

llamadas etc.)

Instrucciones AEPD (videovigilancia, acceso a edificios, etc.)

Legislación aplicable

7

Objeto y ámbito de aplicación

Objeto: garantizar y proteger, en lo que concierne al tratamiento de datos de

carácter personal, las libertades públicas y derechos fundamentales de las personas

físicas, y especialmente de su honor e intimidad personal y familiar.

Ámbito objetivo de aplicación:

– Incluidos en el ámbito de aplicación tanto tratamientos automatizados como

ficheros en soporte papel.

– NO se aplica a información sobre personas jurídicas.

– No se aplica a personas de contacto de personas jurídicas ni a empresarios

individuales.

– Se aplica tanto a ficheros de titularidad pública como a ficheros privados.

8

Concepto de dato de carácter personal:

– Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referida a personas físicas

– Relativa a una persona identificada o identificable

– Persona identificable “Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.

SAN DE 20 DE FEBRERO DE 2008

– “una primera consideración jurídica elemental: el número del DNI es un dato de carácter personal , y por tanto protegido por la Ley.”

INFORME JURÍDICO AEPD 425/2006

– La matrícula de los vehículos tiene la consideración de dato de carácter personal.

INFORME JURÍDICO AEPD 213/2004

– “La posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”.

SAN DE 17 DE SEPTIEMBRE DE 2008

– “Un número de teléfono ayuno de otras circunstancias que identifiquen al titular del mismo impide que pueda identificarse en la definición legal de datos de carácter personal.”


9

Ejemplos de tratamientos automatizados

• Sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003 (“Caso

Lindqvist”):

– “Es preciso observar que difundir información en una página web implica, de acuerdo con los procedimientos técnicos e informáticos que se aplican actualmente, publicar dicha página en un servidor, así como realizar las operaciones necesarias para que resulte accesible a las personas que están conectadas a Internet. Estas operaciones se efectúan, al menos en parte, de manera automatizada.”

• SAN de 24 de febrero de 2003 (“Webcam Diario Marca”):

– “La transmisión de imágenes a través de Internet mediante sucesión de fotos fijas que cambian cada 15 segundos y no se conservan en archivo alguno implica un tratamiento de datos.”

• Resolución R/01800/2008 de la AEPD (YouTube):

– “La captación y reproducción de imágenes de los transeúntes en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.”

• Resolución E/00116/2006 de la AEPD:

– “ha de destacarse, en primer lugar, que el tratamiento de datos personales en una exposición realizada en “Power Point” constituye un tratamiento automatizado de datos de carácter personal”.


10

Fichero no automatizado “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.” (Artículo 5.1.n) RLOPD):

– Sentencia del Tribunal Supremo de 19 de septiembre de 2008

• Los libros de bautismo no son un conjunto organizado de datos personales.

• Son una pura acumulación de datos personales que comparta una difícil búsqueda, acceso e identificación:

– No están ordenados alfabéticamente

– Es absolutamente necesario el conocimiento previo de la Parroquia donde tuvo lugar

– No son accesibles por terceros distintos del bautizado, que no podrían solicitar partidas de bautismo ajenas.

– Sentencia de la Audiencia Nacional de 22 de abril de 2009 (”Caso SGAE”)

• Cualquier recogida o uso de datos personales realizado de forma no automatizada no constituye tratamiento de datos en el sentido legal del término.

• El tratamiento no automatizado de datos requiere que los citados datos estén contenidos o destinados a ser incluidos en un fichero para poder aplicar la normativa en materia de protección de datos.

• La imagen contenida en el CD no fue incorporada a ningún fichero, conservándola la recurrente con el conjunto de la documentación aportada a un procedimiento judicial, conservación que no supone su inclusión en un archivo estructurado según criterios específicos relativos a la persona identificable que permitan acceder fácilmente a sus datos personales.


11

Ámbito territorial de aplicación:

– Cuando el tratamiento sea efectuado en un establecimiento del

responsable del tratamiento situado en España.

– Cuando el responsable no esté establecido en territorio de la UE y utilice

en el tratamiento medios situados en España, salvo que tales medios se

utilicen exclusivamente con fines de tránsito (art. 5.1 Designación de un

representante en España)

– Cuando se aplicable la legislación española en aplicación de normas de

Derecho Internacional Público.


12

Fuentes accesibles al público

– Art. 3.j) de la LOPD: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona , no impedida por una norma limitativa (…)”

– Tienen la consideración de fuentes accesibles al público, exclusivamente:

Censo promocional

Guías telefónicas

Listas de profesionales y guías de colegios profesionales

Diarios y boletines oficiales

Medios de comunicación


13

Guías telefónicas: únicamente figurarán los datos de los abonados que hayan otorgado

expresamente su consentimiento al operador.

Salvo que se obtenga el consentimiento para publicar datos adicionales, únicamente

figurarán datos estrictamente necesarios:

– Guías telefónicas: nombre y apellidos, número de abonado y dirección postal, exceptuando piso, letra y escalera.

– Guías Colegios profesionales: direcciones profesionales (domicilio, número telefónico, fax y dirección de e-mail) y nº de colegiado, fecha de incorporación y situación de ejercicio profesional

Posibilidad de indicación gratuita de prohibición de utilización con fines comerciales.

El interesado tiene derecho a que se cancelen o excluyan sus datos:

– 10 días si es información on-line

– Siguiente edición si es en papel.

Las fuentes de acceso público que se editen en forma de libro o algún otro soporte

físico, perderán el carácter de fuente accesible con la nueva edición que se publique.

En el caso de que se obtenga telemáticamente una copia de la lista en formato

electrónico, ésta perderá el carácter público en el plazo de un año a contar desde su

obtención.




II. Principales obligaciones a cumplir en

el tratamiento de datos de carácter

personal


15

La LOPD obliga a los responsables de ficheros a que notifiquen los ficheros a la AEPD con

anterioridad a su creación.

– Fichero de nóminas – recursos humanos.

– Ficheros de clientes y/o proveedores.

– Ficheros de usuarios de página web.

– Fichero de videovigilancia

– Etc.

Los extremos a declarar, afectan a la finalidad, tipología, sistemas de tratamiento, encargados

de tratamiento, cesionarios, transferencias internacionales e identidad del responsable entre

otros.

La inscripción de ficheros tiene efectos meramente declarativos

El Registro General de Protección de Datos es un registro público (puede consultarse a través

de la página web de la AEPD)

La inscripción debe mantenerse permanentemente actualizada (cambios en los

sistemas de tratamiento, ubicación física de ficheros, categorías de datos objeto de

tratamiento, etc.).

Inscripción de ficheros en el RGPD

16


Fuente: Memoria AEPD 2010

17


18

Los Responsables y Encargados del Tratamiento deberán implantar las medidas de seguridad, tanto en tratamientos automatizados como en ficheros en soporte papel.

Si el Encargado del Tratamiento presta sus servicios en los locales del Responsable, deberá cumplir

el Documento de Seguridad de éste último.

En caso de que el Encargado del Tratamiento preste sus servicios en sus propios locales, deberá

elaborar un Documento de Seguridad al efecto o completar el que ya hubiere elaborado con

anterioridad identificando los ficheros y tratamientos e incorporando las medidas de seguridad a

implantar en relación con el mismo.

Nivel básico:

– Todos los ficheros que contengan datos de carácter personal.

– Se consideran de nivel básico los ficheros que contengan datos relativos a ideología, afiliación sindical, religión, creencias o salud cuando:

• Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

• Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

• Datos relativos exclusivamente al grado de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos.

Medidas de seguridad

19

Nivel medio:

– Los relativos a la comisión de infracciones administrativas o penales;

– Datos sobre solvencia patrimonial o cumplimiento/incumplimiento de obligaciones dinerarias;

– Datos de los que sean responsables Administraciones Tributarias;

– Datos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros;

– Datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación, y

– Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos.

Nivel alto:

– Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual:

– Datos recabados para fines policiales sin consentimiento de las personas afectadas;

– Datos derivados de actos de violencia de género; y

– Datos de tráfico y localización.


20

Nivel básico (ficheros automatizados):

– El responsable del fichero elaborará e implantará la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento. Estructura del Documento de Medidas de Seguridad:

• Ámbito de aplicación con especificación detallada de los recursos protegidos.

• Estructura de los ficheros y descripción de los sistemas de información que los tratan.

• Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad (gestión de soportes, copias de seguridad, identificación y autenticación, etc.).

• Funciones y obligaciones del personal.

• Procedimientos de gestión de incidencias.

• Procedimientos de copias de seguridad.

– El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado cada vez que se produzcan cambios relevantes en los sistemas de información.


21

Nivel medio (ficheros automatizados):

– Nombramiento de uno o varios responsables de seguridad.

– Auditoría de seguridad externa o interna cada dos años o con anterioridad si se realizan modificaciones sustanciales en el sistema de información.

– Control de acceso físico: exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información.

– Registro de entrada y salida de soportes y documentos: tipo de soportes o documentos, fecha y hora, número de soportes o documentos, tipo de información que contienen, etc.


22

Nivel alto (ficheros automatizados):

– Cifrado de información:

Distribución de soportes

Dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones delResponsable..Transmisión a través de redes públicas de telecomunicaciones

– Registro de accesos:

Identificación de usuarios

Fecha y hora del acceso

Autorización o denegación del acceso.

Identificación del registro accedido

Conservación durante dos años.


23


24

Principio de pertinencia: los datos deben ser adecuados, pertinentes y no excesivos para el

ámbito y las finalidades del fichero.

Principio de finalidad: no se pueden utilizar datos con finalidades diferentes para las que se

han recabado.

Principio de veracidad: los datos deben ser siempre exactos y puestos al día de forma que

respondan con veracidad a la situación real del afectado.

– Si los datos fueran recogidos directamente del interesado, se considerarán exactos los

facilitados por éste.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o

pertinentes para la finalidad para la que se recabaron.

– Podrán mantenerse bloqueados para la atención de las posibles responsabilidades

nacidas del tratamiento, durante los plazos de prescripción de éstas.

Calidad de datos

25

El Responsable debe facilitar información sobre el tratamiento de los datos de carácter personal: (i) Existencia del fichero o tratamiento, finalidad del tratamiento y destinatarios de la información; (ii) carácter obligatorio o facultativo de la respuesta: (iii) consecuencias de la obtención de datos o la negativa a suministrarlos; (iv) identidad y dirección del responsable; (v) la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

– Previa: siempre que los datos sean recogidos del propio interesado (formularios, cupones, encuestas, páginas web, call-centers, etc.)

– En el plazo máximo de tres meses cuando los datos no hayan sido recabados del interesado.

– En cada una de las comunicaciones que se le dirija: cuando (i) los datos hayan sido obtenidos de fuentes accesibles al público y (ii) se utilicen con fines publicitarios o de prospección comercial. En este caso, debe informarse únicamente de origen de los datos; de la identidad del responsable y de los derechos que le asisten en cada una de las comunicaciones que se le dirijan al titular.

Deber de información al interesado

26

Es necesario el consentimiento del afectado para el tratamiento y comunicación de los datos. Dicho consentimiento no será necesario cuando:

– Los datos obtenidos se refieran a las partes de un contrato o precontrato y sean necesarios para el mantenimiento o cumplimiento de esa relación.

– Los datos hayan sido obtenidos de fuentes accesibles al público.

Principios generales

– La solicitud del consentimiento deberá ir referida a tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en los tratamientos.

– Será nulo el consentimiento que se recabe para la cesión de datos sin que el afectado conozca la finalidad a las que se destinarán sus datos y la actividad del cesionario.

• Es válido: sector de “telecomunicaciones”, “financiero”, “ocio”, “formación”, “gran consumo”,“automoción”, “energía y agua”, “ONG”

• No es válido: “actividad comercial”; “actividad publicitaria”; “cesiones a otras empresas del grupo”

– Corresponde al Responsable la prueba de la existencia del consentimiento.

Consentimiento y legitimación del tratamiento

27

Formas de recabar el consentimiento:

– Consentimiento expreso: es necesario para el tratamiento de datos especialmente protegidos

• Ideología, religión y creencias: consentimiento expreso y por escrito

• Origen racial, salud y vida sexual: consentimiento expreso.

– Tratamiento para fines no relacionados directamente con la relación contractual

• En el supuesto que se utilicen los datos más allá del propio fin contractual será necesario recabar el

consentimiento y permitir al afectado que manifieste expresamente su negativa al tratamiento o

comunicación de datos durante el proceso de formación del contrato.

• En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una

casilla visible y no se encuentre marcada (“□”) o que se establezca un procedimiento equivalente que

permita su negativa al tratamiento.

– Consentimiento tácito

• Solicitud de consentimiento al interesado mediante el envío de una comunicación, concediéndole un

plazo de treinta días para manifestar su negativa al tratamiento mediante un procedimiento sencillo y

gratuito (envío prefranqueado, numero de teléfono gratuito, etc.).

• El envío deberá realizarse a través de un medio que permita al Responsable conocer si la

comunicación ha sido objeto de devolución por cualquier causa.

Consentimiento y legitimación del tratamiento

28

El responsable del fichero y quienes intervengan en cualquier fase deltratamiento están obligados al secreto profesional respecto de los mismos.

El deber de secreto subsistirá aún después de finalizar las relaciones con elresponsable del fichero.

El responsable responde de las infracciones del deber de secreto por partede sus empleados.

Deber de secreto

29

Prestaciones de servicios al Responsable impliquen el acceso a datos de carácter personal:

– Obligación de formalizar un contrato escrito, en el que se contenga expresamente:

• Prohibición de utilizar los datos para fines distintos de la prestación del servicio.

• No se pueden ceder los datos a ningún tercero, ni siquiera para su conservación.

• Cumplida la prestación contractual, los datos tratados deberán ser destruidos o devueltos.

• Medidas de seguridad que deba adoptar el encargado del tratamiento.

– Prohibición general de subcontratación por parte del Encargado de la realización de ningún

tratamiento que le hubiera encomendado el Responsable, SALVO

• Autorización del Responsable para que el Encargado lleve a cabo la subcontratación actuando en

nombre y por cuenta de éste; o

• Se especifique en el contrato los servicios que puedan ser objeto de subcontratación y la empresa

con la que se vaya a subcontratar; y

• El Encargado del tratamiento formalice con la empresa subcontratista un contrato que contenga las

menciones indicadas anteriormente.

Encargado del Tratamiento



III. Derechos de los interesados


31

Derecho de acceso: el afectado tiene derecho a solicitar y obtener gratuitamente información sobre si sus datos están siendo objeto del tratamiento, la finalidad del mismo, así como sobre el origen de los datos y las comunicaciones realizadas.

Derecho de rectificación y cancelación: serán rectificados o, en su caso, cancelados cuando resulten inexactos o incompletos o los datos resulten ser inadecuados o excesivos.

Derecho de oposición:

– Cuando no sea necesario el consentimiento para el tratamiento, el afectado podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal.

– Cuando el tratamiento tenga por finalidad la realización de actividades de publicidad, los datos serán cancelados a la simple solicitud del interesado.

Derechos de los interesados

32

Son derechos personalísimos: se debe acreditar la identidad del interesado (fotocopia del D.N.I., etc.) o representación.

Es necesario contestar la solicitud, con independencia de que existan o no datos del afectado en el fichero o sea necesario subsanar la solicitud.

Plazos:

– Derecho de acceso: 1 mes

– Derechos de rectificación, cancelación y oposición: 10 días.

Gratuidad: no puede suponer ingreso adicional para el responsable del fichero. No se puede exigir que se ejerciten a través de los siguientes medios:

– Cartas certificadas o semejantes;

– Servicios de telecomunicaciones que implique una tarificación adicional;

– Otros medios que impliquen un coste excesivo para el interesado.


33

Procedimiento de Tutela de Derechos: procedimiento ante la AEPD para ejercitar los derechos de acceso, rectificación, cancelación y oposición cuando hayan sido indebidamente denegados por el responsable del fichero.

– Recibida la reclamación se traslada al responsable del fichero para que alegue (15 días)

– Resolución del Director (NO sancionadora)





IV. Transferencias internacionales de

datos


35

Concepto de transferencia internacional de datos

– Aquellas transferencias de datos fuera del territorio del Espacio Económico Europeo.

Autorización :

– La transferencia internacional de datos requiere autorización del Director de la AEPD, salvo

que:

• El exportador se encuentre en un país de protección equiparable declarado por la

Comisión Europea o por la AEPD (Argentina, Suiza, Estados Unidos –Puerto Seguro-,

Canadá, Andorra e Israel)

• La transferencia se encuentre entre las excepciones previstas en el artículo 34 de la

LOPD:

– Cuando el afectado haya dado su consentimiento a la transferencia.

– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el

afectado y el responsable del fichero.

– Transferencias para la prevención de diagnósticos médicos, las prestación de

asistencia sanitaria o tratamientos médicos.

Transferencias internacionales de datos

36

Notificación de transferencias internacionales a países que no requieran autorización

– La transferencia internacional deberá ser notificada a fin de proceder a la inscripción en el Registro General de Protección de Datos, conforme al procedimiento previsto en el propio para la inscripción, modificación o cancelación de ficheros.

Autorización de transferencias internacionales:

– La autorización solo podrá otorgarse si se obtienen las garantías adecuadas:

• Decisión de la Comisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país (modificada por la Decisión 2004/915/CE, de 27 de diciembre de 2004)

• Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países

• Binding Corporate Rules: también podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las garantías necesarias de respecto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados.


37

Procedimiento de autorización de transferencias internacionales de datos

– El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la

transferencia.

– Será necesaria aportar:

• Copia del contrato entre el exportador e importador que contenga las cláusulas

contractuales tipo aprobadas por la Comisión Europea.

• Binding Corporate Rules:

– Documentación que pruebe su carácter vinculante y eficacia dentro del grupo.

– Documentación que acredite la posibilidad de que el afectado o la AEPD

puedan exigir la responsabilidad que corresponda en caso de perjuicio del

afectado o vulneración de las normas por parte de la empresa importadora.

– El plazo máximo para dictar resolución será de tres meses a contar desde la fecha de

entrada en la AEPD de la solicitud.

– Se dará traslado de la resolución al Registro General de Protección de Datos para que éste

inscriba de oficio la autorización.


38





V. Régimen Sancionador


40

Régimen sancionador

Tipos de infracciones:

– Leves

• No solicitar la inscripción de ficheros En el Registro General de Protección de Datos.

• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de

carácter personal cuando los datos sean recabados del propio interesado.

• La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes

formales establecidos en el artículo 12 de la LOPD.

– Graves

• Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el

mismo sea necesario.

• El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de

carácter personal cuando los datos no hayan sido recabados del propio interesado.

• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las

debidas condiciones de seguridad.

– Muy Graves

• La recogida de datos en forma engañosa o fraudulenta.

• Tratar o ceder los datos especialmente protegidos salvo en los supuestos en que la ley lo autoriza.

• La transferencia internacional de datos de carácter personal sin autorización del Director de la

Agencia Española de Protección de Datos salvo en los supuestos en los que dicha autorización no

resulta necesaria.

41


Cuantía de las sanciones:

– Leves: multas de 900 a 40.000 euros.

– Graves: de 40.001 a 300.000 euros.

– Muy graves: de 300.001 a 600.000 euros.

Se establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

– Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho.

– Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

– Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

– Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Excepcionalmente la AEPD no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al infractor a fin de que acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

– Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

– Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

42


Actuaciones Previas

– Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con

objeto de determinar si concurren circunstancias que justifiquen tal iniciación

– Los inspectores podrán requerir el envío de información o realizar visitas de inspección a los locales donde

se encuentren almacenados los documentos o ubicados los ficheros.

– Finalizadas las actuaciones previas, éstas se someterán a la decisión de la AEPD.

Procedimiento sancionador

– Se inicia mediante acuerdo de apertura dictado por el Director de la AEPD.

– El procedimiento se rige por lo dispuesto en el Real Decreto 1398/1993, por el que se aprueba el Reglamento para el ejercicio de la potestad sancionadora.

– Publicación de las resoluciones dictadas por la AEPD.

43



44





VI. Tratamiento de Datos con fines de

publicidad y marketing


46

Publicidad y Marketing

Principios Generales

Marco Jurídico:

– Artículo 30 de la LOPD y 45-51 del Reglamento.

– Artículo 19-22 de la LSSI.

– Art. 38 de la LGT.

– Artículo 29 de la Ley de Competencia Desleal.

Legitimación:

– Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia,

prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de

comercializar, sus propios productos o servicios o los de terceros, solo podrán utilizar nombres y direcciones u

otros datos cuando se encuentren en uno de los dos siguientes casos:

• Provengan de Fuentes Accesibles al Público; o

• Sean facilitados por el interesado u obtenidos con su consentimiento (…) habiéndose informado sobre

los sectores específicos y concretos de actividad respecto de los que podría recibir información o

publicidad.

Si proceden de FAP, habrá que informar en cada comunicación: (5.5 LOPD):

– Origen de los datos.

– Identidad del responsable; y

– Derechos que le asisten y ante quien podrán ejercerse.

47


Campañas

Campañas publicitarias:

– Por la propia empresa. Debe ampararse en el artículo 6 de la LOPD.

– Campañas por cuenta de terceros. Será responsable del tratamiento

quien determine los parámetros identificativos de los destinatarios de la

campaña. En el caso de que fueran ambas entidades, ambas serían

responsables.

• Se consideran parámetros identificativos de los destinatarios las variables

utilizadas para identificar el público objetivo.

– La entidad contratante deberá adoptar las medidas necesarias para

asegurarse de que la entidad contratada ha recabado los datos

cumpliendo las medidas necesarias.

48


Depuración de Datos Personales

Cuando dos o más responsables por sí mismos o mediante encargo a

terceros pretendieran constatar sin consentimiento de los afectados,

con fines de promoción de sus productos o servicios y mediante un

tratamiento cruzado de sus ficheros, quiénes ostentan la condición de

clientes de una u otra o de varios de ellos, será considerado una

cesión de datos.

49

Publicidad y de Marketing

Ficheros de Exclusión

Ficheros de exclusión de envío de publicidad.

– De la propia empresa.

– Comunes (generales o sectoriales): Se permite la creación de ficheros comunes de carácter

general o sectorial para evitar el envío de comunicaciones comerciales.

En ambos casos se permite conservar los mínimos datos imprescindibles para identificar a los

destinatarios.

Cuando se manifieste oposición ante un responsable concreto, deberá informarse al afectado de la

existencia de los ficheros comunes así como de la identidad de su responsable y la finalidad.

El responsable del fichero común deberá cumplir el resto de obligaciones de la LOPD.

Obligatoriedad de consultar ficheros comunes (art. 49.4):

“Quienes pretendan efectuar un tratamiento relacionado con la actividad de publicidad y

prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación”.

Debe consultarse únicamente en los casos en los que usen datos provenientes de fuentes

accesibles al público.

50


Derechos ARCO

Especialidades de los derechos ARCO:

– Ejercicio ante entidad contratante de una campaña de publicidad:

• Estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de

derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo otorgue su

derecho en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado.

– Derecho de oposición al tratamiento de datos con fines publicitarios:

• Derecho a oponerse al uso de sus datos y a ser dados de baja, cancelándose las informaciones que

existan sobre él.

• Independiente de la revocación del consentimiento.

• Medios sencillos y gratuitos. Se considerará cumplido cuando pueda ejercitarse mediante llamada a un

número telefónico gratuito o mediante la remisión de un correo electrónico. No es válido la exigencia de

cartas certificadas o de tarificación adicional. En ningún caso podrá suponer un ingreso adicional.

• Deber de reconocer el ejercicio a través de los servicios de atención al cliente y de reclamaciones.

• En la contestación. Deberá informarse de la existencia de Ficheros Comunes de Excluidos.

• Ejercicio ante contratante de una campaña de publicidad que no fuera responsable del fichero: igual que

para el resto de derechos.

– Cuando los datos hubieran sido obtenidos de Fuentes Accesibles al Público, en cada

comunicación que se dirija al interesado se le informará del origen de los datos y de la

identidad del responsable del tratamiento, así como de los derechos que le asisten.

51


Comunicaciones Comerciales

Comunicaciones comerciales

– Telefónicas:

• Llamadas

• Llamadas automáticas

• Fax

– Electrónicas

• SMS

• Email

• Equivalentes: mensajes directos en twitter, mensajes a través de

redes sociales, etc.

52


Telefonía

Derechos de los abonados de servicios de

telecomunicaciones:

– A no recibir llamadas automáticas sin intervención humana o

mensajes de fax, con fines de venta directa sin haber prestado su

consentimiento previo e informado para ello.

– A que los datos de tráfico solo puedan ser utilizados con fines

comerciales cuando el cliente haya dado su consentimiento para

ello. Se acepta el consentimiento tácito (artículo 65 del RLGT).

– A no figurar en las guías de abonados.

53


Telefonía

Actividades frecuentes:

– Grabación de llamadas:

• Voz es un dato de carácter personal.

• Requiere de consentimiento.

– Llamadas a recomendados:

• Requieren consentimiento.

– Llamadas aleatorias:

• Campañas dirigidas a rangos de numeración asignados a otros

operadores.

• La utilización de números de teléfonos sin estar asociados a una

persona se encuentra fuera del ámbito de la LOPD (en la actualidad).

54


Telefonía

Proyecto de Ley modificación LGT.

Transposición Directiva 2009/136/CE y 2009/140/CE.

– Dos nuevos derechos:

• A no recibir llamadas aleatorias, con o sin intervención humana, con

fines de venta directa en caso de que hubieran ejercido su derecho a

no figurar en las guías de abonado.

• A oponerse a recibir llamadas y comunicaciones aleatorias con fines

de venta directa y a ser informado de este derecho.

55


Competencia Desleal

Cambios introducidos por la Ley 29/2009:

Prácticas agresivas por acoso: telefónicas, electrónicas y presenciales

1. Se considera desleal por agresivo realizar visitas en persona al domicilio del consumidor o

usuario, ignorando sus peticiones para que el empresario o profesional abandone su casa o no

vuelva a personarse en ella.

2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax,

correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la

medida en que esté justificado legalmente para hacer cumplir una obligación contractual.

El empresario o profesional deberá utilizar en estas comunicaciones

sistemas que le permitan al consumidor dejar constancia de su

oposición a seguir recibiendo propuestas comerciales de dicho

empresario o profesional.

Para que el consumidor o usuario pueda ejercer su derecho las

llamadas deberán realizarse desde un número de teléfono

identificable.

56


Comunicaciones Comerciales Electrónicas

Electrónicas

– SMS

– Email

– Equivalentes: mensajes directos en twitter, mensajes a través de redes sociales,

etc.

Concepto: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

No tendrá consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como nombre de dominio o la dirección de correo electrónico”.

• Ciertos sistemas de marketing viral (v. gr. “envía a un amigo”) se equiparan al

envío de comunicaciones comerciales electrónicas.

57



Información exigida:

– Deben ser identificables como comunicaciones comerciales.

– Indicarán la persona física o jurídica en nombre de la cual se

realizan.

– Incluirán al comienzo del mensaje la palabra “publicidad” o a la

abreviatura “publi”.

Prohibición de comunicaciones comerciales electrónicas

si:

– No han sido solicitadas; y

– No han sido consentidas expresamente.

58



Excepción. Se pueden enviar comunicaciones comerciales electrónicas sin

consentimiento cuando se cumplan los siguientes requisitos:

– Exista una relación jurídica previa;

– Se hayan obtenido los datos lícitamente;

– Se envíen en relación con productos o servicios de su propia empresa que sean similares a los

ya contratados; y

– Se haya reconocido la posibilidad de oponerse en el momento de la recogida. Sistema opt-out.

Proyecto de modificación de la LSSI.

– Se prohíbe el envío de comunicaciones comerciales en que se disimule u oculte la identidad

del remitente.

– También se prohíben aquellas comunicaciones en las que se invite a visitar páginas de

Internet que contravengan lo dispuesto en la norma para las comunicaciones comerciales.

– Los medios sencillos y gratuitos para oponerse cuando se envíen comunicaciones comerciales

por correo electrónico, deberán consistir en la inclusión de una dirección electrónica válida.

– Se prohíbe el envío de comunicaciones sin esta dirección.

59


Recomendaciones

Información:

– Identificar el mayor número de sectores específicos y concretos de actividad en la recogida.

– Identificar otros tratamientos de marketing y publicidad que se vayan a realizar: segmentación, personalización

de productos, encuestas de satisfacción.

Consentimiento:

– Actividades que no guardan relación directa con el contrato: sistema opt-in u opt-out. Asegurarse de que los

sistemas de información permiten discriminación.

– Envío de comunicaciones comerciales electrónicas. Incluir una casilla opt-in.

– Caso especial: formularios de suscripción a boletines, newsletters o específicos para esos envíos.

– En caso de recogida on-line, incluir sistema de confirmación desde cuenta de correo electrónico.

Derechos ARCO:

– Comunicaciones comerciales electrónicas:

• Informar de la posibilidad de oponerte en la Web.

• Aceptar solicitudes a través de los sistemas de atención al cliente.

– Contestación:

• Informar de las listas comunes de excluidos.

60


Recomendaciones

Prueba:

– Recogida off-line: Pedir copia de DNI en la medida en que sea posible.

– Valorar coste/beneficio de adoptar medidas de aumento de la confianza

probatoria.

Regularizaciones Bases de Datos:

– Las regularizaciones no extinguen la responsabilidad. Únicamente

inician el periodo de cómputo de los periodos de prescripción.

– Una acción de regularización puede pre-constituir prueba en contra por el

reconocimiento que se puede hacer en el documento enviado.

– Estudiar los riesgos legales en cada caso.

61

Publicidad y de Marketing

Caso

Una empresa decide usar una guía de abonados

telefónica para realizar una campaña comercial.

– ¿Debe informar dentro de los tres meses de que ha incorporado

los datos a un fichero de conformidad con lo exigido por el artículo

5.4 de la LOPD?

– ¿Puede llevar a cabo campañas por cuenta de terceros?

– ¿Deben consultar ficheros comunes de exclusión?

– Si el resultado de la consulta fuera negativo, ¿podría remitirle

comunicaciones comerciales electrónicas?

– En caso de que solicite la oposición, ¿debe remitírsele

contestación? ¿Debe informarse de algo más?

– ¿Qué medio de prueba utilizo para la contestación?



VII. Servicios de la Sociedad de la

Información


63

Servicios de la Sociedad de la Información

Buscadores

Buscadores tratan datos de carácter personal de:

– Usuarios: pueden ampararse en la existencia de una relación

jurídica.

– No Usuarios: casos en los que la información sobre dichas

personas está disponible en sitios Web posibilitando su captación

por los motores de búsqueda.

• Legitimidad variada:

– Al amparo de la libertad de información (sin embargo la relevancia informativa se

desnaturaliza con el paso del tiempo).

– Obligación de difusión de la información (v. gr. boletines oficiales).

• Se considera un servicio de intermediación.

• Conservación: “Aunque pueda estar justificada en origen, su

mantenimiento universal y secular en Internet puede resultar

desproporcionado”.

64


Buscadores

Derecho de Oposición frente a los buscadores se

reconoce en ciertos casos:

– Cuando no se pueda solicitar el borrador en la fuente por existir

un derecho u obligación a mantener los datos.

– Motivo legítimo (información desactualizada, falsa, desmentida,

etc.).

Conservación ilimitada de la información en los medios de

comunicación que luego son indexados:

– Se amparan en el derecho de información.

– Opinan que si aparecen datos de carácter personal es porque es

un hecho noticiable.

65


Servicios en la Nube

Deslocalización de los servicios.

Normativa de la LOPD se basa en criterios de establecimiento.

Transferencias Internacionales:

– Flexibilización a partir de la Decisión 2010/87/CE.

– Posibilidad de que un Encargado de Tratamiento solicite una única

autorización de transferencia internacional a partir de los acuerdos que

tiene con subcontratistas.

– El cliente/responsable del fichero solamente notificaría.

Recomendaciones:

– Cliente: Pedir garantías de territorialidad al proveedor de servicios.

– Prestador de servicios: Tener en cuenta las ubicaciones físicas finales

de las empresas subcontratadas.

66


Redes Sociales

Redes Sociales: Es conveniente seguir ciertas buenas

prácticas.

– Información y asesoramiento.

– Fotos.

– Restricción de la visibilidad abierta de los perfiles.

– No indexación por defecto.

– Posibilidad de eliminar el perfil.

– Prohibición de recogida de datos de menores de edad sin

consentimiento paterno:

• Sistemas de verificación de identidad.

• Menores de edad.

67


Redes Sociales

Campañas de marketing y promociones dentro de las redes sociales:

Responsabilidad del fichero. Responsabilidad de la red social que es

quien decide sobre el contenido y uso de los datos.

Responsabilidad de los tratamientos realizados dentro de las redes

sociales: grupos y aplicaciones.

68


Foros, comentarios

No hay obligación de revisar los comentarios o las

entradas. Principio general de no supervisión establecido

por la Directiva de Comercio Electrónico.

Habilitar un sistema de denuncia de contenidos ilícitos

para los casos en los que exista tratamiento de datos de

carácter personal.

Recomendación: registro de usuarios o utilización de

identidades de otros servicios.

69


Cookies

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y de

recuperación de datos en equipos terminales, informarán a los destinatarios de

manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad

de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.

Lo anterior no impedirá la posibilidad de realizar el almacenamiento o acceso con el

fin de facilitar técnicamente la transmisión de una comunicación en la medida en que

resulte estrictamente necesario para la prestación de un servicio.

Directiva 2009/136 (en trámite de transposición).

– Principio General: Almacenamiento de información o acceso a la información ya almacenada.

• Información clara y completa.

• Consentimiento.

• Cuando sea técnicamente posible, el consentimiento del usuario puede facilitarse mediante el uso de

parámetros adecuados.

– Excepciones:

• Juicio de estricta necesidad técnica para lograr el fin legítimo de permitir la prestación de un servicio

solicitado.

• Posible almacenamiento de índole técnica a los solos fines de lograr la transmisión de una

comunicación.

70


Contratos de Publicidad

Modelos de negocio publicitarios se basan en la

redirección del usuario hacia la compra o consumo de

otros productos y servicios.

Los sistemas retributivos se basan en el “click” (pay per click) o incluso en la transacción (pay per buy).

El reconocimiento de estas comisiones exige la

comunicación e intercambio de datos entre anunciante y

editor.

Debe tenerse claro quien recoge los datos. Si la

comunicación de datos se realiza mediante cookies,

deberá ser el responsable de éstas quien informe a los

usuarios.

71


Correo Electrónico

Correo electrónico:

– Problema: escaneo de correo electrónico para finalidades:

• Prevención de Spam.

• Prevención de virus.

• Publicidad personalizada.

– Grupo del artículo 29. Dictamen 2/2006 solo es posible escanear

correo para búsqueda de virus y de spam.

– Deben informar y ofrecer el filtrado para prevenir spam.

– Directiva 2009/136 reconoce derechos a los prestadores de

servicios de correo electrónico para iniciar acciones contra los

remitentes de SPAM.

72


Comercio Electrónico

Información y consentimiento:

– Política de Privacidad con toda la información del artículo 5 de la LOPD. En especial:

• Finalidades: ejecución del contrato y otros tratamientos y cesiones derivados de su cumplimiento.

• Publicidad y prospección comercial: identificar sectores (vincular a casilla opt-out u opt-in del

formulario)

• Comunicaciones comerciales electrónicas (vinculado a casilla opt-in del formulario).

– Enlace desde el formulario. Aceptación expresa de la Política mediante casilla o visualización

directa.

– Casilla opt-in para comunicaciones comerciales electrónicas.

– Posibilidad de casillas opt-out para tratamientos que no guardan relación directa con el

contrato. Los sistemas de información tendrán que poder discriminar a los usuarios por

finalidades.

– Marcar campos obligatorios en los formularios (*).

Derechos ARCO:

– Mediante certificado electrónico para las empresas obligadas a adoptar los medios de

interlocución telemática del artículo 2 de la LISI (servicios al público en general + 100

trabajadores o facturación > a 6.010.121,4 euros).

– Obligación de aceptar solicitudes a través de los servicios de atención al cliente.



VIII. Controles del empresario sobre

equipos informáticos e instalaciones


74

Control de herramientas de trabajo

Determinadas formas de control empresarial pueden ser

lesivas de la intimida de los trabajadores.

– Correo electrónico.

– Navegación por Internet.

– Archivos o carpetas personales.

Son medios propiedad de la empresa que se facilitan al

trabajador para utilizarlos en cumplimiento de la relación

laboral.

Generación de cierta tolerancia hacia el uso de estos

medios.

75


STS 26 de septiembre de 2007:

– Art. 20.3 del ET: El empresario podrá adoptar las medidas que estime más

oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de

sus obligaciones y deberes laborales, aunque ese control debe respetar la

consideración debida" a la "dignidad" del trabajador.

– No aplica el artículo 18 del ET que se refiere a registros en la persona del

trabajador, su taquilla o sus efectos. Este control que se atribuye al empresario

excede de su posición en el Contrato de Trabajo (actuación excepcional).

– Límites al control: la tolerancia existente genera una expectativa que no puede ser

desconocida. Pero eso no puede derivar en un absoluto. La empresa debe

establecer de forma previa (v. gr. mediante una política) las reglas de uso de esos

medios con aplicaciones de prohibiciones absolutas o parciales e informar a los

trabajadores de que va a existir el control y de los medios que van a para

comprobar la corrección de uso y ello sin perjuicio de otras medidas preventivas

(exclusión de determinadas conexiones o servicios).

76


Recomendación: aprobación de políticas con las prohibiciones de uso

(totales o parciales) de los medios de la empresa para uso personal.

Ámbitos:

– Carpetas personales.

– Internet.

– Dispositivos móviles.

– Correo electrónico.

– Llamadas personales.

Información sobre medidas de control preventivas.

Controles:

– Respetuosos con la intimidad personal.

– Establecer controles de rendimiento no intrusivos.

77

Videovigilancia

Marco Jurídico: Instrucción 1/2006

– Ámbito de aplicación: tratamiento de datos personales de imágenes de

personas físicas identificadas o identificables, con fines vigilancia a través

de sistemas de cámaras y videocámaras.

– Objeto: grabación, captación, transmisión, conservación y

almacenamiento, incluida su reproducción o emisión en tiempo real.

– Una persona es identificable cuando pueda determinarse su identidad sin

que ello requiera plazos o actividades desproporcionados.

– Excluidos: uso de cámaras y videocámaras por las Fuerzas y Cuerpos de

Seguridad.

– Legitimación:

• Consentimiento.

• Sea necesario para mantenimiento o cumplimiento de un contrato.

• Una ley lo autorice: Ley de Vigilancia Privada.

78

Videovigilancia

Información:

– Distintivo informativo ubicado en lugar suficientemente visible.

– Tener a disposición impresos con la información exigida por el artículo 5.1 de la LOPD.

79

Videovigilancia

Calidad:

– Juicio de Proporcionalidad de los medios empleados respecto de los

fines determinados, legítimos y explícitos.

• Idoneidad: sirve para conseguir el objetivo propuesto.

• Estricta necesidad: no existe una medida más moderada o menos intrusiva

que permita alcanzar la misma finalidad.

• Ponderación de bienes: se derivan más beneficios o ventajas que perjuicios.

Derechos ARCO:

– La solicitud deberá acompañarse de una imagen actualizada.

– Contestación a derecho de Acceso: Escrito certificado en el que con precisión y

sin afectar a derechos de terceros, se especifiquen los datos que han sido objetos

de tratamiento.

Cancelación: Cancelación al mes.

Ficheros: En el caso de que se conserven las imágenes.

80

Muchas gracias por su atención

[email protected]

@trebia_Aboga2

www.trebiaabogados.com

mailto:[email protected]

Cómo afrontar el reto de la información personal en las compañías

Business

Transcript of Cómo afrontar el reto de la información personal en las compañías