III sesión abierta 2010 - 2ª parte

1Agencia Española de Protección de Datos

3ª SESIÓN ANUAL ABIERTA DE LA AEPD

Principales novedades y desarrollos en materia de protección de datos personales

Madrid, 20 de octubre de 2010


JURISPRUDENCIA DEL TRIBUNAL SUPREMORECURSOS CONTRA EL RLOPD

Agustín Puente Escobar Abogado del Estado Jefe de la Asesoría Jurídica de la AEPD



Resumen

• Recursos contra el RLOPD: tres SSTS de 15 de julio d e 2010 y dos AATS de planteamiento de cuestión prejud icial de 15 de julio de 2010

• Fallo– Planteamiento de cuestión prejudicial respecto del

artículo 10.2 del RLOPD– Estimación del recurso, anulando los artículos 11, 18,

parte del 38.1 a), 38.2 y 123– Desestimación del recurso, confirmando la legalidad de

los artículos 5.1 q), 8.5, 12, 13.4, 15, 20.1, 21.2 a), 23.2 a), 24.3, 38.1 b), 38.3, 39, 40, 41, 42.2, 44.3, 45.1 b), 46, 47, 69, 70, 83 y la disposición adicional única


Cuestión prejudicial(Autos de 15 de julio de 2010)

• Las SSTS dejan imprejuzgado el artículo 10.2 del RLOPD, resolviendo el resto de los recursos. Trámite novedoso– Garantía de la seguridad jurídica (única duda

que se plantea la Sala)– Se evita la demora en la resolución del resto

• Cuestión de fondo: tratamiento fundado en el interés legítimo (artículo 7 f) de la Directiva)– ¿Es posible la exigencia de requisitos

adicionales a la regla de “equilibrio de derechos e intereses” prevista en la Directiva?

– ¿Tiene la Directiva en este punto efecto directo?


Artículos anulados. Fundamento

• Falta de legitimación legal para que sea posible un a “verificación autom ática” de los datos aportados a la Administración

• Falta de claridad en el modo de prueba del cumplimien to del deber de información. Será válido cualquier medio de pru eba, no precisándose que conste necesariamente en documento

• Falta de claridad en el requisito de que no exista rec lamación previa para que un dato no sea incluido en un fichero de solvencia. No toda reclamación impide este tratamien to

• Falta de claridad en la existencia de prueba indicia ria contraria a la inclusión de datos en ficheros de solvencia

• Inexistencia de cobertura legal para que las inspeccio nes puedan ser realizadas por funcionarios no perteneciente s a la AEPD


Artículos confirmados

• Conceptos de responsables del fichero y del tratami ento y posibilidad de que el responsable no trate material mente los datos

• Obligación de notificar a los cesionarios que sean conocidos la rectificación o cancelación de oficio de los datos

• En relación con el consentimiento:– Alcance del consentimiento para el tratamiento y pa ra

la cesión– Exigencia de verificación del consentimiento en

menores de edad– Exigencia de mecanismos de prestación del

consentimiento en contratos, como la marcación de una casilla



• En relación con el encargado del tratamiento– Inexistencia de encargado del tratamiento cuando se

genera un “nuevo vínculo” entre él y el afectado– Obligación de que el encargado conozca la identidad

del “subencargado” al que se pretenda subcontratar• En relación con los derechos

– Posibilidad de ejercicio a través de representante– Carácter gratuito del ejercicio de los derechos

• Posibilidad de suspensión de las transferencias internacionales de datos

• Exigencia de cláusulas de confidencialidad en contr atos de servicios sin acceso a datos



• En relación con los ficheros de solvencia– Exigibilidad del consentimiento en los “ficheros pos itivos”,

que se rigen por las normas generales y no por las específicas de los ficheros “de morosos”

– Inclusión en los ficheros de solvencia de tantos asi entos como vencimientos se produzcan de una deuda

– Obligación del acreedor de conservar la información a disposición del fichero com ún y de la AEPD

– Obligación de informar al deudor en el momento de cel ebrar el contrato acerca de la posible inclusión de sus da tos en caso de impago y de la posible consulta del fichero

– Exigencia de notificación de inclusión en cada incumplimiento

– Prohibición del saldo cero– Deber del acreedor de contestar al responsable del fiche ro

com ún acerca de las solicitudes de rectificación o cancelación en el plazo de siete días



• En relación con los ficheros para actividades de publicidad y prospección comercial– Alcance del consentimiento. Necesidad de que se

especifiquen los sectores de actividad respecto de los que se remitirá publicidad

– Delimitación de la condición de responsable del tratamiento en función del establecimiento de “parámetros identificativos”

– Consideración como cesión de la “deduplicación” de ficheros

• Exigencia de la indicación del nivel de seguridad p ara la comercialización de productos de software


JURISPRUDENCIA DEL TRIBUNAL SUPREMO


Jurisprudencia del Tribunal Supremo

• Cuestiones relacionadas con el ámbito de aplicación :– Objetivo: delimitación del concepto de fichero (Lib ros

de Bautismo)– Territorial: aplicación de la LOPD en una campaña d e

una empresa española, dirigida a españoles, aunque los datos se recogen en página web ubicada en USA

• Calidad de datos– Uso incompatible en riesgos laborales– Recogida fraudulenta: necesidad de especial

motivación de la resolución sancionadora• Tratamiento

– Alcance de la publicidad de las actuaciones judicia les– Datos especialmente protegidos: licitud de la inclu sión

del sindicato en la nómina



• Cesiones de datos– Existe en caso de transmisión de la información en el

seno de un grupo de empresas– Existe en caso de que una empresa reciba los datos de

otra para “enriquecerlos” y se los devuelva a la pri mera– Existe en caso de realización de campañas publicita rias

aun cuando la “beneficiaria de la publicidad” no acc eda nunca a los datos

– Existe en caso de sucesión en la persona del responsable si los interesados no han sido informad os (sector bancario)

– Sólo se ampara en el 11.2 d) la cesión de datos si son requeridos directamente por un órgano judicial

– Momento de comisión: aquel en que se produce la cesión. No es infracción continuada


Jurisprudencia delTribunal Supremo

• Encargado del tratamiento– Necesidad de contrato escrito que acredite su

contenido y el cumplimiento del art. 12 LOPD– No existe si se crea un “nuevo vínculo” (oferta

financiera a los clientes de una inmobiliaria)• Derecho de acceso

– En la Administración: no incluye los datos del usua rio de la información, pero sí los del concreto órgano a l que se ceden los datos

– Si se da acceso permanente (a través de una web) no es preciso otorgarlo en caso de solicitud específic a

– Su denegación puede dar lugar a la formulación de u na denuncia sin necesidad de recabar previamente la tutela de la AEPD.



• Deber de secreto y seguridad– Confirmación de la doctrina de la AEPD y la AN en c aso

de documentación hallada en la vía pública• Cuestiones de procedimiento

– El denunciante no tiene por esa sola circunstancia un “interés legítimo” que le legitime para recurrir una resolución de archivo de la AEPD en vía contencioso -administrativa

– La demora en las actuaciones inspectoras no implica la existencia de “fraude de ley” en caso de que se acredite la imposibilidad de concluirlas con anterioridad como consecuencia del incremento de la carga de trabajo de la AEPD


SENTENCIAS DE INTERÉS DE LA AUDIENCIA NACIONAL


Aspectos generales de protección de datos

• Colisión con otros derechos– Prevalencia de la tutela judicial efectiva. Aportació n de datos

en juicio– Prevalencia de la libertad sindical. Aspectos

• Difusión limitada al entorno empresarial• Datos relacionados con el puesto de trabajo

– Prevalencia de la libertad de información• Carácter noticiable: relevancia pública• Juicio de proporcionalidad: el dato debe aportar un

elemento noticiable por sí mismo• Ámbito de aplicación

– Existencia, al menos, de tratamiento automatizado (o piniones o valoraciones no sujetas si no lo hay)

– Sometimiento a la LOPD de los ficheros judiciales y d el Ministerio Fiscal

– Exclusiones de los artículos 2.2 y 2.3 RLOPD


Conceptos y principios

• Ficheros de titularidad pública– Siempre en las entidades públicas empresariales– Naturaleza del responsable del fichero, sin tener releva ncia la

del encargado del tratamiento• Proporcionalidad

– Comunicación de datos a la autoridad judicial– Publicación de resoluciones en Boletines Oficiales

• Exactitud– Se presumen exactos los datos facilitados por el afec tado– Vulneración si la inexactitud sólo se produce al comu nicar

los datos a un tercero– Posible actualización de datos facilitados en el ám bito de un

contrato aún vigente sin necesidad de nuevo consent imiento (incluso mediante un encargado)

– Especial deber de diligencia• Tratamiento no fraudulento

– Especial obligación de prueba del engaño en la resol ución


Información y legitimación para el tratamiento

• En general– Legitimación de los detectives para la averiguación d e datos,

pero con limitaciones en cuanto a su revelación– Legitimación para el control horario con datos biom étricos– Tratamiento de datos que habían sido cancelados– Posible cumplimiento del deber de información a través de

carteles• Cesiones

– Cesión de créditos no informada al deudor– Cesión de créditos cuya existencia no consta– Envío por un mediador de seguros de contrato sin firma r

(también responsable el asegurador)– Envío de comunicaciones a tercero con el mismo nombre y

apellidos que el afectado– Responsabilidad de empresas que captan información de

terceros sin legitimación– Traspaso de plan de pensiones sin que la cedente sol icite la

acreditación de la solicitud del interesado para la c esión


Datos de salud y consentimiento de menores

• Datos de salud– Legitimación del acceso por la inspección sanitaria a

historias clínicas en la investigación a un determina do facultativo

– Legitimación de la revelación de datos de salud de u n facultativo por otro en cumplimiento de deberes deontológicos

• Consentimiento de menores– Deber de comprobación. Ilicitud si en un contrato apare ce la

fecha de nacimiento en blanco– No es posible el consentimiento en menores de catorce años

• Ilicitud de la recogida y uso posterior de los datos sin consentimiento de los padres del menor de catorce años para remitirle una tarjeta de crédito

– Posible licitud del consentimiento prestado por el ma yor de catorce años en un contrato: reglas generales sobre indi cios


Consentimiento en contratación

• Validez del consentimiento verbal si puede probarse (declaración ante notario)

• Indicios de existencia– Coincidencia de firma y DNI– Pago de recibos– Datos que en principio sólo pueden obtenerse del in teresado– Constancia de conversaciones con el interesado refe ridas al

servicio o en que no se niega el contrato– Recepción del bien adquirido (pago aplazado)– En telecomunicaciones: existencia de llamadas desde y a la línea

contratada– En banca: disposición del saldo en cuenta

• Indicios de inexistencia– Envío de facturas a persona distinta de la que teór icamente solicitó

el servicio– Domiciliación en cuenta distinta a la que consta en el contrato– No constancia de la firma o algún elemento esencial– Rechazo del bien o reclamación inmediata a la prime ra

domiciliación


Encargado del tratamiento y derechos ARCO

• Encargado del tratamiento– Si se excede del mandato será responsable (por

ejemplo, recabando m ás datos de los solicitados o recabando datos inexactos)

• Cuestiones generales sobre derechos– Debe existir congruencia entre el derecho ejercitad o y

su atención– Es posible el ejercicio por representante, pero con un

apoderamiento “individual y otorgado en términos estrictos”

– En las Administraciones no es necesario recurrir la denegación, pudiendo acudirse a la tutela

• Acceso: Sólo referido a datos que “estén siendo tra tados”no a datos que ya no lo están siendo. Prueba sufici ente

• Rectificación: No es posible respecto de datos obra ntes en un procedimiento administrativo


Seguridad

• Cuestiones generales– Obligación de resultado– Cabe sancionar al responsable incluso si el problema d e

seguridad es causado por el encargado que diseñó el sistema de información (posible atenuación)

• Documentos en la vía pública: Intervención de tercero exculpatoria si los documentos no eran fácilmente acc esibles o no estaban en zonas de acceso público

• Programas de intercambio de archivos– Posibilidad de instalación– Irrelevancia de que el fallo se deba a la conducta ai slada de

un trabajador que instaló el programa en su terminal• Intervención de hackers

– Puede exculpar el fallo de seguridad, pero no en caso de que el responsable no adopte medidas tendentes a evitar a ccesos no autorizados una vez se produzca la fuga


Deber de secreto

• Inexistencia de vulneración– Constancia en registro de correos del dato “solicit ud

de información m édica”– Copia de extractos bancarios por excónyuge– Publicación de morosos de comunidades de

propietarios previa notificación en domicilio– Remisión de información a las secciones sindicales

representadas en el Comité de Empresa– Revelación de datos por miembro de una Corporación,

no imputable a la misma• Existencia de vulneración

– Envío de información de terceros por correo ordinar io o electrónico al alterarse los datos del destinatario pero no el contenido de la información

– Divulgación a todo el personal de una empresa de un a demanda y una sentencia sin anonimizar

– Inclusión de datos en foros de Internet


Ficheros de solvencia patrimonial

• Inexistencia de la deuda– Penalidad en un contrato objeto de litigio– Aceptación de convenio de quita respecto de la part e condonada– Modificación de tarifas sin conocimiento del intere sado– Reconocimiento del pago en un proceso judicial– Facturación por servicio finalmente no prestado

• Existencia– Imputación en casos de cotitularidad de cuentas– Aumento de la deuda reconocida judicialmente con lo s intereses

• Requerimiento– Necesidad de prueba por el acreedor– Cabe un solo requerimiento en deudas de pago fracci onado– No es preciso que sea inmediatamente antes de inclu ir el dato en el

fichero– Validez del efectuado telefónicamente siempre que p ueda probarse

• CIRBE– Comunicación del riesgo derivado de un aval sin ins tar la

cancelación del riesgo por el preaval


Videovigilancia

• Sometimiento a la LOPD de la reproducción en tiempo rea l: tratamiento automatizado

• No es posible alegar la inaplicabilidad de la LOPD p orque la calidad de imagen no sea buena

• Aplicación de los criterios de la Ley de Seguridad Pri vada en cuanto a legitimación (antes de la Ley “Omnibus”)

• Es preciso contar con legitimación en caso de difusió n de imágenes en Internet (información al respecto)

• Proporcionalidad: invasión de la vía pública (“mínimo imprescindible”)

• Comunidades de propietarios– Si está en zonas comunes no se aplica la excepción d e

tratamiento en el ámbito dom éstico– Necesidad de acuerdo de la Junta (posible convalidac ión a

posteriori)• Prescripción: carácter de “infracción permanente”. Irrele vancia

del momento en que se capta al denunciante mientras siga existiendo la cámara


Cuestiones procedimentales o de aplicación

• Actuaciones inspectoras. Duración– No existen dilaciones indebidas si se prueba el aum ento de la carga

de trabajo. – Inaplicabilidad retroactiva del plazo de 12 meses d el RLOPD

• Prejudicialidad penal– No la hay en casos de suplantación (estafa vs. trat amiento)

• Caducidad– Inicio por la fecha del acuerdo de inicio. Conclusi ón por la fecha de

intento de notificación• Prescripción

– Tratamiento y principios de calidad de datos son “i nfracciones permanentes”

– Recogida por encargado del tratamiento: el plazo co menzará al tiempo de la recogida si el encargado no almacena l os datos

– Cesión de datos y deber de secreto: fecha de la últ ima revelación conocida. Si se debe a publicación en web, mientras los datos estén en la web

• Legitimación del denunciante en el recurso: doctrin a del TS• Requisitos para la aplicación de la medida de inmov ilización del fichero


Cuestiones procedimentales o de aplicación (2)

• Principio de culpabilidad– Supuestos de suplantación de identidad: dependencia de la

adopción de medidas de diligencia debida por el resp onsable• Hay culpabilidad en caso de haberse aportado un DNI

falso y no constar en el contrato o si las firmas difi eren– Conducta imputable al afectado

• Documentos en la vía pública sustraídos por el afecta do– Confianza legítima

• Seguimiento de criterios mantenidos por la Administración (publicación de sanciones en web)

• Cambio de criterio de las resoluciones de la AEPD• Bis in idem . Existencia

– Existencia: Datos de salud en la vía pública y previ a sanción de Consejería de Sanidad

– Existencia: Hechos constitutivos de delito– Inexistencia: Fraude en la contratación sancionado ta mbién

por el Organismo regulador sectorial


INFORMES JURIDICOS RELEVANTES DE LA AEPD


Informes relevantes

• Cuestiones generales y ámbito de aplicación– Criterios de aplicación de los artículos 2.2 y 2.3 RLOPD.

• Especial importancia de la finalidad del tratamient o• Limitación de los datos en el artículo 2.2• La exclusión no opera si la LOPD sólo es aplicable a

algunos datos– Excepción de personas fallecidas

• En particular, uso para fines históricos– Ámbito de aplicación territorial

• Diferencias en el ámbito de aplicación de LOPD y LSSI: servicios dirigidos a residentes en España

– Procedimiento de disociación. Codificación. Necesid ad de que sea irreversible


Informes relevantes

• Datos especialmente protegidos– Ideología: posibilidad de publicación y tratamiento de

datos hechos manifiestamente públicos• Candidatos en procesos electorales y diarios de

cámaras parlamentarias– Salud

• Disociación de datos para acceso por inspección tributaria a un facultativo

• Proporcionalidad: Real Decreto CMBD. En especial las anotaciones subjetivas

• Cesión de datos para inspección sanitaria y comprobación de incapacidad temporal

• Improcedencia de la cancelación de datos en historias clínicas o en ficheros de las autoridades sanitarias referidos a enfermedades de declaración obligatoria


Informes relevantes

• Legitimación para el tratamiento. – Acceso por colegios de procuradores a ficheros de

asuntos judiciales – Publicidad de registros

• En general: necesidad de norma habilitante• Limitación de accesos basada en el interés legítimo• Alcance de los datos públicos. Aplicación del

principio de proporcionalidad. Registros de colegio s profesionales

– Acceso a los datos de productividad de los funciona rios• Diferenciación del acceso por el personal y el

tratamiento por los sindicatos. No cesión “automatizada”

– Acceso a datos de retribuciones por concejales: no debe incluir los datos de la nómina referidos al trabaja dor y distintos de sus retribuciones


Informes relevantes

• Legitimación para el tratamiento. – Publicación de sentencias en medio de comunicación

• Prevalencia de la libertad de información. Juicio d e proporcionalidad

• No aplicable para repertorios de jurisprudencia. Finalidad distinta a la información

– Movilización de fondos de inversión: no aplicación de la doctrina judicial relativa a planes de pensiones. Habilitación legal

– Creación de listas negras: necesidad de consentimie nto salvo que exista una ley expresamente habilitante

– Comunicación de datos de pasajeros a autoridades aduaneras de otros países cuando lo requiere su Ley nacional. Habilitación por ser necesario para el desarrollo del contrato


Informes relevantes

• Legitimación para el tratamiento. – Transparencia: acceso a la información en materia d e medio

ambiente (Ley 27/2006)• Necesidad de consentimiento, con carácter general, en

relación con los datos de carácter personal– Necesidad de aplicación del criterio de proporciona lidad

para el tratamiento de la huella digital (ficheros de clientes)– Acceso por asociados a datos de la asociación

• Regla general: habilitación estatutaria• Especialidades en datos especialmente protegidos y en

procesos electorales• Seguridad

– Aplicación de la excepción del artículo 81.5 b) a tratamientos automatizados. Reforma RLOPD

– Plazo de conservación del informe de auditoría


Informes relevantes

• Especialidades en sectores concretos– Especialidades de la normativa de blanqueo de capit ales

• Ficheros comunes• Exención de información y derechos ARCO• Naturaleza de los OCP

– Requisitos para la creación de Listas Robinson• Obligaciones de acceso e incidencia si se ha prestado el

consentimiento– Requisitos de creación de ficheros sectoriales de sol vencia

patrimonial y crédito– Acceso a datos históricos por Internet. Necesidad de

consentimiento si se trata de personas vivas y los d atos tienen una antigüedad inferior a 50 años

– Especialidades en materia de prevención de riesgos laborales


Informes relevantes

• Videovigilancia– Incidencia de la Ley “Omnibus”: liberalización en l a

instalación y mantenimiento salvo en los casos de conexión a centrales de alarmas

• Supuestos de fusión u otras operaciones mercantiles– Posible confusión con supuestos de cesión atendiend o

a la naturaleza de la operación• En caso de persistir la personalidad jurídica de la s

entidades, cada una será responsable de sus ficheros, pero podrían caber cesiones necesarias para el desarrollo de la relación con el cliente

– Posible aplicación de la exención de información de l artículo 5.5 si el domicilio de los afectados es desconocido

– Posible transmisión de datos previa a la efectivida d de la operación. Requisitos m ínimo necesarios


PRINCIPALES CASOS EN 2009 -2010

José López CalvoSubdirector General de Inspección de Datos

Madrid 20 octubre 2010


1.- MOROSIDAD- Necesidad de reforzar los sistemas de acreditación d e consentimiento en la contratación de servicios. En especial a distancia . La importancia de la grabación y de la disponibilidad de documentación acreditativa. (PS/535/2009). Tasación (PS 168/2009). Seguro de hog ar (PS 182/2009).

- Necesidad de que en las operaciones de venta de de udase cumpla la condición de deudor (PS/18/2009).

- Necesidad de mantener deber de secreto sin que concuerde con el mismo la comunicación telefónica de la deuda a terceros o allegados. (PS 97/2010).


- Requerimiento previo de pago . La existencia de un procedimiento estandarizado de envío de cartas no constituye prueba de que en el caso concreto se haya producido la efectiva remisión y recepción (SAN 20-10-2009 CAJASOL).Debe aportarse copia de la carta de requerimiento enviada por la empresa o puesta en correos o entregada a empresa de mensajería con acreditación de envío con control de devoluciones individualizado certificando la entrega sin incidencias. (PS 400/2010).


- Necesidad de informar previamente al deudor de la inclusión en caso de impago (artículo 39 ROPD). (PS 149/2010).

- Acceso a información de terceros en fichero de solvencia debe estar justificado (PS 571/2009).


2.- VIDEOVIGILANCIA- El enfoque de la vía pública con cámaras se reserva en exclusiva a fuerzas y cuerpos de seguridad salvo previsión legal. (PS/709/2009).- En el cartel informativo debe figurar el responsable del fichero, no la empresa de seguridad correspondiente salvo que ostente tal condición. (PS 524/2009).- La instalación de cámaras disuasorias(carcasas) no se considera una solución idónea alternativa. (E 720/2010).


3.- TUTELA JUDICIAL EFECTIVA

La aportación de documentos en juicio en el libre ejercicio del derecho a la tutela judicial efectiva encuentra su contrapunto en la eventual vulneración del deber de secreto que se produciría en el caso de que el responsable entregue datos de un tercero para que el receptor lo aporte en juicio (PS 724/2009).


4.- INTERNETA) Situaciones respecto de quien sube el dato .Publicación de datos personales (incluyendo vídeos) sin consentimiento previo del afectado, cuando se vulnera el deber de secreto . (PS 683/2009 y PS 508/2009).

Publicación de datos personales sin consentimiento del afectado. La relevancia de la sensibilidad de los datos (incluyendo videos o sentencias (PS 117/2008 Y PS 479/2008).


B) Titular de la página.No responde del contenido colgado por tercero salvo:- página de datos de especial sensibilidad en que, deben extremar precauciones:

• Página web de menores sin comprobación de edad. (PS 468/2009).

• Imágenes de menores en una página “votamicuerpo”. (PS 23/2010).

• Página de contacto gay que no controla identidad de quien inserta anuncios.

- Haya sido advertido y no lo retire.


5.- DATOS CUYO CONOCIMIENTO ES LEGÍTIMO EN ENTORNO AFECTADO. NO POR TERCEROS:

- Miembros comunidad propietarios (deudas). (PS 689/2008).- Información a los trabajadores por sindicatos. A través de Intranet (SAN 20-4-2009) no de Internet (PS/51/2008) salvo relevancia pública.- Correo electrónico. Uso de copia oculta. (PS/553/2009).


- Interesados en un procedimiento de adjudicación pública en que es necesario garantizar transparencia y concurrencia: becas, plazas colegios concertados, complemento productividad entre funcionarios. (AP/67/2008, AP/27/2008).

- Despido tras acceso a ordenador personal con aviso previo (E3490/2009).


6.- TUTELAS

- Tutelas de derechos sobre “Derecho al olvido”:

a) Boletines: - Fiscal; publicación en 1998 sentencia de TSJ por infracción administrativa sancionada en 1993 (TD155/2008).- Real Decreto de 1999 de indulto de un delito contra la salud pública. (TD 989/2009).


b) Prensa digital:- Noticia de 1989 en prensa digital; imputándole delito de parricidio. (TD 1887/2009).- Noticia de1975 en prensa digital; detención de activistas del FRAP (TD 30/2010).- Noticias de 1974 y 1975 en prensa digital; detenciones por consumo y tráfico de drogas. (TD 487/2010).


c) Blogs- Se le arrestó en 2008 por delitos de tenencia de pornografía infantil, pedofilia, abuso de menores; delito archivados. (TD 92/2010).

- La AEPD no es competente para analizar cuantía de deuda (TD 1950/2009).

- Exclusión acceso a la aplicación de los criterios de clasificación de clientes MIFID. (TD 309/2010).


DESARROLLOS INTERNACIONALES

Rafael García GozaloJefe del Área de Internacional

Madrid 20 octubre 2010


• Madrid sede de la XXXI Conferencia Internacional de Privacidad.

• AEPD líder del proceso de redacción de Propuesta Común de Estándares Internacionales de Protección.

• Principales novedades producidas en ámbito UE.


31ª Conferencia Internacional

� Más de 1000 participantes.� Impacto de Internet en Protección de Datosdesde pluralidad de perspectivas.

� Alto perfil de participantes.� Alta participación de comunidad de protección de datos española.

� Principales Resoluciones: � Renovación del marco institucional de la Conferencia.� Resolución de Madrid sobre Estándares Internacionales de Privacidad.


Estándares Internacionales

� Proceso iniciado con el mandato recibido por AEPD en Conferencia de Estrasburgo:� Garantizar alto nivel de protección.� Facilitar flujos internacionales de datos.

� Resultado de un año de redacción de un Grupo de Trabajo .� Integrado por 24 APD, 6 observadores y con particip ación de 400 expertos

de industria, universidad, ONG.� Que elaboró cuatro versiones sucesivas.� Que celebró dos reuniones de coordinación (Barcelona y Bilbao).

� Estándares Internacionales.� Avalados por Conferencia Internacional de Madrid.� Respaldados en declaraciones de:

� Consejo de Europa.� Industria.� Unión Europea.� Conferencia Public Voice.



� No son un documento innovador (se basan en principios y criterios ya presentes en otrosdocumentos internacionales) pero sí aportansoluciones innovadoras para armonizar esosdocumentos.

� No son un documento europeo: buscan el máximoconsenso internacional.

� Garantizan un adecuado nivel de protección: principios, derechos, vías de recurso, mecanismosde supervisión.

� Importancia de transferencias internacionales.� Importancia de autoregulación.



� Mandato AEPD + Israel para coordinarGrupo de Promoción de EstándaresInternacionales.

� Contactadas 20 OrganizacionesInternacionales.

� Presentados a la industria (París, junio 2010).� Presentados IAPP.� Resoluciones Congreso y Senado.� Inclusión en normas nacionales (Méjico).


Revisión del marco internacional

� Directrices OCDE.

� Convenio 108 Consejo de Europa.

� Directiva 95/46.

� Normativa EEUU.

� Accountability Project.


Desarrollos Unión Europea

� Proceso de modificación de marco jurídico comoconsecuencia de: � Globalización.� Desarrollo tecnológico.� Tratado de Lisboa.

� Proceso complejo:�Conferencia Pública (MAYO 2009).�Consulta Pública iniciada JULIO 2009.�Adopción por GT29 de WP 168 (“El Futuro de la Privacidad”) (DICIEMBRE 2009).�Consultas permanentes Comisión / Agencia Española de Protección de Datos.�Presentación de Comunicación Estratégica por la Comisiónen noviembre de 2010.�Propuesta de nuevo instrumento 2011.


Otros desarrollos

� Institucionales: �AEPD Vicepresidente del GT29.�AEPD miembro del Buró del TPDP Consejo de Europa.

� Regulatorios: � Decisión COM sobre cláusulas contractuales tipoResponsable-Encargado (2010/87/CE ).

�Opinión relativa al marketing basado en comportamiento(WP 171).�Opinión Redes Sociales (WP 163).�Opinión sobre inspección coordinada sobre aplicación de Directiva “retención de datos” (WP 172).� Dictamen 1/2009 sobre Directiva (2001/58/CE “ePrivacy”).� Opinión sobre “accountability” (WP 173).�Nuevo Acuerdo “SWIFT”.


3ª SESIÓN ANUAL ABIERTA DE LA AEPDNOVEDADES REGISTRO 2009-2010

María José Blanco AntónSubdirectora General

Registro General de Protección de Datos



Ficheros

2008 2009 09/2010 12/2010

1.267.579∆anual 25% 1.377 operaciones diarias

2.171.841∆>500.000 ficheros

2.041.3202.724 operaciones diarias

1.647.756∆anual 50%2.137 operaciones diarias


Ficheros

• Incremento de la inscripción de ficheros de:• Profesionales• Micropymes

95%

5%

88%

12%

Responsables de ficheros 2000 2005 2010

Personas físicas 908 18.275 101.801 24%

Resto de personas jurídicas 15.977 132.493 323.052 76%

Sanidad (4.412)Contabilidad, auditoría …. (2.305)Actividades inmobiliarias (2.012)Actividades jurídicas (1.513)Comercio (1.314)

Principales sectores de actividad de responsables de ficheros-personas físicas

Contabilidad, auditoría y asesoría fiscal (209)Comercio (198)Sanidad (45)

Sanidad (17.519)Comercio (15.091)Turismo y hosteleria(6.746)


Ficheros

• Incremento de un 40% de las solicitudes de información relativa a la inscripción de ficheros (copias de resoluciones del Director, contenido de inscripciones, ..).

• Tiempos de respuesta amplios.• Previsiones de la Agencia: En la sede electrónica s e

publicará un modelo electrónico de solicitud normalizada de información registral.

• No obstante, se recomienda mayor diligencia en el intercambio de información registral cuando se cesa en la prestación de servicios .


Ficheros

• Guía de Seguridad (actualización disponible en www.agpd.es ): – Formato pdf – guía completa.– Formato word – modelo de

documento de seguridad.

• EVALÚA – Autoevaluación cumplimiento LOPD.– Autoevaluación medidas de

seguridad.


Transferencias Internacionales

2008 2009 2010

Países nivel adecuado + excepciones art. 34 LOPDPaíses Espacio Económico Europeo

Movimientos internacionales de datos inscritos en el RGPD

17.492

6.4686.5196.607

16.953

17.970



Autorizaciones del DirectorTransferencias internacionales de datos a países

que no disponen de un nivel adecuado de protección

2008 2009 2010

405

277

513

216

328

412

5066

75

21

Responsable-responsableDecisión 2001/497/CE

Responsable-encargadoDecisión 2002/16/CE

Autorizaciones totales

Responsable-encargado Decisión 2010/87/UE


RESTO DE PAISES: 106 autorizaciones

Marruecos 3 8 7 26

Singapur - - - 4Japón - 1 1 4Malasia - 3 - 6Tailandia - - - 2Filipinas 5 4 1 15China 3 3 1 9Hong Kong - 1 1 3Egipto - - - 1Nigeria - - - 1Túnez - - - 3Sudáfrica 3 - - 3Australia - 7 - 8Canadá - - - 1Rep. Bielorrusa 3 - - 3Mónaco - 1 - 1Israel - 1 4 5Vietnam - - 3 3Barbados - - 3 3Bermuda - - 1 1Andorra 1 1Internacional - - 3 3

ESTADOS UNIDOS: 170 autorizaciones

EEUU 31 28 18 170

IBEROAMÉRICA: 190 autorizaciones

Panama - - - 2Colombia 4 12 8 43Chile 1 8 4 31Uruguay 4 3 5 19Perú 4 19 8 43Guatemala 1 1 3Paraguay 4 4 1 11Brasil 3 - - 4El Salvador - - - 1Costa Rica 1 - - 2Nicaragua - - 1México 3 8 6 29Ecuador - - 1 1

INDIA: 75 autorizaciones

India 30 28 8 75


2008 2009 2010 TOTAL

2008 2009 2010 TOTAL

AUTORIZACIONES : 103 128 107 512



Decisión 2010/87/UE : cláusulas contractuales tipo de encargado de tra tamiento con posibilidad de subcontratación:

– El nuevo modelo de cláusulas contractuales aporta flexibilidad en relación con las prestaciones de servicios fuera del territorio español y la subcontratación posterior.

– El modelo es de aplicación desde el 15 de mayo de 2010 , deroga la Decisión 2002/16/CE.

– Se han tramitado autorizaciones basadas en la Decis ión derogada cuando la fecha del contrato era anterior a 15 de mayo.

ArchivoAutorizacionesSolicitudesTipo de contrato

Responsable-responsable (2001/497/CE) 18 8 4

Responsable-encargado (2002/16/CE) 77 57 13

Responsable-encargado (2010(87/UE) 47 28 2



Decisión 2010/87/UE : cláusulas contractuales tipo de encargado de tratamiento con posibilidad de subcontratación:– La Decisión 2010/87/UE permite a las autoridades de control aplicar

este modelo de cláusulas a situaciones en las que l a prestación de servicios se realice en territorio español siempre que se adopten las garantías que establece la propia Decisión en las s ubcontrataciones posteriores en terceros países ( considerando 23 ).

– El RLOPD define al exportador de datos como la entidad establecida en España que realiza transferencias internacionale s de datos.

– Viabilidad:• autorización de transferencias internacionales a en cargados de

tratamiento (exportadores de datos establecidos en España) basadas en un acuerdo marco con subencargados (fuera de España) que recojan todas las garantías de la Decis ión 2010/87/UE para encargados.

• notificación posterior de los ficheros objeto de tr ansferencias internacionales por cada responsable, que firma un contrato de prestación de servicios autorizando la subcontratac ión con un encargado que tiene otorgada una autorización.


Códigos tipo

Dic-2007 Sep-2008

12 Códigos tipo inscritos

Aprobación RLOPD

Título VII. Regulación códigos tipo

Plazo adecuación

Finaliza plazo transitorio

Presentación solicitudes de adecuación de 9 códigos tipo

Cancelación de inscripción 3 códigos tipo

Presentación Código tipo de investigación clínica y farmacovigilancia

Abr-2009 Dic-2009Jun-2009

Inscripción del Código tipo de Farmaindustria

Inscripción del Código tipo EUDEL– Agencia Vasca

Jul-2009

Inscripción de la modificación de los 9 códigos tipo:

- UNESPA (FHSA)- ACES- UCH- Confianza online- Odontólogos y estomatólogos- Universidad Castilla La Mancha- ACRA- AEGI- Veraz Persus

Todos los códigos tipo inscritos en el RGPD se encuentran disponibles en la web de la Agencia www.agpd.es


Códigos tipo

• Novedad : evaluación continua de los códigos tipo:

– Memoria anual. • En 2010 se han presentado 2 memorias.

– Inscripción condicionada a la evolución del código.• Incremento de adheridos.


Códigos Tipo

• Aclaraciones en materia de investigación clínica:

– Posición jurídica de los diferentes agentes que intervienen en un ensayo clínico.

– Procedimiento de disociación de los datos• Código de aleatorización – garantías de

irreversibilidad.– Fichero de Investigación Clínica vs. Fichero de

Historias Clínicas.


Informe Hospitales

• Motivación del estudio:– Incremento de tutelas y denuncias relacionadas con ficheros

de historias clínicas.– Tratamiento de datos de salud. Garantías reforzadas LOPD.

• Inicio del estudio: marzo 2010.• Alcance del estudio: 654 centros públicos y privado s del Catálogo

Nacional de Hospitales sujetos al control de la Age ncia Española de Protección de Datos.

• Requerimiento de cumplimentación del Informe de cumplimiento de la LOPD en Hospitales antes de 31 de julio de 2010.

654 centros del CNH

605 centros (duplicados, devolución,

…)

562 centros contestaron


Informe Hospitales

Datos por comunidades autónomas

Comunidad AutónomaCentros

requeridos

Centros

contestados

% Centros

contestadosCIUDAD AUTÓNOMA DE CEUTA 2 2 100,00

CIUDAD AUTÓNOMA DE MELILLA 1 1 100,00

C.A. DE ANDALUCÍA 124 119 95,97

C.A DE ARAGÓN 29 27 93,10

C.A. DE CANARIAS 42 35 83,33

C.A. DE CANTABRIA 9 8 88,89

C.A. DE CASTILLA Y LEÓN 50 49 98,00

C.A. DE CASTILLA-LA MANCHA 33 28 84,85

C.A. DE EXTREMADURA 26 24 92,31

C.A. DE GALICIA 63 53 84,13

C.A. DE LA REGIÓN DE MURCIA 26 26 100,00

C.A. DE LA RIOJA 7 7 100,00

C.A. DE LES ILLES BALEARS 23 20 86,96

C.A. DEL PAÍS VASCO 26 24 92,31

C.A. DEL PRINCIPADO DE ASTURIAS 23 23 100,00

COMUNIDAD DE MADRID 48 47 97,92

COMUNIDAD FORAL DE NAVARRA 13 13 100,00

COMUNIDAD VALENCIANA 60 56 93,33

TOTAL GENERAL 605 562 92,89


Informe Hospitales

Datos por titularidad del centro

Desglose por titularidad de los centros:

- que han sido requeridos para cumplimentar el informe,

- que han atendido dicho requerimiento, y

- que presentan deficiencias en el cumplimiento de la LOPD.

Requeridos No contestan Contestan Envío de recomendaciones Requerimiento medidas correctoras

Privados 313 20 294 251 43

Públicos 292 23 268 109 159

Total 605 43 562 360 202


Informe Hospitales

Cuestiones planteadas en el Informe :

► Medidas de seguridad y documento de seguridad; obli gaciones del personal; control y registro de acceso; comunicació n de datos; gestión de incidencias; gestión de soportes y docum entos; copias de respaldo; y documentación en papel.

► Auditoría de medidas de seguridad.

► Deber de información y atención al ejercicio de der echos ARCO.

► Inscripción de ficheros en el RGPD.

► Contratación de servicios de tratamiento de datos p ersonales.


Informe Hospitales

Acciones siguientes :

► Remisión a la Subdirección General de Inspección d e los más de 40 centros que no han atendido el requerimiento , dado que podrían haber incurrido en una infracción de l a LOPD.

► Remisión del informe con recomendaciones a todos l os centros.

► Requerimiento a más de 200 centros de adopción de m edidas correctoras y comunicación de las mismas a la AEPD antes de 1 de abril de 2011.

► Informar a las Consejerías y al Ministerio de Sanid ad y Política Social.


Informe Hospitales - Recomendaciones

Mantener actualizada la inscripción de ficheros.

Incluir cláusulas informativas en los impresos y adaptarlas en función del fichero en el que se van a incluir los da tos.

Colocar carteles informativos sobre el derecho a la protección de datos.

Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos.

Aplicar procedimientos de disociación de los datos de carácter personal en los tratamientos de datos que hayan sido externalizados.

Registrar todos los accesos realizados a los historiales clínicos.


Informe Hospitales - Recomendaciones

Realizar auditorías que verifiquen si el personal utiliza los datos para la finalidad que justificó el acceso.

Almacenar los archivos físicos de historias clínicas e n áreas con acceso protegido mediante llave o dispositivo equivalente y en archivadores que dispongan de mecanismos que obstacul icen su apertura.

Custodiar la documentación clínica de pacientes cuando ésta no se encuentre archivada impidiendo que pueda ser accedida por terceros.

Adoptar medidas para evitar la pérdida o sustracción de la documentación durante su transporte.

Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de otros que puedan contener datos relativo s a la salud de las personas.


Muchas gracias

III sesión abierta 2010 - 2ª parte

Education

Transcript of III sesión abierta 2010 - 2ª parte