LOPD la nueva normativa reglamentaria RD 1720/07

CURSO SOBRE LA PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL

REALIZADO POR: Rebeca Pérez, Begoña Grimau y Eduard Domingo

TEMA 1.- EVOLUCIÓN HISTÓRICA

Primeros antecedentes en la legislación española

Regulación constitucional que se consagra en el artículo 18.1 de la Constitución de 1978: Derecho a la intimidad y honor personal y familiar.

Con el tiempo, y por el gran desarrollo de las nuevas tecnologías, el derecho fundamental a la intimidad personal y familiar ha generado un derecho, también fundamental a la privacidad, el que se conoce en el derecho anglosajón como la Privacy. En efecto, la privacidad, es el auténtico objeto de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y del RD 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo.

El derecho a la protección de datos va más allá del derecho a la intimidad y lo hace como un derecho y libertad fundamental de las personas, con carácter autónomo e independiente.

El derecho a la intimidad del art. 18.1 CE y la forma embrionaria de habeas data del art. 18.4 CE configuran el objeto material del derecho a la Privacy: “derecho de control sobre los datos relativos a la propia persona” STC.

Antecedentes en la UE

A diferencia, de la LORTAD del año 1992, que provenía directamente del artículo 18 CE, la LOPD es una transposición de una Directiva Europea (Directiva 45/1995) que regula especialmente el derecho a la privacidad.

→ Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

TEMA 2.- BIENES Y DERECHOS TUTELADOS POR LA LO 15/1999

Objeto de la LO 15/1999

Artículo 1 LOPD: “La presente Ley Orgánica tiene como objetivo garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.

Artículo 2 RD 1720/07: “El presente Reglamento será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

Exclusiones introducidas por el art. 2.2, 2.3 y 2.4 RD 1720/07: -- trabajadores- autónomos- personas fallecidas

Ámbito de aplicación(art. 2 LOPD y art. 4 RD 1720/07)

Afecta a todas aquellas organizaciones, tanto de carácter público como privado, con ánimo de lucro, o no, que en el marco de las actividades, tratan datos de carácter personal.Quedan excluidos de la aplicación de la ley todos aquellos ficheros:

– de actividades exclusivamente personales o domésticas, – los sometidos a la normativa sobre protección de materias

clasificadas, y – los establecidos para la investigación del terrorismo y de

formas graves de delincuencia organizada.

¿Qué consideramos datos de carácter personal? (art. 3.a LOPD y art. 5.1.f RD 1720/07)

Cualquier información concerniente a las personas. En concreto, toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de ser recogida, registro, tratamiento o transmisión que concierne a una persona física identificada o identificable.

¿De qué forma podemos disponer de estos datos? (art. 6 LOPD y art. 10 RD 1720/07)

Siempre que tengamos el consentimiento de su titular, inequívoco o de forma expresa. Por lo tanto, estaremos legitimados para tenerlos.

Cuando sean adecuados, pertinentes y no excesivos a la finalidad a la que los destinemos.

Que sean exactos y actualizados.

TEMA 3.- CARACTERÍSTICAS GENERALES DE LA LOPD

Entrada en vigor

En la actualidad, la LOPD está en vigor en todas sus fases.

El RD 1720/07 de desarrollo de la LOPD entra en vigor el 19 de abril de 2008 y los plazos de implantación de las medidas de seguridad (Disp. Transitoria 2ª) son:

– En el plazo de 1 año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio.

– En el plazo de 18 meses desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel alto.

Organismos públicos competentes

Agencia VascaInscripción de ficheros públicos

Inscripción y control del código tipo

Inspección de los ficheros públicos

Agencia EspañolaInscripción de ficheros públicos y privados

Inspección de titulares públicos y privados

Inscripción y control del código tipo

Mecanismos de tutela (art. 18 LOPD y 117 RD 1720/07)

Las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos.

Instrucción del procedimiento:– El procedimiento se iniciará a instancia del afectado o afectados,

expresando con claridad el contenido de su reclamación y de los preceptos de la LOPD, que se consideran vulnerados.

– Recibida la reclamación en la AGPD, se dará traslado de la misma al responsable del fichero, para que, en el plazo de 15 días, formule las alegaciones.

– Recibidas las alegaciones o transcurrido el plazo anterior, la AGPD, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá sobre la reclamación formulada.

TEMA 4.- CONCEPTOS Y DEFINICIONES

Concepto de fichero (art. 3.b LOPD y art. 5.1.k RD 1720/07)

Cualquier conjunto organizado de datos personales, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Estaremos autorizados o legitimados a crear un fichero cuando resulte necesario para realizar la actividad o objeto legítimos de la persona, empresa, o administración pública.

Antes de su creación, se deberá notificar a la respectiva Agencia de Protección de Datos.

Concepto de interesado o titular de los datos (art. 3.e LOPD y art. 5.1.a RD 1720/07)

El único titular de los datos personales es el propio sujeto.

La titularidad no se puede transmitir, ni alienar, pero sí que podemos ceder su uso siempre que haya un consentimiento inequívoco o expreso, en función de los datos que se cedan.

Concepto de responsable del fichero o tratamiento (art. 3.d LOPD y art. 5.1.q RD 1720/07)

Cualquier persona física o jurídica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento aunque no lo realizase materialmente.

También lo podrán ser los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Concepto de encargado del tratamiento (art. 3.g LOPD y art. 5.1.i RD 1720/07)

Cualquier persona física o jurídica, pública o privada, que por encargo del responsable del fichero, manipula los datos para conseguir el objetivo por el que han estado recogidas (nóminas, informáticos, etc.). También lo podrán ser los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Tiene que existir un contrato de confidencialidad entre el responsable del fichero y el encargado del tratamiento.

Concepto de responsable de seguridad(art. 95 RD 1720/07)

Persona a la que el responsable del fichero ha asignado formalmentela función de coordinar y controlar las medidas de seguridad aplicables.

En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser:

– única para todos los ficheros o tratamientos de datos de carácter personal, o

– diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

La designación NO supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento.

Naturaleza de los ficheros(art. 5.1.l y m RD 1720/07)

Ficheros de carácterpúblico:

Son públicos todosaquellos ficheros cuyo responsable es una entidad sujeta al derecho administrativo

Ficheros de carácter privado:

Son privados todosaquellos ficheros que pertenecen a un organismo o entidad no sujeta al régimen de la Administración Pública

TEMA 5.- PRINCIPIOS DE LA PROTECCIÓN DE DATOS

Principios de la Protección de Datos

Calidad de los datos (art. 4 LOPD y de 8 a 11 RD 1720/07): Los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Derecho de información en la recogida de datos (art. 5 LOPD y de 18 a 19 RD): Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

– De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidadde la recogida de éstos y de los destinatarios de la información.

– Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas.– De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.– De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y

oposición.– De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.

Principios de la Protección de Datos II

Consentimiento del afectado (art. 6 LOPD y 12 a 17 RD 1720/07): El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado.

– Consentimiento del interesado (art. 5.1.d RD 1720/07): “Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Datos especialmente protegidos (art. 7 LOPD): De acuerdo con lo establecido en el art. 16.2 CE, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias, por lo tanto, sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias.Se exceptúan los ficheros mantenidos por partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros.Los datos de carácter personal que hagan referencia al origen racial, salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

El derecho de acceso (art. 15 LOPD y arts. 27 a 30 RD 1720/07)

Por el derecho de acceso, el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal.

Este derecho se materializa en:– Visualización en pantalla.– Escrito, copia o fotocopia remitida por correo, certificado o no.– Telecopia.– Correo electrónico u otros sistemas de comunicaciones

electrónicas.– Cualquier otro sistema que sea adecuado a la configuración o

implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable (art 28.1 RD 1720/07).

El derecho de rectificación y cancelación (art. 16 LOPD y arts. 31 a 33 RD 1720/07)

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo (art. 31.2 RD 1720/07).

– La cancelación dará lugar al bloqueo de los datos, conservándoseúnicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión (art. 16.3 LOPD).

El derecho de oposición (no definido por la LOPD; arts. 34 a 36 RD 1720/07)

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

1. Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

2. Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial.

3. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

TEMA 6.- DESARROLLO DE LOS PROCEDIMIENTOS

Los Ficheros (arts. 20 a 32 LOPD y arts. 52 a 64 RD 1720/07)

Ficheros de titularidad pública– La creación, modificación o supresión sólo podrá hacerse por

medio de disposición general o acuerdo publicados en el BOE o diario oficial correspondiente.

– Todo fichero de datos de carácter personal de titularidad pública será notificado a la AEPD por el órgano competente de la Administración responsable del fichero para su inscripción en elRegistro General de Protección de Datos, en el plazo de 30 días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente.

Los Ficheros II(arts. 20 a 32 LOPD y arts. 52 a 64 RD 1720/07)

Ficheros de titularidad privada– Serán notificados a la AEPD por la persona o entidad privada que

pretenda crearlos, con carácter previo a su creación. – La notificación deberá indicar:

la identificación del responsable del fichero, la identificación del fichero,sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.

Ejemplo de notificación

Ejemplo de notificación II

Ejemplo de notificación III

Ejemplo de notificación IV

Ejemplo de notificación V

Ejemplo de notificación VI

Ejemplo de notificación VII

Ejemplo de notificación VIII

Ejemplo de notificación IX

Ejemplo de notificación X

El documento de seguridad(art. 88 RD 1720/07)

El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

El documento de seguridad podrá ser:Único y comprensivo de todos los ficheros o tratamientos, o bienindividualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

El documento de seguridad II (art. 88 RD 1720/07)

– El documento deberá contener, como mínimo, los siguientes aspectos:

1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.

3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

5. Procedimiento de notificación, gestión y respuesta ante las incidencias.6. Los procedimientos de realización de copias de respaldo y de recuperación.7. Las medidas que sea necesario adoptar para el transporte de soportes y

documentos, así como para su destrucción, o en su caso, la reutilización.

El documento de seguridad III (art. 88 RD 1720/07)

Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

En el caso en el que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Ejemplo de contrato de confidencialidad

CONTRATO DE CONFIDENCIALIDAD: CONFECCIÓN DE NÓMINAS

En ________, __ de ___ de 200_Reunidos de una parte,El Sr. ______________, con DNI ______, en nombre y representación de ______ con CIF ______ , y con domicilio profesional en ______.

De otra parte,El Sr. ______________, con DNI ______, en representación de ________________, con CIF ___________, y con domicilio profesional en ________.

ACUERDAN:

PRIMERO.- Que ____________ es la encargada del tratamiento de los datos personales de los trabajadores de la empresa ______.SEGUNDO.- Que en virtud del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el ENCARGADO DEL

TRATAMIENTO, en este caso la empresa ______, únicamente tratará los citados datos conforme las instrucciones dadas por el RESPONSABLE DEL FICHERO, en este caso la empresa ______ , y con el fin de confeccionar las nóminas de los empleados de la misma, prohibiendo expresamente su aplicación o utilización con una finalidad diferente a la establecida en este contrato. Del mismo modo, queda expresamente prohibida su comunicación, ni tan solo para su conservación, a otras personas.

TERCERO.- De acuerdo con aquello establecido en el Real Decreto1720/07, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, el ENCARGADO DEL TRATAMIENTO, deberá implementar las medidas de seguridad adecuadas a las características de los datos de carácter personal a los que accedan en virtud del presente acuerdo. En concreto, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, en función del estado de la tecnología, la naturaleza de los datos almacenados y riesgos a los cuales estén expuestos, tanto si provienen de la acción humana como del medio físico o natural.No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones de seguridad estipuladas por el Real Decreto 1720/07, de 21 de diciembre, respecto a su integridad o seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

CUARTO.- En el supuesto de que se traten datos de carácter personal especialmente protegidos (en particular, las contempladas en el artículo 7 LOPD), sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, la finalidad de las cuales sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de las mismas precisara siempre el previo consentimiento del afectado.Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados o cedidos, cuando, por razón de interés general, así lo disponga una ley o el afectado consienta expresamente. Y cuando los datos sean relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

QUINTO.- Una vez cumplida la prestación contractual, los datos de carácter personal tendrán que ser destruidos o en su caso devueltos al RESPONSABLE DEL FICHERO, igual que cualquier apoyo o documento dónde conste alguna de estos datos de carácter personal objeto del tratamiento. En el supuesto de que el encargado del tratamiento efectuara el mantenimiento de forma telemática, deberá pedir autorización al Responsable del Fichero cada vez que acceda a su Sistema y, una vez extinguida la relación contractual con este, deberá destruir los password o IPS de entrada y dejarlos de utilizar.

SEXTO.- En el supuesto de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del presente contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en las que hubiera incurrido personalmente, tal y como prevé el artículo 12.4 LOPD.

SÉPTIMO.- Ambas partes aceptan estas condiciones y se comprometen a realizar las tareas encomendadas con la diligencia, cautela y confidencialidad que les es debida.

Firmado: Firmado:______ ______ Encargado de tratamiento Responsable del fichero

Auditorías(art. 95 y ss RD 1720/07)

Artículo 96 RD 1720/07:Artículo 96 RD 1720/07:1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y

almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

TEMA 7.- INFRACCIONES Y SANCIONES

Clases de Infracciones(art. 44 LOPD)

Infracciones LevesInfracciones GravesInfracciones muy Graves

Hechos que constituyen infracciones leves (art. 44.2 LOPD)

No rectificar o cancelar datos por motivos formalesNo proporcionar información a la Agencia de Protección de DatosNo inscribir los ficheros de nuestra titularidadRecoger datos sin informar al interesado

Hechos que constituyen infracciones graves (art. 44.3 LOPD)

Crear ficheros de titularidad pública sin previa publicaciónCrear fichero de titularidad privada ilegales e ilegítimosNo obtener el consentimiento expreso cuando éste sea necesarioTratar los datos sin las garantías reglamentarias correspondientesImpedir el derecho de acceso u oposiciónNo actualizar o rectificar los datos inexactosVulnerar el deber de secreto en ficheros de nivel medioNo tener unas instalaciones adecuadasNo inscribir los ficheros y sus modificacionesLa obstrucción de la función inspectoraIncumplimiento del deber de información

Hechos que constituyen infracciones muy graves (art. 44.4 LOPD)

La recogida de datos de forma engañosa o fraudulentaComunicación o cesión de datos a tercerosRecoger y tratar los datos especialmente protegidosNo cesar en el uso ilegítimo del tratamiento de los datosLa transferencia internacional de los datos sea temporal o indefinidaReincidencia en el trato ilegítimo e ilegal de los datos Vulneración del deber de secreto de los datos especialmente protegidosNo atender de forma sistemática el derecho de acceso, rectificación, cancelación u oposiciónNo atender de forma sistemática la notificación de ficheros

Régimen sancionador (art. 44.2 LOPD para ficheros privados)

Infracciones leves de 600 a 60.000 euros

Infracciones graves de 60.001 a 300.000 euros

Infracciones muy graves de 300.001 a 600.000 euros

Cuadro sinóptico infracción-sanción

No notificar un fichero

No respetar el deber de secreto en ficheros con datos de nivel medio

Recoger datos de forma fraudulenta

Cesión sin consentimiento

Infracción leve

Infracción de grave a muy grave

Infracción muy grave

Infracción de grave a muy grave

Origen del proceso inspector

La AEPD siempre actúa ya sea previa denuncia de un interesado, o bien, puesto en plan de inspección

Siempre se cita mediante escrito firmado por el Sr. Director de la Agencia, certificado y con acuse de recibo

Se abre plazo de alegaciones

Finalmente, si el jefe de inspección considera que hay indicios razonables de conculcación del derecho a la protección de datos se inicia inspección

Régimen sancionador (art. 46 LOPD para ficheros públicos)

Cuando las infracciones a que se refiere el art. 44 LOPD fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la AEPD dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.

El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

TEMA 8.- RELACIÓN CON LA LSSICE

LSSICE

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

– Modificada por:Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.Ley 59/2003, de 19 de diciembre, de firma electrónica. Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Objeto de la LSSICE(art. 1 LSSICE)

Regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

Aviso legal y política de privacidad

AVISO LEGAL Y POLÍTICA DE PRIVACIDAD

Protección de Datos PersonalesEn virtud de la Ley 15/1999, de 13 de diciembre, sobre la Protección de Datos de Carácter Personal, le hacemos conocedor de que sus datos personales, que pueden estar en esta comunicación, están incorporadas en un fichero automatizado responsabilidad de la mercantil ______, con CIF ______, inscrita en el Registro Mercantil de XXXX, Tomo XXX, folio XXX, hoja XXX. La finalidad de este fichero es la de gestionar la relación del negocio e informarlo de nuestros servicios. Estos datos no serán transmitidos a terceras personas.

Si desea ejercer los derechos de acceso, rectificación, cancelación u oposición, puede dirigirse a: _____________, con dirección en _______________ o bien, enviar un correo electrónico a: xxxxx@xxxx.com.

Darse de baja de la lista de correoSi usted no desea recibir más información sobre nuestros servicios, puede darse de baja en la siguiente dirección de correo electrónico: xxx@xxxxxxxxx.com.

Aviso sobre la confidencialidad de les comunicacionesEl contenido de este correo electrónico y de sus anexos es estrictamente confidencial. En el caso que usted no sea destinatario y haya recibido este mensaje por equivocación, agradeceríamos que lo comunicara al remitente, sin difundir, almacenar o copiar su contenido.

Cláusula para incluir en los pies de página de los correos electrónicos

Correo electrónico e Internet

SUPUESTO PRÁCTICO NÚM. 1

El Sr. A, propietario de la empresa “A, S.L.”, recibe en la dirección de correo electrónico de la misma (sin su expreso consentimiento), dos mails con publicidad de una academia de formación a distancia que ofrece cursos gratuitamente y que ha obtenido sus datos mediante una fuente accesible al público.

SOLUCIÓN

– Resolución de la AEPD R/00068/2008 de 24/01/2008.

– Infracción del art. 38.3.h) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tipificada como leve en el art. 38.4.d) de la LSSI, multa de 600 euros, de conformidad con en el art.39.1.c) y 40 de la citada LSSI.

Correo electrónico e Internet

SUPUESTO PRÁCTICO NÚM. 2

El Sr. B recibe en su dirección de correo electrónico (sin su expreso consentimiento) un mail de una empresa donde se le informa de la existencia de nuevas posibilidades para financiar proyectos ambientales en el marco de la UE mediante fondos europeo, y en relación a ello se le ofrece que pinche un clic para acceder a información complementaria.

SOLUCIÓN

– Resolución de la AEPD R/01205/2007 de 11/01/2008.

– Infracción del art. 21.1 LSSI, tipificada como leve en el art. 38.4.d) LSSI, multa de 1.200 €, de conformidad con en el art. 39.1.c) y 40 de la citada LSSI.

Correo electrónico e Internet

SUPUESTO PRÁCTICO NÚM. 3

El Sr. C recibe en su dirección de correo electrónico un único mail con información sobre la celebración de conferencias gratuitas y sobre el masaje tailandés, ofertándose un masaje a 49,95 €. Todo ello sin que la empresa E haya acreditado su consentimiento para remitirle este tipo de correos. La empresa E afirma haber obtenido la dirección del Sr. C a través de un comercial de la empresa Z que le facilitó una tarjeta de visita.

SOLUCIÓN

– Resolución de la AEPD R/01222/2007 de 12/12/2007.

– Infracción del art. 21.1 de la LSSI, tipificada como leve en el art. 38.4.d) de dicha norma, multa de 600 €, de conformidad con el art. 39.1.c) LSSI.

SEGURdades SLTel. 902 360 842email: info@segurdades.com

Especialistas en Protección de Datos de

Carácter Personal