JORNADA SOBRE PROTECCI

1
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL.

• Universidad de León
• León, 1 y 9 de diciembre de 2004
• Álvaro Canales GilSecretario General

2
JORNADA SOBRE PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL.

• ESQUEMA
• INTRODUCCIÓN.
• EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS
  DE CARÁCTER PERSONAL.
• COLABORACIÓN CON LA CONFERENCIA DE RECTORES DE
  UNIVERSIDADES ESPAÑOLAS (CRUE).
• LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

3
I. INTRODUCCIÓN

• Desarrollo autopistas de la información
  (cookies...)
• versus
• derecho a la protección de datos de carácter
  personal.
• El dato personal su valor económico (...com).
• Nuevos riesgos
• Internet (dialers, cookies, spam...).
• Sistema Radiofrecuencias.
• Telemedicina, ...etc.

4
I. INTRODUCCIÓN
5
I. INTRODUCCIÓN
6
I. INTRODUCCIÓN

• La intercomunicación del ciudadano.

7
I. INTRODUCCIÓN

• DATOS
• Primer Informe sobre aplicación de la Directiva
  95/46.
• (15.05.2003)
• Grado de implementación
• 81 insuficiente, reducido, muy reducido.
• 3,46 bueno, muy bueno.
• Nivel de necesidad de regulación
• 69,10 necesario, muy necesario.
• 2,64 completamente innecesario.

8
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Peculiaridades del derecho a la protección de
  datos de carácter personal
• Su desconocimiento en el ciudadano.
• Lo inadvertido de su vulneración (envío postal,
  llamada telefónica).
• Su naturaleza de derecho fundamental.

9
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Modelos Jurídicos de protección de datos de
carácter personal
10
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Modelos jurídicos de protección de datos
• de carácter personal (I)
• Modelo Norteamericano
• No derecho fundamental.
• Factor más del mercado competitividad.
• Desarrollos normativos verticales con
  importantes limitaciones.

11
II. MODELOS JURÍDICOS DE PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL.

• Modelo denominado genéricamente de HABEAS DATA
  (II)
• No claro apoyo constitucional.
• (intimidad privacidad).
• Instrumentos o mecanismos de garantía procesal.
• Beneficiarios personas que han sufrido una
  lesión en su intimidad por el uso abusivo de
  datos e informaciones.
• Mera reglamentación de recursos de habeas data
• Propio libertad informática.
• Impropio acceso a la información.
• Desarrollo Jurisprudencial, con innecesariedad
  de leyes horizontales.
• Autoridad de control (?).

12
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Modelos jurídicos de protección de datos
• de carácter personal (III)
• Modelo Europeo
• Derecho fundamental de la persona.
• Patrimonio exclusivo.
• Basado en el consentimiento.
• Finalidad.
• Poder de disposición.
• Autoridad de Control independiente.
• (interpuesta)

13
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Evolución del Modelo Europeo (I) Primera
Generación (1960-1970) Resolución 509 de la
Asamblea del Consejo de Europa, sobre los
derechos humanos y nuevos logros científicos y
técnicos. (incipiente)
14
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Evolución del Modelo Europeo (II) Segunda
Generación (1970-1980) Resolución del
Parlamento Europeo, de 8 de mayo de 1979, sobre
la tutela de los derechos del individuo frente al
creciente progreso técnico en el sector de la
informática. Leyes nacionales (Alemania 1977,
Francia 1978, Austria 1978, Luxemburgo
1979). Constitución Española 1978 (art. 18,4).
15
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Evolución del Modelo Europeo (III) Tercera
Generación (1981-2004) Convenio 108 del Consejo
de Europa, de 28 de enero de 1981, sobre
protección de las personas con respeto al
tratamiento automatizado de datos de carácter
personal. Derecho Comunitario.
16
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Evolución del Modelo Europeo (III) Por qué
tercera generación normativa? Principios Ciu
dadano Derechos
17
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Evolución del Modelo Europeo (III)
• Principios
• Información.
• Consentimiento. Dato Personal (art. 3,a))
• Finalidad. ? Tradicional.
• Calidad. ? Nuevos
• Seguridad. dirección e-mail
• matrículas
• dirección IP
• biblioteca
• seguro ...

18
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Evolución del Modelo Europeo (III)
• Derechos
• Acceso.
• Rectificación.
• Cancelación (bloqueo).
• Oposición (Lista Robinson).

19
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Derecho Comunitario. (Tercera generación) Directiv
a 95/46, relativa a la protección de datos
personales y a la libre circulación de
éstos. Directiva 97/66, relativa al tratamiento
de los datos personales y protección de la
intimidad en el sector de las telecomunicacione
s. Directiva 99/93, sobre firma
electrónica. Directiva 00/31, sobre comercio
electrónico. Directiva 02/58, sobre tratamiento
de datos personales y la protección de la
intimidad en el sector de las comunicaciones
electrónicas.
20
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Régimen Jurídico Interno. Art. 18.4 Constitución
Española 4. La Ley limitará el uso de la
información para garantizar el honor y la
intimidad personal y familiar de los ciudadanos
y el pleno ejercicio de sus derechos.
21
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Distinción derecho del art. 18.4 del derecho al
honor, a la intimidad personal y familiar y a la
propia imagen art. 18.1. art. 18.1 Ley Orgánica
1/1982. art. 18.4 Ley Orgánica
15/1999. STC 292/2000, de 30 de
noviembre. art. 18.1 Obligación de no
hacer. art. 18.4 Obligación de no hacer y de
hacer. (poder de disposición)
22
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
Reconocimiento Internacional de su naturaleza de
derecho fundamental. Declaración Universal de
Derecho Humanos (1948). Carta de Derechos
Fundamentales de la Unión Europea (2000) art.
8. Constitución Europea art. 50.
23
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• CONTENIDO.- Principales Definiciones.
• Responsable de tratamiento (art. 3,d)).
• Encargado de tratamiento (art. 3,g)).
• Cesión (art. 3,i)).
• Fuentes accesibles al público (art. 3,j)).
• (art. 28).

24
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.
25
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL
Acceso a datos por cuenta de terceros. art.
12 Responsable del tratamiento contrato enca
rgado de tratamiento vulneración
26
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Proceso de Implementación de la normativa de
  protección de datos.
• Análisis de ficheros.
• Determinación de la naturaleza de los datos
• nivel básico.
• nivel medio infracciones administrativas, o
  penales, Hacienda Pública y servicios
  financieros.
• nivel alto ideología, religión, creencia,
  origen racial, salud, vida sexual.
• Implementación medidas de seguridad.
• Inscripción en el RGPD.

27
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Medidas de Seguridad.
• Nivel Básico (arts. 8-14 Real Decreto 994/99)
• documento de seguridad (8)
• Recursos protegidos(8).
• Medidas... para garantizar la seguridad (8).
• Funciones y obligaciones del personal (8 y 9).
• Estructura de los ficheros (8).
• Registro de incidencias (8 y 10).
• Identificación y autenticación (8 y 11).
• Control de acceso (8 y 12).
• Gestión de soportes (8 y 13).
• Copias de Respaldo y Recuperación (8 y 14).

28
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Medidas de Seguridad.
• Nivel Medio (arts. 15-22 Real Decreto 994/99)
• Responsable de Seguridad (16).
• Auditoría Bianual (17).
• Identificación inequívoca y personalizada con
  limitación de accesos no autorizados (18).
• Control de acceso físico (19).
• Gestión de soportes Registro de entrada/salida
  de soportes informáticos y medidas para impedir
  la recuperación de información contenida en un
  soporte desechado o inutilizado (20).
• Registro de incidencias recuperaciones, con
  autorización del responsable del fichero (21).

29
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL.

• Medidas de Seguridad.
• Nivel Alto (arts. 23-26 Real Decreto 994/99)
• Distribución de soportes cifrados o cualquier
  otro medio que garantice que la información no
  sea manipulada durante el transporte (23).
• Registro de accesos (persona, fecha, hora,
  fichero, acceso , y denegado o autorizado) (24)
  -2 años.
• Copias de Respaldo y Recuperación lugar
  diferente a equipos informáticos.

30
II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL
31
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Protocolo de colaboración CRUE-AEPD. (9 de junio
de 2003) ? Tipología de Ficheros. ?
Inscripción de Ficheros. ? Toma de decisiones
sobre LOPD. ? Censos electorales. ?
Derechos de información. ? Comunicaciones
de datos. ? Medidas de Seguridad.
Grupos de Trabajo ad hoc
32
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
33
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
34
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
35
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
36
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)
Proyecto de Cláusula informativa Derecho de
información en la recogida de datos (art.5 Ley
Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal).   ?
Los datos personales recogidos en el proceso de
matrícula quedarán incorporados en el
fichero1________ bajo la responsabilidad de2
________________ 3 .
Dicho fichero se encuentra inscrito en el
Registro General de Protección de Datos de la
Agencia Española de Protección de
Datos. -----------1 Indíquese el nombre del
fichero o sistema de información en el que se
recogen los datos, que coincidirá con el nombre
con que ha sido notificado e inscrito dicho
fichero en el RGPD. 2 Indíquese el nombre
completo de la Universidad responsable del
fichero. 3 Indíquese la dirección postal de la
Universidad.
INFORMACIÓN RECOGIDA
37
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)

• La información obtenida será tratada para
  gestionar los servicios universitarios que la
  Universidad pone a disposición de los alumnos. (A
  título no limitativo se pueden señalar los que
  cada modelo organizativo estime oportunos) y
  mantener la relación jurídica entre la
  Universidad y el alumno matriculado.
• Los derechos de acceso, rectificación,
  cancelación y oposición podrán ejercitarse ante
  1___________________.
• -----------
• 1 Indicar el nombre de la Unidad o Departamento
  que va a atender estas solicitudes, la dirección
  completa, y en su caso, la forma en que ha de
  ejercitarse.

INFORMACIÓN RECOGIDA
38
III. COLABORACIÓN CON LA CONFERENCIA DE RECTORES
DE UNIVERSIDADES ESPAÑOLAS (CRUE)

• ? El alumno que formaliza la presente matrícula
  está de acuerdo en que sus datos personales sean
  cedidos para los siguientes fines
•  
• ? Promoción del empleo e inserción profesional.
• ? Realización de prácticas formativas no
  recogidas en el Plan de
• Estudios.
• Elaboración de estudios e investigaciones
  científicas por la
• Universidad.
• Ensayos clínicos.
• _______________.

CONSENTIMIENTO INFORMADO (CESIONES)
39
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
40
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• RÉGIMEN JURÍDICO I.
• RANGO LEGAL
• L.O. 15/1999, de 13.12, LOPD.
• ( dp. final segunda)
• L.O. 5/1992, de 29.10, LORTAD.

41
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• RÉGIMEN JURÍDICO II.
• RANGO REGLAMENTARIO.
• (disposición transitoria tercera LOPD)

Estatuto A.P.D. (RD 428/1993).
Desarrollo Parcial (RD 1332/1994).

Medidas Seguridad (RD 994/1999).
Instrucciones del Director.
42
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• RÉGIMEN JURÍDICO III.
• INSTRUCCIONES DEL DIRECTOR.

(art. 37,c) LOPD).
1/1995 Servicios Solvencia Patrimonial (54).
2/1995 Contratación Seguro-Préstamo (110).
1/1996 Acceso edificios (62).
2/1996 Acceso Casinos y Salas de Bingo (62).
1/1998 Ejercicio derechos (25)
Acceso.
Cancelación.
Rectificación.
1/2000 Transferencias Internacionales de Datos
(301).
43
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
MANIFESTACIONES DE LA NATURALEZA JURÍDICA DE LA
AGENCIA.
44
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
Principios Procedimiento
Sancionador Generales Vulneración Derecho
s Procedimiento de Tutela de Derechos
45
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• Procedimiento Sancionador.
• Ley 30/1992, 26.11, LRJPAC (arts. 134-138).
• Reglamento R.D. 13981993, 4.08.
• Denuncia (tipos)
• E
• Acuerdo de Inicio (6 meses)
• (de oficio)
• Instrucción Resolución Recurso Cont.-Admvo.
• (firme) (2 meses)

46
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• Procedimiento Sancionador.
• Superior Jerárquico
• Administraciones Públicas (art. 46 LOPD)
• Medidas correctoras Defensor del Pueblo
• Empresas Privadas
• Medidas correctoras Multas

47
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS

• Procedimiento de Tutela de Derechos.
• (art. 18 LOPD, art. 17 R.D. 1332/1994,
• Instrucción 1/1998, de 19.01).
• Ejercicio derechos LOPD.
• Acceso (1 mes) Proced. de Tutela Recurso
  Cont.-Admvo.
• Resto (5 días) de Derechos (6 meses) (2 meses)

48
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
ESTRUCTURA
Consejo Consultivo
Director
Unidad Apoyo
Asesoría Jurídica
Adjunto al Director
SG Inspección de datos
SG Registro General de PD
Secretaría General
Inspección
Instrucción
Atención al ciudadano
Consejeros técnicos
49
IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓNDE DATOS
DESIGNACIÓN DEL DIRECTOR
Consejo de Universidades
Real Academia de la Historia
Congreso de los Diputados
APD Cataluña
Senado
CONSEJO CONSULTIVO
DIRECTOR
Ministerio de Justicia
APD Vasca
Consejo de Consumidores
Consejo Sup.de Cámaras de Com.
APD Madrid
Federación de Municipios y Prov.