1ª sesión 1ª parte
-
Upload
dataconsulting -
Category
Education
-
view
196 -
download
3
Transcript of 1ª sesión 1ª parte
1Agencia Española de Protección de Datos
2Agencia Española de Protección de Datos
Ámbito de aplicación y principiosResponsable y encargadoDerechosFicheros específicos
3Agencia Española de Protección de Datos
Ámbito de aplicación y principios generalesEl responsable y el encargado
Derechos de acceso, rectificación, cancelación y oposición
Agustín Puente EscobarAbogado del Estado
Jefe del Gabinete Jurídico de la AEPD
4Agencia Española de Protección de Datos
Ámbito de aplicación objetivo
• Regla general– Aplicación a todo tratamiento automatizado– Aplicación a tratamientos manuales si existe
fichero
• Especialidades– Personas fallecidas– Empresarios individuales– Personas de contacto
5Agencia Española de Protección de Datos
Ámbito de aplicación territorial
• Regla general– Tratamiento en el marco de la actividad de un
establecimiento del responsable en España
• Especialidades– Aplicación de la medidas de seguridad a los
encargados de responsables no sujetos a la ley española
– Aplicación a responsables extracomunitarios que utilicen para el tratamiento medios situados en España
6Agencia Española de Protección de Datos
Exclusiones y supuestos especiales
• Exclusiones– Actividades personales o domésticas
• Relacionadas con la vida privada y familiar• De los particulares
– Materias clasificadas– Investigación del terrorismo y formas graves
de delincuencia organizada• Comunicación a la AEPD
• Supuestos sometidos a legislación específica (art. 2.3 LOPD)
7Agencia Española de Protección de Datos
Nuevas definiciones relevantes
• Dato personal/persona identificable– “Esfuerzo desproporcionado”
• Dato de salud• Fichero no automatizado• Ficheros de titularidad pública/privada• Responsable del fichero o “del” tratamiento
– Posibilidad de que el responsable no realice materialmente el tratamiento
• Transferencias internacionales de datos• Fuentes accesibles al público
8Agencia Española de Protección de Datos
Principios de calidad de datos
• Reiteración de los principios de la LOPD
• Aclaraciones en el principio de exactitud– Presunción de exactitud de los datos facilitados
por el afectado– Deber de rectificación o cancelación de oficio de
datos inexactos, incompletos o inadecuados– Excepciones basadas en la aplicación de la
normativa específica
• Fines históricos, científicos y estadísticos: remisión normativa
9Agencia Española de Protección de Datos
Legitimación para el tratamiento:sistematización
• Sistematización– Regulación asimilada a la normativa comunitaria.
Supuestos• Aplicables a todo tratamiento• Aplicables a la recogida• Aplicables a la cesión
– Aclaración de la regla del interés legítimo• Basada en la Ley• Basada en una “relación jurídica” (concepto
amplio)• Basada en fuentes accesibles al público
10Agencia Española de Protección de Datos
Legitimación para el tratamiento:aclaraciones
• Habilitación legal (interna o comunitaria)– Por previsión expresa– Por imposición de un deber que implique el
tratamiento– Por reconocimiento de un derecho o interés
legítimo que sólo se pueda lograr con el tratamiento
• Administraciones Públicas (cesión)– Fines históricos, científicos y estadísticos– Elaboración– Competencia idéntica o sobre la misma materia
11Agencia Española de Protección de Datos
Consentimiento del afectado
• Caracteres generales– Referencia a tratamientos y finalidades– Especialidades para el consentimiento a la cesión– Carga de la prueba de quien recaba el
consentimiento– Revocabilidad
• Diferenciación con el ejercicio del derecho de cancelación
• Procedimiento
12Agencia Española de Protección de Datos
Consentimiento de menores
• Regla general: regla de los catorce años, salvo excepción legal
• Límites a la recogida en todo caso– Información del grupo familiar (datos de terceros)– Salvo para recabar la autorización de progenitores o
tutores• Deberes
– Información sencilla– Aplicación de procedimientos que garanticen
• La comprobación de la edad • La comprobación del consentimiento prestado
13Agencia Española de Protección de Datos
Recogida del consentimiento
• Obtención del consentimiento “tácito”– Contenido de la información– Medios de solicitud– Negativa sencilla y gratuita– Límites temporales
• Consentimiento en contratos de adhesión para fines no vinculados al desarrollo del contrato– Separación– Consentimiento específico (casillas no
premarcadas)
14Agencia Española de Protección de Datos
Deber de informar
• Aplicación de las reglas generales de la LOPD
• Especialidades– Carga de la prueba
• Posibilidad de conservación en soporte distinto del original
– Supuestos de reestructuración societaria• No suponen cesión de datos, sino cambio de
responsable• Deberá en todo caso informarse al afectado
15Agencia Española de Protección de Datos
Encargado del tratamiento
• Cuestiones generales– No generación de un “nuevo vínculo” entre el
encargado y el afectado– Deber de diligencia del responsable en su elección
• Consecuencias de la terminación del contrato– No procederá destruir los datos si la Ley obliga a
su conservación– Posible conservación de datos bloqueados si
pudieran derivarse responsabilidades por el servicio prestado
16Agencia Española de Protección de Datos
Encargado del tratamiento
• Relaciones con otros encargados– Posible transmisión a otro encargado durante el
contrato, siguiendo instrucciones– “Devolución” a un nuevo encargado designado por
el responsable• Subcontratación
– Por apoderamiento al primer encargado– Por constancia en el contrato (ab initio o por
addenda posterior)• Otras reglas especiales
– Ejercicio de derechos– Medidas de seguridad
17Agencia Española de Protección de Datos
Derechos de acceso, rectificación, cancelación y oposición
• Quién puede ejercitar los derechos (art. 23 RPD)– Carácter personalísimo: ejercicio por el afectado
• Acreditación de su identidad• Posible uso de medios electrónicos• En particular: uso de medios de atención al cliente
– Ejercicio a través de terceros• Representación legal en caso de menores e incapacitados• Representación voluntaria. Características:
• Poder especial• Medio fehaciente• Otorgamiento “apud acta” en las AAPP y
Administración de Justicia– Denegación si no es aplicable uno de estos supuestos
• Concesión de un plazo de subsanación
18Agencia Española de Protección de Datos
Derechos de acceso, rectificación, cancelación y oposición
• Caracteres de estos derechos– Independencia. No será necesario el ejercicio del acceso
para ejercitar los de rectificación, cancelación y oposición– Sencillez
• Utilización de servicios de atención al público o ejercicio de reclamaciones
• Posible establecimiento de canales de atención del derecho
• Deber de resolver incluso en caso de no usarse esos canales
– Gratuidad • Prohibición de ingreso por el responsable del fichero• Prohibición de determinados cauces (cartas certificadas,
tarificación adicional)
19Agencia Española de Protección de Datos
Derechos de acceso, rectificación, cancelación y oposición
• Otras cuestiones relevantes– La prueba del cumplimiento del deber de
respuesta recae sobre el responsable del fichero• Conservación de la acreditación acreditativa
del cumplimiento• Posible conservación en otros soportes
(aplicación analógica del art. 18)– Posible ejercicio ante un encargado del
tratamiento• Regla general: el encargado ante el que se
ejercita el derecho dará traslado de la solicitud al responsable
• Posible estipulación expresa en el contrato
20Agencia Española de Protección de Datos
Derecho de acceso
• Concepto: Derecho a obtener información sobre:– los datos de carácter personal objeto de tratamiento,
finalidad del tratamiento.– el origen de dichos datos– las comunicaciones realizadas o previstas de los mismos
• Alcance– Sobre datos concretos– Sobre los datos incluidos en un determinado fichero – La totalidad de sus datos sometidos a tratamiento
• Posible solicitud de aclaración por el responsable– Deberá facilitar un listado de los ficheros, para que el
interesado le indique, en su caso, respecto de cuáles solicita el acceso
21Agencia Española de Protección de Datos
Derecho de acceso
• Otorgamiento – Plazo: un mes desde la solicitud– Si no se facilita la información, el acceso deberá
hacerse efectivo en 10 días– Desestimación presunta, a efectos de tutela de derecho
• Contenido – Datos del afectado
• “De base”• “Obtenidos de cualquier elaboración o proceso
informático”– Origen de los datos, individualizado si fueran varios– Cesionarios de los datos– Usos y finalidades para las que se almacenaron los
datos– La información será legible e inteligible
22Agencia Española de Protección de Datos
Derecho de acceso
• Especialidades de ejercicio– Selección del medio de acceso
• Seguridad• Disponibilidad por el afectado
• Denegación – Casos
• Por ejercicio reiterado: – Una vez cada 12 meses salvo que exista causa legítima
• Por prohibición legal, norma Comunitaria de aplicación directa.
• Por prohibición legal de revelación – Información acerca de la posibilidad de tutela por la AEPD– No referencia a la norma que justifica la denegación
23Agencia Española de Protección de Datos
Derechos de rectificación y cancelación
• Concepto– Rectificación: derecho del afectado a que se
modifiquen los datos que resulten ser inexactos o incompletos
– Cancelación: derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este RD
• Distintos del derecho del afectado a la revocación del consentimiento previamente prestado
24Agencia Española de Protección de Datos
Derechos de rectificación y cancelación
• Especialidades de ejercicio– Necesaria aportación de documentación acreditativa
• En caso de solicitarse la rectificación– Indicación del dato inexacto y de la corrección que
proceda– En su caso, documentación acreditativa de la
rectificación• En caso de solicitarse la cancelación
– Indicación del dato inexacto o erróneo (con documentación)
– Plazo: 10 días desde la solicitud (denegación presunta), a los efectos de la tutela
25Agencia Española de Protección de Datos
Derechos de rectificación y cancelación
• Otorgamiento– Rectificación o cancelación solicitada– Si los datos rectificados o cancelados
hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación en diez días, y no lo comunicará al interesado
26Agencia Española de Protección de Datos
Derechos de rectificación y cancelación
• Denegación• Cuando los datos de carácter personal
deban ser conservados durante los plazos previstos en las disposiciones aplicables
• Durante la vigencia de las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos
• Por prohibición legal, o norma Comunitaria de aplicación directa.
• Por prohibición legal de revelación
27Agencia Española de Protección de Datos
Derecho de oposición
• Modalidades ( artículo 34, a) b) c) ):– Oposición “strictu sensu”:
• Cuando no sea necesario el consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario
– Opt-out en marketing:• Sin necesidad de acreditar causa legítima
– Decisiones automatizadas:• derecho a no verse sometidos a una decisión con efectos
jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta
28Agencia Española de Protección de Datos
Derecho de oposición
• Plazo de ejercicio– 10 días desde la recepción de la solicitud
• Oposición “strictu sensu”– Acreditación de la situación que la justifica
• Excepciones en relación con las decisiones automatizadas (según la Directiva 95/46/CE) Artículo 36– La decisión se adopta en el marco de la celebración o
ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso,el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones
– La decisión está autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado
29Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
Tratamientos para actividades de publicidady prospección comercial
Jesús Rubí NavarreteAdjunto al Director de la
Agencia Española de Protección de Datos
30Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.
• Requisitos para la inclusión de datos (art. 38)– Cumplimiento o incumplimiento (ficheros
positivos y negativos)• Los requisitos para la inclusión, vinculados
a la existencia de una deuda previa excluyen la legitimación del art. 29.2 LOPD para los ficheros positivos.
31Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Cont. – No se haya entablado reclamación judicial, arbitral o
administrativa.• Actuación proactiva:
– La iniciativa del acreedor para el cobro no impide la inclusión.
– La iniciativa del presunto deudor que cuestiona la existencia o cuantía de la deuda excluye la inclusión.
– La conducta activa del deudor en una contienda judicial, arbitral o administrativa, promovida por cualquier parte (acreedor o deudor) que discuta la existencia de la deuda o su cuantía, impide la exclusión.
32Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Cont.• La reclamación administrativa impide la
inclusión si la autoridad administrativa es competente para resolver, directa o indirectamente, sobre la existencia o cuantía de la deuda.
• La reclamación ante la AEPD no impide la inclusión por no ser una autoridad administrativa competente sobre la existencia o cuantía de la deuda.
33Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Reclamación conforme al RD 303/2004, de 20 de febrero, de Comisionados para la Defensa del Cliente:– Ámbito servicios financieros:
• Comisionados de Defensa de Servicios Bancarios, para la Defensa del Inversor y para la Defensa del Asegurado y del Partícipe en Planes de Pensiones.
• Reclamaciones (excluye quejas y consultas) (Definiciones art. 1.3).
34Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Cont. – Reclamaciones previas ante departamentos o
servicios de atención al cliente, o en su caso, ante el defensor del cliente.• Impide la inclusión al ser un requisito previo
para la presentación ante el Comisionado.• Inadmisión, denegación o plazo de 2 meses.
Permite la inclusión hasta la prestación de la reclamación ante el Comisionado.
– Cancelación tutelar.
35Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Cont.– Información previa a la inclusión (arts. 39 y 40)
• Celebración del contrato inicial respecto del que el impago pueda determinar la inclusión.
• Requerimiento previo de pago.• Notificación de la inclusión.• Sistema auditable de la emisión y control de
devoluciones (salvo envíos rehusados).• Dirección pactada contractualmente en requerimiento
y notificación (art. 8.5 presunción de exactitud de los datos recogidos directamente del afectado).
36Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Conservación de los datos (art. 41)– Cancelación inmediata por pago o cumplimiento (10
días. Art. 8.5).– Cancelación en el fichero común por transcurso de 6
años desde el vencimiento de la obligación o del plazo de deudas de vencimiento periódico.
• Acceso a la información (art. 42).– Adecuado para enjuiciar la solvencia económica (pº de
finalidad).– Información escrita al afectado sobre el derecho a
consultar (pretensión de contratar con pago aplazado o servicios de facturación periódica).
– Información no escrita en contratación telefónica (prueba).
37Agencia Española de Protección de Datos
Ficheros de información sobre solvencia patrimonial y crédito
• Responsabilidad (art. 43)– Acreedor.
• Derechos. Rectificación o cancelación– Ante el responsable del fichero común
• Traslado a la entidad informante para resolver.
• Rectificación o cancelación cautelar:– 7 días desde que se comunique a la entidad
informante sin respuesta.– Con el límite máximo de 10 días desde que se
ejerció el derecho.
38Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Datos susceptibles de tratamiento e información al interesado (art. 45).– Sujetos:
• Se dediquen específicamente a actividad publicitaria.
• Promocionen sus propios productos– Legitimación.
• Fuentes accesibles al público:– Concepto amplio art. 7.b) y c).– Información en cada comunicación comercial
Origen: fuentes accesibles y entidad.
39Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Cont. – Consentimiento.
– Forma de obtener el consentimiento (art. 14).– Consentimiento de menores (art. 13).– Información para obtener el consentimiento.
“Sectores específicos y concretos de actividad” (Informes Gabinete Jurídico AEPD 399/03 y 325/04)
– Conservación e información (art. 18.2).– Consentimiento en relación contractual para
fines no relacionados con ella (publicidad) (art. 15).
40Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Tratamiento de datos en campañas publicitarias (art. 46).– Contratación o encomienda a terceros:
• Responsabilidad del tratamiento en función de la fijación de los parámetros identificativos de los destinatarios (incluso sin acceso material a la información).
• Parámetros identificativos: variables utilizadas para identificar al público objetivo.
• Diligencia sobre cumplimiento de la LOPD y Rgto. Por la entidad contratada: Proporcionalidad.
41Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Depuración de datos personales (art. 47)– Tratamiento cruzado de ficheros
– Delimitación de clientes propios y potenciales clientes
– Fines promocionales
– Cesión de datos
42Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Ficheros de exclusión– De la entidad
• Negativa (inicial o revocación) y oposición (cancelación).
• Medidas para evitar la publicidad.– Comunes: sectoriales o generales.
• Negativa (inicial o revocación) oposición (cancelación).
• Información s/ ficheros comunes de exclusión (responsable, domicilio, finalidad).
• Incorporación voluntaria por el afectado.• Consulta previa a los tratamientos publicitarios.
43Agencia Española de Protección de Datos
Tratamientos para actividades de publicidad y prospección comercial
• Derechos– Campañas publicitarias encargadas
(encomendadas) a terceros.– Ante el beneficiario de la campaña:
• Comunicación al responsable (10 días desde recepción de la solicitud).
• Comunicación al afectado.• Otorgamiento o denegación motivada por el
responsable (10 días desde recepción de la comunicación).
– Facilitar el ejercicio de derechos.