domingo, 30 de septiembre de 2012

Sanciones impuestas por la AEPD (2011)

La cuantía de las sanciones ha aumentado un 12 % respecto al 2010, habiendo bajado el número de sanciones en un 13,98 %

La distribución de sanciones que ha puesto la AEPD según su gravedad es:
  • Graves: 66,49 %
  • Leves: 32,78 %
  • Muy graves: 0,73 %
Las infracciones según la ley infringida son:
  • Ley Orgánica de Protección de Datos: 96,46 %
  • Ley de Servicios de la Sociedad de Información (LSSI): 3,02 %
  • Ley General de Telecomunicaciones: 0,52 %
En cuanto al nº de sanciones y denuncias durante el año 2011:
  • Sanciones resueltas: 674 (-12,12 % respecto al 2010)
  • Actuaciones de inspección: 5.389 (+25,56 % respecto al 2010)
  • Denuncias: 7.648 (+ 51,60 % respecto al 2010)
  • Reclamaciones: 2.230 (+ 34,58 % respecto al 2010)
Los 5 sectores más sancionados:
(% variación respecto al 2010)
  1. Telecomunicaciones: 249 (+47,34 %)
  2. Videovigilancia: 122 (-53,44 %)
  3. Entidades financieras: 79 (-15,96 %)
  4. Comunicaciones electrónicas comerciales (spam, LSSI): 29 (-44,23 %)
  5. Servicios de Internet (menos spam): 23 (+53,33 %)
(Fuente: Memoria 2011 de la AEPD)

Publicado por en No hay comentarios:
Etiquetas:

miércoles, 19 de septiembre de 2012

Nuevo Reglamento Europeo de Protección de Datos (II)

En esta segunda parte vamos a enumerar algunas de las más destacadas novedades del nuevo Reglamento General de Protección de Datos:


Las Fuerzas y Cuerpos de Seguridad y los Jueces y Tribunales quedan fuera de este Reglamento. Para ellos se redacta una Directiva específica.

 •Es bastante probable que se elimine la obligación de notificar ficheros a un Registro Administrativo tal como existe hoy en España. Aunque, en conversaciones mantenidas con alguna persona con criterio en la Administración no queda claro si finalmente en España se aplicará por la aplicación del principio de transparencia, de acceso, y de facilitar el ejercicio de derechos por los ciudadanos.

•Se aclaran y definen las formas de otorgar consentimiento. No se autorizan el tácito ni el presunto.

 •Se definen y amplían las categorías de datos. Se amplía la información necesaria a incluir en las cláusulas de información en la recogida de datos.

 •Se incluye un nuevo derecho: “Derecho al Olvido”.

•Se regula la confección de perfiles-segmentación en base a comportamientos.

 •Se prohíbe hacer perfiles a menores. Menor se define según la “UN Convention on the Rights of the Child”.

•Se introduce claramente el concepto de “responsabilidad ”, “debida diligencia” y la obligación de mantener carga de prueba de la correcta aplicación de la normativa.

•Muy Importante: en caso de pérdida, robo, hacking, o cualquier otra circunstancia que permita que los datos sean accedidos o comunicados a personal no autorizado, se introduce la obligación de notificar el hecho a la Autoridad de cada país (en España a la Agencia Española de Protección de Datos) y a las personas afectadas en un plazo de 24 horas desde que se conoce. (Brecha de seguridad).

•Se regula el marketing directo y publicidad, y como se podrá realizar: consentimiento expreso.

•Para determinados tratamientos (entre otros, para videovigilancia, menores, biométricos, genéticos,…) será necesario un Informe de Impacto sobre la protección de datos personales. Los informes de Impacto deberán ser públicos.

•Se introduce y se regula la figura del D.P.O. (Data Privacy Officer) para empresas de 250 empleados o más. La figura del D.P.O. será obligatorio para TODAS las Administraciones Públicas. La figura del DPO deberá tener los conocimientos y experiencia suficientes en Protección de Datos.

•Se regulan las relaciones entre Titular de Ficheros/Encargado(s) de Tratamiento, definiendo las responsabilidades. Se regula la responsabilidad por la elección del encargado de tratamiento, así como la diligencia en asegurarse del cumplimiento del Reglamento por parte del Encargado.

•Se introducen ya directamente en el texto legal los conceptos de “Privacy By Design” y de “Privacy By Default”. En estos conceptos se insta a introducir la atención a la protección de datos personales desde el diseño inicial de las operaciones y tratamientos, y que se activarán por defectos todos los mecanismos de protección de la privacidad.

•Los informes que por ley deban presentar las entidades, p.e.: Informe Anual de Auditoría de Cuentas u otros exigibles, deberán incluir un apartado específico sobre el cumplimiento de la normativa y los riesgos incurridos.

•Se autoriza a Organizaciones, Asociaciones u otros tipos de entidades efectuar denuncias en nombre de los afectados. 
 
Sanciones
 
Se establecen tres niveles de sanciones, atendiendo a su efectividad, proporcionalidad y capacidad de disuasión:

Hasta 250.000 € o hasta 0,5 % de su volumen de negocios anual a nivel mundial.
Hasta 500.000 € o hasta 1 %  de su volumen de negocios anual a nivel mundial.
Hasta 1.000.000 € o hasta 2 % de su volumen de negocios anual a nivel mundial.


El REGLAMENTO es bastante más denso, pero en términos generales estas son las novedades más relevantes. De estos cambios se deducen que serán necesarias muchas acciones de adaptación en las entidades, por ejemplo:

1.Será necesario cambiar TODAS las cláusulas de información, en papel y on-line

2.Se deberán revisar y actualizar los consentimientos recibidos

3.Será necesario revisar y adaptar TODOS los contratos de tratamiento por terceros.

4.Será necesario mantener con extrema diligencia toda la documentación exigible.

5.Se deberá nombrar un Delegado de Protección de Datos, interno o externo, en los casos requeridos, no obstante para menos de 250 empleados será una buena práctica para mostrar diligencia.

6.Se deberán notificar en 24 horas a la AEPD y a los afectados los robos, pérdidas o hackeos de datos personales.

7.Se deberán establecer políticas, procedimientos y procesos específicos para el cumplimiento de esta normativa, y para evidenciar la diligencia en el cumplimiento. 
 
La conclusión es que la UE se toma en serio la protección del derecho a la protección de datos personales y está decidida a que se cumpla de manera uniforme en toda la UE, por lo que todas las entidades afectadas harían bien en prepararse anticipadamente en el cumplimiento.
La Consultoría externa deberá ser efectuada por empresas de reconocida solvencia, preparación y experiencia en protección de datos, para evitar los riesgos de una incompleta o incorrecta aplicación de la normativa.
Publicado por en No hay comentarios:
Etiquetas:

miércoles, 12 de septiembre de 2012

Legislación LOPD

Me parecía interesante resumir en un esquema toda la legislación relativa a la Protección de Datos.

Aunque a simple vista, para muchas personas, parece que la legislación relativa a Protección de Datos se centra en la Ley 15/1999, en el esquema siguiente podéis ver toda la normativa referente a la Protección de Datos y que debemos tener presente para cumplir correctamente la LOPD.

Normativa a tener en cuenta:

  • Normativa europea: Directivas, decisiones, convenios y reglamentos.
  • Normativa estatal: Ley y Reglamento de la LOPD, Instrucciones, Informes Jurídicos, Recomendaciones, Convenios,  etc.
  • Normativa autonómica.
  • Normativa sectorial: Hospitales, Videovigilancia, Seguros y Banca, Seguridad Privada, Enseñanza, etc.

 
 
 
Publicado por en No hay comentarios:
Etiquetas:

Transferencia Internacional de Datos (TID)

Sirva este post para empresas que presten servicios de Cloud Computing.

Regulación en la LOPD y RLOPD:

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s. RLOPD). 

Además se regula en la: 

Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección, relativa a las normas por las que se rigen los movimientos internacionales de datos.

En las citadas normas, será necesario:
 
El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j. RLOPD). 
 
El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ. RLOPD).
 
"Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD."
 
Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario:
 
 Autorización del Director de la Agencia Española de Protección de Datos, salvo:
  
1.Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
 
 2.Que se trate de supuestos legalmente excepcionados de la autorización del Director.
 
 
Países con un nivel adecuado de protección.

La relación de países cuyo nivel de protección se considera equiparable por la Agencia Española de Protección de Datos, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente: 
 
Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000
  
Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000
  
Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001
  
Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003
 
 Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
  
Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
  
Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
  
Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010
  
Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010
  
Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
 
Uruguay, de acuerdo con la Decisión 2012/484/UE de la Comisión de 21 de agosto de 2012. de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
 
 
Supuestos legalmente excepcionados de la autorización del director de la AEPD.
 
El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos: 
 
Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
 
Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
 
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
 
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
 
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
 
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
 
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
 
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
 


Autorización del Director de la AEPD


En aquéllos supuestos en los que sea necesaria la autorización del Director de la Agencia Española de Protección de Datos para transmisiones de datos fuera del territorio del EEE, la autorización podrá ser otorgada en caso de que el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Cesión o comunicación de datos vs. TID
Aquí vamos a introducir este concepto.
 
Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. (Art. 11 de la LOPD)
 
La TID, supone una transmisión de datos fuera del EEE, bien constituya una cesión o comunicación de datos.
 
Luego:
  
  • Dentro del EEE se considera una cesión (igual que si comunicamos los datos a un tercero dentro de territorio español).
  • Fuera del EEE se considera TID.
 
RESUMIENDO:
 
  1. Las TID se regulan en los art. 33 y 34 de la LOPD y en el Título VI del RLOPD.
  2. Normativa Europea: Directiva 95/46/CE y
  3. Decisión 2000/520/CE (Puerto seguro)
  
Definición (art. 5.1.s. RLOPD):

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

No se considera TID dentro del espacio económico europeo.
 
La ley establece que se puede realizar una TID, en los casos:


1.Países con nivel equiparable a la legislación española: Suiza, Canadá, Argentina, Guemsey, Isla de Man, Jersey Islas Feroe, Andorra, Israel y Uruguay.

2.EEUU: Entidades adheridas al protocolo de “Puerto Seguro” (safe harbor).

3.Supuestos legalmente excepcionados de la autorización del Director de la AEPD.

4.Reglas corporativas vinculantes (BCR): Grupo multinacional. (Autorización Director).

5.Autorización del director de AEPD.


En todos los casos, las transferencias internacionales de datos deberán ser notificadas al Registro General de Protección de Datos a fin de proceder a su inscripción.

 Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, " La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos“.

 Para resumir, las empresas españolas se encuentran en muchos casos en una situación jurídicamente insegura y empresarialmente arriesgada.
Hoy por hoy, y a falta de una regulación más adecuada a la realidad del CLOUD, el mejor consejo es contratar los servicios con proveedores de ámbito del EEE o que realicen toda su cadena de tratamiento en países catalogados con “nivel adecuado de protección”.

En enero de 2012 la AEPD realizó una encuesta pública sobre el CLOUD, lo cual hace prever una modificación de la legislación española.

 Síntesis del articulado:




 

Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 5 de septiembre de 2012

Nuevo Reglamento Europeo de Protección de Datos (I)

Se prevee que para el próximo año se apruebe el nuevo Reglamento Europeo de Protección de Datos que va a sustituir a la Directive CE/95//46.

El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.


Algunas de las novedades son:

Aparece la figura del Delegado de Protección de Datos. 


Es una persona que debe ayudar al Responsable del Tratamiento y el Encargado del Tratamiento en el cumplimiento interno de la normativa de Protección de Datos.


Puede ser un empleado o funcionario (personal interno) o un tercero contratado al efecto. En ambos casos, resulta imprescindible que pueda desarrollar sus tareas con independencia.
 
Tiene más funciones, competencias y responsabilidades que el actual Responsable de Seguridad. Se le exigirá formación e independencia. Se comunicará su nombre y apellidos a la autoridad de control y su nombramiento será por 2 años prorrogables.

 
 
Otro concepto nuevo es el Informe de Impacto de Privacidad.
 
Las evaluaciones de impacto son análisis que reflejan cómo afectan determinados tratamientos a los derechos de los afectados. Entendemos que, por lógica, deben efectuarse con carácter previo al inicio del tratamiento.
 
El Informe de Impacto consta de 3 partes básicas: 
 
1º. Parte descriptiva, donde se detallaráen quéconsiste el tratamiento de datos
2º. Parte de evaluació de riesgos, en la que se podrí aplicar alguna de las metodologís utilizadas para los anáisis de riesgo con la finalidad de obtener resultados objetivos.
3º. Parte relativa a medidas adoptadas.

El art. 33.3 indica su contenido mínimo:


Una descripción general de las operaciones de tratamiento previstas.

Una evaluación de los riesgos para los derechos y libertades de los interesados.

Las medidas contempladas para hacer frente a los riesgos.

Las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y aprobar la conformidad del mismo al reglamento

 
También aparecen conceptos nuevos como: brecha de seguridad y derecho al olvido.
 
En cuanto a Transferencia Internacional de Datos, más flexibilidad para países que no cumplan con el nivel adecuado de protección de datos y que operen dentro de la Unión Europea.

Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)