Post on 23-Jan-2018
“Protección de Datos: Usuarios y Clientes”
Jesús Yáñez, Socio de ECIJA
3
Evolución de los datos de carácter personal
Cap. II Art. 18.4 Constitución Española
De los derechos fundamentales y de las libertades
públicas
1992 - LORTAD
1993, Aprobación del Estatuto APD
1994 – Correción LORTAD
1995 – Directiva 46 UE, Protección del tratamiento de datos personales y a la libre circulación de éstos
11/06/1999 RD 994 Reglamento de Medidas de Seguridad
13/12/1999 – LOPD
26/03/2000 - Nivel básico
26/06/2000 – Nivel Medio
26/06/2002 – Nivel Alto
12/07/2002 – Directiva 58, Tratamiento de los datos
personales y a la protección de la
intimidad
“La ley limitará el uso de la informática para garantizar
el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos.”
RD 1720/2007– Reglamento Nacional LOPD
Reglamento 2016/679
Europeo (Mayo 2016)
Obligaciones efectivas
Reglamento Europeo (Mayo 2018)
4
5
Datos de Carácter Personal
¿Qué son los datos personales?
Cualquier información concerniente a personas físicas identificadas o identificables.
Recogida / grabación / conservación
elaboración / modificación / bloqueo
cancelación / cesiones de datos
Tratamiento de los datos
- Operaciones y procedimientos técnicos
- De carácter automatizado o no
-Comunicaciones
- Consultas
- Interconexiones
- Transferencias.
Art.2 RLOPD: Quedan excluido los datos estrictamente profesionales y de autónomo constituidos en forma de empresa
Art.3 LOPD
Datos habituales de clientes:
- Nombre
- Apellido
- Dirección
- Teléfono
- DNI
- Transacciones de bienes y servicios
- Información bancaria
- ¿Imagen?
- ¿IP?
- ¿Biometría?
- ¿Perfil comercial? (big data)
- ¿Perfil de riesgo financiero?
- ¿Datos de salud?
- ¿Datos de raza?
- ¿Datos de ideología?
- ¿Datos de vida sexual?
- ¿Datos de religión?
6
Obligaciones de la empresa
A) CONSENTIMIENTO DEL AFECTADO
(Art.6)- Consentimiento de la persona de la que se recaban los datos. ¿Menores de edad?
- Consentimiento específico para el tratamiento de datos e informado del mismo.
- El consentimiento puede ser revocado
- Consentimiento para comunicaciones comerciales (LSSI)
- Necesariamente expreso y por escrito si tratamos datos especialmente protegidos (prueba)
- No será necesario consentimiento
- Administración Pública en ejercicio de sus funciones.
- Entre las partes en un contrato comercial, laboral o administrativo.
- Para proteger un interés vital del interesado
- Cuando los datos se encuentren en fuentes accesibles al público y haya un interés legítimo del
responsable del fichero o del destinatario de los datos.
- Fuentes accesibles al público
Cliente Vs. Cliente Potencial
7Obligaciones de la empresa
A) CONSENTIMIENTO DEL AFECTADO
(Art.6)FUENTES ACCESIBLES AL PÚBLICO:
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una
norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de
acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa
específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título,
profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.
REDES SOCIALES – ¿FUENTES ACCESIBLES AL PÚBLICO?
AUNQUE EL PERFIL ESTÉ
ABIERTO
SALVO CONSENTIMIENTO E INFORMACION
PREVIA
8Obligaciones de la empresa
B) INFORMAR AL AFECTADO (Art.5)
- Es distinto a la obtención de consentimiento
- Información previa, expresa precisa e inequívoca de la recogida de datos:
- Finalidad y destinatarios de la información
- Cuando los datos se recaben de persona diferente al interesado, este deberá ser
informado en un plazo máximo de 3 meses de manera expresa ,precisa e
inequívoca. (No válido a partir de 2018)
- Consecuencias de la obtención de los datos o de la negativa
- Identidad del Responsable del Fichero
- Derechos de acceso, rectificación, cancelación y oposición
- ¿Existen transferencias internacionales?
- ¿Existen cesiones?
¿Mi producto o servicio implica cesiones o transferencias?
¿Mis acciones de marketing se comparten con un tercero?
9
Obligaciones de la empresa
B) INFORMAR AL AFECTADO (Art.5)
- ¿Utilizamos Cookies en nuestra web?
- Deberemos informar con un banner visible sobre:
- ¿Qué tipo de cookies utilizamos?
• ¿Recogen datos personales?
• ¿Son sólo para uso técnico?
- Descripción de la Cookie
• Nombre
• Dominio
• Utilidad
• Caducidad
10
Obligaciones de la empresa
C) CALIDAD DEL DATO (Art 4)
- El tratamiento no puede ser arbitrario: Ha de ajustarse a las finalidades definidas.
- Adecuados, pertinentes y no excesivos.
- En relación con la finalidad legítima para la que se obtengan.
- Exactos y puestos al día: Actualización constante.
- Cancelados cuando ya no sean necesarios para la finalidad para la que se recogieron… pero respetando
el periodo de retención legal (bloqueo de datos)
Los plazos de retención según la materia pueden llegar a ser indefinidos
- Nunca deberán recogerse por medios fraudulentos, desleales o lícitos.
11
Obligaciones de la empresa
C) IMPLEMENTAR MEDIDAS DE
SEGURIDAD
NIVEL
MEDIO
NIVEL
ALTO
NIVEL
BÁSICO
• Documento de Seguridad
• Funciones y obligaciones
del personal
• Registro de Incidencias
• Identificación y Autenticación
• Control de Accesos
• Gestión de Soportes
• Copias de Respaldo y
Recuperación
• Responsable de Seguridad
• Auditorías Bienales
• Limitación de intentos de
acceso
• Control de acceso físico
• Registro de entrada y salida
de soportes
• Procedimientar el respaldo y la
recuperación
• Pruebas sin datos reales
• Cifrado de Datos en
almacenamiento y comunicación
• Registro de:
-Quien
-Cuando
-a Qué
-Qué hizo
• Informe Mensual del
Responsable de seguridad
• Respaldo en lugar distinto
12
Obligaciones de la empresa
D) INSCRIBIR EL FICHERO (Hasta mayo de 2018)
No inscribimos los datos personales de nuestros clientes sino una estructura:- Qué datos recogemos y de qué tipo son
- ¿Los tratamos directamente o contamos con un encargado del tratamiento?
- ¿Realizamos cesiones y transferencias internacionales?
13
14Prestadores de Servicio
Encargado del tratamiento
- Persona física o jurídica
- Autoridad pública
- Servicio u organismo
- accede al fichero de datos personales
- Y realiza un tratamiento de los datos
por cuenta del
Responsable del fichero.
Es OBLIGATORIA la firma de un contrato
• El servicio realizado
• Que no pueden ser utilizados los datos para otros fines
• Que los datos serán eliminados o devueltos cuando termine el
servicio
• Confidencialidad de los intervinientes en el servicio
• Prohibición de subcontratación salvo que esté expresamente
autorizada
• LAS MEDIDAS DE SEGURIDAD A APLICAR
Permite depurar responsabilidades y que
el régimen sancionador se aplique sólo al infractor
15
Campañas publicitarias
Tratamiento de datos en campañas pubicitarias (Art 46 RDLOPD)
En caso de que una entidad contrate o encomiende a terceros la realización de una
determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de
determinados datos, se aplicarán las siguientes normas:
• Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la
entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.
• Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas,
dichas entidades serán las responsable del tratamiento.
• Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas
responsables del tratamiento.
La entidad que encargue la realización de la campaña publicitaria deberá
adoptar las medidas necesarias (CONTRATO) para asegurarse de que la
entidad contratada ha recabado los datos cumpliendo las exigencias de la
normativa
16
Novedades en el
Reglamento
General de
Protección de
Datos Europeo
17
• Misma normativa para la Unión y ventanilla única
• Privacidad por diseño y por defecto (Minimización de datos)
• Consentimiento reforzado (no será legal el consentimiento tácito)
• Accountability (prueba de que se está cumpliendo)
• Portabilidad de los datos
• Comunicación de Brechas de seguridad (A la AGPD y al cliente)
• Figura del DPO (en determinados casos)
• Evaluaciones de impacto en materia de privacidad (en determinados casos)
• Medidas de seguridad en función de nuestro riesgo
• Diligencia en la elección de proveedor
Novedades Reglamento General Europeo
OBLIGATORIO EN MAYO DE 2018 !!!
18
¡Muchas gracias por vuestra atención!
Jesús Yáñez, jyanez@ecija.com
Our offices
Torre de Cristal, Pº de la
Castellana, 259C
28046 Madrid, España
T.: +34 917 816 160
Av. Diagonal, 458, Planta 8ª
08006 Barcelona, España
T.: + 34 933 808 255
1444 Biscayne Boulevard.
Suite 205
Miami, FL 33132
T. +1 800 7903085
La Concepción 191,
Providencia,
Santiago de Chile
T.: +56 2 25738521
19
www.ecija.com
Madrid | Barcelona | Santiago de Chile | Miami