Aspectos profesionales de la informática, leyes y protección de datos personales

Leyes e Informática

Aspectos Profesionales de la Informática Tema 7 Leyes e Informática Félix García, Francisco Ruiz, Eduardo Fernández-MedinaTema 7. Leyes e Informática

Protección de Datos Personales

Profesor: Eduardo Fernández-Medina Patón Agradecimiento a Carlos Villarrubia Jiménez

Objetivos del Marco Legal

• Comprender el marco legal que protege los datos personales en España y la Unión Europea.
• Conocer los principios del Reglamento General de Protección de Datos (GDPR) y su aplicación.
• Entender los derechos de los ciudadanos en relación con sus datos y cómo deben garantizarlos las organizaciones.
• Identificar las obligaciones legales de las empresas y organismos en el tratamiento de datos.
• Reconocer el papel de la Agencia Española de Protección de Datos (AEPD) y las sanciones por incumplimiento.

Índice de Contenidos

1. Marco legal: Constitución, GDPR y LOPDGDD
2. Principios y novedades del GDPR
3. Aspectos clave de la LOPDGDD
4. Agencia Española de Protección de Datos (AEPD)
5. Definiciones esenciales del GDPR (Art. 4)
6. Principios de protección de datos
7. Derechos del interesado
8. Obligaciones del responsable del tratamiento
9. Tratamientos especiales y sanciones

Marco Legal

1. Constitución Española del 78 - Norma fundamental con rango Constitucional - Aplica a todos los ciudadanos españoles y garantiza derechos fundamentales 2. GDPR - Reglamento UE 2016/679 - Reglamento del Parlamento Europeo – Aplica a entidades públicas o privadas que trate datos personales de ciudadanos europeos 3. LOPDP de 2018 - Ley Orgánica que desarrolla y adapta el GDPR al contexto español

Constitución Española (78)

Artículo 18: • Art. 18.1: Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. – • Art. 18.3: Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas salvo resolución judicial. Todavía no existía el correo electrónico. • Art. 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

GDPR (UE 2016/679)

· El Reglamento General de Protección de Datos es la norma de referencia en la UE sobre protección de datos personales. - Aprobado en 2016 y aplicable desde el 25 de mayo de 2018 en todos los países de la UE. · Características: - Afecta a todas las empresas y organismos públicos que traten datos personales dentro de la UE, sin importar dónde se encuentren. - Introduce obligaciones estrictas para responsables y encargados del tratamiento de datos. - Refuerza los derechos de los ciudadanos sobre su información personal.

Novedades del GDPR

· Novedades: - Consentimiento explícito y claro - Derechos ampliados (acceso, rectificación, supresión, portabilidad) - Responsabilidad proactiva - Multas elevadas - Privacidad desde el diseño y medidas de seguridad reforzadas

LOPDP (Ley Orgánica 3/2018)

· La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales se conoce comúnmente por sus siglas como LOPDGDD (LOPDP por simplificar) · Principales objetivos: - Garantizar la protección de datos personales - Reforzar los derechos digitales (desconexión digital, privacidad online) - Control sobre el tratamiento de datos por parte de empresas y organismos

Aspectos Clave de la LOPDP

· Aspectos clave: - Adaptación al contexto español (consentimiento para menores, 14 años, y regula la videovigilancia). - Refuerzo de los derechos digitales (desconexión digital y protección de menores en plataformas digitales). - Delegado de Protección de Datos (DPO). - Normas sobre datos sensibles (salud, ideología, religión, etc.) - Control y sanciones (refuerza la AEPD para imponer sanciones y auditorías).

Agencia Española de Protección de Datos (AEPD)

· Creada en 1993 · Vela por el cumplimiento de la legislación en materia de protección de datos personales en España · Funciones principales: - Supervisión y control - Investigación de infracciones - Imposición de sanciones - Asesoramiento y orientación - Fomento de la cultura de la privacidad

Art. 4. Definiciones

Datos Personales

1. toda información sobre una persona física identificada o identificable («el interesado») 2. se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador 3. como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Art. X en rojo son del GDPR Art. Y en azul son de LOPDP

Definiciones Relevantes: Tratamiento de Datos

Definiciones relevantes Tratamiento de datos cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción Limitación del tratamiento el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro MUY IMPORTANTE CONOCER LAS DEFINICIONES DEL GDPR (Art. 4)

Definiciones Relevantes: Elaboración de Perfiles y Seudonimización

Definiciones relevantes Elaboración de perfiles toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física; Seudonimización el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y este sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable MUY IMPORTANTE CONOCER LAS DEFINICIONES DEL GDPR (Art. 4)

Definiciones Relevantes: Fichero y Responsable del Tratamiento

Definiciones relevantes Fichero todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica Responsable del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros MUY IMPORTANTE CONOCER LAS DEFINICIONES DEL GDPR (Art. 4)

Definiciones Relevantes: Encargado del Tratamiento y Destinatario

Definiciones relevantes Encargado del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento Destinatario la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento MUY IMPORTANTE CONOCER LAS DEFINICIONES DEL GDPR (Art. 4)

Definiciones Relevantes: Tercero, Consentimiento y Violación de Seguridad

Definiciones relevantes Tercero persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado Consentimiento del interesado toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen Violación de la seguridad de los datos personales toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos MUY IMPORTANTE CONOCER LAS DEFINICIONES DEL GDPR (Art. 4)

Actores Principales y Flujo de Datos Personales

Art. 4, 37 al 39 Actores principales Encargado del tratamiento Autoridad de control Responsable del tratamiento Tercero INTERESADO Delegado de protección de datos Destinatario Usuario autorizado Flujo de datos personales ORGANIZACIÓN Art. 33 al 37

Ámbito de Aplicación

· Ámbito de aplicación material: se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero • Ámbito territorial: se aplica a todas las organizaciones que traten datos personales de personas de la UE, ya sea que operen dentro o fuera de la UE, si su actividad está vinculada a la oferta de productos, servicios o el seguimiento de su comportamiento dentro del territorio europeo • Exclusiones: - Personas fallecidas - Tratamientos realizados por personas físicas en actividades exclusivamente personales o domésticas - Materias clasificadas, terrorismo y formas graves de delincuencia organizada Art. 3

Principios de Protección de Datos

1. Relativos al tratamiento 2. Licitud del tratamiento 3. Condiciones para el consentimiento 4. Tratamiento de categorías especiales de datos personales 5. Tratamiento de datos personales relativos a condenas e infracciones penales 6. Tratamiento que no requiere identificación Art. 4 al 10