Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Legislación en la Sociedad de la Información

LEGITEC describe la importancia de la legislación de las llamadas nuevas tecnologías (protección de datos, LSSI) en aplicación a la administración de empresas. Seminario en MBA de la Universidad de Murcia por Manuel Moreno
by

Manuel Moreno

on 12 March 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Legislación en la Sociedad de la Información

Manuel Moreno
Legislación en la sociedad de la información
¿y la PRIVACIDAD?
Legislación en la
Sociedad de la
Información

Presentación
Manuel Moreno Aliaga
LOPD
LSSI
¿Cuánto Pagaría la competencia
por su información confidencial?
¿Tiene un plan que asegure
la continuidad tras un desastre?
¿Su base de datos está
protegida de manos criminales?
Los activos de la empresa han
sido inventariados y tasados
¿Tienen procedimientos y controles
contra software malicioso?
Porqué
Qué
Cómo
Cuándo
¿Necesitamos
Seguridad?
“Big brother is watching”
1984. George Orwell (1948).
Un Mundo Feliz. Aldous Huxley (1931)
Un Mundo Feliz. Aldous Huxley (1931)
Las nuevas redes telefónicas digitales facilitan este acceso, ya que no es necesario llevar a cabo una interceptación física para acceder a las comunicaciones: basta con un simple programa informático
Se podría parecer bastante a un estado policial Orweliano.
Sistema SITEL.
“Toda persona tiene derecho a saber porqué, quién, para qué y cómo son tratados sus datos personales y decidir sobre su tratamiento”.
¿Por qué especialmente ahora?
Exposición de motivos de la (LORTAD):
“El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. […] la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.”
La distancia y el tiempo tienen hoy poca importancia en el acceso a la información.
Hoy, 21 años después.
Los datos de carácter personal son los que pueden permitir una intromisión en nuestra vida privada, nuestra intimidad.

Por tanto los datos de personas jurídicas no se consideran en este caso.
Concienciación.
Formación obligada y Sanciones.
Leyes y especialmente sus Reglamentos de desarrollo debido al continuo cambio tecnológico.
Constitución Española
Artículo 18
“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Evolución Legislativa
1992 – LORTAD. Ley Orgánica de Regulación del tratamiento Automatizado de Datos de carácter personal.
1995 - Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea
1999 – RMS. Reglamento de medidas de Seguridad. RD 994/1999 de 11 de Junio.
1999 – LOPD. L.O.15/99 de 13 de diciembre de Protección de Datos de Carácter Personal.
2002 – LSSICE. LEY 34/2002 de 11 de Julio de Servicios de la sociedad de la información y de comercio electrónico.
2008 - R.D 1720/07 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la LOPD (2008)
En la actualidad está en proceso de desarrollo una nueva directiva europea de protección de datos.
Objeto: garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Se aplica a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento.

Afecta a todo el que tenga ficheros conteniendo datos de carácter personal.

Excepciones:
Datos de personas de contacto de personas jurídicas.
Empresarios individuales.
Personas fallecidas.
Objeto
Definiciones
Dato de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Videocámara, IP, Matrícula coche, …

Fichero: Todo conjunto organizado de datos personales que permita el acceso a los datos con arreglo a criterios determinados, con cualquier forma de creación, almacenamiento, organización y acceso.

Excepciones:
Los realizados o mantenidos por personas físicas relacionados con actividades personales o domésticas (los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares)
Los sometidos a la normativa sobre protección de materias clasificadas.
Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
Principios
Calidad de los datos
Dcho. de información
Consentimiento
Datos especialmente protegidos
Seguridad
Deber de secreto
Comunicación de datos
Acceso por cuenta de terceros.
Derechos de las personas
Impugnación de valoraciones.
Consulta al RGPD
A
cceso
R
ectificación
C
ancelación
O
posición
Tutela de derechos ante la AEPD.
Indemnización
.
Obligaciones del responsable del fichero
Inscripción de Ficheros.
Cumplimiento de principios.
Documento de Seguridad. Responsable de Seguridad.
Implementación de medidas de seguridad.
Comunicar y formar al personal.
Garantizar confidencialidad en tratamientos.
Auditorías bienales.
Verificaciones de cumplimiento.
Niveles de seguridad
Básico
Aplica a todos los ficheros con datos de carácter personal.

Medio
Relativos a infracciones administrativas o penales.
Solvencia patrimonial y crédito.
Relacionados con administración tributaria.
Entidades financieras.
Seguridad social. Mutuas de accidentes de trabajo.
Los que sean suficiente para determinar características o personalidad del individuo.
Retención de datos de tráfico y localización (Medio + registro de accesos)

Alto.
Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Fines policiales sin consentimiento.
Violencia de género.
Fuentes de información para el tratamiento con estos fines:
Fuentes accesibles al público.
Exclusivamente: El Censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos profesionales, diarios y boletines oficiales, los medios de comunicación.
Información
El origen de los datos: que los datos han sido obtenidos de fuentes accesibles al público, y de la entidad de la que hubieran sido obtenidos.
La identidad del responsable del tratamiento
Los derechos que le asisten y ante quién ejercitarlos
Otras prescripciones legales (LSSI)
Dcho. de exclusión y caducidad.

Consentimiento del interesado
para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial,
habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. / Excepción
Marketing y publicidad
Listas Robinson
Responde a la facultad que la normativa otorga a los ciudadanos de ser excluidos de la actividad de publicidad: derecho de oposición.

El responsable del fichero podrá conservar los mínimos datos imprescindibles para identificar a la persona excluida y adoptar las medidas necesarias que eviten el envío de publicidad.

Objetivo: Permitir a los ciudadanos eliminar su nombre y dirección de los listados de publicidad con el fin de reducir al mínimo la publicidad que reciben en sus hogares en forma de mailings personalizados.

La Federación Española de Comercio Electrónico y Marketing Directo (FECMED), gestiona una de estas Listas Robinson.
Sanciones
Leves de 900€ a 40.000€
No atender derecho rectificación o cancelación
No inscribir los ficheros. Cuando no sea infracción grave.
No informar de manera correcta en la recogida de datos
Incumplir el deber de secreto. Cuando no sea infracción grave
Graves de 40.001€ a 300.000€
Muy Graves de 300.001 a 600.000€
Incumplir los principios de protección de datos.
Obstaculizar el ejercicio del derecho de acceso y oposición.
Vulnerar el deber de secreto respecto a datos de nivel medio.
No adoptar las medidas de seguridad.
No inscribir el fichero cuando haya sido requerido por la AEPD.
Incumplir el deber de información cuando los datos se hayan recabado de persona distinta del interesado.
Cesión de datos que no estén permitidas.
Recabar y tratar datos especialmente protegidos si no lo dispone una ley o sin consentimiento.
Transferencias internacionales a países que no dispongan de nivel de protección equiparable a España.
No cesar en el uso ilegítimo de los datos cuando sea requerido a ello por el Director de la AEPD o por el titular.
Vulnerar el deber de secreto respecto de los datos especialmente protegidos.
¿A quién afecta?
La Ley se aplica a todas las actividades que se realicen por medios electrónicos y tengan carácter comercial o persigan un fin económico.

La Ley se aplica tanto a las páginas web en las que se realicen actividades de comercio electrónico como a aquéllas que suministren información u ofrezcan servicios de forma gratuita para los usuarios, cuando constituyan una actividad económica para su titular.

En principio, la LSSI no se aplica a las actividades realizadas sin ánimo de lucro, como las de los partidos políticos, sindicatos, asociaciones, ONGs, etc, en cuanto no constituyan una actividad económica o comercial.
Obligaciones
de información
Obligaciones de información (web):
Denominación social, NIF, domicilio y dirección de correo electrónico, teléfono o fax.
Datos de inscripción registral.
Códigos de conducta a que estén adheridos.
Precios de servicios, impuestos y gastos de envío.
En su caso, datos relativos a la autorización administrativa para el ejercicio de la actividad:
Datos de colegiación, titulación reglada, más información adicional en servicios de tarificación adicional.
Contratación electrónica
Además de la información anterior y previo a la contratación:
Tramites a seguir para contratar on-line.
Si el contrato se archivará y si estará accesible.
Medios técnicos para identificar y corregir errores.
Lenguas en que se podrá formalizar el contrato.
Condiciones generales del contrato.
Posteriormente a la contratación:
Se informará mediante acuse de recibo del pedido.
Publicidad por vía electrónica
Obligaciones:
El anunciante debe identificarse claramente.
Carácter publicitario inequívoco.
Si se realizan ofertas, concursos o juegos promocionales:
Identificarlas como tales.
Expresar claramente condiciones de participación.
En envíos por email o SMS:
Petición de autorización expresa previa del destinatario.
Identificación con “publicidad” o “publi”
Establecer procedimientos sencillos para revocación del consentimiento del usuario.
Infracciones y sanciones
Leves hasta 30.000€
Graves de 30.000€ a 150.000€
Muy graves de 150.000€ a 600.000€
Ing. Informática.
Postgrado en Auditoría de Sistemas de Información.
Postgrado en Protección de Datos.
Certified Information Systems Auditor (CISA).
Certified Information Systems Manager (CISM).
Auditor Jefe ISO27001.
Vpdte de Legitec, Consultores y Auditores
www.legitec.com
@legitec.com

Socio de Symlogic (www.symlogic.net), consultora informática.

Fundador de borrame.es
borrame.es
@borrame_es

Socio estratégico DLC (dlcmurcia.com)
Destrucción confidencial de documentos
Casos de actualidad
Crecen denuncias por CCO
Bruselas anuncia que garantizará por ley el 'derecho al olvido' en redes sociales
Derecho al olvido
Suplantación
de identidad
La Audiencia duda de si España
puede actuar contra Google.
Pendientes de resolución del Tribunal de Justicia Europeo
Revoluciones humanas
10.000 años AC
Durante miles de años la humanidad vivió en grupos nómadas que se alimentaban de la caza, la pesca y la recolección.

El hombre aprendió a cultivar alimentos y a criar animales

Supuso una verdadera revolución en la estructura social:
Primeras aldeas. La base de la civilización.
5.000 años AC
HACE 5.000 AÑOS (1290-1224 a.C.).
Invento: LA RUEDA y las POLEAS
Efectos: REVOLUCIÓN.
Comunicación entre los pueblos
Transporte de mercancías
Reducción de costes
Primeros Asentamientos
1452
Invento: La IMPRENTA de Gutemberg

Efectos: REVOLUCIÓN CULTURAL
difusión del saber: patrimonio de una élite.
Escritura fue sustituyendo a la tradición oral

Monopolio eclesiástico de la palabra escrita y con el latín como idioma único de cultura

Libros accesibles al pueblo
Aceleró la llegada del Renacimiento con revoluciones política, industrial, económica y exploratoria. Posibilitó, la explosión protestante.
siglo XVIII
Hacia la revolución industrial:
Una tierra redonda: exploración, conquistas, colonias
Más gente: éxodo rural, burgos

REVOLUCION INDUSTRIAL:
La máquina de combustión interna.
empleo de máquinas en la producción
Incremento de la productividad por habitante: 400%
la sociedad dejó de girar en torno a la agricultura

Pasamos a una civilización urbana, en torno a las ciudades, con la fábrica como institución predominante.
Sociedad en torno a los ritmos de producción
El trabajo se mide con base al reloj
Fiestas dejan de centrarse en la agricultura
y se orientan al consumo
Sistemas de producción de bienes manufacturados
Gremios-Burguesía
1832
Samuel Morse inventó El Telégrafo y el Alfabeto Morse.
Murió, en 1872 -> + 300.000 kms de líneas.

Contexto: inicios de los USA
Guerra de secesión e independencia.

Efectos: REVOLUCIÓN EN LA COMUNICACIÓN
mensajes de humo, mensajeros, correo postal.

Inicio de las TIC?¿?
1875
El teléfono: nuevo medio de comunicación sustituyendo al telégrafo.
Efectos:
comunicarse como individuo con los demás
superando distancias físicas, morales,
culturales y políticas. Uso Doméstico
Alexander Graham Bell vs Antonio Meuci (1871) -> (Teletrófono)
los 70's
Internet: 1971: ARPANET Y EL CORREO ELECTRÓNICO

La Agencia de Investigación de Proyectos Avanzados de Defensa (DARPA Agencia del Departamento de Defensa de Estados Unidos responsable del desarrollo de nuevas tecnologías para uso militar )

1983, el 1 de enero, ARPANET cambió el protocolo NCP por TCP/IP .
Telecomunicaciones a escala global:
teléfono, radio, televisión, satélites
1969: primera red mundial de telefonía
1971: Primer microprocesador
1975 primer ordenador personal (Apple 1)
UN SISTEMA ECONÓMICO GLOBAL BASADO EN LA INFORMACIÓN, SU PROCESAMIENTO Y COMUNICACIÓN
década de los años setenta, las economías de los distintos países iniciaron un proceso de globalización
La revolución informática
La sociedad de la información

Alrededor de 1970 se inició un cambio…
los medios de generación de riqueza se trasladan de los sectores industriales a los sectores de servicios.
la actividad más comúnmente generalizada es la creación, distribución y manipulación de la información y forman parte importante de las actividades culturales, económicas y empresariales
la mayor parte de los empleos ya no estarán asociados a las fábricas de productos tangibles, sino a la generación, almacenamiento y procesamiento de todo tipo de información.
Las TIC tiene buena culpa de este cambio
La sociedad de la información
¿Conocéis algún gran hermano?
¿Qué tal Google?
Agencia Española de
Protección de Datos
“La Agencia Española de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones […] y se relaciona con el Gobierno a través del Ministerio de Justicia.”

Vela por el cumplimiento de la legislación sobre protección de datos.
Atiende a tutela de derechos.
Potestad de inspección.
Potestad sancionadora
Procedimiento Nº PS/00227/2008: [...]existe una cámara de seguridad con la que se puede grabar a todos los que pasan por allí[...]Ante la inexistencia de carteles que informen de las grabaciones, estima que se puede estar vulnerando la normativa de protección de datos. La cámara ha sido instalada con la finalidad, al parecer, de visionar el acceso a su local de negocio .[...] El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad T.T.T. C.B. (Joyería T.T.T. ), por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01 € (seiscientos un euro con un céntimo de euro) de conformidad con lo establecido en el artículo 45. 1 y 4 de la citada Ley Orgánica[...].
Procedimiento Nº PS/00249/2005:
[...]por haber recibido en su domicilio y a su nombre un escrito publicitario en cuyas bases figura como origen de la información para la realización de la campaña la empresa ______, que ha tratado sus datos personales sin su consentimiento. Desconoce el origen del cual ________ ha obtenido sus datos personales.[...] En esa misma carta se comunicaba que dichos datos personales procedían de los listados informáticos, fuente accesible al público de Telefónica[...]
Requerida información por la Inspección de Datos de esta Agencia a Telefónica de España, S.A.U., sobre la inclusión en “..............” del denunciante, dicha entidad manifiesta, en escrito de fecha de entrada en esta Agencia de 21/09/2004, que “no nos consta que D. C.V.G., con ********1A y con domicilio en (C/........................) haya sido cliente de Telefónica de España, razón por la cual sus datos no han figurado incluidos en las guías telefónicas en soporte papel ni en soporte electrónico”[...]

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a _______, por la infracción, del artículo 6.1 de la LOPD, tipificada como graves en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Si quieres seguirme ...
mmoreno@legitec.com
@MMorenoAliaga
@Legitec
@borrame_es
Esta presentación estará accesible en la sección de noticias de Legitec.com
¿Qué necesitamos?
¿Seguridad?
¿Privacidad?
Consultoría con cargo a fondos de formación
denunciado y perseguido por:
- la Agencia Tributaria
- la Fundación Tripartita para la Formación
- La Agencia Española de Protección de Datos
Gmail ->para conocer de manera automática el contenido, temática y remitente de sus correos
Google Reader ->qué feeds le interesan,
Google Docs ->qué documentos elabora,
Blogger ->qué blogs tiene o frecuenta,
Google Product search ->qué productos desea comprar
Youtube ->qué vídeos le gustan
Google maps ->dónde vive y a dónde quiere ir
Google News ->qué noticias le interesan
Google Calendar ->qué agenda tiene
GTalk ->con quién “chateas” y qué dices
Picasa->qué fotos tiene, con quién las comparte
Google Wallet ->qué compra por Internet
Google Music ->qué música le gusta
Google Books ->qué le gusta leer
Google+ –> con quién se relaciona y cómo
Google Chrome, Android, ChromeOS, GDrive, Google voice, analytics...
En https://www.google.com/settings/ads/onweb/
puede consultarse la información que Google asocia a nuestro perfil
Principio de calidad de los datos

exige que los mismos sean
adecuados a la finalidad que motiva su recogida

No puede obviarse que estamos tratando de un auténtico derecho fundamental, cuyo contenido el Tribunal Constitucional ha terminado de perfilar en la Sentencia 292/2000, de 30 de noviembre, denominándolo
derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal
. Así, en dicha sentencia se indica que este derecho fundamental 'persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado'.
Artículo 4. calidad de los datos

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos
en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos de carácter personal objeto de tratamiento
no podrán usarse para finalidades incompatibles
con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos de carácter personal serán
exactos y puestos al día
de forma que respondan con veracidad a la situación actual del afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
Los datos de carácter personal
serán cancelados cuando hayan dejado de ser necesarios o pertinentes
para la finalidad para la cual hubieran sido recabados o registrados No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícito
s.
Art. 5. Derecho de información en la recogida de datos

Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco
:
De la
existencia de un fichero o tratamiento
de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los
derechos de acceso, rectificación, cancelación y oposición
.
De la
identidad y dirección del responsable del tratamiento
o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes
al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad,
del contenido del tratamiento, de la procedencia de los datos,
así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo,
tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial
, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.'
Art. 6. Consentimiento del afectado
El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco
del afectado, salvo que la Ley disponga otra cosa.

No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
Art 7. Datos especialmente protegidos

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución,
nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con el
consentimiento expreso y por escrito
del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la
ideología, afiliación sindical, religión y creencias.
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al
origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Art9. Seguridad de los datos


"El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las
medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado
, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones
que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley."
Art 11. comunicación de datos

" Los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario
con el previo consentimiento del interesado.
El consentimiento exigido en el apartado anterior
no será preciso:
Cuando la cesión está autorizada en una
Ley.
Cuando se trate de datos recogidos de
fuentes accesibles al público.
Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica
cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
Cuando la comunicación que deba efectuarse tenga por destinatario
al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas
, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
Cuando la cesión se produzca
entre Administraciones Públicas
y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de
revocable.
Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores."
Ejemplos recientes
SANCIONES
15000€ por enviar un correo sin ocultar las copias en BCC
100.000€ por enviar una sola carta física sin consentimiento
Readmisión de un trabajador e indeminzación por no informarle de la finalidad del tratamiento de las cámaras de videovigilancia.
Geolocalización
Cloud Computing
Avances en reconocimiento facial
Las revoluciones y cambios sociales requieren adaptación
Desde un punto de vista personal para no quedarse atrás por la resistencia al cambio

Desde un punto de vista legal para conseguir regular las nuevas situaciones que se generan
Nuestra privacidad online en manos de terceros

Desde el momento en que un usuario pone precio a su privacidad en la red, está renunciando a ella, al menos en parte. Hay que tener en cuenta que los datos personales siempre pertenecen a la persona, y el control de los mismos es un derecho fundamental, por lo que, aunque en algún momento dado hayamos dado el consentimiento al tratamiento de nuestros datos, debemos poder ejercer nuestros derechos de rectificación ,cancelación y oposición al consentimiento dado, nuestro derecho al olvido digital.

Nuestra información es parte de lo que somos y, salvo casos concretos, nos pertenece y podemos decidir sobre ella.

En el campo de la protección de datos son muchas las voces que se alzan ante el hecho de que la privacidad tenga precio. Muchos expertos hacen una
analogía con la sociedad feudal.

Este es el caso de Greg Lawstoka, que en su libro Virtual Justice disponible en http://www.chaihana.com/virtualjustice.pdf, traza un interesante
paralelismo entre siervos y señores de los castillos

y los usuarios que se agrupan en plataformas web
a las que contribuyen con su creatividad, incluso pagando por ello con su privacidad, a cambio del privilegio de pertenecer al territorio virtual de la comunidad.

El experto en seguridad Bruce Schneider va más allá y tilda a compañías como Google, Amazon o Facebook de
“señores feudales de la seguridad”
, señala que son estas empresas las que toman sus propias decisiones, y los usuarios a quienes llama “los vasallos” no pueden hacer nada para exigir que cumplan con determinadas medidas de seguridad o para ejercer sus derechos. Si estás conforme a sus reglas te puedes quedar, en otro caso solo puedes “expatriarte”. Ni siquiera los gobiernos parecen ser capaces de obligarles a cumplir la legislación, incluso cuando esta afecta a derechos fundamentales como la protección de datos.
Datos de Servicio
son los que se entregan a una red social para usarla. Estos datos pueden incluir su nombre legal, su edad y su número de tarjeta de crédito...
Datos dados a conocer
es lo que publica en sus propias páginas: entradas de blog, fotografías, mensajes, comentarios, etc.
Datos de confianza
, es lo que se publica en las páginas de otras personas. Se trata básicamente de la misma materia que los datos dados a conocer, pero la diferencia es que usted no tiene control sobre los datos una vez que se publican, los hace otro usuario.
Datos incidentales
es lo que la gente publica sobre usted: un párrafo acerca de usted que alguien escribe, una imagen de ti que otro publica. Una vez más, es básicamente la misma materia que los datos dados a conocer, pero la diferencia es que usted no tiene control y no la creó en primer lugar.
Datos del comportamiento
es la información que el sitio recopila sobre sus hábitos mediante la grabación de lo que haces. Puede incluir juegos que usted juega, temas sobre los que escribe, artículos de prensa a los que accede (y lo que dice acerca de sus inclinaciones políticas), y así sucesivamente.
Los datos derivados
son datos acerca de usted que se derivan de todos los demás datos. Por ejemplo, si el 80 por ciento de sus amigos se identifican como gay, lo más probable es que tú también lo seas.
BIG DATA
Full transcript