LEY ORGNICA DE PROTECCIN DE DATOS Y SU REGLAMENTO
This presentation is the property of its rightful owner.
Sponsored Links
1 / 159

Alcalá de Guadaira, Octubre 2011 PowerPoint PPT Presentation


  • 52 Views
  • Uploaded on
  • Presentation posted in: General

LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y SU REGLAMENTO (LEY ORGÁNICA 15/1999 Y REAL DECRETO 1720/2007). Alcalá de Guadaira, Octubre 2011. ÍNDICE. El derecho a la protección de datos. Normativa vigente

Download Presentation

Alcalá de Guadaira, Octubre 2011

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Alcal de guadaira octubre 2011

LEY ORGNICA DE PROTECCIN DE DATOS Y SU REGLAMENTO

(LEY ORGNICA 15/1999 Y REAL DECRETO 1720/2007)

Alcal de Guadaira, Octubre 2011


Alcal de guadaira octubre 2011

NDICE

El derecho a la proteccin de datos. Normativa vigente

Aplicacin de los principios de la Ley Orgnica 15/1999, de 13 de diciembre, al mbito educativo

El principio del consentimiento en los centros de enseanza

Los derechos ARCO (Acceso, Rectificacin, Cancelacin y Oposicin)

Tratamiento de imgenes del alumnado

Transferencias internacionales de datos de carcter personal

Ttulo VIII del Real Decreto 1720/2007, de 21 de diciembre: niveles de seguridad y medidas aplicables

Infracciones, sanciones y plazos de adecuacin a la normativa sobre proteccin de datos de carcter personal

Agencias estatal y autonmicas de proteccin de datos


Alcal de guadaira octubre 2011

1. EL DERECHO A LA PROTECCIN DE DATOS. NORMATIVA VIGENTE


Alcal de guadaira octubre 2011

EL AVANCE IMPARABLE DE LAS NUEVAS TECNOLOGAS

  • En la actualidad, nadie puede permanecer ajeno a las ventajas que han supuesto para todos los sectores sociales y econmicos el desarrollo de la informtica y la expansin de las telecomunicaciones. La utilizacin de las nuevas herramientas informticas en combinacin con las redes de telecomunicaciones avanzadas en el mbito de la Administracin Pblica est contribuyendo a alcanzar unos mayores grados de eficacia y eficiencia a la hora de gestionar las relaciones y los servicios que stas prestan a la ciudadana.

  • Sin embargo, el uso de la informtica y las telecomunicaciones en todos los mbitos tambin tiene una vertiente negativa, en el sentido de que su utilizacin sin las debidas garantas puede afectar a los derechos y libertades individuales de la ciudadana, en especial en lo referente a su intimidad y a la proteccin de sus datos.


Alcal de guadaira octubre 2011

EL DERECHO A LA PROTECCIN DE DATOS EN ESPAA

  • La Constitucin Espaola de 1978 garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen (art. 18.1 CE). Asimismo, establece que La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos (art. 18.4 CE).

  • El citado art. 18.4 ha sido el pilar fundamental de nuestro sistema de proteccin de datos hasta la aparicin de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que consagr el derecho a la proteccin de datos de carcter personal como un derecho fundamental especfico y distinto del derecho a la intimidad.

  • Este derecho informador de nuestro texto constitucional se concreta en un poder de disposicin y de control sobre los datos personales que faculta a la persona para decidir cules de estos datos proporcionar a un tercero, sea el Estado o un particular, o cules puede este tercero recabar, y que tambin permite al individuo saber quin posee esos datos personales y para qu, pudiendo oponerse a su posesin o uso.


Alcal de guadaira octubre 2011

NORMATIVA ESPAOLA SOBRE PROTECCIN DE DATOS

  • La primera norma reguladora del derecho a la proteccin de datos en Espaa fue la Ley Orgnica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carcter personal (LORTAD), dictada, con cierto retraso, como consecuencia de la ratificacin por Espaa del Convenio 108 del Consejo de Europa. Posteriormente, fruto de la aparicin de la Directiva 95/46/CE, se opt por derogar aqulla en lugar de proceder a su modificacin, dando paso a la vigente Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD).

  • Existe un organismo encargado de velar por el cumplimiento de la LOPD, la Agencia Espaola de Proteccin de Datos (AEPD), dotada de potestades inspectoras y sancionadoras.


Alcal de guadaira octubre 2011

NORMATIVA ESPAOLA SOBRE PROTECCIN DE DATOS

  • La normativa espaola sobre Proteccin de Datos de Carcter Personal se ha caracterizado durante un gran nmero de aos por un cierto desfase.

  • De tal manera, la normativa de desarrollo de la antigua Ley Orgnica 5/1992 fue aprobada en 1999 (siete aos despus de la publicacin de la misma), que precisamente fue el mismo ao en que apareci la Ley Orgnica 15/1999, que derogaba a la anterior. Debido a ello, se opt por mantener vigente la normativa de desarrollo de la derogada LORTAD, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, dndose la extraa circunstancia de que mientras la Ley Orgnica 15/1999 tena por objeto regular tanto los tratamientos automatizados como no automatizados de datos de carcter personal, tan slo exista desarrollo reglamentario de medidas de seguridad para los ficheros automatizados de datos, quedando un vaco legal para la proteccin de los ficheros manuales o no automatizados en soporte papel que contuviesen datos de carcter personal.


Alcal de guadaira octubre 2011

NORMATIVA ESPAOLA SOBRE PROTECCIN DE DATOS

  • Tras ms de ocho aos en la situacin descrita, por fin se ha aprobado el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, con entrada en vigor el 19 de abril de 2008, que deroga al anterior Real Decreto 994/1999 y que contempla un catlogo definitivo de medidas de seguridad aplicables tanto a los ficheros y tratamientos automatizados como no automatizados de datos de carcter personal.


Alcal de guadaira octubre 2011

HITOS DEL DERECHO A LA PROTECCIN DE DATOS EN ESPAA I

Diciembre 1978: Aprobacin del artculo 18.4 de la Constitucin Espaola

Octubre 1992: Aprobacin de la Ley Orgnica reguladora del tratamiento automatizado de datos de carcter personal (LORTAD)

Junio 1999: Aprobacin del Real Decreto por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal

Diciembre 1999: Aprobacin de la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD)

Noviembre 2000: Aparicin de la sentencia del Tribunal Constitucional que consagra el derecho a la proteccin de datos de carcter personal como un derecho fundamental independiente


Alcal de guadaira octubre 2011

HITOS DEL DERECHO A LA PROTECCIN DE DATOS EN ESPAAII

Mayo 2006: Aprobacin de una disposicin adicional especfica sobre los datos personales del alumnado en la Ley Orgnica de Educacin

Diciembre 2007: Aprobacin del Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica de proteccin de datos de carcter personal


Alcal de guadaira octubre 2011

2. APLICACIN DE LOS PRINCIPIOS DE LA LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE, AL MBITO EDUCATIVO


Alcal de guadaira octubre 2011

PRINCIPIOS DE LA LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE

Principio de calidad de los datos (art. 4 LOPD)

Principio de informacin (art. 5 LOPD)

Principio del consentimiento (art. 6 LOPD)

Principio de datos especialmente protegidos (art. 7 LOPD)

Principio de seguridad (art. 9 LOPD)

Principio de deber de secreto (art. 10 LOPD)

Acceso a datos por cuenta de terceros (art. 12 LOPD)


Alcal de guadaira octubre 2011

PRINCIPIO DE CALIDAD DE LOS DATOS - I

  • El principio de calidad de los datos es uno de los pilares sobre los que se asienta la normativa espaola sobre proteccin de datos de carcter personal. Viene regulado en el Ttulo II de la LOPD, ms concretamente en su artculo 4.

  • Las obligaciones contenidas en el art. 4 LOPD se condensan en las siguientes:

    • Obligacin de que los datos sean adecuados, pertinentes y no excesivos con relacin a los fines para los que se recaben y para los que se traten posteriormente. Esto es, no deben recogerse datos de carcter personal ms all de los estrictamente necesarios para atender a la finalidad concreta para la cual se solicitan.

      Por citar un caso, no tendra sentido que un centro de enseanza solicitase el dato de confesin religiosa de los padres y madres para tramitar la solicitud de plaza o la matriculacin de los futuros alumnos y alumnas, teniendo la consideracin de dato excesivo.


Alcal de guadaira octubre 2011

PRINCIPIO DE CALIDAD DE LOS DATOS - III

  • Obligacin de respetar la finalidad concreta para la cual han sido recogidos los datos de carcter personal. Por ejemplo, no tendra sentido que los datos recabados en la solicitud de plaza de un alumno o alumna sean utilizados para ofrecerle informacin sobre una coleccin literaria especficamente destinada al pblico infantil y juvenil.

  • Obligacin de actualizar los datos y rectificarlos cuando fueran inexactos. En este sentido, constituye infraccin de carcter grave, de acuerdo con lo dispuesto en el artculo 44.3.f) LOPD, Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.


Alcal de guadaira octubre 2011

PRINCIPIO DE CALIDAD DE LOS DATOS - IV

  • Obligacin de cancelar los datos, sin necesidad de solicitud previa del afectado o afectada, cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.

  • Obligacin de cumplir con unos determinados deberes ticos en la recogida de datos de carcter personal. A este respecto, el art. 44.4.a) LOPD establece que constituye una infraccin muy grave La recogida de datos en forma engaosa y fraudulenta.

  • El Real Decreto 1720/2007, de 21 de diciembre, reproduce, en gran medida, lo establecido en el artculo 4 de la LOPD, si bien adiciona algunas precisiones referentes a aspectos formales sobre la actualizacin y puesta al da de los datos, as como la cancelacin de los mismos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.


  • Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - I

    • Tal y como seala la propia Agencia Espaola de Proteccin de Datos, el deber de informacin al afectado, previo al tratamiento de sus datos de carcter personal, es uno de los principios fundamentales sobre los que se asienta la Ley Orgnica 15/1999 y as viene encuadrado dentro de su Ttulo II.

    • En este sentido, la trascendental Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, ha sealado lo siguiente: son elementos caractersticos de la definicin constitucional del derecho fundamental a la proteccin de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - II

    • Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quin posee sus datos personales y con qu fin, y el derecho a poder oponerse a esa posesin y uso requiriendo a quien corresponda que ponga fin a la posesin y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qu datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qu destino han tenido, lo que alcanza tambin a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele (Fundamento Jurdico 7).


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - III

    • En concreto, el derecho de informacin queda recogido en el artculo 5 de la Ley Orgnica 15/1999, el cual seala lo siguiente:

      Artculo 5. Derecho de informacin en la recogida de datos.

      1. Los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco:

      a) De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin.

      b) Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

      c) De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.

      d) De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.

      e) De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - IV

    • El reciente Real Decreto 1720/2007 tambin dedica un artculo especfico al deber de informacin:

      Artculo 18. Acreditacin del cumplimiento del deber de informacin.

      1. El deber de informacin al que se refiere el artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre, deber llevarse a cabo a travs de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

      2. El responsable del fichero o tratamiento deber conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podr utilizar medios informticos o telemticos. En particular podr proceder al escaneado de la documentacin en soporte papel, siempre y cuando se garantice que en dicha automatizacin no ha mediado alteracin alguna de los soportes originales.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - V

    • Conforme a lo establecido en el art. 5 LOPD, el alumno, la alumna o su padre, madre o representante legal, cuando as proceda, deben ser escrupulosamente informados con carcter previo a la recogida de sus datos (ya sea a travs de los formularios de solicitud de plaza y matriculacin, de la ficha que el profesorado utiliza para el control de sus alumnos y alumnas o a travs de cualquier otro canal de recogida) de la finalidad para la que stos se recogen, de los destinatarios de la informacin que faciliten, del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtencin de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar sus derechos de acceso, rectificacin, cancelacin y oposicin, as como de la identidad y direccin del responsable del tratamiento.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN - VI

    • Asimismo, el artculo 13 del citado Real Decreto 1720/2007 establece que cuando el tratamiento se refiera a datos de menores de edad, la informacin dirigida a los mismos deber expresarse en un lenguaje que sea fcilmente comprensible por aqullos, con expresa indicacin de lo dispuesto en este artculo (apartado 3).

    • De tal manera, la redaccin del texto para cumplir con el deber de informacin conforme a lo establecido en nuestra normativa sobre proteccin de datos de carcter personal no debera ser la misma en el caso de que dicha informacin vaya dirigida a un menor que cuando est orientada hacia una persona adulta. Por tanto, se antoja indispensable que cuando se informe al menor de los extremos contemplados en el artculo 5 de la Ley Orgnica 15/1999 se haga en un lenguaje sencillo y fcilmente comprensible, carente de conceptos jurdicos abstrusos. De lo contrario, el menor carecera de poder de disposicin y control alguno sobre sus propios datos de carcter personal, escaparan a su control porque simplemente no se le est explicando qu utilizacin se va a hacer de sus datos de manera que l lo entienda.


    Alcal de guadaira octubre 2011

    PRINCIPIO DEL CONSENTIMIENTO - I

    • La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, consagr el derecho a la proteccin de datos de carcter personal como un derecho fundamental independiente, desvinculado del derecho a la intimidad, cuyo contenido est integrado por los principios y derechos que se contemplan en la LOPD.

    • De tal manera, el art. 6.1 LOPD establece de manera explcita que El tratamiento de los datos de carcter personal requerir el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa.


    Alcal de guadaira octubre 2011

    PRINCIPIO DEL CONSENTIMIENTO - II

    • En interpretacin de la Agencia Espaola de Proteccin de Datos, de las caractersticas del consentimiento no se infiere necesariamente su carcter expreso en todo caso, razn por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carcter, lo ha indicado expresamente.

    • Por tanto, el consentimiento podr ser tcito, en el tratamiento de datos que no sean especialmente protegidos, si bien para que ese consentimiento tcito pueda ser considerado inequvoco ser preciso otorgar al afectado o afectada un plazo prudencial para que pueda claramente tener conocimiento de que su omisin de oponerse al tratamiento implica un consentimiento al mismo.


    Alcal de guadaira octubre 2011

    PRINCIPIO DEL CONSENTIMIENTO - III

    • Por otro lado, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, hace referencia a los Principios generales del consentimiento, realizando una serie de precisiones que habrn de ser observadas a la hora de solicitar el consentimiento del interesado para el tratamiento de sus datos de carcter personal:

      • El responsable del tratamiento deber obtener el consentimiento del interesado para el tratamiento de sus datos de carcter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes (art. 12.1, prrafo primero).

      • La solicitud del consentimiento deber ir referida a un tratamiento o serie de tratamientos concretos, con delimitacin de la finalidad para los que se recaba, as como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos (art. 12.1, prrafo segundo).


    Alcal de guadaira octubre 2011

    PRINCIPIO DEL CONSENTIMIENTO - IV

    • Cuando se solicite el consentimiento del afectado para la cesin de sus datos, ste deber ser informado de forma que conozca inequvocamente la finalidad a la que se destinarn los datos respecto de cuya comunicacin se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser nulo (art. 12.2).

    • Corresponder al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho (art. 12.3). Esto es, lo que jurdicamente se denomina carga de la prueba recae, conforme a lo establecido en el Real Decreto 1720/2007, sobre el responsable del tratamiento.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DATOS ESPECIALMENTE PROTEGIDOS - I

    • El artculo 7 de la Ley Orgnica 15/1999, configura bajo la rbrica general de Datos especialmente protegidos, un rgimen especialmente cualificado, con proteccin mas intensa, para aquellos datos personales que proporcionan una informacin de esferas ntimas del individuo.

    • De tal manera, el art. 7.2 LOPD establece que Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto de tratamiento los datos de carcter personal que revelen la ideologa, afiliacin sindical, religin y creencias.

    • Asimismo, Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y cedidos cuando, por razones de inters general, as lo disponga una ley o el afectado consienta expresamente (art. 7.3 LOPD).


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DATOS ESPECIALMENTE PROTEGIDOS - II

    • Algunos ejemplos habituales de datos especialmente protegidos que pueden ser tratados en los centros de enseanza son los siguientes:

      • Los datos psicolgicos contenidos en los informes psicopedaggicos, test de inteligencia y conducta, etc. confeccionados por los orientadores y orientadoras (datos referentes a la salud del alumnado).

      • El dato del grado de discapacidad de determinados alumnos y alumnas con necesidades educativas especiales.

      • Los datos sobre alergias a determinados alimentos de algunos alumnos y alumnas, para su conocimiento por parte del servicio de comedor escolar.

      • Los datos referentes a determinados alumnos y alumnas que presenten problemas de salud que les imposibilite el ejercicio fsico.

      • El dato del origen racial de algunos alumnos y alumnas.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DATOS ESPECIALMENTE PROTEGIDOS - III

    • Sin embargo, el dato relacionado con el hecho de que el alumno o la alumna curse o no la asignatura de religin no tiene la consideracin de dato especialmente protegido, ya que, en interpretacin de la Agencia Espaola de Proteccin de Datos, el hecho mismo de cursar la asignatura de religin no revela necesariamente que el estudiante profese las creencias a las que tal asignatura se refiere, del mismo modo que el hecho de no cursarla no revela la inexistencia de esas creencias, sino que tal circunstancia puede deberse al estudio de la religin en otros foros distintos del escolar. Es decir, a nuestro juicio, lo nico que revela el dato de optar por cursar la asignatura de religin sera el inters del alumno por conocer los principios, historia y preceptos de la misma, sin que ello implique una efectiva confesionalidad del mismo, a cuya declaracin no podra encontrarse obligado.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE SEGURIDAD I

    • La Ley Orgnica 2/2006, de 3 de mayo, de Educacin, establece expresamente que en el tratamiento de los datos del alumnado se aplicarn normas tcnicas y organizativas que garanticen su seguridad y confidencialidad.

    • En este sentido, el art. 9 LOPD, bajo la rbrica de Seguridad de los datos, establece que el responsable del fichero, y, en su caso, el encargado del tratamiento debern adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE SEGURIDAD II

    • Asimismo, el citado artculo seala que no se registrarn datos de carcter personal en ficheros que no renan las condiciones que se determinen por va reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

    • El reciente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, con entrada en vigor el 19 de abril de 2008, contempla el catlogo definitivo de medidas de seguridad aplicables tanto a los ficheros y tratamientos automatizados como no automatizados de datos de carcter personal.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DEBER DE SECRETO - I

    • Tanto la Disposicin adicional vigesimotercera de la LOE como la Disposicin adicional decimocuarta del anteproyecto de la Ley de Educacin de Andaluca establecen que el profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedar sujeto al deber de sigilo.

    • En este sentido, el art. 10 LOPD, bajo la rbrica de Deber de secreto, determina que El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn an despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DEBER DE SECRETO - II

    • Esto es, la Ley Orgnica 15/1999 establece en su art. 10 un deber de secreto para todo aqul o aqulla que tenga acceso a los datos de carcter personal gestionados en el centro en el desempeo de sus funciones (por ejemplo, el o la docente que accede al programa de gestin del alumnado o a sus expedientes acadmicos en soporte papel para el ejercicio de su actividad profesional). En este sentido, no es necesario que exista una dependencia laboral, funcionarial o administrativa indefinida para que la persona con acceso al fichero est sometida al deber de secreto, el desempeo de cualquier prestacin o trabajo que permita el acceso a datos de carcter personal (por ejemplo, datos del alumnado del centro) genera automticamente la obligacin de cumplir con este principio.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE DEBER DE SECRETO - III

    • De igual manera, no debe confundirse este deber de secreto con el secreto profesional al que estn sometidas determinadas personas en funcin de la profesin que ejercen. Este deber de secreto es un deber genrico que alcanza a cualquier persona que intervenga en el tratamiento de los datos, ya sea personal docente, psiclogos/as, pedagogos/as, logopedas y orientadores/as escolares, personal administrativo, conserjes, personal de limpieza o cualquier otro.


    Alcal de guadaira octubre 2011

    ACCESO A DATOS POR CUENTA DE TERCEROS - I

    • En ciertas ocasiones, los centros de enseanza recurren a los servicios de terceras empresas o profesionales para cubrir determinadas necesidades. Pues bien, esta cuestin adquiere una especial trascendencia cuando, para la prestacin del servicio solicitado, esa tercera empresa o profesional necesita tener acceso a los datos de carcter personal gestionados en el centro (por ejemplo, datos del alumnado).

    • En este sentido, el art. 12.1 de la Ley Orgnica 15/1999 establece expresamente que no se considerar comunicacin de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestacin de un servicio al responsable del tratamiento.

    • Ese tercero prestador del servicio es lo que la LOPD denomina encargado del tratamiento, esto es, la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (art. 3.g) LOPD).


    Alcal de guadaira octubre 2011

    ACCESO A DATOS POR CUENTA DE TERCEROS - II

    • Entre los ejemplos ms habituales de encargados del tratamiento en el mbito de los centros de enseanza, podemos citar los siguientes:

      • La empresa prestadora del servicio de comedor escolar, a la cual le puede ser proporcionado el listado de alumnos y alumnas apuntados al mismo, incluyendo posibles alergias a determinados alimentos.

      • La empresa prestadora del servicio de transporte escolar, a la cual se facilitan los datos de aquellos alumnos y alumnas que han solicitado el mismo.

      • Las terceras empresas encargadas del desarrollo e imparticin de las actividades extraescolares del centro de enseanza.


    Alcal de guadaira octubre 2011

    ACCESO A DATOS POR CUENTA DE TERCEROS - III

    • Terceras empresas prestadoras de servicios de grabacin de datos, a las cuales se faciliten formularios donde puedan constar datos de carcter personal del alumnado del centro de enseanza (solicitudes de plaza, matriculacin, solicitudes de becas, etc.).

    • Terceras empresas a las cuales se encomiende la recogida y posterior destruccin de toda la documentacin en soporte papel inservible almacenada en el centro de enseanza.

    • El laboratorio fotogrfico al cual se le facilitan el nombre y apellidos del alumnado del centro de enseanza para confeccionar las orlas acadmicas.


    Alcal de guadaira octubre 2011

    ACCESO A DATOS POR CUENTA DE TERCEROS - IV

    • Asimismo, la propia Ley Orgnica 15/1999 impone en su art. 12 una serie de obligaciones, con la finalidad de asegurar que el tratamiento de datos realizado por la tercera empresa o profesional para la prestacin del servicio cumpla con los principios y garantas establecidos en la misma:

      • La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato que deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido, establecindose expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. (art. 12.2 LOPD).


    Alcal de guadaira octubre 2011

    ACCESO A DATOS POR CUENTA DE TERCEROS - V

    • En el contrato se estipularn, asimismo, las medidas de seguridad a que se refiere el artculo 9 de esta Ley que el encargado del tratamiento est obligado a implementar. (art. 12.2 LOPD).

    • Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento. (art. 12.3 LOPD).


    Alcal de guadaira octubre 2011

    3. EL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - I

    • En el mbito educativo la cuestin del consentimiento se complica, ya que en la gran mayora de los casos estamos hablando de personas menores de edad. Surge, por tanto, la inevitable pregunta de si stas gozan o no de la capacidad jurdica suficiente para consentir sobre el tratamiento de sus datos.

    • Nuestra Ley Orgnica de Proteccin de Datos no hace referencia a esta cuestin. Dicha falta de previsin legislativa ha provocado que en diversas ocasiones se haya planteado ante la Agencia Espaola de Proteccin de Datos qu requisitos debera reunir el consentimiento otorgado por los y las menores de edad para el tratamiento de sus datos, cuestin que la misma resolvi en su Memoria 2000.

    • En la citada Memoria, la AEPD determin que, con carcter general, deben diferenciarse dos supuestos bsicos: el primero referido a los y las mayores de catorce aos, a los/las que la Ley atribuye capacidad para la realizacin de determinados negocios jurdicos, y el consentimiento que pudieran dar los y las menores de dicha edad.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - II

    • Respecto de los y las mayores de catorce aos, la AEPD recuerda que el artculo 162.1 del Cdigo Civil excepta de la representacin legal del titular de la patria potestad a los actos referidos a derechos de la personalidad u otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, pueda realizar por s mismo.

    • De tal modo, la AEPD entiende que las personas mayores de catorce aos renen las condiciones suficientes de madurez para prestar su consentimiento al tratamiento de los datos, toda vez que nuestro ordenamiento jurdico viene, en diversos casos, a reconocer a los y las mayores de catorce aos la suficiente capacidad de discernimiento y madurez para adoptar por s solos/as determinados actos de la vida civil (adquisicin de la nacionalidad espaola por ejercicio del derecho de opcin o por residencia, capacidad para testar, etc.).


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - III

    • Respecto de los y las restantes menores de edad, la AEPD entiende que no puede ofrecerse una solucin claramente favorable a la posibilidad de que por los mismos/as pueda prestarse el consentimiento al tratamiento, por lo que la referencia deber buscarse en el artculo 162.1 del Cdigo Civil, tomando en cuenta, fundamentalmente, sus condiciones de madurez.

    • En consecuencia, ser necesario recabar el consentimiento de los y las menores para la recogida de sus datos, con expresa informacin de la totalidad de los extremos contenidos en el artculo 5.1 de la Ley, recabndose, en caso de menores de catorce aos cuyas condiciones de madurez no garanticen la plena comprensin por los mismos/as del consentimiento prestado, el consentimiento de sus representantes legales.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - IV

    • El reciente Real Decreto 1720/2007 incorpora, de manera definitiva, el criterio interpretativo de la Agencia Espaola de Proteccin de Datos plasmado en su Memoria 2000, regulando, asimismo, otros aspectos de importancia en referencia a la captacin de datos de menores:

      Artculo 13. Consentimiento para el tratamiento de datos de menores de edad.

      1. Podr procederse al tratamiento de los datos de los mayores de catorce aos con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestacin la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce aos se requerir el consentimiento de los padres o tutores.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - V

    • 2. En ningn caso podrn recabarse del menor datos que permitan obtener informacin sobre los dems miembros del grupo familiar, o sobre las caractersticas del mismo, como los datos relativos a la actividad profesional de los progenitores, informacin econmica, datos sociolgicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrn recabarse los datos de identidad y direccin del padre, madre o tutor con la nica finalidad de recabar la autorizacin prevista en el apartado anterior.

      3. Cuando el tratamiento se refiera a datos de menores de edad, la informacin dirigida a los mismos deber expresarse en un lenguaje que sea fcilmente comprensible por aqullos, con expresa indicacin de lo dispuesto en este artculo.

      4. Corresponder al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - VI

    • De tal manera, el apartado 1 del citado artculo 13 sita definitivamente la barrera del consentimiento para el tratamiento de los datos de las personas menores de edad en los catorce aos, sealando que podr procederse al tratamiento de los datos de los mayores de catorce aos con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestacin la asistencia de los titulares de la patria potestad o tutela y que en el caso de los menores de catorce aos se requerir el consentimiento de los padres o tutores.

    • En este sentido, el menor o la menor que padezca una enfermedad o deficiencia persistente de carcter fsico o psquico que le impida gobernarse por s mismo o por s misma podr ser declarado o declarada incapaz por sentencia judicial, tal y como establecen los artculos 199 a 201 del Cdigo Civil espaol, en cuyo caso necesitara el complemento de la capacidad de los titulares de la patria potestad o tutela para poder consentir sobre el tratamiento de sus datos de carcter personal, con total independencia de si ha cumplido o no los catorce aos de edad.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - VII

    • Por otro lado, segn lo establecido en nuestra Ley Orgnica 15/1999, los datos de las personas menores de edad no tienen la consideracin de datos especialmente protegidos como tal. Ahora bien, ello no significa que los datos de los menores no pertenezcan a una categora sui generis que podramos llamar datos de personas especialmente vulnerables, basada en un criterio subjetivo en funcin de la persona titular de los datos y las especiales condiciones que le rodean.

    • Pensemos en lo valioso que puede ser para una empresa con una poltica comercial agresiva el incorporar a sus ficheros los datos de un menor al cual poder bombardear durante el resto de su vida con ofertas y promociones perfectamente adecuadas a su perfil de consumo, seguido con detenimiento desde su infancia. En este sentido, GISBERT JORD seala, con gran dosis de acierto, que el sector infantil y juvenil constituye un punto de creciente atencin en los ltimos aos por parte del marketing comercial que lo considera un mercado de gran potencial en expansin.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - VIII

    • Esta situacin se ha visto agravada con la irrupcin de las nuevas Tecnologas de la Informacin y las Comunicaciones, representadas no solamente por Internet sino tambin por otro tipo de tecnologas emergentes como, por ejemplo, los telfonos mviles de ltima generacin. Estas nuevas tecnologas configuran un nuevo espacio universal y anrquico donde el menor facilita sus datos de carcter personal de manera inconsciente, despreocupada y casi compulsiva a una multitud de terceros desconocidos sin control alguno.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - IX

    • En efecto, el menor proporciona a lo largo de su infancia y adolescencia sus datos de carcter personal de manera descontrolada a una multitud de empresas, entidades y organizaciones sin llegar a ser realmente consciente de que ello pueda afectar a su propia intimidad e incluso a la de su familia. En la inmensa mayora de los casos, el menor no slo ignora por completo su derecho a la proteccin de sus datos de carcter personal y lo que ello significa, sino que adems tampoco se siente especialmente preocupado o molesto a la hora de tener que facilitar sus datos a terceros, como puede suceder en el caso de los adultos, hacindolo gustoso si a cambio existe la promesa de un atractivo regalo.

    • Por otro lado, el desconocimiento del menor es el instrumento perfecto para obtener a travs de l aquellos datos de sus familiares (padres, hermanos mayores, etc.) que en circunstancias normales un adulto probablemente se hubiese negado a facilitar (por ejemplo, datos acerca de la situacin econmica de la familia o de la ideologa, religin o creencias de sus padres).


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - X

    • Todo lo anterior justifica, como puede entenderse, la introduccin del apartado segundo del artculo 13 en el nuevo Real Decreto 1720/2007: en ningn caso podrn recabarse del menor datos que permitan obtener informacin sobre los dems miembros del grupo familiar, o sobre las caractersticas del mismo, como los datos relativos a la actividad profesional de los progenitores, informacin econmica, datos sociolgicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrn recabarse los datos de identidad y direccin del padre, madre o tutor con la nica finalidad de recabar la autorizacin prevista en el apartado anterior.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - XI

    • En tercer lugar, el citado artculo 13 establece que cuando el tratamiento se refiera a datos de menores de edad, la informacin dirigida a los mismos deber expresarse en un lenguaje que sea fcilmente comprensible por aqullos, con expresa indicacin de lo dispuesto en este artculo (apartado 3).

    • De tal manera, la redaccin del texto para cumplir con el deber de informacin conforme a lo establecido en nuestra normativa sobre proteccin de datos de carcter personal no debera ser la misma en el caso de que dicha informacin vaya dirigida a un menor que cuando est orientada hacia una persona adulta. Esta reflexin adquiere una mayor trascendencia debido a la ausencia de un asentamiento firme de una cultura de la proteccin de datos en nuestra sociedad, lo que origina que, en la inmensa mayora de los casos, el menor ignore por completo lo que significa el derecho a la proteccin de sus datos de carcter personal.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - XII

    • En virtud de lo anterior, se antoja indispensable que, cuando se informe al menor de los extremos contemplados en el artculo 5 de la Ley Orgnica 15/1999, se haga en un lenguaje sencillo y fcilmente comprensible, carente de conceptos jurdicos abstrusos. De lo contrario, el menor carecera de poder de disposicin y control alguno sobre sus propios datos de carcter personal, escaparan a su control porque simplemente no se le est explicando qu utilizacin se va a hacer de sus datos de manera que l lo entienda.


    Alcal de guadaira octubre 2011

    CONSENTIMIENTO OTORGADO POR MENORES DE EDAD - XIII

    • Finalmente, el apartado 4 del artculo 13 del Real Decreto 1720/2007 seala que corresponder al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

    • Este apartado debe enlazarse con el artculo 12 apartado 3 del Real Decreto 1720/2007, que establece que corresponder al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - I

    • El derecho a la proteccin de datos de la ciudadana tiene contenidos distintos cuando se trata de ficheros privados (por ejemplo, el fichero de clientes de una empresa privada) o a tratamientos en ficheros pblicos (por ejemplo, el fichero de alumnos y alumnas de un centro de enseanza de carcter pblico).

    • As, mientras que el responsable del fichero privado slo puede alegar en la mayora de las ocasiones una legtima actividad de negocio protegida por la libertad de empresa (art. 38 CE), el titular de un fichero pblico procede a tratamientos de datos de carcter personal para desarrollar la efectividad de derechos fundamentales reconocidos en la Constitucin, en nuestro caso la actividad prestacional de educacin prevista en el art. 27 CE.


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - II

    • De tal manera, el derecho a la proteccin de datos de carcter personal del alumnado se ve afectado por ciertas limitaciones cuando lo que est en juego es garantizar la efectividad del derecho fundamental a la educacin por parte de los poderes pblicos.

    • En concreto, la Ley Orgnica 15/1999 establece en su art. 6.2 que no ser preciso el consentimiento del afectado o afectada (en nuestro caso, el alumno, la alumna o su padre, madre o representante legal si no rene las condiciones de madurez suficientes) para la recogida y tratamiento de sus datos de carcter personal cuando los mismos se recaben para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias (la actividad prestacional de educacin en el caso de un centro educativo pblico).


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - III

    • Asimismo, la Disposicin adicional vigsimotercera de la Ley Orgnica 2/2006, de 3 de mayo, de Educacin (LOE), establece que la incorporacin de un alumno a un centro docente supondr el consentimiento para el tratamiento de sus datos y, en su caso, la cesin de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad. Por tanto, el mero hecho de la incorporacin del alumno o la alumna al centro educativo comporta, en principio, el consentimiento para el tratamiento de sus datos.

    • En cualquier caso, la excepcin al principio del consentimiento que plantea la Disposicin adicional vigesimotercera de la LOE queda limitada exclusivamente a la funcin docente y orientadora del centro, no pudiendo tratarse los datos del alumnado con fines diferentes del educativo sin el consentimiento expreso de los mismos/as o de sus padres, madres o representantes legales, segn proceda.


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - IV

    • Asimismo, el art. 21.1 LOPD establece que Los datos de carcter personal recogidos o elaborados por las Administraciones Pblicas para el desempeo de sus atribuciones no sern comunicados a otras Administraciones Pblicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicacin tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos.

    • Dicho precepto, interpretado al contrario, significa que est habilitada la comunicacin de datos entre Administraciones Pblicas para el ejercicio de competencias idnticas o que versen sobre las mismas materias (por ejemplo, Ministerio de Educacin y Consejera de Educacin), lo cual supone una nueva excepcin al principio del consentimiento. Ahora bien, habr que atender a las condiciones particulares de cada cesin de datos entre Administraciones Pblicas para ver si sera de aplicacin la citada excepcin.


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - V

    • Por otra parte, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, hace referencia en su artculo 10 a los supuestos que legitiman el tratamiento o cesin de los datos, sealando, en primer lugar, que los datos de carcter personal podrn tratarse sin necesidad del consentimiento del interesado cuando se recojan para el ejercicio de las funciones propias de las Administraciones pblicas en el mbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario (art. 10.3.a).


    Alcal de guadaira octubre 2011

    LIMITACIONES AL PRINCIPIO DEL CONSENTIMIENTO EN LOS CENTROS DE ENSEANZA PBLICOS - VI

    • Con respecto a la cesin de datos de carcter personal entre Administraciones Pblicas sin contar con el consentimiento del interesado, el art. 10.4.c) del citado Real Decreto establece que sta ser posible cuando concurra uno de los siguientes supuestos:

      • Tenga por objeto el tratamiento de los datos con fines histricos, estadsticos o cientficos.

      • Los datos de carcter personal hayan sido recogidos o elaborados por una Administracin pblica con destino a otra.

      • La comunicacin se realice para el ejercicio de competencias idnticas o que versen sobre las mismas materias.


    Alcal de guadaira octubre 2011

    4. LOS DERECHOS ARCO (ACCESO, RECTIFICACIN, CANCELACIN Y OPOSICIN)


    Alcal de guadaira octubre 2011

    DERECHOS ARCO

    • El Ttulo III de la Ley Orgnica 15/1999, de 13 de diciembre, recoge los derechos de las personas en relacin con el tratamiento de sus datos. Entre los mismos, destacan, por su importancia, los conocidos como derechos ARCO (Acceso, Rectificacin, Cancelacin y Oposicin), contemplados en sus artculos 15 a 18.

    • Dichos derechos constituyen el haz de facultades que emanan del derecho fundamental a la proteccin de datos y sirven a la capital funcin que desempea este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que slo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer.

    • El ejercicio de los mismos est desarrollado en el Ttulo III del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.


    Alcal de guadaira octubre 2011

    DERECHO DE ACCESO

    • El derecho de acceso es el derecho del afectado a obtener informacin sobre si sus propios datos de carcter personal estn siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

    • El responsable del fichero deber resolver sobre la solicitud de acceso en el plazo mximo de un mes a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin de acceso, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente comunicrselo en el mismo plazo. Si la solicitud fuera estimada, el acceso deber hacerse efectivo durante los diez das siguientes a dicha comunicacin.


    Alcal de guadaira octubre 2011

    DERECHOS DE RECTIFICACIN Y CANCELACIN I

    • El derecho de rectificacin es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya de realizarse y deber ir acompaada de la documentacin justificativa de lo solicitado.

    • Por otro lado, el ejercicio del derecho de cancelacin dar lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento. En la solicitud de cancelacin, el interesado deber indicar a qu datos se refiere, aportando al efecto la documentacin que lo justifique, en su caso.


    Alcal de guadaira octubre 2011

    DERECHOS DE RECTIFICACIN Y CANCELACIN II

    • El responsable del fichero deber resolver sobre la solicitud de rectificacin o cancelacin en el plazo mximo de diez das a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carcter personal del afectado deber igualmente comunicrselo en el mismo plazo. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber comunicar la rectificacin o cancelacin efectuada al cesionario, en idntico plazo, para que ste, tambin en el plazo de diez das contados desde la recepcin de dicha comunicacin, proceda, asimismo, a rectificar o cancelar los datos.


    Alcal de guadaira octubre 2011

    DERECHO DE OPOSICIN I

    • El derecho de oposicin es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se cese en el mismo en los siguientes supuestos:

      • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su concreta situacin personal, que lo justifique, siempre que una Ley no disponga lo contrario.

      • Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comercial.

      • Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al afectado y basada nicamente en un tratamiento automatizado de sus datos de carcter personal.


    Alcal de guadaira octubre 2011

    DERECHO DE OPOSICIN II

    • El responsable del fichero deber resolver sobre la solicitud de oposicin en el plazo mximo de diez das a contar desde la recepcin de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la peticin, el interesado podr interponer la reclamacin prevista en el artculo 18 de la Ley Orgnica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carcter personal de los afectados deber igualmente comunicrselo en el mismo plazo.


    Alcal de guadaira octubre 2011

    5. TRATAMIENTO DE IMGENES DEL ALUMNADO


    Alcal de guadaira octubre 2011

    IMGENES DEL ALUMNADO Y NUEVAS TECNOLOGAS

    • La informatizacin de los centros docentes lleva intrnsecamente aparejada la aparicin de nuevas formas de tratamiento de las imgenes del alumnado: la creacin de pginas web con informacin sobre los centros en los cuales se incluyen imgenes del alumnado o la instalacin de cmaras de videovigilancia en los mismos se unen ahora a otra serie de cuestiones que pueden afectar a la intimidad del alumnado, como la confidencialidad de su expediente acadmico o de los informes elaborados por los orientadores y orientadoras de los centros.

    • Por encima de cualquier otra consideracin, los centros de enseanza deben ser plenamente conscientes de que el alumnado es titular de dos derechos fundamentales que hay que respetar: el derecho a su intimidad y el derecho a la proteccin de sus datos de carcter personal. Ambos derechos estn regulados por la Ley Orgnica 1/1982, de 5 de mayo, de proteccin civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen y la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, respectivamente.


    Alcal de guadaira octubre 2011

    USO DE SISTEMAS DE CMARAS Y VIDEOCMARAS - I

    • De un tiempo a esta parte, un gran nmero de centros educativos han optado por instalar cmaras de videovigilancia en el interior de los mismos (puertas de acceso, patios, pasillos, etc.). Esta medida ha venido acompaada, como caba esperar, de una cierta polmica, ya que parte de la comunidad educativa entiende que podra afectar a algunos de sus derechos fundamentales constitucionalmente reconocidos (intimidad, honor, propia imagen). De igual manera, tambin podra afectar a su derecho a la proteccin de datos de carcter personal reconocido en la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.

    • En lo referente a la posible vulneracin del derecho a la proteccin de datos de los miembros de la comunidad educativa como consecuencia de la instalacin de cmaras de videovigilancia, conviene aqu recordar que el Real Decreto 1720/2007, de 21 de diciembre, considera la imagen como un dato de carcter personal, al definir como tal cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables (art. 5.1.f)).


    Alcal de guadaira octubre 2011

    USO DE SISTEMAS DE CMARAS Y VIDEOCMARAS - II

    • A este respecto, contamos con tres importantes documentos de referencia:

      • El Dictamen 4/2004 relativo al tratamiento de datos personales mediante vigilancia por videocmara del Grupo del artculo 29 sobre proteccin de datos, adoptado el 11 de febrero de 2004.

      • La Instruccin 1/2006, de 8 de noviembre, de la Agencia Espaola de Proteccin de Datos, sobre el tratamiento de datos personales con fines de vigilancia a travs de sistemas de cmaras o videocmaras.

      • La Instruccin 1/1996, de 1 de marzo, de la Agencia Espaola de Proteccin de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios, cuyo objeto de regulacin son los datos de carcter personal tratados de forma automatizada que son recabados por los servicios de seguridad con la finalidad de controlar el acceso a los edificios pblicos y privados.


    Alcal de guadaira octubre 2011

    USO DE SISTEMAS DE CMARAS Y VIDEOCMARAS - III

    • El Documento de Trabajo 1/08, sobre la proteccin de datos personales de los nios (Directrices generales y el caso especial de los colegios) del Grupo del artculo 29 sobre proteccin de datos, adoptado el 18 de febrero de 2008.


    Alcal de guadaira octubre 2011

    USO DE SISTEMAS DE CMARAS Y VIDEOCMARAS - IV

    • Estos cuatro documentos giran en torno a un mismo concepto: la consideracin de la imagen relativa a una persona identificada o identificable como un dato de carcter personal lleva aparejada la indisoluble aplicacin de los principios de proteccin de datos establecidos en la Directiva 95/46/CE y en la Ley Orgnica 15/1999, que es transposicin de la misma.

    • En este sentido, la propia Instruccin 1/2006 seala expresamente que la seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la proteccin de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de proteccin de datos, para de esta manera mantener la confianza de la ciudadana en el sistema democrtico.

    • Asimismo, los citados textos inciden con fuerza en la necesidad de que la instalacin de cmaras de videovigilancia sea una medida proporcional en relacin con el bien jurdico que se quiere proteger (no olvidemos que estamos ante la limitacin de un derecho fundamental).


    Alcal de guadaira octubre 2011

    PROPORCIONALIDAD DE LA MEDIDA - I

    • La instalacin de cmaras de videovigilancia ha de ser, en todo caso, una medida proporcional en relacin con la infraccin que se pretenda evitar. De tal manera, la instalacin de videocmaras no tendra justificacin si, por ejemplo, se realiza con la finalidad controlar una infraccin menor, como la prohibicin de fumar en el centro.

    • En el caso de que la finalidad de la instalacin de cmaras de videovigilancia sea controlar casos graves de violencia y acoso escolar en donde la propia vida del o la menor podra correr peligro por las consecuencias psicolgicas derivadas del mismo, parece que, en principio, dicha medida podra tener la consideracin de idnea, necesaria y proporcional, siempre y cuando las imgenes obtenidas fuesen adecuadas, pertinentes y no excesivas en relacin con el mbito y la finalidad determinada, legtima y explcita que justifica su instalacin y no se hiciesen pblicas las imgenes obtenidas a travs de este sistema.

    • No obstante lo anterior, que habra que atender a las circunstancias particulares de cada centro de enseanza en concreto para determinar si la medida adoptada supera el correspondiente juicio de proporcionalidad.


    Alcal de guadaira octubre 2011

    PROPORCIONALIDAD DE LA MEDIDA - II

    • Ahora bien, en el caso de que la instalacin de cmaras de videovigilancia fuera para controlar otra serie de actos vandlicos ocurridos en los centros de enseanza como robos y daos materiales, el principio de proporcionalidad recogido en el Dictamen 4/2004 nos indica que se pueden utilizar estos sistemas cuando otras medidas de prevencin, proteccin y seguridad, de naturaleza fsica o lgica, que no requieran captacin de imgenes (por ejemplo, la utilizacin de puertas blindadas para combatir el vandalismo, la instalacin de puertas automticas y dispositivos de seguridad, sistemas combinados de alarma, sistemas mejores y ms potentes de alumbrado nocturno en las calles, etc.) resulten claramente insuficientes o inaplicables en relacin con los fines legtimos mencionados anteriormente.

    • Por lo tanto, con anterioridad a la instalacin en el centro de enseanza de cmaras de videovigilancia debera procederse a la puesta en prctica de otra serie de medidas tendentes a evitar los actos vandlicos que no supongan la limitacin de derechos fundamentales de los miembros de la comunidad educativa y slo en el caso de que stas fracasen sopesar el sistema de videovigilancia como ltimo recurso.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE INFORMACIN

    • En este sentido, el art. 3 de la Instruccin 1/2006, que lleva por rbrica Informacin,establece lo que a continuacin se detalla:.

      Los responsables que cuenten con sistemas de videovigilancia debern cumplir con el deber de informacin previsto en el artculo 5 de La Ley Orgnica 15/1999, de 13 de diciembre. A tal fin debern:

      a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y

      b) Tener a disposicin de los/las interesados/as impresos (derechos ARCO) en los que se detalle la informacin prevista en el artculo 5.1 de la Ley Orgnica 15/1999.


    Alcal de guadaira octubre 2011

    • Artculo 5. Derecho de informacin en la recogida de datos.

      1. Los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco:

      a) De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin.

      b) Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

      c) De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.

      d) De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.

      e) De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.


    Alcal de guadaira octubre 2011

    PRINCIPIO DEL CONSENTIMIENTO

    • Conforme a lo establecido en el art. 2.1 de la Instruccin 1/2006, slo ser posible el tratamiento de los datos objeto de la presente instruccin, cuando se encuentre amparado por lo dispuesto en el artculo 6.1 y 2 y el artculo 11.1 y 2 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

    • Ello se traduce en la necesidad de contar con el consentimiento previo e inequvoco del alumno, la alumna o de su padre, madre o representante legal, cuando as proceda, para la recogida y tratamiento de su imagen a travs de sistemas de cmaras y videocmaras.


    Alcal de guadaira octubre 2011

    PRINCIPIO DE CALIDAD DE LOS DATOS

    • El art. 4.1 de la Instruccin 1/2006 seala que de conformidad con el artculo 4 de la Ley Orgnica 15/1999 de 13 de diciembre, de Proteccin de Datos de Carcter Personal, las imgenes slo sern tratadas cuando sean adecuadas, pertinentes y no excesivas en relacin con el mbito y las finalidades determinadas, legtimas y explcitas, que hayan justificado la instalacin de las cmaras o videocmaras.

    • Asimismo, los datos debern ser cancelados en el plazo mximo de un mes desde su captacin (art. 6 Instruccin 1/2006).


    Alcal de guadaira octubre 2011

    PRINCIPIO DE SEGURIDAD DE LOS DATOS

    • En este sentido, el art. 9 de la Instruccin 1/2006 establece lo siguiente:

      El responsable deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteracin, prdida, tratamiento o acceso no autorizado.

      Asimismo cualquier persona que por razn del ejercicio de sus funciones tenga acceso a los datos deber de observar la debida reserva, confidencialidad y sigilo en relacin con las mismas.

      El responsable deber informar a las personas con acceso a los datos del deber de secreto a que se refiere el apartado anterior.


    Alcal de guadaira octubre 2011

    PUBLICACIN DE IMGENES DEL ALUMNADO EN LA PGINA WEB DEL CENTRO - I

    • El progresivo aumento del acceso de los centros de enseanza a las llamadas Tecnologas de la Informacin y las Comunicaciones (TICs) ha propiciado que muchos de ellos dispongan de su propia pgina web, en las cuales se suele verter nutrida informacin acerca del mismo, incluyendo en ocasiones imgenes del alumnado del centro en momentos distintos de su actividad escolar.

    • La publicacin de las imgenes (entendidas stas como un dato de carcter personal) a travs de Internet conlleva su cesin o la puesta de las mismas a disposicin de un destinatario mltiple e indeterminado.

    • En este sentido, los centros de enseanza deben ser plenamente conscientes de la necesidad de contar con el consentimiento previo e informado del alumno, la alumna o el padre, la madre o de su representante legal (en el caso de que aqul no rena las condiciones de madurez suficientes) a la hora de llevar a cabo actividades de este tipo que pueden afectar a su intimidad (entendida sta en un sentido amplio).


    Alcal de guadaira octubre 2011

    PUBLICACIN DE IMGENES DEL ALUMNADO EN LA PGINA WEB DEL CENTRO - II

    • La Ley Orgnica 1/19821/1982, de 5 de mayo, de proteccin civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, establece que no se apreciar la existencia de intromisin ilegtima en el mbito protegido cuando estuviere expresamente autorizada por la Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso (art. 2.2 L.O. 1/1982). Asimismo, seala que el consentimiento de los menores e incapaces deber prestarse por ellos mismos si sus condiciones de madurez lo permiten, de acuerdo con la legislacin civil (art. 3.1 L.O. 1/1982), lo cual es un condicionante que tambin debe ser tenido muy en cuenta por los centros de enseanza.


    Alcal de guadaira octubre 2011

    PUBLICACIN DE IMGENES DEL ALUMNADO EN LA PGINA WEB DEL CENTRO - III

    • Asimismo, las imgenes publicadas no deben ser contrarias al honor del alumnado. Por tanto, las fotografas que vayan a ser objeto de publicacin en la Red han de realizarse en un entorno y con la vestimenta adecuadas a la finalidad legtima para la cual se van a utilizar, evitando cualquier otro uso desviado o inadecuado de las mismas. No podemos olvidar que publicar las imgenes del alumnado en Internet supone, como hemos indicado, su puesta a disposicin a un destinatario mltiple e indeterminado y la salvaguarda de los y las menores ha de estar por encima de cualquier otro condicionante.


    Alcal de guadaira octubre 2011

    6. TRANSFERENCIAS INTERNACIONALES DE DATOS DE CARCTER PERSONAL


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - I

    • Nuestra Ley Orgnica 15/1999 establece expresamente que no podrn realizarse transferencias temporales ni definitivas de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a pases que no proporcionen un nivel de proteccin equiparable al que presta la presente Ley, salvo que, adems de haberse observado lo dispuesto en sta, se obtenga autorizacin previa del Director de la Agencia de Proteccin de Datos, que slo podr otorgarla si se obtienen garantas adecuadas (art. 33.1 LOPD).

    • Asimismo, el artculo 66 del reciente Real Decreto 1720/2007, establece que para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento ser necesaria la autorizacin del Director de la Agencia Espaola de Proteccin de Datos, que se otorgar en caso de que el exportador aporte las garantas a las que se refiere el artculo 70 del presente reglamento.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - II

    • Segn establece el art. 70 del Real Decreto 1720/2007, la autorizacin podr ser otorgada en caso de que el responsable del fichero o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

    • Ahora bien, la citada autorizacin no ser necesaria:

      • Cuando el Estado en el que se encontrase el importador ofrezca un nivel adecuado de proteccin conforme

      • Cuando la transferencia se encuentre en uno de los supuestos contemplados en los apartados a) a j) del artculo 34 de la Ley Orgnica 15/1999, de 13 de diciembre.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - III

    • Artculo 34. Excepciones.

      Lo dispuesto en el artculo anterior no ser de aplicacin:

      a) Cuando la transferencia internacional de datos de carcter personal resulte de la aplicacin de tratados o convenios en los que sea parte Espaa.

      b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

      c) Cuando la transferencia sea necesaria para la prevencin o para el diagnstico mdicos, la prestacin de asistencia sanitaria o tratamiento mdicos o la gestin de servicios sanitarios.

      d) Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica.

      e) Cuando el afectado haya dado su consentimiento inequvoco a la transferencia prevista.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - IV

    f) Cuando la transferencia sea necesaria para la ejecucin de un contrato entre el afectado y el responsable del fichero o para la adopcin de medidas precontractuales adoptadas a peticin del afectado.

    g) Cuando la transferencia sea necesaria para la celebracin o ejecucin de un contrato celebrado o por celebrar, en inters del afectado, por el responsable del fichero y un tercero.

    h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un inters pblico.

    Tendr esta consideracin la transferencia solicitada por una Administracin fiscal o aduanera para el cumplimiento de sus competencias.

    i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - V

    j) Cuando la transferencia se efecte, a peticin de persona con inters legtimo, desde un Registro pblico y aqulla sea acorde con la finalidad del mismo.

    k) Cuando la transferencia tenga como destino un Estado miembro de la Unin Europea, o un Estado respecto del cual la Comisin de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de proteccin adecuado.

    • Una vez sentadas las premisas anteriores, debemos conocer qu pases otorgan un nivel de proteccin equiparable al establecido en nuestro pas, siendo por tanto posible la realizacin de transferencias de datos con destino a los mismos sin necesidad de autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - VI

    En este sentido, la LOPD establece que el carcter adecuado del nivel de proteccin que ofrece el pas de destino se evaluar por la Agencia de Proteccin de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categora de transferencia de datos. En particular, se tomar en consideracin la naturaleza de los datos, la finalidad y la duracin del tratamiento o de los tratamientos previstos, el pas de origen y el pas de destino final, las normas de derecho, generales o sectoriales, vigentes en el pas tercero de que se trate, el contenido de los informes de la Comisin de la Unin Europea, as como las normas profesionales y las medidas de seguridad en vigor en dichos pases (art. 33.2 LOPD).


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - VII

    • Los pases que, a da de hoy, otorgan un nivel de proteccin de datos equiparable a Espaa son los siguientes:

      • Los Estados Miembros de la Unin Europea, que hasta la fecha son los siguientes: Alemania, Austria, Blgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, Eslovenia, Estonia, Finlandia, Francia, Grecia, Hungra, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Pases Bajos, Polonia, Portugal, Reino Unido, Repblica Checa, Rumana y Suecia.

      • Islandia.

      • Liechtenstein.

      • Noruega.


    Alcal de guadaira octubre 2011

    TRANSFERENCIAS INTERNACIONALES DE DATOS - VIII

    • Los Estados que la Comisin Europea ha declarado que garantizan un nivel de proteccin adecuado, estando incluidos, hasta la fecha: Suiza, Argentina, Guernsey, Isla de Man, las entidades estadounidenses adheridas a los principios de Puerto Seguro (Safe Harbour), Canad respecto de las entidades sujetas al mbito de aplicacin de la ley canadiense de proteccin de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y proteccin de fronteras de los Estados Unidos de Amrica.


    Alcal de guadaira octubre 2011

    LOS PRINCIPIOS DE PUERTO SEGURO - I

    • Los Estados Unidos de Amrica iniciaron en 1999 negociaciones con la Unin Europea en orden a conseguir una declaracin de adecuacin del nivel de proteccin de datos personales.

    • El principal escollo que se encontr la UE a la hora de analizar la cuestin es que la proteccin de la intimidad y de los datos en los Estados Unidos de Amrica se enmarca en un entramado de regulacin sectorial, tanto a nivel federal como estatal, que se combina con la autorregulacin industrial. A fin de superar los problemas derivados de esta dispersin normativa, el Departamento de Comercio de los Estados Unidos de Amrica present, como documento para la discusin entre las autoridades norteamericanas y de la Unin Europea un borrador de principios de Puerto Seguro, a fin de garantizar a los operadores que se adhirieran a los mismos una presuncin de adecuacin al nivel de proteccin exigido por la Directiva 95/46/CE, permitindose as la libre transferencia internacional de datos a dichos operadores.


    Alcal de guadaira octubre 2011

    LOS PRINCIPIOS DE PUERTO SEGURO - II

    • La Comisin Europea, mediante su Decisin de 26 de Julio de 2000, y con arreglo a la Directiva 95/46/CE, se pronunci sobre la adecuacin conferida por los principios de Puerto Seguro para la proteccin de la vida privada, considerndose en la actualidad que las entidades adheridas a estos principios otorgan un nivel de proteccin de datos equiparable al establecido en la UE y, por ende, en Espaa.

    • A da de hoy, puede consultarse la lista de entidades estadounidenses adheridas a los principios de Puerto Seguro en el sitio web www.export.gov/safeharbor.


    Alcal de guadaira octubre 2011

    7. TTULO VIII DEL REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE: NIVELES DE SEGURIDAD Y MEDIDAS APLICABLES


    Alcal de guadaira octubre 2011

    NIVELES DE SEGURIDAD

    • El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, con entrada en vigor el 19 de abril de 2008, recoge, en su Ttulo VIII, un extenso catlogo de medidas de seguridad aplicables tanto a los ficheros y tratamientos automatizados como no automatizados de datos de carcter personal.

    • A este respecto, el citado Real Decreto establece tres niveles de seguridad, atendiendo a la naturaleza de la informacin tratada, en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la informacin:

      • Nivel Bsico

      • Nivel Medio

      • Nivel Alto


    Alcal de guadaira octubre 2011

    NIVEL BSICO - I

    • Aplicable a cualquier fichero que contenga datos de carcter personal, esto es, cualquier informacin concerniente a personas fsicas identificadas o identificables.

    • As por ejemplo, tendran cabida dentro de esta categora el nombre y apellidos de los alumnos y alumnas, el nmero de su Documento Nacional de Identidad, direccin, telfono, fecha y lugar de nacimiento, sexo, datos de familia, historial de estudiante, calificaciones, etc.

    • El dato acerca de si un alumno o alumna del centro de enseanza es adoptado o adoptada tambin tendra encaje en el nivel bsico de medidas de seguridad, lo cual no es obstculo para que dicha informacin sea tratada con una especial sensibilidad, por las posibles consecuencias que podra tener para el menor su revelacin a terceros malintencionados.


    Alcal de guadaira octubre 2011

    NIVEL BSICO - II

    • En caso de ficheros o tratamientos de datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual bastar la implantacin de las medidas de seguridad de nivel bsico cuando:

      • Los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. As por ejemplo, bastara aplicar las medidas de seguridad de nivel bsico sobre aquellos ficheros de personal que contuviesen el dato de afiliacin a un sindicato (dato especialmente protegido), necesario para el pago de la cuota sindical a travs de la nmina salarial (por ejemplo, de un docente afiliado a un sindicato).

      • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relacin con su finalidad.


    Alcal de guadaira octubre 2011

    NIVEL BSICO - III

    • Tambin podrn implantarse las medidas de seguridad de nivel bsico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaracin de la condicin de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes pblicos. As por ejemplo, sobre un fichero de personal que contenga el dato del grado de discapacidad (dato especialmente protegido de salud) de un docente con una discapacidad auditiva, dato cuya declaracin es necesaria para el clculo de las retenciones prevista en la legislacin del IRPF, bastara la aplicacin de las medidas de seguridad de nivel bsico.


    Alcal de guadaira octubre 2011

    NIVEL MEDIO - I

    • Aplicable a los siguientes ficheros o tratamientos de datos de carcter personal:

      • Los relativos a la comisin de infracciones administrativas o penales.

      • Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley Orgnica 15/1999, de 13 de diciembre (Prestacin de servicios de informacin sobre solvencia patrimonial y crdito).

      • Aqullos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

      • Aqullos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestacin de servicios financieros.


    Alcal de guadaira octubre 2011

    NIVEL MEDIO - II

    • Aqullos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

    • Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan una definicin de las caractersticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.


    Alcal de guadaira octubre 2011

    NIVEL MEDIO - III

    • En el caso de un centro de enseanza, la adopcin de las medidas de seguridad de nivel medio slo ser necesaria en aquellos supuestos en que el fichero en cuestin contenga un conjunto de datos de carcter personal que ofrezcan una definicin de las caractersticas o de la personalidad de los alumnos y alumnas del centro (o, en su caso, de otro tipo de personas fsicas, por ejemplo, de los docentes, si bien ste es un supuesto mucho ms improbable) y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. En este sentido, la Real Academia Espaola de la Lengua define la personalidad, entre otras acepciones, como el conjunto de cualidades que constituyen a la persona o sujeto inteligente.


    Alcal de guadaira octubre 2011

    NIVEL MEDIO - IV

    • De tal manera, los informes psicopedaggicos elaborados por los orientadores y orientadoras podran encajar dentro del nivel medio definido en el Real Decreto 1720/2007, ya que contienen un conjunto de datos de carcter personal que ofrecen una definicin de las caractersticas o de la personalidad de los alumnos y alumnas del centro y que permiten evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Ahora bien, los datos psicolgicos tienen, como veremos, la consideracin de datos de salud, debiendo adoptarse, en su consecuencia, las medidas de seguridad de nivel alto definidas en el Real Decreto 1720/2007 (el nivel alto prevalece sobre los restantes).


    Alcal de guadaira octubre 2011

    NIVEL ALTO - I

    • Aplicable a los siguientes ficheros o tratamientos de datos de carcter personal:

      • Los que se refieran a datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual, con las excepciones anteriormente sealadas.

      • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

      • Aqullos que contengan datos derivados de actos de violencia de gnero.


    Alcal de guadaira octubre 2011

    NIVEL ALTO - II

    • Los orientadores y orientadoras suelen confeccionar informes psicopedaggicos, test de inteligencia y conducta, etc. Para su elaboracin, es necesario recabar una serie de informacin concerniente a cada uno de los alumnos y alumnas del centro, incluyendo datos psicolgicos.

    • Con respecto a la naturaleza de los datos psicolgicos, la cuestin radica en delimitar si procede su inclusin dentro del concepto de datos referentes a la salud de las personas. Si bien la Ley Orgnica se refiere expresamente a los datos de salud, considerndolos expresamente protegidos y limitando la posibilidad de su recopilacin y cesin, no establece un concepto concreto de este tipo de datos. En este sentido, la Agencia Espaola de Proteccin de Datos ha entendido que los datos psicolgicos deben ser considerados, a los efectos de la aplicacin de la LOPD, como datos relativos a la salud de las personas, habida cuenta que, o bien conciernen directamente a la salud mental del individuo o bien se encuentran estrechamente relacionados con la salud.


    Alcal de guadaira octubre 2011

    NIVEL ALTO - III

    • Por tanto, de acuerdo a la interpretacin de la AEPD, el nivel de proteccin que correspondera a los datos contenidos en los informes psicopedaggicos sera nivel alto.

    • En base a lo anterior y a modo de ejemplo, sera necesaria la adopcin de medidas de seguridad de nivel alto, contempladas en el Real Decreto 1720/2007, en los siguientes supuestos:

      • El expediente acadmico de un alumno o una alumna con necesidades educativas especiales puede contener el certificado del grado de su discapacidad, copia de su historia clnica y el dictamen de escolarizacin, adems de los informes psicopedaggicos elaborados por los orientadores y orientadoras, todos ellos considerados datos especialmente protegidos. En este caso, sera necesaria la adopcin de medidas de seguridad de nivel alto.


    Alcal de guadaira octubre 2011

    NIVEL ALTO - IV

    • Si en el comedor escolar disponen de fichas donde figuren alergias a determinados alimentos de algunos alumnos y alumnas, ya que estaramos ante datos de salud catalogados como de nivel alto.

    • Si en el centro de enseanza se dispone de informacin sobre determinados alumnos y alumnas que presenten problemas de salud que les imposibilite el ejercicio fsico.

    • Si en el centro de enseanza se maneja informacin sobre el origen racial de algunos alumnos y alumnas. En este caso, tambin estaramos ante datos catalogados de nivel alto.


    Alcal de guadaira octubre 2011

    NIVEL ALTO - V

    • Finalmente, queda la incgnita de si el hecho de cursar la asignatura de religin, o el hecho de no cursarla, suponen la revelacin de un dato protegido por el derecho fundamental a la libertad ideolgica, religiosa y de culto, consagrado por el artculo 16.1 de la Constitucin, es decir, si ese dato revela efectivamente las convicciones religiosas de la persona a la que se refiere y, por tanto, merece la catalogacin de dato especialmente protegido.

    • Segn la AEPD, el hecho mismo de cursar la asignatura de religin no revela necesariamente que el estudiante profese las creencias a las que tal asignatura se refiere, del mismo modo que el hecho de no cursarla no revela la inexistencia de esas creencias, sino que tal circunstancia puede deberse al estudio de la religin en otros foros distintos del escolar. Es decir, a juicio de la AEPD, lo nico que revela el dato de optar por cursar la asignatura de religin sera el inters del alumno o la alumna por conocer los principios, historia y preceptos de la misma, sin que ello implique una efectiva confesionalidad del mismo o la misma, a cuya declaracin no podra encontrarse obligado u obligada.


    Alcal de guadaira octubre 2011

    NIVEL ALTO - VI

    • En definitiva, segn la AEPD, el dato relacionado con el hecho de que el alumno o la alumna curse la asignatura de religin, no vinculada a la participacin del alumno o la alumna en un rito relacionado con una religin determinada (lo que s implicara que el individuo profesa dicha creencia religiosa) no puede ser considerado por s mismo un dato que revele inmediatamente las creencias religiosas del afectado o la afectada, por lo que el dato de opcin por la asignatura de Religin no tendra la naturaleza de especialmente protegido. En su consecuencia, un documento que contenga el dato relativo a la opcin por la asignatura de religin debe encajarse dentro del nivel bsico contemplado en el Real Decreto 1720/2007.


    Alcal de guadaira octubre 2011

    MEDIDAS DE SEGURIDAD - I

    • Una vez encajados en unos u otros niveles cada uno de los ficheros de datos manejados en el centro de enseanza, se debe proceder a implementar las medidas de seguridad correspondientes en funcin del nivel asignado.

    • Sobre la adopcin de las medidas de ndole tcnica y organizativa encaminadas a garantizar la seguridad de los datos de carcter personal objeto de tratamiento, el Ttulo VIII del Real Decreto 1720/2007 se basa en un esquema de crculos concntricos. De tal manera, las medidas de seguridad contempladas en el Real Decreto 1720/2007 tienen carcter acumulativo, debiendo adoptarse las medidas correspondientes al nivel aplicable, as como todas aqullas recogidas en los niveles inferiores.

    • En el ncleo de este esquema se encontraran las medidas de seguridad de nivel bsico, en la capa intermedia encontraramos las medidas de seguridad de nivel medio y, finalmente, en su capa externa se encontraran las medidas de seguridad de nivel alto.


    Alcal de guadaira octubre 2011

    MEDIDAS DE SEGURIDAD - II


    Alcal de guadaira octubre 2011

    EL DOCUMENTO DE SEGURIDAD - I

    • Al igual que el anterior Real Decreto 994/1999, el Real Decreto 1720/2007 recoge la obligacin por parte del responsable del fichero o tratamiento de elaborar e implantar un documento, de obligado cumplimiento para el personal con acceso a los sistemas de informacin, que recoja las medidas de ndole tcnica y organizativa encaminadas a garantizar la seguridad de los datos de carcter personal objeto de tratamiento, el llamado Documento de Seguridad.

    • Sobre el contenido mnimo del citado documento, su actualizacin, adecuacin a las disposiciones vigentes en materia de seguridad de los datos de carcter personal y otros aspectos formales del mismo, el artculo 88 del Real Decreto 1720/2007 desgrana en profundidad stas y otras cuestiones de inters acerca del mismo.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS AUTOMATIZADOS I

    • Definicin y documentacin de las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carcter personal y a los sistemas de informacin.

    • Adopcin de las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento.

    • Generacin de un procedimiento de notificacin y gestin de las incidencias que afecten a los datos de carcter personal y establecimiento de un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificacin, a quin se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

    • Establecimiento de mecanismos de control de acceso a los datos y recursos por parte de los usuarios.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS AUTOMATIZADOS II

    • Cumplimiento de medidas relativas a la gestin de soportes que contengan datos de carcter personal (inventariado e identificacin, salidas, traslado, destruccin, etc.). Dichas medidas son igualmente aplicables a los soportes o documentos comprendidos y/o anejos a un correo electrnico.

    • Implantacin de un mecanismo que permita la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado (por ejemplo, usuario y contrasea).

    • Realizacin de copias de respaldo y recuperacin de los datos con una periodicidad mnima semanal, salvo que en dicho periodo no se hubiera producido ninguna actualizacin de los datos. Verificacin cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS AUTOMATIZADOS III

    • Prohibicin de realizar con datos reales pruebas anteriores a la implantacin o modificacin de los sistemas de informacin que traten ficheros con datos de carcter personal, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado, se anote su realizacin en el documento de seguridad y se haya realizado previamente una copia de seguridad.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL MEDIO FICHEROS AUTOMATIZADOS I

    • Cumplimiento de las medidas de seguridad de nivel bsico.

    • Designacin de uno, una o varios, varias responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad. Esta designacin puede ser nica para todos los ficheros o tratamientos de datos de carcter personal o diferenciada segn los sistemas de tratamiento utilizados, circunstancia que deber hacerse constar claramente en el documento de seguridad.

    • Sometimiento de los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos a una auditoria interna o externa que verifique el cumplimiento del Ttulo VIII del Real Decreto 1720/2007, al menos, cada dos aos. Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL MEDIO FICHEROS AUTOMATIZADOS II

    • Establecimiento de un sistema de registro de entrada y salida de soportes, entendiendo por soporte cualquier objeto fsico que almacene o contenga datos o documentos, u objeto susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar y recuperar datos.

    • Establecimiento de un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.

    • Establecimiento de mecanismos de control de acceso fsico a los lugares donde se hallen instalados los equipos que den soporte a los sistemas de informacin. Exclusivamente el personal autorizado en el documento de seguridad podr tener acceso a los mismos.

    • Cumplimiento de medidas adicionales con respecto al registro de incidencias, debiendo consignarse los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y, en su caso, qu datos ha sido necesario grabar manualmente en el proceso de recuperacin.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL ALTO FICHEROS AUTOMATIZADOS I

    • Cumplimiento de las medidas de seguridad de nivel bsico y de nivel medio.

    • Identificacin Codificada de los Soportes que contengan datos de carcter personal utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificacin para el resto de personas. Distribucin de los mismos cifrando los datos que contengan o bien utilizando otro mecanismo que garantice que dicha informacin no sea accesible o manipulada durante su transporte.

    • Cifrado de los datos de carcter personal que contengan los dispositivos porttiles (ordenadores porttiles, PDAs, etc.), cuando stos se encuentren fuera de las instalaciones que estn bajo el control del responsable del fichero.


    Alcal de guadaira octubre 2011

    • Conservacin de una copia de respaldo de los datos y de los procedimientos de recuperacin de los mismos en un lugar diferente de aquel en que se encuentren los equipos informticos que los tratan, que deber cumplir en todo caso las medidas de seguridad exigidas en el Ttulo VIII del Real Decreto 1720/2007, o utilizando elementos que garanticen la integridad y recuperacin de la informacin, de forma que sea posible su recuperacin.

    • Implementacin de un registro de accesos que deber guardar, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Revisin, al menos una vez al mes, de la informacin de control registrada y elaboracin de un informe de las revisiones realizadas y los problemas detectados.

    • Cifrado de los datos de carcter personal, o utilizacin de cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros, cuando se transmitan a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas (por ejemplo, Internet).


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS

    NOAUTOMATIZADOS - I

    • Definicin y documentacin de las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carcter personal y a los sistemas de informacin.

    • Adopcin de las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento.

    • Generacin de un procedimiento de notificacin y gestin de las incidencias que afecten a los datos de carcter personal y establecimiento de un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificacin, a quin se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS

    NOAUTOMATIZADOS - II

    • Establecimiento de mecanismos de control de acceso a los datos y recursos por parte de los usuarios.

    • Cumplimiento de medidas relativas a la gestin de documentos que contengan datos de carcter personal (inventariado e identificacin, salidas, traslado, destruccin, etc.).

    • El archivo de los documentos deber realizarse de acuerdo con los criterios previstos en su respectiva legislacin. Estos criterios debern garantizar la correcta conservacin de los documentos, la localizacin y consulta de la informacin y posibilitar el ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deber establecer los criterios y procedimientos de actuacin que deban seguirse para el archivo.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL BSICO FICHEROS

    NOAUTOMATIZADOS - III

    • Los dispositivos de almacenamiento de los documentos que contengan datos de carcter personal debern disponer de mecanismos que obstaculicen su apertura (por ejemplo, sistema de apertura mediante llave u otro dispositivo equivalente). Cuando las caractersticas fsicas de aqullos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptar medidas que impidan el acceso de personas no autorizadas.

    • Mientras la documentacin con datos de carcter personal no se encuentre archivada en dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura, por estar en proceso de revisin o tramitacin, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deber custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL MEDIO FICHEROS NO AUTOMATIZADOS

    • Cumplimiento de las medidas de seguridad de nivel bsico.

    • Designacin de uno, una o varios, varias responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad. Esta designacin puede ser nica para todos los ficheros o tratamientos de datos de carcter personal o diferenciada segn los sistemas de tratamiento utilizados, circunstancia que deber hacerse constar claramente en el documento de seguridad.

    • Sometimiento de los ficheros de datos de carcter personal a una auditoria interna o externa que verifique el cumplimiento del Ttulo VIII del Real Decreto 1720/2007, al menos, cada dos aos.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL ALTO FICHEROS NO AUTOMATIZADOS I

    • Cumplimiento de las medidas de seguridad de nivel bsico y de nivel medio.

    • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carcter personal debern encontrarse en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas reas debern permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

    • La generacin de copias o la reproduccin de los documentos nicamente podr ser realizada bajo el control del personal autorizado en el documento de seguridad. Asimismo, deber procederse a la destruccin de las copias o reproducciones desechadas de forma que se evite el acceso a la informacin contenida en las mismas o su recuperacin posterior.


    Alcal de guadaira octubre 2011

    MEDIDAS NIVEL ALTO FICHEROS NO AUTOMATIZADOS II

    • El acceso a la documentacin se limitar exclusivamente al personal autorizado. Se debern establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por mltiples usuarios.

    • Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero, debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - I

    • Con respecto al almacenamiento de la documentacin que va a ser destruida, se realizan las siguientes recomendaciones:

      • Los documentos que vayan a ser eliminados deben estar protegidos hasta el momento de su destruccin fsica.

      • El lugar o los contenedores donde se almacenen los documentos que se vayan a eliminar requerirn medidas de seguridad eficaces frente a posibles intromisiones exteriores. No deben permanecer al descubierto en el exterior de los edificios. Tampoco deben amontonarse en lugares de paso, ni en locales abiertos.

      • Se deben guardar en locales o contenedores que dispongan de mecanismos de cierre que garanticen su seguridad.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - II

    • Para el caso de que la documentacin sea objeto de transporte hacia un lugar distinto donde va a llevarse a cabo su destruccin , se contemplan las siguientes recomendaciones:

      • El transporte, en su caso, hasta el lugar donde vaya a llevarse a cabo la destruccin debe garantizar que durante el traslado no se produzcan sustracciones, prdidas ni filtraciones de informacin.

      • Todas las operaciones de recogida, carga y descarga de los documentos o sus contenedores, as como la conduccin de los vehculos que los transportan, deben ser realizadas por personal debidamente autorizado y fcilmente identificable.

      • Los documentos deben ser llevados directamente al lugar donde est prevista la destruccin, en vehculos cerrados que recorran el trayecto sin paradas ni interrupciones.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - III

    • Finalmente, en lo que respecta al proceso de destruccin de la documentacin propiamente dicho, se establecen las siguientes recomendaciones:

      • La destruccin debe ser inmediata y hacer imposible la reconstruccin de los documentos y la recuperacin de cualquier informacin contenida en ellos.

      • Los documentos no deben depositarse en contenedores, al descubierto ni en paquetes, cajas o legajos, junto con el resto de los desechos. Siguen siendo perfectamente legibles y permanecen en la va pblica durante un tiempo indeterminado, al alcance de cualquier persona.

      • Entregarlos o venderlos como papel usado para su reciclaje, sin destruccin previa, tampoco es un mtodo seguro.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - IV

    • El enterramiento de los documentos no supone la desaparicin inmediata de la informacin. Antes al contrario, se ha comprobado que el papel se conserva ms tiempo enterrado que si se dejase al aire libre.

    • La incineracin acaba con la informacin, pero resulta peligroso para el entorno, puede perjudicar al medio ambiente e impide el reciclaje.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - V

    • En suma, el mtodo ms adecuado es la trituracin mediante corte en tiras o cruzado, previa a la venta para reciclaje. El papel se hace tiras o partculas, cuyo tamao se elegir en funcin del nivel de proteccin requerido por la informacin contenida en los documentos a destruir.

    • La mayor parte de los proveedores de mquinas destructoras de papel o de servicios de destruccin de documentos utilizan la norma DIN 32757 como referencia para indicar los niveles de seguridad ofrecidos. Dicha norma establece cinco grados de seguridad y determina el tamao mximo de las tiras o partculas en funcin de ese nivel.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - VI

    • En caso de que se contrate una empresa especializada en servicios de destruccin de documentos (opcin que puede resultar aconsejable en funcin del volumen de documentacin), el centro de enseanza ha de ser plenamente consciente de que, al externalizar la destruccin de la documentacin, est facilitando una gran cantidad de informacin a un tercero para que pueda prestarle el citado servicio.

    • En este sentido, debe firmarse un contrato con el prestador del servicio en el sentido del artculo 12 de la LOPD.

    • En dicho contrato se debern recoger, como mnimo, las instrucciones fijadas por el responsable del fichero para la prestacin del servicio, la finalidad del tratamiento y la imposibilidad de la comunicacin de los datos a terceros distintos del prestador. Asimismo, en el contrato se habrn de estipular las medidas de seguridad que el tercero deber implantar para la prestacin del servicio.


    Alcal de guadaira octubre 2011

    RECOMENDACIONES SOBRE DESTRUCCIN DE LA DOCUMENTACIN - VII

    • Asimismo, resaltar la importancia de exigir a la empresa prestadora del servicio un certificado de garanta de destruccin de la documentacin que acredite la completa eliminacin de la misma.


    Alcal de guadaira octubre 2011

    8. INFRACCIONES, SANCIONES Y PLAZOS DE ADECUACIN A LA NORMATIVA SOBRE PROTECCIN DE DATOS DE CARCTER PERSONAL


    Alcal de guadaira octubre 2011

    INFRACCIONES - I

    • Ley Orgnica 15/1999 contempla en su Ttulo VII el catlogo de infracciones, que se dividen en leves, graves o muy graves.

    • Son infracciones leves:

      • No atender, por motivos formales, la solicitud del interesado o interesada de rectificacin o cancelacin de los datos personales objeto de tratamiento cuando legalmente proceda.

      • No proporcionar la informacin que solicite la Agencia Espaola de Proteccin de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relacin con aspectos no sustantivos de la proteccin de datos.

      • No solicitar la inscripcin del fichero de datos de carcter personal en el Registro General de Proteccin de Datos, cuando no sea constitutivo de infraccin grave.


    Alcal de guadaira octubre 2011

    INFRACCIONES - II

    • Son infracciones leves (cont.):

      • Proceder a la recogida de datos de carcter personal de los propios afectados o afectadas sin proporcionarles la informacin que seala el artculo 5 de la Ley.

      • Incumplir el deber de secreto establecido en el artculo 10 de la Ley, salvo que constituya infraccin grave.


    Alcal de guadaira octubre 2011

    INFRACCIONES - III

    • Son infracciones graves:

      • Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general, publicada en el Boletn Oficial del Estado o Diario oficial correspondiente.

      • Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos de carcter personal para los mismos con finalidades distintas de las que constituyen el objeto legtimo de la empresa o entidad.

      • Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible.


    Alcal de guadaira octubre 2011

    INFRACCIONES - IV

    • Son infracciones graves (cont.):

      • Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidos en la Ley o con incumplimiento de los preceptos de proteccin que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infraccin muy grave.

      • El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada.


    Alcal de guadaira octubre 2011

    INFRACCIONES - V

    • Son infracciones graves (cont.):

      • Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley ampara.

      • La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes para obtener una evaluacin de la personalidad del individuo.


    Alcal de guadaira octubre 2011

    INFRACCIONES - VI

    • Son infracciones graves (cont.):

      • Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad que por va reglamentaria se determinen.

      • No remitir a la Agencia Espaola de Proteccin de Datos las notificaciones previstas en la Ley o en sus disposiciones de desarrollo, as como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquel a tales efectos.


    Alcal de guadaira octubre 2011

    INFRACCIONES - VII

    • Son infracciones graves (cont.):

      • La obstruccin al ejercicio de la funcin inspectora.

      • No inscribir el fichero de datos de carcter personal en el Registro General de Proteccin Datos, cuando haya sido requerido para ello por el Director de la Agencia Espaola de Proteccin de Datos.

      • Incumplir el deber de informacin que se establece en los artculos 5, 28 y 29 de la Ley, cuando los datos hayan sido recabados de persona distinta del afectado.


    Alcal de guadaira octubre 2011

    INFRACCIONES - VIII

    • Son infracciones muy graves:

      • La recogida de datos en forma engaosa y fraudulenta.

      • La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas.

      • Recabar y tratar los datos de carcter personal a los que se refiere el apartado 2 del artculo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artculo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibicin contenida en el apartado 4 del artculo 7.

      • No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal cuando sea requerido para ello por el Director de la Agencia Espaola de Proteccin de Datos o por las personas titulares del derecho de acceso.


    Alcal de guadaira octubre 2011

    INFRACCIONES - IX

    • Son infracciones muy graves (cont.):

      • La transferencia temporal o definitiva de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a pases que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la Agencia Espaola de Proteccin de Datos.

      • Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

      • La vulneracin del deber de guardar secreto sobre los datos de carcter personal a que hacen referencia los apartados 2 y 3 del artculo 7, as como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.


    Alcal de guadaira octubre 2011

    INFRACCIONES - X

    • Son infracciones muy graves (cont.):

      • No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin.

      • No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero.


    Alcal de guadaira octubre 2011

    RGIMEN SANCIONADOR - I

    • El rgimen sancionador contemplado en la Ley Orgnica 15/1999 difiere en funcin de si se trata de ficheros de titularidad pblica o si se trata de ficheros de titularidad privada.

    • De tal manera, el rgimen sancionador establecido para el infractor responsable de un fichero de titularidad privada est basado en sanciones de carcter econmico, con multas que van desde 601,01 hasta 601.012,10 :

      • Infracciones leves: multa de 601,01 a 60.101,21 .

      • Infracciones graves: multa de 60.101,21 a 300.506,05 .

      • Infracciones muy graves: multa de 300.506,05 a 601.012,10 .


    Alcal de guadaira octubre 2011

    RGIMEN SANCIONADOR - II

    • Sin embargo, en el caso de ficheros de titularidad pblica, las sanciones sern las que correspondan de acuerdo a lo establecido en la legislacin sobre rgimen disciplinario de las Administraciones Pblicas.

    • En este sentido, el art. 46 LOPD establece lo siguiente:

      • Cuando las infracciones a que se refiere el artculo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones Pblicas, el Director de la Agencia de Proteccin de Datos dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del fichero, al rgano del que dependa jerrquicamente y a los afectados si los hubiera.

      • El Director de la Agencia podr proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar sern las establecidas en la legislacin sobre rgimen disciplinario de las Administraciones Pblicas.


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DE LA LEY ORGNICA 15/1999 - I

    • Sobre los plazos establecidos para la adecuacin a la LOPD, la Disposicin Final Tercera de la Ley Orgnica 15/1999 establece su entrada en vigor en el plazo de un mes, contado desde su publicacin en el Boletn Oficial del Estado.

    • Dicha publicacin tuvo lugar en el B.O.E. nmero 298, de 14 de diciembre de 1999. Ello significa que todos aquellos ficheros automatizados o no automatizados creados con posterioridad al 14 de enero de 2000 deben de manera inexcusable cumplir con lo establecido en la Ley Orgnica 15/1999.


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DE LA LEY ORGNICA 15/1999 - II

    • Con respecto a los ficheros preexistentes a la entrada en vigor de la Ley, la Disposicin Adicional Primera de la Ley Orgnica 15/1999 establece lo siguiente:

      • Ficheros y tratamientos automatizados: los ficheros y tratamientos automatizados inscritos o no en el Registro General de Proteccin de Datos debern adecuarse a la presente Ley Orgnica dentro del plazo de tres aos, a contar desde su entrada en vigor. Por ende, para el caso de los ficheros y tratamientos automatizados, todos los plazos legales vencieron el pasado 14 de enero de 2003.

      • Ficheros y tratamientos no automatizados:su adecuacin a la Ley Orgnica 15/1999 deber cumplimentarse en el plazo de doce aos a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificacin y cancelacin por parte de los afectados. Dicho plazo expir el 24 de octubre de 2007.

    • En suma, todos los plazos legales de adecuacin a la LOPD han vencido, sin excepcin.


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DEL REAL DECRETO 1720/2007 - I

    • En cuanto a los plazos de implantacin de las medidas de seguridad recogidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, sealar que la disposicin final segunda del citado Real Decreto establece su entrada en vigor a los tres meses de su ntegra publicacin en el Boletn Oficial del Estado. Dicha publicacin tuvo lugar en el B.O.E. nmero 17, de 19 de enero de 2008, entrando en vigor el 19 de abril del mismo ao.

    • De conformidad con lo establecido en la regla tercera de la Disposicin transitoria segunda del Real Decreto 1720/2007, los ficheros de datos de carcter personal, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del Real Decreto (19 de abril de 2008) debern tener implantadas, desde el momento de su creacin, la totalidad de las medidas de seguridad recogidas en el mismo.


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DEL REAL DECRETO 1720/2007 - II

    • Con respecto a los ficheros preexistentes a la entrada en vigor del Real Decreto 1720/2007 (19 de abril de 2008), ha de diferenciarse entre ficheros automatizados y no automatizados.

    • Respecto de los ficheros automatizados que existieran en la fecha de entrada en vigor del Real Decreto 1720/2007:

      a) En el plazo de un ao desde su entrada en vigor (el plazo finaliza el 19 de abril de 2009), debern implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DEL REAL DECRETO 1720/2007 - III

    1. Aqullos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

    2. Aqullos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

    3. Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan una definicin de las caractersticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artculo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carcter personal, aprobado por Real Decreto 994/1999, de 11 de junio.


    Alcal de guadaira octubre 2011

    b) En el plazo de un ao desde su entrada en vigor (el plazo finaliz el 19 de abril de 2009) debern implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha (el plazo finaliz el 19 de octubre de 2009), las de nivel alto exigibles a los siguientes ficheros:

    1. Aqullos que contengan datos derivados de actos de violencia de gnero.

    2. Aqullos de los que sean responsables los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico o exploten redes pblicas de comunicaciones electrnicas respecto a los datos de trfico y a los datos de localizacin.

    c) En los dems supuestos, cuando el presente reglamento exija la implantacin de una medida adicional, no prevista en el Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carcter personal, aprobado por Real Decreto 994/1999, de 11 de junio, dicha medida deber implantarse en el plazo de un ao desde la entrada en vigor del Real Decreto 1720/2007 (el plazo finaliz el 19 de abril de 2009).


    Alcal de guadaira octubre 2011

    PLAZOS DE ADECUACIN DEL REAL DECRETO 1720/2007 - V

    Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del Real Decreto 1720/2007:

    a) Las medidas de seguridad de nivel bsico debern implantarse en el plazo de un ao desde su entrada en vigor (el plazo finaliz el 19 de abril de 2009).

    b) Las medidas de seguridad de nivel medio debern implantarse en el plazo de dieciocho meses desde su entrada en vigor (el plazo finaliz el 19 de octubre de 2009).

    c) Las medidas de seguridad de nivel alto debern implantarse en el plazo de dos aos desde su entrada en vigor (el plazo finaliz el 19 de abril de 2010).

    En suma, todos los plazos legales de adecuacin al Real Decreto 1720/2007 han vencido, sin excepcin.


    Alcal de guadaira octubre 2011

    9. AGENCIAS ESTATAL Y AUTONMICAS DE PROTECCIN DE DATOS


    Alcal de guadaira octubre 2011

    LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS - I

    • La Agencia Espaola de Proteccin de Datos (AEPD) es un ente de Derecho Pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones. Se rige por lo dispuesto en el Ttulo IV de la LOPD y en Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD.

    • Es el rgano de control encargado de velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos.


    Alcal de guadaira octubre 2011

    LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS - II

    • Entre sus funciones principales destacan las siguientes:

      • Atender las peticiones y reclamaciones formuladas por las personas afectadas.

      • Proporcionar informacin a las personas sobre acerca de sus derechos reconocidos en la LOPD.

      • Ejercer la potestades inspectora y sancionadora en el mbito de la LOPD.

      • Emitir las autorizaciones previstas en la Ley.

      • Requerir medidas de correccin y ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelacin de los datos.


    Alcal de guadaira octubre 2011

    LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS - III

    • La Agencia Espaola de Proteccin de Datos (AEPD) se estructura en las siguientes reas:

      • El Director de la AEPD. Dirige la Agencia y ostenta su representacin.

      • El Consejo Consultivo.

      • El Registro General de Proteccin de Datos.

      • La Inspeccin de Datos.

      • La Secretara General de la Agencia.

    • Sobre las funciones concretas de cada una de las reas citadas, puede consultarse el apartado Estructura de la pgina web de la propia AEPD, seccin Conozca la Agencia.


    Alcal de guadaira octubre 2011

    AGENCIAS AUTONMICAS DE PROTECCIN DE DATOS - I

    • La Ley Orgnica 15/1999 establece en su art. 41 que las funciones atribuidas a la Agencia Espaola de Proteccin de Datos sern ejercidas, cuando afecten a ficheros de datos de carcter personal creados o gestionados por las Comunidades Autnomas y por la Administracin Local de su mbito territorial, por los rganos correspondientes de cada Comunidad Autnoma (con la excepcin de determinadas funciones concretas que se reservan en exclusiva a la AEPD), que tendrn, al igual que aqulla, la consideracin de autoridades de control, a las que se garantizarn plena independencia y objetividad en el ejercicio de su cometido.


    Alcal de guadaira octubre 2011

    AGENCIAS AUTONMICAS DE PROTECCIN DE DATOS - II

    • En la actualidad existen tres agencias autonmicas de proteccin de datos creadas al amparo del art. 41 LOPD:

      • La Agencia de Proteccin de Datos de la Comunidad de Madrid (APDCM), regulada en el Captulo IV de la Ley 8/2001, de 13 de julio, de Proteccin de Datos de Carcter Personal en la Comunidad de Madrid. Pgina web: www.apdcm.org

      • La Agencia Catalana de Proteccin de Datos (Agncia Catalana de Protecci de Dades, APDCAT), creada por el art. 1 de la Ley 5/2002, de 19 de abril, de la Agencia Catalana de Proteccin de Datos. Pgina web: www.apd.cat

      • La Agencia Vasca de Proteccin de Datos (Datuak Babesteko Euskal Bulegoa, AVPD), creada por el art. 10 de laLey 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos. Pgina web: www.avpd.euskadi.net


    Alcal de guadaira octubre 2011

    AGENCIAS AUTONMICAS DE PROTECCIN DE DATOS - III

    • El nuevo Estatuto de Autonoma para Andaluca contempla en su Ttulo II, bajo la rbrica general de Competencias de la Comunidad Autnoma, que Corresponde a la Comunidad Autnoma de Andaluca la competencia ejecutiva sobre proteccin de datos de carcter personal, gestionados por las instituciones autonmicas de Andaluca, Administracin autonmica, Administraciones locales, y otras entidades de derecho pblico y privado dependientes de cualquiera de ellas, as como por las universidades del sistema universitario andaluz (art. 82).

    • El citado artculo abre la puerta a la creacin de una Agencia Andaluza de Proteccin de Datos. La citada Agencia asumira, entre otras, la funcin de velar por el cumplimiento de la legislacin sobre proteccin de datos en los centros de enseanza de la Junta de Andaluca.


    Alcal de guadaira octubre 2011

    MUCHAS GRACIAS!!!


  • Login