Agencia Espa帽ola de Protecci贸n de Datos
1
Ámbito de aplicación y principios Responsable y encargado Derechos Ficheros específicos Agencia Española de Protección de Datos
2
Ámbito de aplicación y principios generales El responsable y el encargado Derechos de acceso, rectificación, cancelación y oposición
Agustín Puente Escobar Abogado del Estado Jefe del Gabinete Jurídico de la AEPD
Agencia Española de Protección de Datos
3
Ámbito de aplicación objetivo
• Regla general – Aplicación a todo tratamiento automatizado – Aplicación a tratamientos manuales si existe fichero
• Especialidades – Personas fallecidas – Empresarios individuales – Personas de contacto
Agencia Española de Protección de Datos
4
Ámbito de aplicación territorial • Regla general – Tratamiento en el marco de la actividad de un establecimiento del responsable en España
• Especialidades – Aplicación de la medidas de seguridad a los encargados de responsables no sujetos a la ley española – Aplicación a responsables extracomunitarios que utilicen para el tratamiento medios situados en España Agencia Española de Protección de Datos
5
Exclusiones y supuestos especiales • Exclusiones – Actividades personales o domésticas • Relacionadas con la vida privada y familiar • De los particulares – Materias clasificadas – Investigación del terrorismo y formas graves de delincuencia organizada • Comunicación a la AEPD
• Supuestos sometidos a legislación específica (art. 2.3 LOPD) Agencia Española de Protección de Datos
6
Nuevas definiciones relevantes • Dato personal/persona identificable – “Esfuerzo desproporcionado”
• • • •
Dato de salud Fichero no automatizado Ficheros de titularidad pública/privada Responsable del fichero o “del” tratamiento – Posibilidad de que el responsable no realice materialmente el tratamiento
• Transferencias internacionales de datos • Fuentes accesibles al público Agencia Española de Protección de Datos
7
Principios de calidad de datos • Reiteración de los principios de la LOPD • Aclaraciones en el principio de exactitud – Presunción de exactitud de los datos facilitados por el afectado – Deber de rectificación o cancelación de oficio de datos inexactos, incompletos o inadecuados – Excepciones basadas en la aplicación de la normativa específica
• Fines históricos, científicos y estadísticos: remisión normativa Agencia Española de Protección de Datos
8
Legitimación para el tratamiento: sistematización • Sistematización – Regulación asimilada a la normativa comunitaria. Supuestos • Aplicables a todo tratamiento • Aplicables a la recogida • Aplicables a la cesión – Aclaración de la regla del interés legítimo • Basada en la Ley • Basada en una “relación jurídica” (concepto amplio) • Basada en fuentes accesibles al público Agencia Española de Protección de Datos
9
Legitimación para el tratamiento: aclaraciones • Habilitación legal (interna o comunitaria) – Por previsión expresa – Por imposición de un deber que implique el tratamiento – Por reconocimiento de un derecho o interés legítimo que sólo se pueda lograr con el tratamiento
• Administraciones Públicas (cesión) – Fines históricos, científicos y estadísticos – Elaboración – Competencia idéntica o sobre la misma materia Agencia Española de Protección de Datos
10
Consentimiento del afectado • Caracteres generales – Referencia a tratamientos y finalidades – Especialidades para el consentimiento a la cesión – Carga de la prueba de quien recaba el consentimiento – Revocabilidad • Diferenciación con el ejercicio del derecho de cancelación • Procedimiento
Agencia Española de Protección de Datos
11
Consentimiento de menores • Regla general: regla de los catorce años, salvo excepción legal • Límites a la recogida en todo caso – Información del grupo familiar (datos de terceros) – Salvo para recabar la autorización de progenitores o tutores
• Deberes – Información sencilla – Aplicación de procedimientos que garanticen • La comprobación de la edad • La comprobación del consentimiento prestado Agencia Española de Protección de Datos
12
Recogida del consentimiento • Obtención del consentimiento “tácito” – – – –
Contenido de la información Medios de solicitud Negativa sencilla y gratuita Límites temporales
• Consentimiento en contratos de adhesión para fines no vinculados al desarrollo del contrato – Separación – Consentimiento específico (casillas no premarcadas) Agencia Española de Protección de Datos
13
Deber de informar • Aplicación de las reglas generales de la LOPD • Especialidades – Carga de la prueba • Posibilidad de conservación en soporte distinto del original – Supuestos de reestructuración societaria • No suponen cesión de datos, sino cambio de responsable • Deberá en todo caso informarse al afectado
Agencia Española de Protección de Datos
14
Encargado del tratamiento • Cuestiones generales – No generación de un “nuevo vínculo” entre el encargado y el afectado – Deber de diligencia del responsable en su elección
• Consecuencias de la terminación del contrato – No procederá destruir los datos si la Ley obliga a su conservación – Posible conservación de datos bloqueados si pudieran derivarse responsabilidades por el servicio prestado Agencia Española de Protección de Datos
15
Encargado del tratamiento • Relaciones con otros encargados – Posible transmisión a otro encargado durante el contrato, siguiendo instrucciones – “Devolución” a un nuevo encargado designado por el responsable
• Subcontratación – Por apoderamiento al primer encargado – Por constancia en el contrato (ab initio o por addenda posterior)
• Otras reglas especiales – Ejercicio de derechos – Medidas de seguridad Agencia Española de Protección de Datos
16
Derechos de acceso, rectificación, cancelación y oposición •
Quién puede ejercitar los derechos (art. 23 RPD) – Carácter personalísimo: ejercicio por el afectado • Acreditación de su identidad • Posible uso de medios electrónicos • En particular: uso de medios de atención al cliente – Ejercicio a través de terceros • Representación legal en caso de menores e incapacitados • Representación voluntaria. Características: • Poder especial • Medio fehaciente • Otorgamiento “apud acta” en las AAPP y Administración de Justicia – Denegación si no es aplicable uno de estos supuestos • Concesión de un plazo de subsanación Agencia Española de Protección de Datos
17
Derechos de acceso, rectificación, cancelación y oposición •
Caracteres de estos derechos – Independencia. No será necesario el ejercicio del acceso para ejercitar los de rectificación, cancelación y oposición – Sencillez • Utilización de servicios de atención al público o ejercicio de reclamaciones • Posible establecimiento de canales de atención del derecho • Deber de resolver incluso en caso de no usarse esos canales – Gratuidad • Prohibición de ingreso por el responsable del fichero • Prohibición de determinados cauces (cartas certificadas, tarificación adicional)
Agencia Española de Protección de Datos
18
Derechos de acceso, rectificación, cancelación y oposición • Otras cuestiones relevantes – La prueba del cumplimiento del deber de respuesta recae sobre el responsable del fichero • Conservación de la acreditación acreditativa del cumplimiento • Posible conservación en otros soportes (aplicación analógica del art. 18) – Posible ejercicio ante un encargado del tratamiento • Regla general: el encargado ante el que se ejercita el derecho dará traslado de la solicitud al responsable • Posible estipulación expresa en el contrato Agencia Española de Protección de Datos
19
Derecho de acceso
• Concepto: Derecho a obtener información sobre: – los datos de carácter personal objeto de tratamiento, finalidad del tratamiento. – el origen de dichos datos – las comunicaciones realizadas o previstas de los mismos
• Alcance
•
– Sobre datos concretos – Sobre los datos incluidos en un determinado fichero – La totalidad de sus datos sometidos a tratamiento Posible solicitud de aclaración por el responsable – Deberá facilitar un listado de los ficheros, para que el interesado le indique, en su caso, respecto de cuáles solicita el acceso
Agencia Española de Protección de Datos
20
Derecho de acceso •
•
Otorgamiento – Plazo: un mes desde la solicitud – Si no se facilita la información, el acceso deberá hacerse efectivo en 10 días – Desestimación presunta, a efectos de tutela de derecho Contenido – Datos del afectado • “De base” • “Obtenidos de cualquier elaboración o proceso informático” – Origen de los datos, individualizado si fueran varios – Cesionarios de los datos – Usos y finalidades para las que se almacenaron los datos – La información será legible e inteligible
Agencia Española de Protección de Datos
21
Derecho de acceso •
•
Especialidades de ejercicio – Selección del medio de acceso • Seguridad • Disponibilidad por el afectado Denegación – Casos • Por ejercicio reiterado: – Una vez cada 12 meses salvo que exista causa legítima • Por prohibición legal, norma Comunitaria de aplicación directa. • Por prohibición legal de revelación – Información acerca de la posibilidad de tutela por la AEPD – No referencia a la norma que justifica la denegación
Agencia Española de Protección de Datos
22
Derechos de rectificación y cancelación • Concepto – Rectificación: derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos – Cancelación: derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este RD
• Distintos del derecho del afectado a la revocación del consentimiento previamente prestado Agencia Española de Protección de Datos
23
Derechos de rectificación y cancelación •
Especialidades de ejercicio – Necesaria aportación de documentación acreditativa • En caso de solicitarse la rectificación – Indicación del dato inexacto y de la corrección que proceda – En su caso, documentación acreditativa de la rectificación • En caso de solicitarse la cancelación – Indicación del dato inexacto o erróneo (con documentación) – Plazo: 10 días desde la solicitud (denegación presunta), a los efectos de la tutela
Agencia Española de Protección de Datos
24
Derechos de rectificación y cancelación • Otorgamiento – Rectificación o cancelación solicitada – Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación en diez días, y no lo comunicará al interesado
Agencia Española de Protección de Datos
25
Derechos de rectificación y cancelación • Denegación • Cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables • Durante la vigencia de las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos • Por prohibición legal, o norma Comunitaria de aplicación directa. • Por prohibición legal de revelación Agencia Española de Protección de Datos
26
Derecho de oposición • Modalidades ( artículo 34, a) b) c) ): – Oposición “strictu sensu”: • Cuando no sea necesario el consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario – Opt-out en marketing: • Sin necesidad de acreditar causa legítima – Decisiones automatizadas: • derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta Agencia Española de Protección de Datos
27
Derecho de oposición • • •
Plazo de ejercicio – 10 días desde la recepción de la solicitud Oposición “strictu sensu” – Acreditación de la situación que la justifica Excepciones en relación con las decisiones automatizadas (según la Directiva 95/46/CE) Artículo 36 – La decisión se adopta en el marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso,el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones – La decisión está autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado
Agencia Española de Protección de Datos
28
Ficheros de información sobre solvencia patrimonial y crédito Tratamientos para actividades de publicidad y prospección comercial
Jesús Rubí Navarrete Adjunto al Director de la Agencia Española de Protección de Datos
Agencia Española de Protección de Datos
29
Ficheros de información sobre solvencia patrimonial y crédito • Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. • Requisitos para la inclusión de datos (art. 38) – Cumplimiento o incumplimiento (ficheros positivos y negativos) • Los requisitos para la inclusión, vinculados a la existencia de una deuda previa excluyen la legitimación del art. 29.2 LOPD para los ficheros positivos.
Agencia Española de Protección de Datos
30
Ficheros de información sobre solvencia patrimonial y crédito •
Cont. – No se haya entablado reclamación judicial, arbitral o administrativa. • Actuación proactiva: – La iniciativa del acreedor para el cobro no impide la inclusión. – La iniciativa del presunto deudor que cuestiona la existencia o cuantía de la deuda excluye la inclusión. – La conducta activa del deudor en una contienda judicial, arbitral o administrativa, promovida por cualquier parte (acreedor o deudor) que discuta la existencia de la deuda o su cuantía, impide la exclusión.
Agencia Española de Protección de Datos
31
Ficheros de información sobre solvencia patrimonial y crédito • Cont. • La reclamación administrativa impide la inclusión si la autoridad administrativa es competente para resolver, directa o indirectamente, sobre la existencia o cuantía de la deuda. • La reclamación ante la AEPD no impide la inclusión por no ser una autoridad administrativa competente sobre la existencia o cuantía de la deuda.
Agencia Española de Protección de Datos
32
Ficheros de información sobre solvencia patrimonial y crédito • Reclamación conforme al RD 303/2004, de 20 de febrero, de Comisionados para la Defensa del Cliente: – Ámbito servicios financieros: • Comisionados de Defensa de Servicios Bancarios, para la Defensa del Inversor y para la Defensa del Asegurado y del Partícipe en Planes de Pensiones. • Reclamaciones (excluye quejas y consultas) (Definiciones art. 1.3).
Agencia Española de Protección de Datos
33
Ficheros de información sobre solvencia patrimonial y crédito • Cont. – Reclamaciones previas ante departamentos o servicios de atención al cliente, o en su caso, ante el defensor del cliente. • Impide la inclusión al ser un requisito previo para la presentación ante el Comisionado. • Inadmisión, denegación o plazo de 2 meses. Permite la inclusión hasta la prestación de la reclamación ante el Comisionado. – Cancelación tutelar.
Agencia Española de Protección de Datos
34
Ficheros de información sobre solvencia patrimonial y crédito •
Cont. – Información previa a la inclusión (arts. 39 y 40) • Celebración del contrato inicial respecto del que el impago pueda determinar la inclusión. • Requerimiento previo de pago. • Notificación de la inclusión. • Sistema auditable de la emisión y control de devoluciones (salvo envíos rehusados). • Dirección pactada contractualmente en requerimiento y notificación (art. 8.5 presunción de exactitud de los datos recogidos directamente del afectado).
Agencia Española de Protección de Datos
35
Ficheros de información sobre solvencia patrimonial y crédito •
•
Conservación de los datos (art. 41) – Cancelación inmediata por pago o cumplimiento (10 días. Art. 8.5). – Cancelación en el fichero común por transcurso de 6 años desde el vencimiento de la obligación o del plazo de deudas de vencimiento periódico. Acceso a la información (art. 42). – Adecuado para enjuiciar la solvencia económica (pº de finalidad). – Información escrita al afectado sobre el derecho a consultar (pretensión de contratar con pago aplazado o servicios de facturación periódica). – Información no escrita en contratación telefónica (prueba).
Agencia Española de Protección de Datos
36
Ficheros de información sobre solvencia patrimonial y crédito • Responsabilidad (art. 43) – Acreedor. • Derechos. Rectificación o cancelación – Ante el responsable del fichero común • Traslado a la entidad informante para resolver. • Rectificación o cancelación cautelar: – 7 días desde que se comunique a la entidad informante sin respuesta. – Con el límite máximo de 10 días desde que se ejerció el derecho. Agencia Española de Protección de Datos
37
Tratamientos para actividades de publicidad y prospección comercial • Datos susceptibles de tratamiento e información al interesado (art. 45). – Sujetos: • Se dediquen específicamente a actividad publicitaria. • Promocionen sus propios productos – Legitimación. • Fuentes accesibles al público: – Concepto amplio art. 7.b) y c). – Información en cada comunicación comercial Origen: fuentes accesibles y entidad. Agencia Española de Protección de Datos
38
Tratamientos para actividades de publicidad y prospección comercial • Cont. – Consentimiento. – Forma de obtener el consentimiento (art. 14). – Consentimiento de menores (art. 13). – Información para obtener el consentimiento. “Sectores específicos y concretos de actividad” (Informes Gabinete Jurídico AEPD 399/03 y 325/04) – Conservación e información (art. 18.2). – Consentimiento en relación contractual para fines no relacionados con ella (publicidad) (art. 15). Agencia Española de Protección de Datos
39
Tratamientos para actividades de publicidad y prospección comercial • Tratamiento de datos en campañas publicitarias (art. 46). – Contratación o encomienda a terceros: • Responsabilidad del tratamiento en función de la fijación de los parámetros identificativos de los destinatarios (incluso sin acceso material a la información). • Parámetros identificativos: variables utilizadas para identificar al público objetivo. • Diligencia sobre cumplimiento de la LOPD y Rgto. Por la entidad contratada: Proporcionalidad. Agencia Española de Protección de Datos
40
Tratamientos para actividades de publicidad y prospección comercial • Depuración de datos personales (art. 47) – Tratamiento cruzado de ficheros – Delimitación de clientes propios y potenciales clientes – Fines promocionales – Cesión de datos
Agencia Española de Protección de Datos
41
Tratamientos para actividades de publicidad y prospección comercial •
Ficheros de exclusión – De la entidad • Negativa (inicial o revocación) y oposición (cancelación). • Medidas para evitar la publicidad. – Comunes: sectoriales o generales. • Negativa (inicial o revocación) oposición (cancelación). • Información s/ ficheros comunes de exclusión (responsable, domicilio, finalidad). • Incorporación voluntaria por el afectado. • Consulta previa a los tratamientos publicitarios.
Agencia Española de Protección de Datos
42
Tratamientos para actividades de publicidad y prospección comercial • Derechos – Campañas publicitarias encargadas (encomendadas) a terceros. – Ante el beneficiario de la campaña: • Comunicación al responsable (10 días desde recepción de la solicitud). • Comunicación al afectado. • Otorgamiento o denegación motivada por el responsable (10 días desde recepción de la comunicación). – Facilitar el ejercicio de derechos. Agencia Española de Protección de Datos
43