Apuntes del MOOC

Nociones fundamentales sobre protección de datos personales

¿Qué es la protección de datos personales?

Evolución tecnológica. Conceptos básicos y elementos esenciales en materia de protección de datos

Protección de datos personales en la era digital

Unidad 2¿Qué es la protección de

datos personales?

Derecho a la protección de datos personales

Derecho a la protección de datos o privacidad

Derecho fundamental o humano.

Protección del consumidor.

Intimidad, honor, reputación, etc.

Límites y limitaciones al derecho a la protección de datos.

Datos personales o información personal

Otros derechos


datos personales?

Hitos relevantes en la evolución histórica

1890

1995

2013

2016

2018

2018

Warren y Brandeis publican su artículo The Right to Privacy en

Harvard Law Review.

Lorem ipsum dolor sit amet, consectetur adipiscing. Donec risus dolor, porta venenatis

neque sit amet, pharetra luctus felis.

Directiva europea 95/46/CE

La OCDE finaliza la revisión de sus Recomendaciones de 1980 y adopta una versión actualizada.

Recomendaciones de la OCDEEl GDPR es aplicable desde el 25 de Mayo de

2018, aunque entró en vigor en 2016 dando dos años a los Estados miembros para adecuar sus

ordenamientos jurídicos nacionales.

Aplicación del GDPR

Lorem ipsum dolor sit amet, consectetur adipiscing. Donec risus dolor, porta venenatis

neque sit amet, pharetra luctus felis.

Escudo de Privacidad UE-EE.UU.

El GDPR es aplicable desde el 25 de Mayo de 2018, aunque entró en vigor en 2016 dando

dos años a los Estados miembros para adecuar sus ordenamientos jurídicos nacionales.

Escudo de Privacidad UE-EE.UU.

The Right to Privacy


datos personales?

Hitos relevantes en la OCDE

2007 2013 20191980

Directrices de la OCDERecomendaciones sobre cooperación

Directrices actualizadas Orientaciones

Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales.

Recomendaciones de la OCDE sobre transfronteriza en la aplicación de las leyes de protección de la privacidad.

Directrices actualizadas de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales.

OCDE anunció que en 2019 publicará orientaciones prácticas para la aplicación de las Directrices en el entorno digital.


datos personales?

Hitos relevantes en el Consejo de Europa

Resolución R (73) 22 relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector privado.

Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Recomendación R(99) 5 del Comité de Ministros para la protección de la privacidad en Internet

Convenio 108+ para la protección de las personas con respecto al tratamiento de datos de carácter personal.

Resolución R (74) 29 relativa a la protección de la vida privada de las personas físicas respecto de los bancos de datos electrónicos en el sector público

1973

1974

1981

2018

1999


datos personales?

Principales instrumentos internacionales

Recomendaciones del Consejo de la OCDE (2013).Primer instrumento internacional, basado en los FIPPs.Buenas prácticas, no vinculantes jurídicamente.

Resolución 45/95 de la Asamblea General de las Naciones Unidas del 14 de diciembre de 1990, sobre Principios rectores sobre la reglamentación de los ficheros computadorizados de datos personales.

Convenio 108+ para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (2018).Primer Convenio internacional jurídicamente vinculante.Número limitado de países e influencia europea.

Organización de las

Naciones Unidas

Organización para la

Cooperación y el Desarrollo

Económico (OCDE)

Consejo de Europa


datos personales?

Derecho a la protección de datos personales

Sobre una persona fisicaLicitud del tratamientoPrincipios y legitimación para tratar datos personales, derechos del interesado y procedimientos (hábeas data, autoridad de protección de datos, etc.).

1

Sobre una persona fisicaNo es un derecho absolutoLímites y limitaciones, en particular excepciones y equilibrio con otros derechos (libertad de expresión, acceso a la información, etc.)..

2

Sobre una persona fisicaDerecho a la protección de datos Garantizar el tratamiento lícito de los datos personales.

3


datos personales?

Contenido esencial del derecho a la protección de datos

1

3 2

Proc

edim

iento

s

Derechos del interesado

Protección de datos personales


datos personales?

Datos personales, ¿qué son realmente? (I)

Datos personales: Se refieren a la persona física, pero pueden referirse también a otras personas o no haber sido obtenidos de aquélla.

Datos personales obtenidos de la persona, derivados del uso de un servicio electrónico e inferidos por el responsable del tratamiento.

Condiciones de legitimación del tratamiento, alcance de los derechos y excepciones o límites a la protección de datos.

Encargado del tratamiento:

Implicaciones:


datos personales?

Datos personales, ¿qué son realmente? (II)

Referidos a o sobre una persona

Información sobre una persona física identificada o identificable, sin que suponga propiedad de los datos.

Finalidades del tratamiento

Los datos personales pueden ser tratados para finalidades a las que el interesado no puede oponerse (por ejemplo, facturación del servicio, pago del producto comprado, etc.).


datos personales?

Principios de la protección de datos

Limitación de la recogida.Calidad de los datos.Especificación de la finalidad.Limitación del uso.Salvaguardia de la seguridad.Transparencia.Participación individual.Responsabilidad (accountability).


datos personales?

Legitimación del tratamiento de los datos

Por ejemplo, prestación del servicio, facturación de lo contratado, resolución de quejas, etc.

Por ejemplo, pago de impuestos, cooperación con la justicia, etc.

Por ejemplo, atención al ciudadano, prestación de servicios al ciudadano, etc.

Obligación legal aplicable

al responsable

Cumplimiento del

contrato

Potestades de

autoridades públicas

Interés vital de la

persona física

Del responsable del

tratamiento

Del interesado

Ley Contrato Potestades públicas

Ponderación o prueba de equilibrio con el derecho a la protección de datos del interesado.

Ya sea el interesado u otra persona física cuya vida esté o pueda estar peligro.

Debiendo considerar que puede ser difícil de comprender para el interesado o la fatiga del consentimiento.

Interés vital Interés legítimo Consentimiento


datos personales?

Derechos del interesado (I)

Derechos del interesado (acceso,

rectificación, cancelación,

etc.)

Sujetos a requisitos y condiciones

No son derechos absolutos


datos personales?

Derechos del interesado (II)

● Personalísimos (propio interesado o su representante).● En principio, gratuitos, salvo situaciones específicas.● Relativos específicamente al tratamiento de los datos. Otras cuestiones (daños, etc.) quedan excluidas.

● Sujetos a un procedimiento específico.●Tratamiento por el responsable (no procede si se han anonimizado o suprimido).●En algunos casos, necesidad de especificar los datos personales a los que se refiere el derecho, por ejemplo, datos inexactos a rectificar.

● Derechos de otras personas.●Ejercicio abusivo.●Seguridad nacional, seguridad o salud pública, obligaciones legales de tratamiento, etc.

Carácter de los derechos

Condiciones aplicables (requisitos para su

ejercicio)

Límites o limitaciones (no son derechos

absolutos)


datos personales?

Derechos del interesado (II)

Asociación Francófona de Autoridades de Protección de DatosForo regional de autoridades de protección de datos que comparten el idioma, la tradición legal y valores comunes. En particular, tiene por objeto fomentar la protección de datos y el desarrollo de capacidades de sus miembros.

Conferencia Internacional de Autoridades de Protección de Datos y PrivacidadForo internacional de autoridades de protección de datos y privacidad (International Conference of Data Protection & Privacy Commissioners, ICDPPC) cuyo objetivo es aportar liderazgo en materia de protección de datos y privacidad a nivel internacional.

Asia Pacific Privacy Authorities ForumEl foro de autoridades de privacidad de Asia Pacífico (Asia Pacific Privacy Authorities, APPA) es regional y tiene por objeto generar sinergias entre las autoridades de privacidad y compartir información sobre tecnologías emergentes, tendencias y cambios a la normativa sobre privacidad.

Red Iberoamericana de Protección de Datos (RIPD)Foro regional destinado a desarrollar iniciativas y proyectos en materia de protección de datos en Iberoamérica. Es un foro adecuado para el intercambio de información, experiencias y conocimientos entre sus participantes de los sectores público y privado.

Red Global para la Aplicación de la Ley en materia de PrivacidadForo internacional creado en virtud de la Recomendación de la OCDE sobre Cooperación Transfronteriza en la Aplicación de las Leyes en materia de Privacidad (Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy) de 2007 para, entre otras cuestiones, compartir mejores prácticas y trabajar en el desarrollo de prioridades en materia de aplicación de la ley.

Comité Europeo de Protección de Datos (CEPD)El Comité Europeo de Protección de Datos (European Data Protection Board, EDPB), creado por el Reglamento General de Protección de Datos (RGPD), es un órgano independiente que tiene por objeto contribuir a la aplicación consistente de las leyes sobre protección de datos en toda la Unión Europea y fomentar la cooperación entre las autoridades de protección de datos. Está compuesto por representantes de las autoridades de protección de datos y por el Supervisor Europeo de Protección de Datos (SEPD).


datos personales?

Autoridad de protección de datos

¿Qué es una autoridad de protección de datos?

Diferentes modelos

La autoridad de protección de datos, autoridad de control u órgano garante es la encargada de supervisar el cumplimiento de la normativa sobre protección de datos, tutelar a las personas físicas y, en su caso, sancionar las infracciones.

NaturalezaExisten diferentes modelos, pudiendo ser autoridades administrativas, judiciales o de protección de los consumidores.

IndependenciaLa independencia, funcional y económica, de la autoridad de protección de datos es relevante. Es decir, se trata de garantizar que no se produzcan injerencias directas o indirectas.

Funciones y poderesCada país decide cómo es su autoridad, lo que incluye si es unipersonal o colegiada; dedicada exclusivamente a protección de datos o también a acceso a la información pública.

Las autoridades de protección de datos pueden desempeñar diversas funciones, tales como promover buena prácticas, etc., y pueden tener también poderes de investigación, instrucción y sanción en caso de infracción de la normativa sobre protección de datos.


datos personales?

Ciberseguridad

Adoptar e implementar medidas técnicas y organizativas para proteger a la organización y a la información, incluyendo los datos personales contra diversos riesgos, tales como el acceso, alteración o destrucción no autorizadas.


datos personales?

Seguridad de la información


Disponibilidad

Se puede acceder a la información cuando

sea necesario

Integridad de la información

La información es exacta y completa, evitando la pérdida o modificación no autorizadas

Confidencialidad

Solo quienes están autorizados pueden acceder a la información


datos personales?

Autoridad de protección de datos

Legislativo o regulatorio

Leyes

Regulatorio

Contratos u otros instrumentos jurídicos similares

Autorregulación (códigos de conducta, sellos, etc.)


Contratos y autorregulación

Reglamentos

Otras normas secundarias específicas o sectoriales


datos personales?


ISO/IEC 27001:2013Requisitos del Sistema de Gestión de la

Seguridad de la Información (SGSI)

ISO/IEC 27002Código de práctica para la gestión de la seguridad de la información

ISO/IEC 27018:2014Código de práctica para la protección de información

personal identificable (PII) en nubes públicas que actúan como encargados del tratamiento

ISO/IEC 27017:2015Código de práctica para controles de seguridad de la información

basados en la ISO/IEC 27002 para servicios de nube

IISO/IEC 27552Extensión a la ISO/IEC 27001 y a la ISO/IEC 27002 para la

gestión de la privacidad de la información

1

2

3

4

5


datos personales?

Otros estándares de seguridad de la información

Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (en inglés, Payment Card Industry Data Security Standard, PCI DSS).Incluye objetivos de control y requisitos de seguridad de la información.Conjunto mínimo de requisitos de seguridad.

Apuntes del MOOC - courses.edx.org

Documents

Transcript of Apuntes del MOOC - courses.edx.org