NORMAS PARA LA IMPLANTACION DE UNA EFICAZ PROTECCION...

EL PRECIO DE NUESTRA INTIMIDAD

Hay veces en las que uno piensa perderse en un lugar en el que nadie pueda localizarle, sin dar más explicaciones. Esto que pudiera parecer cosa fácil, hoy día puede calificarse de prácticamente imposible, aún cuando creamos que no le hemos comentado a nadie nuestro paradero. Más allá de nuestra familia, novia o amigos de confianza, siempre hay alguien que conoce donde estamos, aunque nosotros no seamos conscientes de ello. Ese alguien es nuestro banco. Sea cual fuere el lugar del mundo en el que nos encontremos nuestro banco conocerá nuestra situación desde el mismo momento en que utilicemos nuestra tarjeta de crédito, medio de pago que más que en usual, se ha convertido en imprescindible compañero de viaje. Al hacer un cargo con nuestra tarjeta, nuestro banco conocerá no sólo en que lugar del mundo nos encontramos, sino también lo que hacemos; eso si, nosotros seguiremos creyendo que nadie lo sabe. Y la razón de todo ello es que, en muchas ocasiones, nos falta consciencia de que suministrando nuestros datos, sea de la forma que sea, vendemos una parte de nuestra intimidad, lo cual en ocasiones no nos importará ya que en el cambio ganaremos en calidad de vida y comodidad.
En efecto, nuestro banco conoce más de nosotros que la mayor parte de nuestros amigos y familiares. Conocerá nuestros hábitos en cuanto a compras, nuestra suscripción a una revista de una u otra tendencia ideológica, el colegio al que van nuestros hijos, nuestro partido político, nuestra salud, y en general todo lo que, de una forma u otra comporte una implicación económica (lo que nos llevará a hacernos la pregunta de si existe algo sin dicha implicación, aparte del amor verdadero, como diría aquella antigua canción).
Si toda la información que nuestro banco tiene de nosotros, fuera utilizada de forma incontrolada y con finalidades distintas a las que comportan los servicios bancarios que nos presta, podríamos decir que nuestra intimidad habría pasado a dominio de personas ajenas a nosotros mismos.
El caso de los bancos no es el único en el que cedemos datos sin darnos cuenta. Hoy día, la proliferación de las nuevas tecnologías permite tratamientos de datos que apenas podemos imaginar y que permitimos, a veces, de manera inadvertida. El simple hecho de hacernos con una cuenta de correo electrónico o convertirnos en usuarios de un proveedor de servicios de internet, requerirá que con carácter previo rellenemos un formulario en el que insertaremos datos como nuestro nombre, dirección, profesión o aficiones. De forma inocente, llegaremos a pensar que dicho servicio se nos concede de forma gratuita, pero en realidad estaremos pagando un precio más alto que el que pagaríamos, en dinero, por dicho servicio. Estaremos vendiendo una parte de nuestra intimidad.
Los formularios de recogida de datos en internet, además, llevarán aparejada de forma casi accesoria una o varias cláusulas por las que aceptaremos que nuestros datos sean tratados con fines publicitarios o cedidos a terceras empresas. A partir de este preciso momento, perderemos el control y el poder de disposición sobre parte de los mismos. A esto se puede unir el seguimiento que por medios técnicos pueda hacer el proveedor de servicios de las páginas y contenidos a los que accedemos. Con toda esta información, el proveedor de servicios además de nuestros datos personales podrá extraer un perfil exacto de nuestros gustos y aficiones, a los que podrá dar un uso sobre el que no tendremos control alguno.
La era de las nuevas tecnologías, la llegada de las tecnologías sin cables y la evolución de los tratamientos, nos exige la máxima prudencia en el uso que de nuestros datos hagamos y requiere la adopción de medidas que permitan el control del uso de los mismos por terceras personas, empresas y corporaciones. En un momento, en el que la evolución el marketing personalizado llega a su máxima expresión, cobra especial relevancia el derecho a la protección de datos de carácter personal.
Las empresas y entidades tienen como reto adaptarse a las necesidades de intimidad de sus clientes y empleados, encontrando en la adopción de medidas de seguridad y en el cumplimiento con los derechos de toda persona, no una obligación sino una oportunidad de mejorar el producto o servicio respecto del de sus competidores y de lograr un beneficio de imagen. Esta obra intenta hacer más fácil la consecución de este reto.
Quizás en las próximas vacaciones trate de perderme y marchar a algún lugar lejano sin comentárselo a nadie. Si me quieren localizar pregúntenle a mi banco. Aunque sinceramente, espero que nos les diga donde estoy.

PRÓLOGO

CARACTERES GENERALES DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS: EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

1. LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL
1.1. Marco normativo del derecho a la protección de datos de carácter personal
1.2. Concepto del derecho fundamental a la protección de datos de carácter personal
2. EL TRATAMIENTO DE DATOS PERSONALES: SUJETOS OBLIGADOS A CUMPLIR LA NORMATIVA SOBRE PROTECCIÓN DE DATOS
2.1. El tratamiento de datos de carácter personal
2.2. Ámbito de aplicación de la normativa vigente
2.3. Concepto de datos de carácter personal
2.3.a) Los registros de imagen y sonido
2.3.b) Datos biométricos y datos genéticos
2.3.c) La dirección de correo electrónico
3. PRINCIPIOS INFORMADORES DEL DERECHO DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
3.1. Principio de finalidad y adecuación del tratamiento
3.2. Principio de libre disposición y control sobre sus datos por el afectado
3.2.a) El derecho de información al afectado, como manifestación del principio de libre disposición sobre sus datos
3.2.b) El consentimiento del afectado al tratamiento de sus datos personales
3.2.c) Los derechos de acceso, rectificación, cancelación y oposición del afectado sobre sus datos
3.3. Principio de veracidad y exactitud de los datos
3.4. Principio de licitud y legalidad del tratamiento
3.5. Principio de seguridad y confidencialidad del tratamiento
3.6. Principio de control administrativo

ASPECTOS LEGALES DEL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

4. CREACIÓN DE FICHEROS DE TRATAMIENTO DE DATOS PERSONALES: LA INSCRIPCIÓN EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS
4.1. La creación e inscripción de los ficheros de tratamiento de datos de carácter personal
4.1.1. Ficheros inscribibles
4.1.2. Diferencias en la forma de inscripción de los ficheros pertenecientes a entidades públicas y privadas
4.1 .2.a) Ficheros pertenecientes a entidades públicas
4.1 .2.b) Ficheros pertenecientes a entidades privadas
4.1.3. el sistema nota de la AEPD para la notificación de ficheros
5. EL DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS
5.1. Contenido mínimo del derecho de información en la recogida de datos
5.2. Formas de cumplir con el derecho de información
6. EL CONSENTIMIENTO DEL AFECTADO PARA EL TRATAMIENTO DE SUS DATOS
6.1. El consentimiento exigido por la LOPD, para el tratamiento de datos de carácter personal
6.2. Análisis de los distintos tipos de consentimiento y su incidencia en la aplicación de las normas de la LOPD
6.2.1. Consentimiento escrito y expreso
6.2.2. Consentimiento de palabra o verbal
6.2.3. Consentimiento electrónico
6.2.3.a) Firma electrónica
6.2.3.b) Consentimiento realizado por medio de correo electrónico
6.2.3.c) Consentimiento por medio de campos o pestañas dispuestos al efecto
6.2.4. El silencio como forma de consentimiento, consentimiento tácito del artículo 14.2 del reglamento de desarrollo de la LOPD
6.3. Las excepciones al consentimiento del afectado
6.3.1. Excepciones contenidas en la LOPD
6.3.2. Consideraciones acerca de la publicación de listas de condenados
6.4. Necesidad del consentimiento del afectado para los tratamientos de data mining y cruce de datos
6.5. Consentimiento para el tratamiento de los datos de menores de edad
7. DERECHOS DEL AFECTADO POR EL TRATAMIENTO: ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN DE LOS CIUDADANOS
7.1. Caracteres generales
7.2. Los derechos de acceso, rectificación, cancelación y oposición desde la perspectiva del responsable del fichero
7.3. Contenido de la solicitud de ejercicio de los derechos
7.4. Derecho de acceso a sus datos por el afectado
7.5. Derechos de rectificación y cancelación de datos
7.6. Los derechos de oposición e impugnación de valoraciones
7.7. Derecho de consulta del registro general de protección de datos
8. CESIÓN DE DATOS A TERCEROS
8.1. Régimen de la cesión de datos
8.2. Casuística sobre cesiones de datos
9. EL ENCARGO DEL TRATAMIENTO: FORMALIZACIÓN DE ACUERDOS DE SEGURIDAD CON LAS EMPRESAS A LAS QUE EL RESPONSABLE DEL FICHERO CEDE DATOS DE CARÁCTER PERSONAL PARA QUE LE PRESTEN UN SERVICIO
9.1. Concepto de encargo de tratamiento
9.2. El contenido del contrato de encargo del tratamiento
9.3. Prestaciones de servicios que no comportan el acceso a datos de carácter personal
9.4. Consideraciones sobre la forma del contrato de encargo del tratamiento
10. TRANSFERENCIA INTERNACIONAL DE DATOS
10.1. La transferencia internacional de datos en la LOPD
10.1.1. Concepto de transferencia internacional de datos
10.1.2. Requisitos para la legalidad de la transferencia internacional de datos: régimen de autorización de las transferencias internacionales de datos
10.1.2.a) Nivel adecuado de protección acordado por la AEPD
10.1 .2.b) Suspensión temporal de las transferencias
10.1.2.c) Excepciones a la autorización del director de la agencia de protección de datos: el régimen de notificación
10.1 .2.d) Transferencias sujetas a autorización del director de la AEPD
10.2. Flujos internacionales de datos en la práctica
10.3. Transferencias a entidades ubicadas en los EE.UU. los principios de «safe harbour» («puerto seguro»)
10.3.1. Marco normativo de los principios de «puerto seguro»: autocertificación
10.3.2. Contenido de los principios de puerto seguro
10.3.3. Consecuencias del incumplimiento de los principios de puerto seguro
11. FICHEROS OBJETO DE ESPECIAL ATENCIÓN POR LA NORMATIVA VIGENTE: SOLVENCIA PATRIMONIAL Y CRÉDITO, PUBLICIDAD, ACCESO Y VIGILANCIA EN LOS EDIFICIOS
11.1. Ficheros de solvencia patrimonial y crédito
11.2. Ficheros de publicidad y prospección comercial
11.3. Ficheros de control de acceso y vigilancia en los edificios: tratamiento de imágenes y sonidos medidas de seguridad a aplicar a los ficheros de tratamiento de datos de carácter personal
12. NIVELES DE SEGURIDAD APLICABLES A LOS FICHEROS DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
12.1. Datos de carácter personal y niveles de seguridad que les son aplicables
12.1.1. Contenido de los conceptos «datos relativos a la hacienda pública», «servicios financieros» y «datos relativos a la salud
12.1.2. Plazos para la aplicación de las medidas de seguridad exigidas por el reglamento
13. LA IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD
13.1. El documento de seguridad
13.2. Procedimiento de identificación y autenticación
13.2.1. La aplicación de las medidas de identificación y autenticación
13.2.2. Sistemas de identificación y autenticación biométrica
13.2.2.a) Tipos de sistemas de identificación biométrica
13.2.2.b) La elección del sistema de identificación biométrico más adecuado
13.2.2.c) La perspectiva de la proporcionalidad del método biométrico elegido
13.3. Control de accesos lógicos
13.4. Procedimiento de gestión de incidencias
13.4.1. Concepto y tipos de incidencia
13.4.2. El procedimiento de gestión de incidencias. fases
13.4.3. Forma del registro de incidencias
13.4.4. Contenido mínimo del registro de incidencias
13.5. Procedimiento de gestión de soportes y documentos
13.5.1. Concepto de soporte y procedimiento de gestión de soportes
13.5.2. Contenido del registro de soportes
13.5.3. Aseguramiento contractual del transporte de soportes
13.5.4. Salida de dispositivos portátiles fuera de las instalaciones de la empresa
13.6. Procedimiento de copias de recuperación y respaldo
13.6.1. Atribución de la responsabilidad sobre los procedimientos a una o varias personas dentro de la entidad
13.6.2. Custodia de las copias de recuperación y respaldo en un lugar seguro
13.7. Control de accesos físicos
13.7.1. Medidas de seguridad a aplicar para el control de accesos físicos
13.8. Telecomunicaciones
13.9. Auditoria bienal
13.10. Otras medidas de seguridad
13.11. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

LA PROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS RELACIONES LABORALES: FUNCIONES Y OBLIGACIONES Y DATOS PERSONALES DE CARÁCTER PERSONAL DE LOS EMPLEADOS

14. OBLIGACIONES DE LOS EMPLEADOS EN EL TRATAMIENTO DE DATOS PERSONALES
14.1. Personal involucrado en el tratamiento de datos de carácter personal
14.2. Funciones del responsable de seguridad
14.3. Funciones de los administradores de sistemas
14.4. Funciones de los usuarios
14.5. Funciones del personal sin acceso a los ficheros de tratamiento de datos de carácter personal
14.6. Tratamiento de datos fuera de las dependencias de la empresa
14.7. El deber de secreto y confidencialidad de los empleados sobre el tratamiento
14.8. Formas de notificación de funciones en materia de protección de datos a los empleados
15. TRATAMIENTO DE LOS DATOS DE LOS EMPLEADOS
15.1. Introducción
15.2. Procesos de selección y datos curriculares
15.2.a) Tratamiento de datos en procesos de selección de personal
15.2.b) Carácter de los datos incluidos en curriculums
15.2.c) Envío de curriculums sin existencia de procesos de selección activos en la empresa
15.2.d) Conservación de los curriculums durante la relación laboral
15.3. Referencias y credenciales
15.4. Tratamiento de datos de los empleados durante la vigencia de la relación laboral
15.4.a) Contratos laborales
15.4.b) Información al empleado sobre el tratamiento de sus datos
15.4 c) Datos personales que se pueden recoger del trabajador
15.4.d) Tratamiento de los datos concernientes a la salud de los empleados
15.4.e) Nóminas y servicios financieros
15.4.f) Cesiones que realiza la empresa
15.5. Tratamiento de los datos de los empleados tras la extinción de la relación laboral
15.6. Utilización de los datos de los trabajadores con fines no laborales
15.7. El control del e-mail laboral y del uso de los ordenadores de trabajo que realizan los empleados por el empresario
16. BREVE REFERENCIA A LA INCIDENCIA A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN EL ÁMBITO DE INTERNET
16.1. Consideraciones generales a los tratamientos efectuados a través de internet
16.2. Incidencias especiales sobre los nuevos modelos de negocio en la red

PROCEDIMIENTOS TRAMITADOS POR LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

17. EL PROCEDIMIENTO SANCIONADOR: INFRACCIONES Y SANCIONES EN EL ÁMBITO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES
17.1. El procedimiento sancionador
17.2. Tipos de infracciones
17.3. Tipos de sanciones
18. EL PROCEDIMIENTO DE TUTELA DE DERECHOS DE ACCESO, RECTIFICACIÓN Y CANCELACIÓN
19. OTROS PROCEDIMIENTOS TRAMITADOS POR LA AEPD
19.1. Procedimiento de inscripción de ficheros en el registro general de protección de datos
19.2. Procedimientos relacionados con las transferencias internacionales de datos
19.3. Procedimiento de inscripción de código tipo
19.4. Los procedimientos de exención del deber de información al interesado y para la autorización y conservación de datos para fines históricos estadísticos o científicos