Agencia de Protección de Datos
Anuncio
ESCUELA EUROPEA DE NEGOCIOS COMUNICACIÓN EMPRESARIAL Y RELACIONES PUBLICAS AGENCIA DE PROTECCIÓN DE DATOS Madrid, 12 de Noviembre de 2003INDICE INTRODUCCIÓN La Constitución Española en su articulo 18 dice se garantizara el derecho al honor, a la intimidad personal y familiar y a la propia imagen Para ello la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos de carácter personal, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. Siendo de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores publico y privado. Sobre los Principios de Protección de Datos: • Los datos de carácter personal solo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explicitas y legitimas para las que se hayan obtenido. • Los datos serán exactos y puestos al día de forma que respondan con veracidad a la situación del afectado. • Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho al acceso. • Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco. • Serán datos especialmente protegidos aquellos relativos a la ideología, afiliación sindical, creencias, religión, origen racial, salud o vida sexual de los ciudadanos. Con el fin de cumplir uno de los requisitos del módulo de Relaciones Públicas y Comunicación empresarial se le ha asignado al grupo de trabajo, realizar un informe de investigación referente a la Agencia de Protección de Datos. En este informe se detallan las Funciones, Finalidad, Objetivos, Estructura Orgánica y Dependencias de la Agencia de Protección de Datos AGENCIA DE PROTECCIÓN DE DATOS La derogada Ley Orgánica 5/92 de 29 de octubre de regulación del tratamiento automatizado de datos de carácter personal, se dictó en desarrollo del mandato constitucional del artículo 18.4, que ordena al legislador limitar el posible abuso de la informática, para garantizar con ello la intimidad personal y familiar así como el pleno ejercicio de los derechos fundamentales. La nueva Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999, de 13 de diciembre, aparte de seguir desarrollando el mandato constitucional, viene a adaptar al ordenamiento jurídico español lo establecido en la Directiva 95/46 CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 1 La Agencia de Protección de Datos (APD) es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. FINALIDAD Su finalidad principal es velar por el cumplimiento de la legislación en materia de protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos. La APD es la que conforme a los artículos 35 y siguientes tiene encomendadas las funciones de control de la aplicación y cumplimiento de la Ley, proporciona información a las personas sobre sus derechos, ejerce la potestad sancionadora y además de las explicitadas en la LOPD, cuantas funciones le sean atribuidas y encomendadas por las normas legales o reglamentarias. OBJETIVOS • Garantizar el derecho a la intimidad de los ciudadanos en sus relaciones con la Administración, tutelando los derechos reconocidos en la ley. • Ejercer el control y proporcionar información, respecto al tratamiento de los datos inscritos en el Registro de ficheros de Datos Personales, la finalidad de los mismos e identidad del responsable. Esta información será publica y gratuita. • Desarrollar una labor divulgativa a través de sesiones, jornadas y convenios con el fin de difundir la normativa vigente sobre la protección de datos. ESTRUCTURA ORGÁNICA La Estructura orgánica de la Agencia de Protección de Datos (APD) se configura, de conformidad con lo dispuesto en el artículo 11 del Real Decreto 428/93, en los siguiente órganos DIRECTOR Dirige la agencia y ostenta su representación. Asistido por su Secretaría Particular, por la Unidad de Apoyo y el Gabinete Jurídico, que suponen un total de 10 funcionarios. Será nombrado por el Consejo consultivo por un período de cuatro años mediante Real Decreto, solo cesará antes de la expiración del período a petición propia o por separación acordada por el gobierno. El director de la APD es D. José Luis Piñar Mañas. El Adjunto al Director es D. Emilio Aced Félez y el Jefe del Gabinete Jurídico es D. Agustín Puente Escobar. CONSEJO CONSULTIVO Órgano colegiado de asesoramiento del Director del Ente Público, cuyos cometidos se centran en emitir informe en todas las cuestiones que le someta el Director de la Agencia y formular propuestas en temas relacionados con las materias de competencia de ésta. Se encuentra integrado por: Presidente, 8 Vocales y 1 Secretario El Director de la Agencia de Protección de datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: ♦ Un Diputado, propuesto por el congreso de diputados. ♦ Un Senador, propuesto por el senado. 2 ♦ Un Representante de la Administración Central designado por el Gobierno. ♦ Un Representante de la administración Local, propuesto por la federación Española de Municipios y Provincias. ♦ Un miembro de la Real Academia de la Historia, propuesto por la misma. ♦ Un experto en la materia propuesto por el consejo superior de Universidades. ♦ Un Representante de los usuarios y consumidores seleccionado del modo que se prevea reglamentariamente. ♦ Un Representante de cada comunidad autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva comunidad autónoma. ♦ Un Representante del sector de ficheros privados para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente. SUBDIRECCIÓN GENERAL DEL REGISTRO GENERAL DE PROTECCIÓN DE DATOS Órgano dependiente jerárquicamente del Director de la Agencia de Protección de Datos. Le corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos regulados en los artículos 13 a 15 de la Ley Orgánica 5/1992. Integrado por 14 funcionarios. Este órgano está compuesto por la Jefatura de Área de Ficheros Públicos, la Jefatura de Área de Ficheros Privados, Técnicos de sistemas y el Instructor. La subdirectora General del Registro General de Protección de Datos es Mar Martínez Sánchez. SUBDIRECCIÓN GENERAL DE INSPECCIÓN DE DATOS Constituida por 29 funcionarios. Es el órgano de la Agencia de Protección de Datos (APD) que tiene encomendada las funciones básicas para velar por el cumplimiento efectivo de la normativa de protección de datos como son la inspectora y la instructora de expedientes. La función inspectora tiene como finalidad la averiguación de los hechos que hayan concurrido en el tratamiento de los datos personales y la función instructora despliega sus efectos en una doble orden de procedimientos: expedientes sancionados por infracción de la Ley Orgánica de Protección de Datos (LOPD) ya fueran ficheros de titularidad pública o privada; y los expedientes de tutela de derechos dirigidos a garantizar el ejercicio de los que la norma citada atribuye a los ciudadanos. Este órgano está compuesto a su vez por Inspectores de Datos, un Jefe de Instrucción, Subinspectores de Datos e Instructores. El subdirector General de Inspección de Datos es D. Jesús Rubí Navarrete. SUBDIRECCIÓN GENERAL DE SECRETARIA GENERAL Las actividades conducentes a proporcionar y administrar los medios personales, materiales y técnicos para el funcionamiento del Ente, así como las competencias relativas a la atención al ciudadano, las atribuye el Estatuto de la Agencia (RD. 428/93, de 26 de marzo) a la Secretaría General. Está compuesta por 16 funcionarios y 2 laborales. A su vez este órgano se compone del Jefe de Área de Atención al Ciudadano, el Jefe del Servicio de Administración General, el Jefe de Sistemas Informáticos y el Jefe de Servicio de Gestión Presupuestaria. El subdirector General de la Secretaría General es D. Álvaro Canales Gil. El Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General con categoría de Subdirecciones Generales, se constituyen como órganos jerárquicamente dependientes del Director de la Agencia. 3 Fig. 1: Organigrama de la APD FUNCIONES • Velar por el cumplimiento de la legislación en materia de protección de datos, y controlar su aplicación. • Ejercer labores informativas, encaminadas a facilitar a las personas el conocimiento de sus derechos en materia de protección de datos. • Dar trámite a las peticiones y reclamaciones formuladas por los ciudadanos en el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición . • Dictar, en su caso, las instrucciones que sean necesarias para adaptar los tratamientos de datos de carácter personal a los principios de la normativa aplicable en materia de protección de datos. • Adoptar las medidas que resulten de aplicación, para que los responsables de los ficheros adapten los tratamientos de datos de carácter personal a la normativa vigente en materia de protección de datos. • Ordenar la inmovilización de los ficheros que no se ajusten a las disposiciones legales en materia de protección de datos. • Inscribir en el Registro de Ficheros de la Agencia los códigos tipo efectuados en su ámbito de aplicación • Realizar informes previos a: − La aprobación de normas que desarrollen la normativa vigente sobre protección de datos. − La creación, modificación, y supresión de ficheros incluidos en su ámbito de aplicación. • Recabar de los responsables de ficheros toda la información y ayuda que necesiten para el desempeño de sus funciones. • Publicar con carácter anual: − Una relación de los ficheros inscritos en su Registro de Ficheros. − Una memoria de actividades. • Velar por el efectivo cumplimiento de la normativa de protección de datos en materia de estadística pública y privada. • Proponer la incoación de procedimientos disciplinarios contra aquellos Organismos que estando sujetos al ámbito de aplicación de la Ley de Protección de Datos de Carácter Personal sean presuntos responsables de infracciones al régimen de protección de datos. • Cualquier otra función que le sea atribuida legal o reglamentariamente. REGISTRO GENERAL DE PROTECCIÓN DE DATOS: Este registro consta la historia de todas las operaciones de inscripción que se han realizado a lo largo del ciclo de vida de un fichero, desde que se inscribe inicialmente, hasta que, en su caso, se suprime, quedando constancia de cada una de las modificaciones que se han realizado a dicha inscripción. Cualquier persona puede conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento, mediante una consulta pública y gratuita al RGPD según establece el artículo 14 de la LOPD. Estas consultas se corresponden con las realizadas por los ciudadanos que desean conocer esta información para obtener la dirección del responsable del fichero ante el que desean ejercer sus derechos de acceso, oposición, rectificación o cancelación. Por otra parte existe otro tipo de solicitudes bien diferenciado, que se corresponde con el del responsable del fichero, o de un tercero con interés legítimo, que en un momento determinado desea conocer la situación, el contenido de la inscripción de un fichero. 4 Para facilitar el derecho de consulta al que hace referencia el artículo anteriormente mencionado, anualmente se publica el Catálogo de Ficheros inscritos en el RGPD en soporte CD − ROM, y mensualmente se actualiza en la página web de la Agencia. Este órgano también se encarga de informar al responsable del fichero respondiendo a las solicitudes de copia del contenido de la inscripción de ficheros. Estas copias también se solicitan desde los órganos judiciales. En todos los casos se facilita una copia completa de la inscripción siempre que se acredite un interés legítimo al respecto, excepto el apartado de medidas de seguridad que sólo se facilita al responsable del fichero. Podemos en cuanto al tratamiento, entre ficheros de titularidad privada, que requieren de notificación e inscripción en el Registro, y los de titularidad pública, que requieren además la adopción de una disposición general publicada en el BOE o diario oficial correspondiente. Atendiendo a la principal función que la LOPD otorga al RGPD, este órgano está obligado a hacer que cada órgano responsable de ficheros notifique, a los efectos de inscripción, la creación, modificación o supresión de los mismos. En el RGPD también se produce la inscripción de ficheros de titularidad privada con datos especialmente protegidos de ideologías, creencias, religión y afiliación sindical; estos datos sólo pueden ser recabados con el consentimiento expreso y por escrito del afectado. Igualmente, también se inscriben en el Registro ficheros de titularidad privada con datos especialmente protegidos de origen racial, salud y vida sexual, que según la LOPD en su artículo 7.3 sólo podrán ser recabados , tratados y cedidos, cuando por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. Este registro también se inscriben empresas cuyas sedes sociales se encuentran en el extranjero, también realiza trasferencias internacionales de los datos tanto de ficheros privados como públicos, pero no se hará a ningún país cuya Ley de Protección de Datos tenga un nivel inferior de protección que esta. SUBDIRECCIÓN GENERAL DE INSPECCIÓN DE DATOS: Una de las modalidades a través de la cual actúa la Inspección de Datos es la realización de Planes Sectoriales de Oficio. Con ellos se pretende evaluar el grado de cumplimiento de la normativa de protección de datos en el conjunto de un sector de actividad previamente definido. Abarcan a sectores de actividad pública y privada. Este Plan de Inspección de Datos dicta una serie de recomendaciones que deberán ser observadas por la entidad inspeccionada al objeto de adecuar plenamente los tratamientos automatizados a los principios de protección de datos. SECRERÍA GENERAL: Las funciones principales de este órgano residen por un lado en la planificación, organización y gestión de los recursos humanos de la APD, gestionando y administrando al personal funcionario y laboral destinado en la Agencia, la gestión de retribuciones y habilitación. Por otro lado, este órgano también está encargado de la gestión económica y presupuestaria de la APD mediante la ejecución y seguimiento presupuestario; modificaciones presupuestarias; contratación y gestión presupuestaria del gasto, gestión de los ingresos de la APD que han tenido su procedencia de transferencias establecidas en los Presupuesto Generales del Estado, intereses de cuentas corrientes, así como el pago de las sanciones impuestas por la Agencia en el ejercicio de la potestad sancionadora y el contrato de arrendamiento; Actualización permanente del inventario de los bienes y derechos que integran el patrimonio de la Agencia y la gestión de la biblioteca de la Agencia (que ha continuado la adquisición de volúmenes y ejemplares para la formación de un fondo de documentación sobre legislación, jurisprudencia y doctrina en materia de protección de datos personales). Otras tareas encomendadas a este órgano son las siguientes: ♦ Notificación de las resoluciones del Director en cumplimiento de lo establecido en el artículo 30, b) del RD. 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos. 5 ♦ Registro de entrada y salida de documentos de la Agencia. A través del Área de Atención al Ciudadano, se cumple una de las funciones de la APD de proporcionar información a las personas de sus derechos de materia de tratamiento de datos de carácter personal. Esta área constituye la primera aproximación que tiene a su disposición el ciudadano para poder informarse y plantear aquellas consultas que considere necesarias en orden a la aplicación de la LOPD a su caso concreto, se trata de facilitar la orientación y ayuda que necesiten para una mejor defensa de sus derechos, e indicar los diferentes aspectos que se regulan en la LOPD y en el resto del ordenamiento jurídico de aplicación en esta materia. Existen dos tipos de atención al ciudadano que se dan en estas áreas, la atención personalizada por un lado que a su vez se divide en atención telefónica, atención presencial y atención por escrito; y por otro lado a través de la página web, en Internet aparece publicada una lista con las consultas más frecuentes hechas por los ciudadanos. FINANCIACION La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos: • Las asignaciones que se establezcan anualmente con cargo a los Presupuestos generales del estado. • Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo. • Cualesquiera otros que puedan serle atribuidos. AGENCIA DE PROTECCIÓN DE DATOS DE MADRID Y CATALUÑA La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/199, de 13 de Diciembre amplió las competencias de la Agencias Autonómica regulando en su Art. 41.1 que las funciones de su competencia serán gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada comunidad, que tendrán la consideración de autoridades de control, a los que garantizará plena independencia y objetividad en el ejercicio de su cometido. Los Directores de las agencias de protección de Datos locales serán nombrados mediante Decreto del Presidente de la Comunidad respectiva, previa designación por el consejo de protección de datos, por un período de cuatro años. La Ley de Protección de Datos para Madrid y Cataluña, publicada en julio de 2001, ha regulado las competencias de la Agencia Autonómica habiéndose ampliado el ámbito de aplicación en previsión del Art. 41.1 de la LOPD a los ficheros de la Administración Local de su ámbito territorial y corporaciones de derecho público representativas de intereses económicos y profesionales del ámbito territorial de la Comunidad de Madrid. La Agencia de Protección de Datos Local, es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad de obrar. Ejerce las funciones que por Ley tiene atribuidas, sobre los ficheros de titularidad pública creados o gestionados por las Comunidades correspondientes, entes que integran la Administración Local de su ámbito territorial, Universidades públicas y Corporaciones de derecho público representativas de intereses económico y profesionales de la misma. CONCLUSIONES 6 La APD tiene el deber de velar por el cumplimiento de la legislación, dar a conocer mejor el marco legislativo, y buscar soluciones a los problemas que se les plantean en la práctica a responsables de ficheros y encargados de tratamientos en distintos sectores. La APD realiza planes de inspección sectoriales y traslada posteriormente sus recomendaciones tanto a los directamente inspeccionados como a los organismos representantes del sector. La LOPD pretende preservar la intimidad de la persona y en expresión cualificada de la misma, su privacidad, tratando de evitar que mediante el uso de las aplicaciones informáticas y tecnologías de la información y comunicación se pueda mediante variedades de interconexiones entre distintos ficheros configurar un perfil con el que poder evaluar la personalidad de cada individuo, sus aptitudes, motivaciones, pautas de comportamiento. etc. que a priori pertenecen a la esfera más personal e intima y en consecuencia merecen la protección que la Ley se encarga de brindar. GLOSARIO DE TÉRMINOS Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Declarante: Persona física que cumplimenta la solicitud de inscripción y actúa como mediador entre la Agencia y el titular / responsable del fichero. No debe necesariamente coincidir con el titular / responsable. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Bloqueo de datos: La identificación y reserva de los datos con el fin de impedir su tratamiento. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Comunicación o cesión de datos: Toda revelación de datos realizada a una persona distinta del interesado. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo 7 promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación. Identificación del afectado: cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada. Transferencia de datos: el transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional. BIBLIOGRAFÍA • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. B.O.E nº 298. • Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. B.O.C.M nº 175. • Agencia de Protección de Datos de la Comunidad de Madrid. Memoria 2002 • Agencia de Protección de Datos. Memoria 2000 • Página Web de la Agencia de Protección de Datos de la Comunidad de Madrid. • Página Web de la Agencia de Protección de Datos. www.agenciaprotecciondatos.org • Persona de contacto en la APDCM: Teresa Antoranz Rubio. Responsable de atención al ciudadano. Dirección: C/ Cardenal Marcelo Spíndola, 14. • Persona de contacto de la APD Doña Elena Morcillo. Responsable de Atención al Ciudadano. Dirección: C/ Sagasta, 22. ANEXOS • Reglamentos de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. • Instrucciones para cumplimentar el modelo de notificación de ficheros de titularidad privada • Modelo de Notificación de Tratamientos de Datos de Carácter Personal. Creación, modificación y supresión de ficheros de titularidad privada. • BOE No. 289. 23750 LEY ORGANICA 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal. 8