Seminario Proteccin de Datos en las Administraciones Pblicas 25 de marzo de 2009 LA PROTECCIN DE DATOS EN ESPAA

Mara Jos Blanco Antn Subdirectora General del Registro General de Proteccin de Datos Proteccin de Datos en las Administraciones Pblicas

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS VIDEOVIGILANCIA ALGUNOS PROCEDIMIENTOS DE AAPP TRAMITADOS EN LA AGENCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

ACTUAL MARCO NORMATIVO-PROTECCIN DE DATOS

1992
LORTAD aplicacin a tratamientos automatizados

1995

1999
RD 994/1999 Reglamento de medidas de seguridad ficheros automatizados

2007

2008

2009

DIRECTIVA 95/46/CE tratamientos automatizados y no automatizados

LOPD

Reglamento de desarrollo LOPD (RLOPD) RD 1720/2007

19-4-2008 entrada en vigor RLOPD 19-4-2009 Fin primer plazo DT 2 RD 1720/2007 Instruccin 1/2006 Videovigilancia

Proteccin de Datos en las Administraciones Pblicas

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS PROCEDIMIENTOS DE INSPECCIN VIDEOVIGILANCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD. AAPP-

TTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO CREACIN, MODIFICACIN O SUPRESIN DE FICHEROS DE TITULARIDAD PBLICA

Disposicin o Acuerdo de creacin, modificacin o supresin del fichero (art. 52 RLOPD) Forma de la disposicin o acuerdo (art. 53 RLOPD)

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD. AAPPTTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO CREACIN, MODIFICACIN O SUPRESIN DE FICHEROS DE TITULARIDAD PBLICA Contenido de la disposicin o acuerdo (art. 54 RLOPD) (I) Identificacin del fichero o tratamiento: denominacin, descripcin de su finalidad y usos Origen de los datos: colectivo de afectados, procedimiento de recogida y su procedencia. Estructura bsica del fichero: descripcin detallada de los datos identificativos y especialmente protegidos, otras categoras de datos del fichero y sistema de tratamiento Art. 5.2.n) Sistema de tratamiento: automatizados, no automatizados o parcialmente automatizados.

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD. AAPPTTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO CREACIN, MODIFICACIN O SUPRESIN DE FICHEROS DE TITULARIDAD PBLICA

Contenido de la disposicin o acuerdo (art. 54 RLOPD) (II) Comunicaciones de datos previstas, destinatarios o categoras de destinatarios Transferencias internacionales de datos previstas a terceros pases, pases de destino rganos responsables del fichero Servicios o unidades de acceso Nivel bsico, medio o alto, Ttulo VIII del Reglamento

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD. AAPPTTULO V. OBLIGACIONES PREVIAS AL TRATAMIENTO NOTIFICACIN E INSCRIPCIN DE LOS FICHEROS DE TITULARIDAD PBLICA O PRIVADA Notificacin de ficheros (art. 55 RLOPD) Titularidad pblica: 1 mes desde publicacin disposicin general Titularidad privada: previa a la creacin Agencia autonmica (AA) Responsable -> AA -> RGPD Posible actuacin de oficio del RGPD

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD. AAPPTITULO IX. PROCEDIMIENTOS. CAPTULO IV. INSCRIPCIN O CANCELACIN DE FICHEROS

Especialidades en la notificacin de ficheros de titularidad pblica (art. 131 RLOPD) Acompaar copia de la norma o acuerdo regulador o direccin electrnica que permita su localizacin Posibilidad de requerir. Plazo de subsanacin o mejora: 3 meses

Proteccin de Datos en las Administraciones Pblicas

-NOVEDADES RLOPD Ttulo VIII. MEDIDAS DE SEGURIDAD en el tratamiento de datos de carcter personal Captulo I. Disposiciones generales (Arts. 79 - 87) Captulo II. Del documento de seguridad (Art. 88) Captulo III. Medidas de seguridad aplicables a ficheros y tratamientos AUTOMATIZADOS Seccin Primera. Medidas de seguridad de nivel bsico (Arts. 89 - 94) Seccin Segunda. Medidas de seguridad de nivel medio (Arts. 95 - 100) Seccin Tercera. Medidas de seguridad de nivel alto (Arts. 101 - 104) Captulo IV. Medidas de seguridad aplicables a ficheros y tratamientos NO AUTOMATIZADOS Seccin Primera. Medidas de seguridad de nivel bsico (Arts. 105 - 108) Seccin Segunda. Medidas de seguridad de nivel medio (Arts. 109 - 110) Seccin Tercera. Medidas de seguridad de nivel alto (Arts. 111 - 114)

Proteccin de Datos en las Administraciones Pblicas

10

Aplicacin de los niveles de seguridad (Art. 81):

ALTO Datos especialmente protegidos Fines policiales sin consentimiento de las personas afectada Violencia de gnero Infracciones administrativas o penales Servicios de informacin sobre solvencia patrimonial y crdito Administraciones Tributarias - potestades tributarias Entidades financieras - servicios financieros Seguridad Social, Mutuas Elaboracin de perfiles

MEDIO

MEDIO (+ registro de accesos) Operadores TELECO trfico y localizacin BSICO Cualquier otro fichero o tratamiento de datos de carcter personal Ideologa, afiliacin sindical, religin, creencias, salud, origen racial o vida sexual, cuando: - transferencia dineraria - entidades de las que los afectados sean asociados o miembros, - tratamiento manual de forma incidental o accesoria, sin guardar relacin con la finalidad Salud - grado o condicin de discapacidad o invalidez - cumplimiento de deberes pblicos

Proteccin de Datos en las Administraciones Pblicas

11

Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Bsico

Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestin de soportes y documentos Slo automatizados Art. 93. Identificacin y autenticacin - personalizada Art. 94. Copias de respaldo y recuperacin - verificacin - pruebas datos reales. Medidas correspondientes Slo no automatizados Art. 106. Criterios de archivo - posibilitar derechos ARCO Art. 107. Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitacin

Proteccin de Datos en las Administraciones Pblicas

12

Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Medio

Ficheros automatizados y no automatizados Responsable de seguridad (Art. 95, Art. 109) Auditoria (Art. 96, Art. 110)

Slo automatizados Art. 97. Gestin de soportes Art. 98. Identificacin y autenticacin Art. 99. Control de acceso fsico Art. 100. Registro de incidencias: recuperacin de datos, autorizacin.

Proteccin de Datos en las Administraciones Pblicas

13

Reglamento LOPD. MEDIDAS DE SEGURIDAD Nivel Alto

Ficheros automatizados

Ficheros no automatizados

Art. 101. Gestin y distribucin de soportes Art. 102. Copias de respaldo y recuperacin Art. 103. Registro de accesos Excepcin: - Responsable persona fsica nico usuario Art. 104. Telecomunicaciones - Cifrado en redes pblicas o inalmbricas

Art. 111. Almacenamiento de la informacin - Archivadores, reas restringidas Art. 112. Copia o reproduccin - Personal autorizado Art. 113. Acceso a la documentacin - Mecanismo identificacin accesos por diferentes usuarios Art. 114. Traslado de documentacin - Impedir acceso, manipulacin

Proteccin de Datos en las Administraciones Pblicas

14

Reglamento LOPD. MEDIDAS DE SEGURIDAD

Disposicin adicional nica

Los productos de software destinados al tratamiento automatizado de datos personales debern incluir en su descripcin tcnica el nivel de seguridad, bsico, medio o alto

Proteccin de Datos en las Administraciones Pblicas

15

Reglamento LOPD. MEDIDAS DE SEGURIDAD Disposicin transitoria segunda. Plazos de implementacin

Ficheros nuevos manuales y/o automatizados Aplicacin del nivel bsico, medio o alto correspondiente desde su creacin - Ficheros existentes Automatizados
- Seguridad Social, Mutuas, Perfiles 1 ao (Medio)

- Violencia de gnero 1 ao (Medio) 18 meses (Alto) - Teleco (trfico, localizacin) 1 ao (Medio) 18 meses (Registro de accesos) - Adaptacin resto de ficheros 1 ao (Arts. 93, 94, 101, 104) No automatizados
- Bsico (1 ao)

- Medio (18 meses) - Alto ( 2 aos)

Proteccin de Datos en las Administraciones Pblicas

16

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS VIDEOVIGILANCIA ALGUNOS PROCEDIMIENTOS DE AAPP TRAMITADOS EN LA AGENCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

17

-Registro General de Proteccin de DatosSituacin a 28-02-2009 Nmero de ficheros inscritos: 1.321.099 Titularidad pblica : 86.630 Titularidad privada : 1.234.469 Autorizaciones de transferencias internacionales: 290 Cdigos tipo: 12

Proteccin de Datos en las Administraciones Pblicas

18

Registro General de Proteccin de Datos Evolucin de la inscripcin de ficheros

1.400.000
1.182.496 1.234.469 86.630

1.200.000
1.017.266

1.000.000
758.955 815.093

800.000
598.916 650.733

600.000
361.675 405.649

400.000 200.000 0
2003

457.490

505.528

955.713

43.974

48.038

2004

51.817

2005

56.138

2006

61.553

2007

85.083

2008

1.267.579

28/02/2009

Titularidad Pblica Titularidad Privada TOTAL

1.321.099

Proteccin de Datos en las Administraciones Pblicas

19

Registro General de Proteccin de Datos - movimientos diarios 2000 1800 1600 1400 1200 1000 800 600 400 200 0
31 /1 2/ 20 08 28 /0 2/ 20 09 20 06 20 02 20 03 20 04 20 05 20 07

1.832 1.377 942 802 591 321 446 1.047

Proteccin de Datos en las Administraciones Pblicas

20

Distribucin de ficheros por tipo de Administracin

47.000 42.000 37.000 32.000 27.000

44.701 36.182 32.891 29.644 27.238 21.984

45.946

22.217 14.445

22.000 17.000 12.000 7.000 2.000 2004 2005 2006 2007 2008 28/02/2009

11.388 6.635 2.777

12.241 7.127 2.805

12.488 7.585 3.174

13.668 8.002 3.701

14.412 3.986

4.022

AGE

CC.AA.

EE.LL.

Otras personas Jurdico Pblicas

Proteccin de Datos en las Administraciones Pblicas

21

Administracin General del Estado Distribucin de ficheros - Ministerios

23-03-2009
Justicia: 39 Industria, Turismo y Comercio: 223 Igualdad: 29 Fomento: 315 Educacin, Poltica Social y Deporte: 159 Economa y Hacienda: 344 Defensa: 73 Cultura: 82 Ciencia e Innovacin: 98 AA.EE. y Cooperacin: M.A.P.: 228 531 Interior: 189 Trabajo e Inmigracin: 1.239 Presidencia: 62 Medio Ambiente, Medio Rural y Marino: 264 Sanidad y Consumo: 162

Vivienda: 23

Proteccin de Datos en las Administraciones Pblicas

22

Administracin Autonmica Distribucin de ficheros 31-12-2008

Madrid: 6.419

C. Valenciana: 644 Catalua: 759 Castilla-La Mancha: 457 Castilla y Len: 706 Cantabria: 93 Canarias: 418 Principado de Asturias: 263 Aragn: 287 Andaluca:1750 Extremadura: 346 Galicia: 365 Illes Balears: 255 Navarra: 135 Pas Vasco: 845 La Rioja: 257

Regin de Murcia: 322

Proteccin de Datos en las Administraciones Pblicas

23

Administracin Local Distribucin de ficheros 31-12-2008

Regin de Murcia: Andaluca: 6.829 856 Pas Vasco: 3.967 Navarra: 834 Illes Balears: 1.006 Galicia: 2.216 Canarias: 720 Extremadura: 1.739 Cantabria: 494 C. Valenciana: 4.778 Madrid: 2.338 La Rioja: 192 Aragn: 3.328 Principado de Asturias: 733

Castilla-Len: 2.791 Catalua: 7.198 Castilla-La Mancha: 4.682

Proteccin de Datos en las Administraciones Pblicas

24

Otras personas jurdico-pblicas Distribucin de ficheros

12100 11100 10100 9100 8100 7100 6100 5100 4100 3100 2100 1100 100 12.531

7.214

1.315

754 403

2004

2005

2006

2007

2008

Cmaras de Comercio

Colegios Profesionales

Notaras

Universidades

Otras

28/02/2009

Proteccin de Datos en las Administraciones Pblicas

25

Distribucin de ficheros segn el tipo de datos declarado 31-12-2008

Datos acadmicos y profesionales: Datos de 25.994 circunstancias sociales: 23.943 Detalles de empleo y carrera administrativa: 30.826 Datos de informacin comercial ..: 10.900

Datos de caractersticas personales: 46.768

Datos de carcter identificativo: 85.083

Datos relativos a infracciones: 16.239 Otros datos especialmente protegidos (origen racial, salud y vida sexual): 23.041

Datos econmicofinancieros: 40.465 Datos de transacciones: 18.342 Datos especialmente protegidos (ideologa, creencias, religin y afiliacin sindical): 16.245 Otros tipos de datos: 13.150

Proteccin de Datos en las Administraciones Pblicas

26

Registro General de Proteccin de Datos - derecho de consulta www.agpd.es -

ficheros consultados
Titularidad pblica Titularidad privada

1.200.000 1.000.000 800.000

652.290 956.701 818.248 691.144 573.211 340.415 262.007 179.159 204.210

600.000 400.000 200.000 127.635 0

2005

2006

2007

2008

28/02/2009

Proteccin de Datos en las Administraciones Pblicas

27

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS VIDEOVIGILANCIA ALGUNOS PROCEDIMIENTOS DE AAPP TRAMITADOS EN LA AGENCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

28

Distribucin de ficheros de Videovigilancia Titularidad Pblica 28-02-2009

400 350 300

337 297

250 200 150 100 50

107 20 5 6
2005 2006 2007 2008 28/02/2009

2004

Proteccin de Datos en las Administraciones Pblicas

29

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS VIDEOVIGILANCIA ALGUNOS PROCEDIMIENTOS DE AAPP TRAMITADOS EN LA AGENCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

30

-Inspeccin de DatosProcedimientos y Resoluciones en infracciones de AA.PP.

2005
Procedimientos e investigaciones iniciadas
Procedimientos de infraccin de AAPP iniciados Total Procedimientos y Actuaciones

2006 42 103 2.530

2007 81 3.136

2.190

Resoluciones
Procedimientos de infraccin AAPP resueltos Total Resoluciones

20 664

106 826

66 1.037

Proteccin de Datos en las Administraciones Pblicas

31

-Inspeccin de DatosInfracciones de Administraciones Pblicas

Tipo de Administracin
Local Estatal Autonmica Otras Entidades de Derecho Pblico

2006 81 15 9 1 106

2007 28 22 16 66

2008 32 22 24 78

Total

Proteccin de Datos en las Administraciones Pblicas

32

CASOS PRCTICOS

AUMENTO DE INVESTIGACIONES EN FICHEROS DE VIDEOVIGILANCIA

El Ayuntamiento pone cmaras en el Parque de Bomberos Control de presencia en Universidad por sistema de videovigilancia Servicio Autonmico de Salud instala sistema de videovigilancia sin crear el fichero correspondiente

OTROS PROCEDIMIENTOS TRAMITADOS EN LA AGENCIA

Aparecen fichas de alumnos de un IES en la va pblica Grabaciones desde un 061 sin informar Publicacin en un Diario Oficial de beneficiarios de ayudas por drogadiccin Divulgacin de matrculas de coches de un organismo pblico

Proteccin de Datos en las Administraciones Pblicas

33

LA PROTECCIN DE DATOS EN ESPAA EN RELACIN CON LAS ADMINISTRACIONES PBLICAS

ACTUAL MARCO NORMATIVO NOVEDADES DEL REGLAMENTO SITUACIN ACTUAL

REGISTRO GENERAL DE PROTECCIN DE DATOS VIDEOVIGILANCIA ALGUNOS PROCEDIMIENTOS DE AAPP TRAMITADOS EN LA AGENCIA

CONCLUSIONES

Proteccin de Datos en las Administraciones Pblicas

34

LA PROTECCIN DE DATOS EN ESPAA - AAPP CONCLUSIONES

ACTUALIZACIN DE LA REGULACIN DE LOS FICHEROS DE AAPP Disposicin general Creacin de ficheros o manuales o modificacin de los automatizados que pasan a ficheros mixtos Adecuacin de las medidas de seguridad a los nuevos supuestos del RLOPD Notificacin al RGPD en el plazo de un mes desde la publicacin de la disposicin ACTUALIZACIN DEL DOCUMENTO DE SEGURIDAD LA INSCRIPCIN DE FICHEROS EN EL RGPD Y EL DOCUMENTO DE SEGURIDAD TIENEN QUE MANTENERSE ACTUALIZADOS OJO! SISTEMAS DE VIDEOVIGILANCIA: CREACIN DE FICHEROS, NOTIFICACIN AL RGPD Y CUMPLIR CON EL DEBER DE INFORMACIN (CARTEL INFORMATIVO) www.agpd.es Gua de videovigilancia Gua de seguridad de datos

Proteccin de Datos en las Administraciones Pblicas

35

www.agpd.es

Proteccin de Datos en las Administraciones Pblicas

36