B6 - Datos personales

Cards (37)

  • Dato personal = cualquier información que permita identificar a una persona física, desde los más público (nombre) hasta lo más privado/ sensible(orientación sexual)
  • Datos sensibles...?
    1. opiniones politicas, 2. afiliación sindical, 3. convicciones religiosas, 4. convicciones filosóficas, 5. origen racial o étnico, 6. datos relativos a la salud, 7. vida sexual, 8. dato genético, 9. dato biométrico y 10. orientación sexual
  • Los datos sensibles se refieren a lo que somos, no lo que tenemos.
  • La regla general para el tratamiento de datos personales es que no se pueden usar o tratar a menos que haya consentimiento explícito o que se den algunas circunstancias previstas por la ley (e.g. por razones de interés público, fines de investigación científica o histórica, etc)
  • Explícito = expresar algo de manera clara y determinadamente, es la acción positiva del consumidor, por ejemplo decir verbalmente que sí, pulsar un botón, etc.
  • Implícito = lo opuesto a explícito, es un permiso concedido de manera indirecta y sin necesidad de hacer una acción (se asume)
  • El uso de datos sensibles con consentimiento implícito es ilegal
  • Al tratar datos sensibles se deben cumplir 3 medidas:
    1. registro de las actividades, 2. evaluación de impacto y 3. medidas de seguridad
  • El registro de actividades es obligatorio siempre, es decir, todas las bases de datos tiene que estar registradas. Este registro debe estar siempre actualizado, en formato electrónico o escrito. Los responsables y encargados del tratamiento de los datos están obligados a cooperar con las autoridades y poner estos registros a su disposición siempre. De no ser así, la multa puede llegar hasta los 20 millones de euros
  • La evaluación de impacto es un análisis de los riesgos que un sistema de info, producto o servicio pueden tener en los datos de una persona. Además, permite gestionarlos con medidas que eliminen o al menos reduzcan estos riesgos.
  • La evaluación de impacto no siempre es necesaria, pero sí recomendable.
  • La regulación europea dice que es obligatoria cuando se da...?
    1. alto riesgo, 2. una evaluación sistemática, 3. tratamiento a gran escala de datos y 4. el uso de tecnologías invasivas (cuanto más invasiva sea la tecnología que se use, más importante es la evaluación de impacto)
  • Las empresas obligadas a realizar una evaluación de impacto son: farmacéuticas, hospitales, seguridad privada, colegios, etc
  • Cuestiones que obligatoriamente se tienen que incluir...?
    1. descripción del tratamiento y finalidad: análisis de las categorías de datos que se tratan, los usuarios de los mismos y las tecnologías usadas y 2. evaluación de la proporcionalidad y necesidad del tratamiento que permite comprobar si una operación de tratamiento de datos supone una medida restrictiva de un derecho fundamental.
  • tres puntos del juicio de proporcionalidad..?
    1. juicio de idoneidad: que la medida pueda cumplir la meta, 2. juicio de necesidad: que no exista otra medida más moderada que consiga lo mismo y 3. juicio de proporcionalidad en sentido estricto: que traiga más beneficios que inconvenientes
  • Medidas de seguridad: cifrar datos para hacerlos irreconocibles, registro de accesos con fecha y personal que accedió, elaboración de una lista de personas autorizadas y establecer un procedimiento seguro para su tratamiento
  • Las medidas de seguridad son obligatorias en datos sensibles
  • Principios a seguir en el tratamiento de datos (sensibles y no sensibles): 1. licitud, lealtad y transparencia, 2. limitación de la finalidad, 3. minimización de datos, 4. exactitud, 5. principio de plazo de conservación, 6. principio de integridad y seguridad y 7. principio de responsabilidad proactiva
  • Principio de licitud, lealtad y transparencia = protege a las personas y a sus datos de ser usados de forma desleal e impide que sean usados sin que su dueño sepa toda la info necesaria sobre la finalidad del tratamiento, sus consecuencias y posibles riesgos
  • Principio de limitación de la finalidad = la finalidad del tratamiento de los datos personales tiene que estar clara y los DP no pueden ser usados para nada más que ese fin
  • Principio de minimización de datos = no se puede pedir más datos de lo estrictamente necesario
  • Principio de exactitud = los DP serán exactos y actualizados
  • Principio de plazo de conservación = los datos pueden ser tratados solo por la cantidad de tiempo necesaria para cumplir la finalidad, después de eso, deben ser eliminados
  • Principio de integridad y seguridad = los que tratan DP deben actuar proactivamente para proteger los datos de cualquier riesgo, aplicando las medidas necesarias
  • Principio de responsabilidad proactiva = se deben cumplir todos los principios
  • Los menores solo pueden dar consentimiento si son mayores de 14
  • El ejercicio de los derechos en la protección de datos personales es gratuito
  • Si las solicitudes son infundadas o excesivas, el que trata los datos podrá cobrar un canon proporcional a los costes administrativos soportados o negarse a actuar, pero debe responder en el plazo de 1 mes. Si no, se puede contactar a las autoridades.
  • El responsable esta obligado a informarte sobre los medios para ejercitar estos derechos y los medios deben ser de fácil acceso para el dueño de los datos.
  • Derechos relacionados a los datos personales..?
    1. derecho de acceso, 2. derecho de rectificación, 3. derecho de oposición, 4. derecho de supresión/derecho al olvido, 5. derecho a la portabilidad y 6. derecho a no ser objeto de decisiones individualizadas
  • Derecho de acceso = tienes derecho a contactar al responsable de tratar tus datos y solicitar info sobre: los fines del tratamiento, las categorías de DP de que se trate, los destinatarios a los que se les comunicaron tus DP, el plazo de conservación, puedes pedir una copia de tus datos, puedes solicitar que se corrijan o reduzcan tus datos, a limitar su uso y hasta a oponerte al tratamiento de tus datos. También puedes presentar una reclamacion a las autoridades de control y si tu no los diste directamente, derecho a saber de donde los sacaron
  • Derecho de rectificación = derecho a exigir que se rectifiquen tus datos si no son precisos y que se completen si están incompletos
  • Derecho de oposición = derecho a oponerte a que el responsable trate tus datos cuando sean objeto de tratamiento basado en una misión de interes publico o cuando tenga como finalidad la mercadotecnia directa
  • Derecho de supresión = derecho a que el responsable ya no tenga tus datos si: 1. ya no son necesarios en relación a los fines pasa los que fueron recogidos, 2. si retiras tu consentimiento, 3. si ejerces tu derecho a la oposición, 4, si tus datos han sido tratados de forma ilícita, etc.
  • Derecho al olvido = supresión de datos en el caso de los buscadores de internet. Tienes derecho a una reinserción al mundo digital (lo anterior no se borra pero no te tome en cuenta)
  • Derecho a la portabilidad = derecho que busca facilitar el traslado de datos en funcion a decisiones personales
  • Derecho a no ser objeto de decisiones individualizadas = este derecho busca garantizar que no seas objeto de una decisión unicamente basada en el tratamiento de tus datos (e.g. en la elaboración de perfiles). El responsable debe garantizar tu derecho a obtener la intervención humana en la evaluación