1 Cibernàrium www.bcn.cat/cibernarium Data El Dret a la Societat de la Informació Legislació “TIC” i activitat a Internet Capacitació Tecnològica per a Professionals i Empreses Cibernàrium David Molina [email protected] (Malcolm Bain ha contribuït als materials) Materials actualitzats el maig del 2016

2 Pàg 2/27 www.bcn.cat/cibernarium Cibernàrium Pàg 2 Barcelona Activa: Qui som? Barcelona Activa, integrada en l’àrea d’Economia, Empresa i Ocupació, és l’organització executora de les polítiques de promoció econòmica de l’Ajuntament de Barcelona. Des de fa 25 anys impulsa el creixement econòmic de Barcelona i el seu àmbit d’influència donant suport a les empreses, la iniciativa emprenedora i l'ocupació, alhora que promociona la ciutat internacionalment i els seus sectors estratègics; en clau de proximitat al territori. Barcelona Activa va ser guanyadora del Gran Premi del Jurat 2011, atorgat per la DG d’Empresa i Indústria de la Comissió Europea en el marc dels European Enterprise Awards, per la iniciativa empresarial més creativa i inspiradora d’Europa. Ajuntament de Barcelona

3 Pàg 3/27 www.bcn.cat/cibernarium Cibernàrium Pàg 3 Formació Àrees d’activitat de Barcelona Activa Emprenedoria Barcelona Activa s’estructura en tres grans blocs de serveis a les Empreses, a l’Emprenedoria i a la Ocupació. La Formació és un instrument transversal present en els tres blocs, així com també tot el relacionat amb l’economia social. Empresa Capacitació Professional i Ocupació Economia Social Ajuntament de Barcelona

4 Pàg 4/27 www.bcn.cat/cibernarium Cibernàrium Pàg 4 Una xarxa d’Equipaments Especialitzats Seu Central Centre Iniciativa Emprenedora Incubadora Glòries Parc Tecnològic BCN Nord Centre Desenvolupament Professional Porta22 Cibernàrium MediaTIC Can Jaumandreu Convent de Sant Agustí Ca n’Andalet Almogàvers Business Factory Xarxa de Proximitat 13 antenes Cibernàrium a biblioteques 10 punts d’atenció en Ocupació Ajuntament de Barcelona

5 Pàg 5/27 www.bcn.cat/cibernarium Cibernàrium David Molina Moya Despatx: id law partners / BGMA Advocat format a la UPF i ESADE Especialització: Propietat Intel·lectual, Protecció de dades de Caràcter Personal i Comerç Electrònic Qui sóc?

6 Pàg 6/27 www.bcn.cat/cibernarium Cibernàrium Programa 1.Drets d’autor 2.Drets de marca/dominis 3.Dades de caràcter personal 4.Comerç electrònic

7 Pàg 7/27 www.bcn.cat/cibernarium Cibernàrium Us sona?

8 Pàg 8/27 www.bcn.cat/cibernarium Cibernàrium I això?

9 Pàg 9/27 www.bcn.cat/cibernarium Cibernàrium Marc Legal General: Directiva EU 95/46/EC LOPD 15/1999 (LOPD) Reglament 1720/2007 (RLOPD) Atenció! El maig del 2018 tot això canvia. Específic: Llei 9/2014 (Telecos) Llei 25/2007 (conservació de dades / comunicacions electròniques i xarxes) Instrucció 1/2006 de l’AEPD sobre videovigilància

10 Pàg 10/27 www.bcn.cat/cibernarium Cibernàrium DD.FF. Protecció de Dades de Caràcter Personal Dret a la IntimitatDret a l’HonorDret a la Pròpia Imatge CONTROL sobre l’ús de la informació “de caràcter personal” (sobre les persones) Dret a SELECCIONAR LES FRONTERES entre allò que pot ser conegut per la societat i el que queda reservat a un nucli petit de persones Protecció de la reputació  que NO PATEIXI DANYS il·lícits a la meva PROJECCIÓ SOCIAL (inc. honor corporatiu) Protecció de la pròpia imatge de les persones.  IMPEDIR que tercers CAPTIN O REPRODUEIXIN LA MEVA IMATGE SENSE el meu CONSENTIMENT Directiva EU 95/46/EC LO 15/1999 (LOPD) Real Decreto 1720/2007 (RLOPD) Ley 9/2014 (Telecos) Ley 25/2007 (conservación de datos / comunicaciones electrónicas y redes) Instrucción 1/2006 de la AEPD sobre videovigilancia CP: art. 197 i següents LO 1/1982, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. CP: art. 197-204 + art. 534-536 (revelación de secretos, vulneración intimidad) LO 1/1982, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. CP: art. 205-216 (calúmnia,injúria) LO 1/1982, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. CP: art. 197 (captación y revelación imágenes)

11 Pàg 11/27 www.bcn.cat/cibernarium Cibernàrium Objectius Protegir la intimitat de les persones Lliure moviment de dades a Europa: €

12 Pàg 12/27 www.bcn.cat/cibernarium Cibernàrium Llei aplicable Normativa espanyola –Residents amb establiment permanent a Espanya. –Estrangers amb establiment a Espanya. –Estrangers amb equips informàtics a Espanya (excepte transmissió).

13 Pàg 13/27 www.bcn.cat/cibernarium Cibernàrium Conceptes Dades: (Art. 3 LOPD) –Dada de caràcter personal: qualsevol informació sobre persones físiques identificades o identificables. Nom, cognom, DNI, adreça, telèfon, targetes… Exclòs: (i) nom, cognom, càrrec professional, adreça electrònica/física, fax, telèfon... “en su calidad de...”; (ii) persones jurídiques i (iii) dades de difunts (article 2 RLOPD) –Fitxer: tot conjunt organitzat de dades de caràcter personal, qualsevol que sigui la forma o modalitat de la seva creació, emmagatzemament, organització i accés. Automatitzat (electrònic) o no automatitzat (paper) Important! El(s) fitxer(s) legal(s) i el fitxer informàtic/paper no tenen perquè coincidir mimèticament però ha d'haver-hi correlació. –Tractament: qualsevol tipus d'operacions i procediments tècnics, de caràcter automatitzat, o no, que permetin... la recollida, l'enregistrament, la conservació, l'elaboració, la modificació, el bloqueig i la cancel·lació, i també les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències...

14 Pàg 14/27 www.bcn.cat/cibernarium Cibernàrium Conceptes / rols Persones: (Art. 3 LOPD) –Responsable de fitxer: la persona física o jurídica, l'autoritat pública, el servei o qualsevol altre organisme que decideixi sobre la finalitat, el contingut i l'ús del tractament –Interessat: la persona física titular de les dades que són objecte de tractament. –Encarregat de tractament: la persona que, de manera sola o juntament amb d'altres, tracta dades per compte del responsable del tractament

15 Pàg 15/27 www.bcn.cat/cibernarium Cibernàrium Principis generals (Articles 4-12 LOPD) La qualitat de les dades i la finalitat del seu tractament. –adequats, pertinents i no excessius, en relació amb l'àmbit i les finalitats Informació en la recollida de les dades. –Informació prèvia de manera expressa, precisa i inequívoca Consentiment de l'interessat. Confidencialitat. –Mesures de seguretat Comunicació i cessió de dades. –Prohibició sense consentiment –Transferències internacionals

16 Pàg 16/27 www.bcn.cat/cibernarium Cibernàrium Consentiment Sobretot 6 LOPD i 12 i següents RLOPD SEMPRE correctament informat (art. 5 LOPD i 12 RLOPD) Tipus rellevants: –Inequívoc (tipus general, art. 6.1 LOPD). –Exprés i per escrit (art. 7.2 LOPD: dades ideològiques, d'afiliació sindical, religió i creences). –Exprés (per exemple art 7.3 LOPD: dades racials, de salut o sexuals) –Tàcit (art. 14.2 RLOPD). –Per a finalitats no directament relacionades amb la relació contractual (art. 15 RLOPD). –Per a finalitats de “publicidad y prospección comercial” (art. 45.1 b) del RLOPD). Relació amb l’article 49 RLOPD (“Lista Robinson”)? –De menors de 14 anys (art.13.1 RLOPD). Matèria complexa (veure diapositives extres).

17 Pàg 17/27 www.bcn.cat/cibernarium Cibernàrium Consentiment: exemple

18 Pàg 18/27 www.bcn.cat/cibernarium Cibernàrium Obligacions del Responsable (i) (Conseqüència dels principis; cal tenir-ho tot ACTUALITZAT) Notificació de fitxer(s) a la AEPD Proporcionar informació Obtenir el consentiment Mantenir la confidencialitat i el deure de secret Aplicar mesures de seguretat establertes normativament –Bàsic: totes –Mitjà: “sensibles”: infraccions, insolvència, perfil … –Alt: molt sensibles: salut, ideologia, religió, vida sexual, racial

19 Pàg 19/27 www.bcn.cat/cibernarium Cibernàrium Obligacions del Responsable (ii) (Conseqüència dels principis; cal tenir-ho tot ACTUALITZAT) Firmar tots els contractes d’encarregat de tractament No realitzar cessions de dades ni transferències internacionals no ajustades a la normativa. Elaborar (i respectar ;-) el Document de Seguretat Implementar procediments per l'exercici dels drets ARCO (accés, rectificació, cancel·lació i oposició). Respondre d. accés en 1 mes, 10 dies si és el dret de rectificació, cancel·lació i oposició.

20 Pàg 20/27 www.bcn.cat/cibernarium Cibernàrium AGPD.ES

21 Pàg 21/27 www.bcn.cat/cibernarium Cibernàrium http://www.uoc.edu/portal/ca/_peu/avis_legal/politica_confidencialitat.html Finalitats del tractament …La nostra pàgina web obté les dades personals de l'usuari mitjançant la recepció de diversos formularis i per mitjà del correu electrònic, amb les finalitats següents: –a) Gestió administrativa i execució i desenvolupament de tota activitat docent i institucional pròpia de la FUOC, i gestió de l'usuari en els diferents serveis posats a la seva disposició (a efectes merament informatius: sol·licitud d'informació sobre titulacions i postgraus, sol·licitud d'accés a la UOC...). –b) Subscripció a UOC Papers, articles, estudis, revistes, butlletins i espais digitals. –c) Borsa de feina per a treballar amb nosaltres i a les empreses del Grup UOC, i també per a convocatòries de nou professorat. –d) Gestió, execució i oferiment de serveis del Campus Virtual (a efectes merament informatius: organització d'activitats culturals i esportives, viatges, reunions...), que, independentment de les normes establertes aquí, es regiran per una normativa específica de compliment obligat per part de tots els membres de la comunitat. L'usuari queda informat i accepta que ser membre del Campus Virtual implica que qualsevol membre autoritzat de la comunitat virtual pugui accedir a les seves dades publicades des de qualsevol part del món. –e) Informació o inscripció d'empresa associada o col·laboradora de la FUOC per al seu desenvolupament. –f) Gestió del Campus per la Pau, per a la informació o inscripció com a empresa col·laboradora i per a la gestió i inscripció com a voluntari del Campus. –g) Comercials: quan la persona interessada tramet les dades personals i l'adreça electrònica a la FUOC, n'autoritza expressament la utilització a l'efecte de comunicacions periòdiques, incloent-hi expressament les que es facin per correu electrònic que la FUOC o les entitats pertanyents a l'àmbit docent de la FUOC duguin a terme amb alumnes, antics alumnes, membres del campus virtual, empreses associades i col·laboradores, voluntaris del Campus per la Pau i, en definitiva, qualsevol persona que ens faciliti les dades personals per a qualsevol de les finalitats descrites, a més de possibles interessats, per a informar-los de les activitats o notícies, cursos, programes, etc., i de qualsevol oferta de serveis i productes relacionats amb l'activitat institucional que s'hi desenvolupa. La utilització del lloc web de la FUOC i de qualsevol dels serveis que s'hi incorporen pressuposa la plena acceptació de les condicions que es manifesten en la política de privadesa que s'exposa.

22 Pàg 22/27 www.bcn.cat/cibernarium Cibernàrium Exemple: http://www.redcoon.es/privacy De acuerdo con la legislación vigente, redcoon Electronic Trade S.L.U. recaba datos de naturaleza personal de sus clientes y los incluye en un fichero de que es titular y cuyo tratamiento está exclusivamente destinado a la finalidad de gestionar los pedidos solicitados a la Compañía y responder a las consultas que los usuarios puedan formular. La entidad responsable de los ficheros es redcoon Electronic Trade S.L.U. El usuario deberá proporcionar los datos y circunstancias personales necesarios para darse de alta como cliente de la Compañía y formalización de contratos de compraventa (nombre y apellidos o razón social, DNI/NIF, domicilio, dirección de correo electrónico, número de teléfono/fax). El registro de estos datos es obligatorio; la falta de complementación de los mismos por parte del usuario o el suministro de datos incorrectos imposibilitará que redcoon Electronic Trade S.L.U. pueda gestionar correctamente los pedidos efectuados. redcoon Electronic Trade S.L.U. solicita datos personales adicionales a efectos estadísticos que le permitan conocer el perfil del usuario. El usuario puede omitir o dejar de comunicar cualquier dato o circunstancia personal que no sea absolutamente necesario para el alta como cliente o formalización de la compra. Los datos podrán ser utilizados por redcoon Electronic Trade S.L.U. con el fin de remitir al usuario información sobre ofertas e informaciones publicitarias a la dirección de correo electrónico o personal proporcionada, a lo que el cliente consiente expresamente; no obstante, el cliente podrá optar en todo momento por rechazar el envío de tal información enviando un e-mail a [email protected] en este [email protected] Igualmente, el cliente consiente expresamente que redcoon Electronic Trade S.L.U. comunique dichos datos a empresas o bancos para la gestión del transporte y del cobro del pedido. redcoon Electronic Trade S.L.U. podrá asimismo llevar a cabo otras comunicaciones de datos previstas en la ley.

23 Pàg 23/27 www.bcn.cat/cibernarium Cibernàrium Drets de l’interessat (Articles 13-19 LOPD): ARCO: Accés, Rectificació, Cancel·lació i Oposició Informació Consentiment Consulta del registre de l’AEPD De tutela dels drets Indemnització civil

24 Pàg 24/27 www.bcn.cat/cibernarium Cibernàrium Redcoon ARCO Derecho de acceso, rectificación, cancelación y oposición redcoon Electronic Trade S.L.U., entidad destinataria de los datos que se recogen en esta página, se compromete a respetar y facilitar a los interesados el ejercicio de los derechos reconocidos por la ley y, en particular, los derechos de acceso a los datos, rectificación, cancelación de datos y oposición, si resultase pertinente. Tales derechos podrán ser ejercitados por el usuario o, en su caso, por quien lo represente, mediante solicitud escrita y firmada, dirigida a la siguiente dirección: Calle Cal Fernando 25-35 Nave 24.1, Zona de actividad logística ZAL – Prat 08820 El Prat de Llobregat, España

25 Pàg 25/27 www.bcn.cat/cibernarium Cibernàrium Obligacions de l' “Encarregat” Contracte de l'encarregat de tractament (Art. 12 LOPD) Desenvolupar la seva activitat per compte del responsable del fitxer Tractar les dades d'acord amb les instruccions que hagi rebut. Mantenir la confidencialitat Aplicar mesures de seguretat = Responsable (i conforme al contracte) Retornar o eliminar les dades al final del tractament

26 Pàg 26/27 www.bcn.cat/cibernarium Cibernàrium Cessions i transferències Cessió de dades: qualsevol comunicació de dades a una persona diferent de l'interessat. –Per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari –Amb el consentiment informat de l'interessat (usualment 14.2 RLOPD) –Previst a la llei Transferències internacionals: –Autorització AEPD (diferents tipus). –Casos sense Autorització: EEE + països amb “nivell adequat de protecció” (“Safe Harbor”???, Argentina, etc.). Contracte, consentiment de l’interessat i altres de l’article 34 LOPD.

27 Pàg 27/27 www.bcn.cat/cibernarium Cibernàrium SANCIONS PER INFRINGIR LOPD Sancions –Lleus: 900-40.000€ / “avís” –Greus: 40.001-300.000€ –Molt greus: 300.001-600.000€ Pert tant... a llegir amb atenció l’article 44 de la LOPD ;-) –tipus d’infraccions-

28 Pàg 28/27 www.bcn.cat/cibernarium Cibernàrium Enllaços Agència Espanyola de Protecció de dades –www.aepd.eswww.aepd.es –http://www.agpd.es/portalwebAGPD/canaldocumentacion/recomendaciones/inde x-ides-idphp.phphttp://www.agpd.es/portalwebAGPD/canaldocumentacion/recomendaciones/inde x-ides-idphp.php Seguretat web –https://www.incibe.es/CERT/guias_estudios/guias/?p-2100638=0 –https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/commo n/pdfs/guia_seguridad_datos_2008.pdfhttps://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/commo n/pdfs/guia_seguridad_datos_2008.pdf Mesures de seguretat: - http://www.avpd.euskadi.eus/s04- 5273/es/contenidos/normativa/medidas_seg_2007/es_1720/1720.htmlhttp://www.avpd.euskadi.eus/s04- 5273/es/contenidos/normativa/medidas_seg_2007/es_1720/1720.html

29 Pàg 29/27 www.bcn.cat/cibernarium Cibernàrium Implicacions: dades personals Situacions de tractament de dades: –A l’empresa –A Internet –A casa Punts d' “entrada” de dades a l’empresa? Obligacions del Responsable? Tercers amb accés a les dades? –Qui? Com? Quan? Condicions? Tractament al núvol?

30 Pàg 30/27 www.bcn.cat/cibernarium Cibernàrium Temes: El “dret a l’oblit” a Internet. La privacitat a les xarxes socials La utilització de “cookies” i similars. L’emmagatzematge d'informació personal pels prestadors de serveis d’Internet. La captació de dades de xarxes sense fil (WI-FI obert) La videovigilància. Les comunicacions comercials pel canal telefònic. Compliment de la LOPD a hospitals. El tractament de dades en fitxers de morosos. Big Data i Open Data. Futur Reglament Europeu. Apps i privacitat.

31 Pàg 31/27 www.bcn.cat/cibernarium Cibernàrium RESP. POR PROTECCIÓ DE DADES Riscos –Recollida de dades improcedent (formularis, sol·licituds, etc.) –Transferències de dades sense consentiment –Utilització sense consentiment –Utilització fora del propòsit inicial –Spam (veure a cont.) –Cookies

32 Pàg 32/27 www.bcn.cat/cibernarium Cibernàrium Diapositives “extres”

33 Pàg 33/27 www.bcn.cat/cibernarium Cibernàrium 33 La LOPD y LO 1/1982 – solapamiento? Obras en las que aparece la imagen/sonido/etc. o tratan información o datos de carácter personal; LOPDLO 1/1982 De terceros vivosAplicable De terceros muertosNo aplicableAplicable De personas jurídicasNo aplicableAplicable (de forma restrictiva) Ficheros de personas físicas tratadas para fines personales No aplicableAplicable De empresarios individuales/profesionales como tales No aplicableAplicable Empleado con finalidades históricasExcepcionado

34 Pàg 34/27 www.bcn.cat/cibernarium Cibernàrium 34 Excepciones/no aplicación (i) ExcepciónLOPD (tiende a ser excepción de alguna obligación) LO 1/1982 Otras leyesSí Finalidades históricas Caso residual + “o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de cincuenta años a partir de la fecha de los documentos” (Ley 16/1985 + resoluciones AEPD) “cuando predomine un interés histórico,” Fuente accesible al público + interés legítimo “que predomina” Sí (concepto restringido de fuente accesible al público e interpretación caso por caso) No Administraciones públicas Sí (en el ámbito de sus funciones)Sí (autoridad competente) Interés vitalSíNo? Relación contractual o precontractual SíNo

35 Pàg 35/27 www.bcn.cat/cibernarium Cibernàrium 35 Excepciones/no aplicación (ii) ExcepciónLOPD (tiende a ser excepción de alguna obligación) LO 1/1982 “Esfuerzos desproporcionados”Sí (pero se aplicable pocas veces) No Predominio de un interés científico o cultural relevanteNo (discutible)Sí Cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público (en general l. expresión con requisitos) No (discutible)Sí CaricaturasNo…¿se aplica la LOPD? Sí Suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria NoSí

36 Cibernàrium www.bcn.cat/cibernarium bcn.cat/barcelonactiva bcn.cat/cibernarium David Molina Moya [email protected] http://es.linkedin.com/pub/david-molina- moya/51/471/626