Loi organique de protection des données à caractère personnel

La loi organique 15/1999 du 13 décembre sur la protection des données à caractère personnel (LOPD), fut une loi organique espagnole qui avait pour objectif de garantir et de protéger, le traitement des données personnelles, les libertés publiques et les droits fondamentaux des personnes physiques et notamment leur honneur, vie privée et confidentialité personnels et familiaux. Elle a été approuvée par les Cortes Generales (le parlement espagnol) le 13 décembre 1999. Cette loi s'appuie sur l'article 18 de la constitution espagnole de 1978, sur le droit à la vie privée familiale et personnelle et le secret de la correspondance.

Son objectif principal consistait à contrôler le traitement des données et des fichiers personnels, quel que soit le support sur lequel ils sont traités, les droits des citoyens sur ceux-ci et les obligations qui en découlent pour ceux qui les créent ou les traitent. Cette loi concernait toutes les données relatives à des personnes physiques, enregistrées sur tout support, informatique ou non. Les données collectées à des fins domestiques, les sujets classés de l'État et les fichiers qui collectent des données sur le terrorisme et tout autre forme de crime organisé (pas la simple criminalité) sont exclus de cette réglementation.

Cette loi a permis de créer l'Agence espagnole de protection des données au niveau national qui veille au respect de cette loi.

Cette loi a été abrogrée par la loi organique du 6 décembre 2018^[1].

Développement des réglementions modifier

Décret royal 994/1999 de Mesures de sécurité des fichiers automatisés qui contiennent des données personnelles, du 11 juin 1999 (RMS) : il s'agit d'une réglementation qui développe la Loi organique 5/1992 du 29 octobre, de Réglementation du Traitement Automatisé des Données à caractère Personnel (LORTAD), qui réglemente les mesures techniques et organisationnelles qui doivent être appliquées aux systèmes d'information qui traitent les données à caractère personnel de manière automatisée (abrogée depuis le 19 avril 2010).
Décret royal 1720/2007 du 21 décembre de développement de la Loi organique sur la protection des données : Il s'agit d'un développement de la Loi organique 15/1999 sur la protection des données du 13 décembre, il établit les principes de la loi ainsi que les mesures de sécurité à appliquer aux systèmes d'information. Ce décret s'applique aussi bien à des fichiers sur support automatisé qu'à tout autre type de support.

Organes de contrôle et sanctions possibles modifier

L'organe de contrôle du respect de la réglementation sur la protection des données sur le territoire espagnol est, à titre général, l'Agence espagnole de protection des données (AEPD)^[2] ; il existe d'autres Agences de Protection des données à caractère autonome, dans les communautés autonomes de Catalogne et du Pays basque.

Les sanctions se divisent en trois groupes selon la gravité de l'acte commis^[3], sachant que l'Espagne est le pays de l'Union européenne qui possède les sanctions les plus sévères en matière de protection des données. Lesdites sanctions dépendent de l'infraction commise. La dernière entreprise sanctionnée^[4] est l'entreprise Grupon. Elle a été sanctionnée par l'agence nationale de protection des données avec une amende de 20 000 euros car elle enregistrait les codes CVV des cartes de crédit de ses clients sans les en informer.

Elles se divisent en trois groupes :

« Les petites sanctions vont de 900 à 40 000 €

Les sanctions graves vont de 40 001 à 300 000 €

Les sanctions très graves vont de 300 001 à 600 000 € »

Malgré le montant des sanctions, de nombreuses entreprises en Espagne ne sont pas encore conformes à ces mesures, ou le sont de manière partielle ou ne vérifient pas régulièrement leur conformité, c'est pourquoi il est essentiel de maintenir et de vérifier le respect de la conformité. Dans le secteur public, la Loi mentionnée précédemment réglemente également l'utilisation et la gestion de l'information et des fichiers contenant des données à caractère personnel, utilisés par toutes les administrations publiques.

L'Agence Espagnole de Protection des Données (AEPD) a été créée en 1994 conformément à ce qui est établi dans la loi abrogé LORTAD. Son siège est sis à Madrid, même si les Communautés Autonomes de Madrid, du pays basque et de Catalogne ont créé leurs propres Agences autonomes.

Procédures de contrôle et de protection des droits modifier

Agence Espagnole de la Protection des Données (AEPD) modifier

2012 modifier

En 2012, les plaintes déposées auprès de l'AEPD ont augmenté de 12 %. L'activité de l'Agence a augmenté considérablement en 2012, avec une hausse de 15 % dans les fichiers inscrits et de près de 40 % dans les décisions citées. Les plaintes pour usurpation d'identité notamment dans l'approvisionnement en et la commercialisation de l'énergie et de l'eau (222 %) et en télécommunication (92 %) ont subi une hausse importante. Parmi les 863 décisions d'infractions déclarées à des responsables privés, plus de 34 % ont abouti sur un avertissement, sans qu'une sanction ne soit imposée. Par ailleurs, la majorité des sanctions touche le secteur des télécommunications, soit 73 % du total des sanctions. Trois des principaux opérateurs comptabilisent 70,94 % du montant total des amendes.

2011 modifier

En 2011, les plaintes enregistrées étaient 51,6 % plus importantes que celles présentées en 2010. Cette hausse se reflète également dans l'augmentation de 37,7 % des décisions déclaratives d'infraction. Cependant, l'application de l'avertissement a entraîné une diminution de 14,5 % dans les sanctions économiques déclarées. Le secteur dans lequel les sanctions ont le plus augmenté (64 %) et dans lequel elles ont été majoritairement déclarées (25,5 %) et en quantité (63 %) est celui des télécommunications. Le nombre de sanctions a augmenté de 12 % par rapport à l'année 2010.

2009 modifier

En 2009 les plaintes reçues ont augmenté de plus de 75 %, elles ont atteint le nombre de 4 136 et le nombre de demandes de protection de droits 58 %. 709 procédures de sanctions ont été résolues, dont 621 ont abouti sur une sanction avec un montant total de 24,8 millions d'euros.

Source : Memoria de la Agencia Española de Protección de Datos (AEPD) de los años 2007, 2008, 2009. (Mémoire de l'Agence Espagnole de Protection des Données (AEPD) des années 2007, 2008, 2009)

**Nombre de plaintes**
Lieu	Secteur d'activité économique	Procédures résolues
1	Télécommunications	908
2	Secteur financier	768
3	Vidéosurveillance	721

**Nombre de sanctions par secteur**
Lieu	Secteur d'activité économique	Procédures résolues
1	Télécommunications	170
2	Vidéosurveillance	117
3	Secteur financier	89
5	Comunicac. électroniques et spam	39

**Distribution de sanctions en fonction de la gravité**
Lieu	Type de sanction	Pourcentage
1	Graves	74 %
2	Petites	21,3 %
3	Très graves	4,6 %

2008 modifier

En 2008, le nombre de faits dénoncés auprès de l'AEPD (et le nombre d'enquête ouverte d'office) a augmenté de plus de 45 % atteignant le nombre de 2 362. La même année, l'AEPD a résolu 630 procédures de sanctions au total, presque 58 % de plus qu'en 2007, dont 535 ont abouti sur une sanction. Les amendes imposées ont atteint jusqu'à 22,6 millions d'euros soit une hausse de 15 % par rapport à l'année précédente.

Le nombre de procédures résolues de déclaration d'infraction commises par les administrations publiques a augmenté en 2008 de près de 20 % par rapport à l'année précédente, passant de 66 à 79. Parmi celles-ci, 59 ont abouti sur une déclaration d'infraction.

2007 modifier

En 2007 l'Agence Espagnole de Protection des Données a résolu 399 procédures de sanctions, enregistrant une hausse de 32,5 % par rapport à l'année précédente. Les sanctions économiques imposées par l'AEPD ont atteint jusqu'à 19 600 000 euros.

Agences autonomes de la Protection des Données modifier

2007 modifier

L'Agence de Protection des Données de la Communauté de Madrid a réalisé 196 procédures d'inspection et 32 procédures de protection des droits en 2007. L'Agence du Pays basque de la protection des données (Datuak Babesteko Euskal Bulegoa, AVDP-DBEB) a résolu 43 plaintes et 18 procédures d'infraction en 2007^[5].

Réseau ibéro-américain de Protection des Données modifier

Depuis sa création en 2003, le Réseau ibéro-américain de protection des données (RIPD) a développé un travail intense et fructueux tel que l'organisation de dix rencontres. En plus de faire en sorte que plus de 150 millions de citoyens latino-américains disposent désormais, à côté du traditionnel concept de habeas data, de normes qui permettent de garantir efficacement l'utilisation de leurs informations personnelles et d'autorités spécialisées avec les compétences nécessaires pour protéger lesdites garanties.

En Amérique Latine des politiques pour la protection des données personnelles sont en cours de développement. En 2012 deux nouvelles lois ont été approuvées. Au Nicaragua, la loi Nº787 de Protection des Données Personnelles du 29 mars 2012 et la Loi statutaire Nº1581 du 17 octobre 2012 établissent les dispositions générales de la protection des données personnelles.

De même, au Chili, une partie du contenu de la loi 19.628, du 28 août 1999 sur la Protection de la Vie Privée est actuellement en cours de révision.

L'Assemblée nationale du Venezuela est en train d'élaborer un projet de loi sur la protection de données personnelles Habeas Data. Au Costa Rica il existe déjà une Agence de protection des données de la République du Costa Rica dans le cadre de la loi approuvée en 2011.

Droit d'information modifier

Les données personnelles sont classées en fonction de leur degré de sensibilité plus ou moins élevé, pour appliquer les exigences légales et les mesures de sécurité informatique les plus strictes selon l'importance du degré de sensibilité. Par ailleurs, la déclaration des fichiers de protection des données à l'Agence Espagnole de Protection des Données est obligatoire dans tous les cas.

Les intéressés à qui les données personnelles sont demandées doivent être préalablement informés de manière express, précise et sans équivoque :

1. De l'existence d'un fichier ou du traitement de données à caractère personnel, de l'objectif de leur collecte et des destinataires de l'information.

2. Du caractère obligatoire ou facultatif de leur réponse aux questions qui leur sont posées.

3. Des conséquences de l'obtention de données ou du refus de les fournir.

4. De la possibilité d'exercer les droits d'accès, de modification, d'annulation et d'opposition.

5. De l'identité et de l'adresse du responsable du traitement ou, le cas échéant, de son représentant.

Toutefois, le traitement des données à caractère personnel qui n'ont pas été collectées directement auprès de la personne concernée ou intéressée est autorisé, même si cela n'exonère pas de l'obligation d'informer de manière expresse, précise et sans équivoque, de la part du responsable du fichier ou son représentant, dans les trois mois suivants le début du traitement des données.

Exception : Si les données ont été collectées depuis des « sources accessibles au public » et qu'elles sont utilisées à des fins de publicité ou de prospection commerciale, la communication dans les trois mois de ladite information n'est pas nécessaire. Dans ce cas, « dans chaque communication envoyée à l'intéressé, celui-ci devra être tenu informé de l'origine des données et de l'identité du responsable du traitement ainsi que des droits qui en découlent ».

Clause type

Voici un exemple de clause type d'information/consentement de droits en vertu de la LOPD :

« Conformément à la Loi organique 15/1999 du 13 décembre sur la Protection des Données à Caractère Personnel (LOPD), (remplacer par le responsable du fichier), en tant que responsable du fichier transmet les considérations suivantes :

Les données à caractère personnel que nous vous demandons seront intégrées à un fichier utilisé à des fins (décrire la finalité). Les champs marqués par un astérisque (ou tout autre marque) sont obligatoires, la réalisation de la finalité indiquée est impossible si ces données ne sont pas renseignées.

De même, nous vous informons de la possibilité d'exercer les droits d'accès, de modification, d'annulation et d'opposition, de vos données personnelles situées à (remplacer par le lieu où les droits peuvent être exercés). »

Données dont le traitement est interdit

Les données relatives aux « infractions pénales ou administratives »..
Exception : elles pourront être intégrées uniquement aux fichiers des administrations publiques compétentes.

Consentement modifier

Types de consentement modifier

A) Consentement sans équivoque

Le traitement des données à caractère personnel nécessite le consentement sans équivoque de la personne concernée, sauf disposition contraire prévue par la loi.

B) Consentement tacite

Il s'agit de la forme normale du consentement dans les hypothèses où un consentement exprès ou exprès et par écrit n'est pas exigé.

C) Consentement exprès

Les données à caractère personnel qui font référence à l'origine raciale, à la santé et à la vie sexuelle pourront être récupérées, traitées et cédées uniquement pour des raisons d'intérêt général si une loi le stipule ou si la personne concernée y consent expressément.

D) Consentement exprès et par écrit

La personne concernée doit donner son consentement exprès et par écrit pour les données relatives à l'idéologie, l'appartenance syndicale, la religion et les croyances et les données pourront être cédées uniquement si la personne donne son consentement express.

Transmission de données modifier

Les personnes morales (notamment les entreprises) ainsi que les travailleurs indépendants, freelances, associations, collectifs et personnes propriétaires d'un blog (blogueurs) à travers lesquels des données tierces sont collectées pour réaliser des consultations ou tout autre transaction, sont responsables de la communication et du traitement des données^[6].

Les données à caractère personnel objets du traitement pourront uniquement être transmises à un tiers pour la réalisation d'objectifs directement liés aux fonctions légitimes du concédant et du cessionnaire et ce, avec l'accord préalable de l'intéressé.

Le consentement exigé dans le paragraphe précédent ne sera pas obligatoire dans les cas suivants :

lorsque la cession est autorisée dans une loi ;
lorsqu'il s'agit de données provenant de sources accessibles au public ;
lorsque le traitement dépend de la libre et légitime acceptation d'une relation juridique dont le développement, la réalisation et le contrôle impliquent obligatoirement un lien entre ledit traitement et des fichiers tiers ; Dans ce cas, la transmission sera légitime uniquement dès lors qu'elle se limite à l'objectif qui la justifie.
lorsque la communication à établir est destinée au Médiateur, au Parquet ou Juges ou Tribunaux ou au Tribunal des Comptes, dans l'exercice des fonctions qui leur incombent. Le consentement ne sera pas non plus obligatoire lorsque la communication est destinée à des institutions autonomes ayant des fonctions analogues à celles du Médiateur ou au Tribunal des Comptes.
lorsque la cession se produit entre des Administrations publiques et qu'elle a pour objectif le traitement ultérieure des données à des fins historiques, statistiques ou scientifiques.
lorsque la cession de données à caractère personnel relatives à la santé est nécessaire pour résoudre une urgence qui requiert l'accès à un fichier ou pour réaliser les études épidémiologiques selon les termes établis dans la législation de l'État ou des Communautés Autonomes en matière de santé.

Le consentement sera nul pour la transmission de données à caractère personnel à un tiers, lorsque l'information fournie à l'intéressé ne lui permet pas de connaître l'objectif prévu des données autorisées à être communiquées ou le type d'activité des destinataires prévus.

Le consentement pour la transmission de données à caractère personnel possède également un caractère révocable.

Toute personne qui reçoit des données à caractère personnel est tenue, du simple fait de la transmission, de se conformer aux dispositions de la présente loi.

Si la transmission est effectuée avant la procédure de dissociation, les dispositions décrites dans les paragraphes précédents ne seront pas applicables.

Accès aux données pour le compte d'un tiers modifier

L'accès d'un tiers à des données n'est pas considéré comme une transmission de données dès lors que ledit accès est nécessaire dans le cadre de la prestation d'un service au responsable du traitement.
Le fait de traiter des données pour le compte de tiers doit être réglementé dans un contrat qui devrait être réalisé par écrit ou sous toute autre forme qui permet de prouver sa conclusion et son contenu, en indiquant expressément que la personne chargée du traitement sera la seule personne à traiter les données conformément aux instructions du responsable du traitement. Elle sera tenue de ne pas les appliquer ou de ne pas les utiliser à toute autre fin que celle indiquée dans ledit contrat, elle ne devra pas non plus les transmettre, ni même pour leur conservation, à toute autre personne.

Seront également stipulées dans le contrat, les mesures de sécurité présentées à l'article 9 de cette loi que la personne chargée du traitement est tenue d'appliquer.

Une fois la prestation contractuelle effectuée, les données à caractère personnel doivent être détruites et rendues au responsable du traitement, de même que tout autre support ou document qui contient des données à caractère personnel objet du traitement.
Si la personne chargée du traitement utilise les données à une autre fin que celle indiquée, elle les transmet ou les utilise en allant à l'encontre des dispositions du contrat, elle sera également considérée comme responsable du traitement et devra faire face à des infractions qu'elle encourra personnellement.

Critiques et principaux problèmes modifier

Certaines parties de la loi ont été déclarées contraires à la constitution en novembre 2000 et supprimées du texte en vigueur.

On considère que l'augmentation de la création de fichiers et des traitements de données à caractère personnel a un impact sur le droit à la protection des données des citoyens, cette préoccupation a été relevée par les instances européennes qui ont également indiqué que le 28 janvier de chaque année sera célébrée la "Journée européenne de la protection des données". La célébration a commencé en 2006, lorsque le Comité des Ministres du Conseil de l'Europe a mis en place la célébration annuelle du Jour de la Protection des Données en Europe, le 28 janvier, pour célébrer l'anniversaire de la signature de la Convention 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Une application très rigoureuse de la réglementation sur la protection des données pourrait ralentir le travail normal d'un Responsable de Fichiers en ce qui concerne l'accréditation documentaire des principes d'informations et de consentement de la LOPD ; à l'inverse, une application simple des obligations formelles, ne donnerait pas de sens à la loi, rendrait les citoyens vulnérables et irait à l'encontre de l'« idée » de la LOPD.

Le fait que les entreprises puissent récupérer des données sans le consentement de la personne concernée a été critiqué^[7]^,^[8].

Certaines décisions de l'AEPD^[9] ont fait l'objet d'une contestation :

En octobre 2008, l'Agence espagnole de protection des données a sanctionné le Partido Popular (PP), un parti politique espagnol de droite, avec une amende de 60 101,21 euros pour une infraction grave à la LOPD. En effet, le parti a inscrit, sans leur consentement, quatre voisins de la région d'O Grove en tant que « faux volontaires » sur les listes électorales du Pays basque de mai 2007^[10]^,^[11].
Certains sites web qui proposent d'« envoyer à un ami » certaines informations ou de « recommander cette page à un ami » ont également subi des sanctions à la suite de l'application stricte de la LOPD^[12]^,^[13].
L'AEPD a également réussi à obtenir la confidentialité des données relatives aux avortements non médicalisés, au vu des plaintes criminelles déposées à l'encontre de plusieurs cliniques en raison d'avortements présumés irréguliers^[14].
En 2008, une décision du Tribunal Suprême indiquait que les « livres de baptême » de l'Église catholique ne sont pas des « fichiers contenant des données », annulant ainsi une décision du 20 octobre 2006 dictée par l'Agence Espagnole de Protection des Données ; l'agence avait donné raison à un apostat qui exigeait que son inscription sur le Livre de baptême soit annulée par l'Agence^[15].
Les manquements à la loi de protection des données ont été sanctionnés pour plusieurs compagnies d'assurance et centres de santé, puisqu'ils échangeaient les informations médicales des patients sans leur consentement express. Néanmoins, des sanctions réduites leur sont imposées puisque rien ne montre que « l'infraction a été commise volontairement »^[16]^,^[17].
L'AEPD a sanctionné une entreprise après qu'un pirate informatique ayant trouvé une faille de sécurité dans le système ait essayé de lui faire du chantage en disant qu'il la dénoncerait par la suite^[18].
La LOPD continue d'avoir des lacunes et les agents sociaux ont demandé certaines réformes. En août 2008, Bernat Soria, ministre socialiste de la Santé et de la Consommation, a déclaré qu'il agirait en créant une Loi contre les entreprises qui effectuent des appels commerciaux indésirables aux domiciles, généralement pendant les heures des repas, ce qui constitue un comportement communément appelé « spam téléphonique »^[19]^,^[20].

Voir également modifier

Articles connexes modifier

Bibliographie modifier

Juan Zabía de la Mata: "Principales problemas que plantea la Ley Orgánica de Protección de Datos para las Compañías aseguradoras" Revue espagnole d'assurances : Publication d'une note doctrinale de Droit et Économie des assurances privées ISSN 0034-9488, Nº. 109, 2002, pages. 81-90
Antonio Sánchez-Crespo López y Elena Pérez Gómez "La Protección de Datos en los Centros de Enseñanza" (La protection des données dans les établissements scolaires) Éditorial Aranzadi. Publication : 2007- Depôt legal : NA 1954/2007. (ISBN 978-84-8355-305-3)
"Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799." Réglementations des Mesures de Sécurité selon le COBIT et l'UNE-ISO/IEC 17799.

Liens externes modifier

Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal Loi Organique 5/1992, du 29 octobre, de Réglementation du traitement automatisé des données à caractère personnel (LORTAD) (abrogée)
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Loi Organique 15/1999, du 13 décembre, de protection de données à caractère personnel (LOPD)
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD) Décret royal 1720/2007, du 21 décembre, qui permet d'approuver la Réglementation de développement de la Loi Organique 15/1999, du 13 décembre, de protection des données à caractère personnel (RLOPD)
Guía de la OECD sobre la privacidad y las transferencias internacionales de datos (en anglais) Guide de l'OECD sur la vie privée et les transferts internationaux de données
Introducción a la LOPD Introduction de la LOPD par le Centre de Réponse aux Incidents de Sécurité du Gouvernement Espagnol (INTECO-CERT)
Enlace de la Agencia Española de Protección de Datos para el Alta de Ficheros Lien de l'Agence Espagnole de Protection des Données pour l'inscription de fichiers
Asociación de Empresas de Protección de Datos Association d'entreprise sur la Protection des Données
Protección de Datos Personales en España Protection des Données Personnelles en Espagne
Revista Latinoamericana de Protección de Datos Personales Revue latino-américaine sur la Protection des données Personnelles

Notes et références modifier

(es) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en espagnol intitulé « Ley Orgánica de Protección de Datos de Carácter Personal (España) » (voir la liste des auteurs).

↑ Loi Organique 3/2018 du 6 décembre, de protection des données à caractère personnel (2018)
↑ Agence Espagnole de Protection des Données
↑ [1]
↑ [2]
↑ Mémoire de l'agence basque de 2007
↑ « LOPD et LSSI pour PME, freelance, associations et blogs »
↑ « Riiing: ¡correo comercial! »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) « Le courrier commercial, classique et électronique, constitue une intrusion à la vie privée des citoyens qui n'est pas suffisamment protégée par la législation actuelle, qui tend à servir les intérêts des entreprises... L'existence des "Listes Robinson", est très peu connue, il s'agit de fichiers de personnes qui ont demandé à être exclues des bases de données pour des actions commerciales, même si le fait de devoir inscrire les personnes qui ne souhaitent pas recevoir de publicité plutôt que d'inscrire celles qui le souhaitent est paradoxal... Mancur Olson a expliqué avec brio pourquoi et comment le processus politique est plus sensible aux demandes de groupes organisés avec d'importants intérêts particuliers qu'aux souhaits de plusieurs individus désorganisés. Je pense que cela explique que les intérêts économiques des entreprises dédiées au courrier commercial, aux appels commerciaux et au commerce de la circulation des données personnelles prennent le pas sur le droit à notre vie privée. » (Article paru dans « El País » de Germà Bel, professeur de Politique Économique de l'Université de Barcelone et député du PSC, janvier 2002). Actuellement (2008), les problèmes que dénonçait l'article ne sont toujours pas résolus et parfois la situation s'est même aggravée.
↑ Protección de Datos investigará la difusión de imágenes de cámaras de seguridad en la Red La protection des données enquêtera sur la diffusion d'images provenant des caméras de sécurité sur le Réseau L'Agence Espagnole de Protection des Données a ouvert une enquête sur la diffusion des images sur Internet, prises par des caméras de surveillance dans des garderies, gymnases, hôpitaux ou bureaux et a demandé d'évaluer l'intérêt d'avoir des programmes comme Emule sur le poste de travail... Dans le cadre des moteurs de recherche Internet, le dialogue de l'AEPD avec ses entreprises titulaires a abouti, par exemple, sur le fait que le prochain service de Google en Espagne connu comme « Street View » (qui permet de parcourir les rues des villes en images), soit proposé en floutant les visages des personnes et les immatriculations des voitures.
↑ Algunas resoluciones de la AEPD en su página web
↑ Protección de Datos multa al PP por los "falsos voluntarios" de las listas vascas
↑ Protección de Datos multa al PP por los "falsos voluntarios" de las listas vascas
↑ [3] Soyez vigilant lorsque vous envoyez des données à un ami ! La Protection des données considère que la mention suivante est passible de sanction « Recommandez à un ami ». Si sur votre page web cette mention d'autopromotion apparaît, sachez que les jours sont comptés pour cette option si vous ne voulez pas recevoir une amende. D'après l'Agence Espagnole de Protection des Données cette pratique enfreint la Loi des Services de la Société de l'Information et du Commerce Électronique (LSSI) qui ne prévoit pas l'envoi de mail avec un contenu publicitaire ou promotionnel. Elle apparaît dans une décision de l'Agence, du 20 février 2008 dans laquelle une page web reçoit une amende si elle facilite aux internautes l'envoi à une adresse mail d'un proche ou d'un ami d'un message informatif invitant le destinataire à s'inscrire.
↑ « La Agencia de protección de datos contra el "enviar a un amigo" »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) On reste de marbre face à la sanction de l'Agence de Protection des Données pour un site web où figurait l'option « envoyer à un ami », ce mécanisme qui incite nombre de ses utilisateurs les plus convaincus à inviter leurs amis et proches. L'information est donnée, entre autres, par El economista (journal) et sur le site web de l'Agence de Protection des Données on peut accéder à la décision (au format PDF)..
↑ « La Agencia de Protección de Datos exige respetar la confidencialidad en los abortos. » La polémique sur l'avortement s'est déclenchée au début de cette année. Les cliniques où se pratique l'avortement ont organisé une grève pour protester contre les pressions que ses professionnels reçoivent et contre les enquêtes débutées dans plusieurs centres de Madrid et de Barcelone pour des avortements supposés irréguliers... Enfin, le document établit que l'accès des organes d'inspection sanitaire sera autorisé dès lors que leur objectif consiste à « vérifier la qualité de l'aide, le respect des droits du patient ou tout autre obligation du centre liée aux patients et utilisateurs ou à l'administration sanitaire ».
↑ «La Agencia de Protección de Datos y la apostasía.» « La Protection des Données gèle les démarches des demandes d'apostasie. Coup de frein brusque pour plus d'un demi-milliard de pétitions d'apostasie qui étaient sur le point d'être acceptées dans l'Agence Espagnole de Protection des Données (AEPD) et de toutes celles qui peuvent encore arriver. Le directeur de l'AEPD, Artemi Rallo, a annoncé hier que toutes ces demandes d'annulation des données dans les livres de baptême sont suspendues jusqu'à ce que de nouvelles décisions judiciaires confirment ou s'éloignent de la sentence du Tribunal Suprême du mois de septembre dernier qui, pour la première fois, a dispensé la hiérarchie ecclésiastique de faire une annotation d'apostasie sur les livres de baptêmes. » (La décision du Tribunal Suprême est disponible au format PDF).
↑ [Protección de Datos, nueva multa a una entidad de salud] C'est pour cela que l'AEPD impose à l'établissement une amende de 60 101,27 euros pour une infraction très grave et une autre du même montant et adressée au médecin de la partie demanderesse. Les fautes très graves sont généralement sanctionnées avec des amendes entre 300 506 et 601 012 euros. Dans ce cas, l'agence reconnaît des circonstances atténuantes comme le fait que « l'infraction n'a pas été commise volontairement, il n'y a pas de récidive et le rapport pour éviter un préjudice à la compagnie a été demandé, étant donné que la partie plaignante avait déclaré qu'elle ne souffrait pas d'insuffisances veineuses (varices) alors qu'en réalité elle en avait » Audience nationale.
↑ PROBLEMÁTICA ACTUAL EN TORNO A LA PROTECCIÓN DE DATOS PERSONALES EN EL SECTOR SANITARIO Le résultat « apte » ou « inapte » d'un salarié lorsqu'il passe la visite médicale annuelle de l'entreprise est-il considéré comme une donnée de santé ? Une simple prescription médicale avec le nom d'un médicament est-elle une donné de santé, bien que la maladie exacte ne soit pas mentionnée ? Les mensurations et caractéristiques physiques d'une personne telles que la taille des pieds ou par exemple la couleur des yeux sont-elles considérées comme des données de santé ?
↑ «Protección de Datos multa a Telefónica con 60.000 euros.» « La protection des données remet une amende de 60 000 euros à Telefónica.» L'agence a approuvé le haut niveau de connaissances informatiques du plaignant ainsi que son but lucratif qui frôlait l'infraction pénale et de notoriété digne d'un « pirate informatique », selon le contenu de la décision. Son rapport s'appuie sur l'article 9 de la Loi organique de Protection des Données à Caractère Personnel qui établit le principe de « Sécurité des données », en imposant l'obligation d'adopter des mesures de nature technique et organisationnelle qui garantissent leur sécurité, afin d'éviter l'accès non autorisé. Dans tous les cas, l'amende imposée par l'organisme de contrôle est d'un « montant minimum » puisqu'elle affirme qu'il n'y a pas eu d'intention de la part de Telefónica. Toutefois, l'entreprise a annoncé son intention d'interjeter appel contre cette décision.
↑ «Recibir llamadas publicitarias no solicitadas, en el límite de la legislación.»
↑ «Cerco a los 'telefonazos basura'.»^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) Le Gouvernement veut mettre fin aux appels indésirables, dérangeants et au spam téléphonique de plus en plus fréquent, avec des appels sur le téléphone fixe ou portable au moment de la sieste pour proposer un changement d'opérateur, un nouveau crédit ou une offre de connexion Internet, souvent émis depuis des « numéros privés » ou « inconnus » ou des centres d'appel automatiques locaux ou depuis l'étranger, ce qui empêche le consommateur de les dénoncer. Le Ministère de la Santé et de la Consommation en collaboration avec ceux de la Justice, de l'Économie et de l'Industrie travaillent sur un avant-projet de loi pour transposer une directive européenne qui considère cette pratique illégale. Le Gouvernement prévoit qu'il entre en vigueur avant la fin de l'année... « De plus, beaucoup se produisent au moment de la sieste ou la nuit, ce qui les rend d'autant plus dérangeants » ajoute le responsable de la Santé et de la Consommation. Jusqu'à maintenant, ces pratiques n'étaient pas réglementées de manière spécifique. Il existe une loi (de 2002) qui interdit les messages électroniques indésirables. (El País, août 2008).

[1] Loi Organique 3/2018 du 6 décembre, de protection des données à caractère personnel (2018)

[2] Agence Espagnole de Protection des Données

[3] [1]

[4] [2]

[5] Mémoire de l'agence basque de 2007

[6] « LOPD et LSSI pour PME, freelance, associations et blogs »

[7] « Riiing: ¡correo comercial! »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) « Le courrier commercial, classique et électronique, constitue une intrusion à la vie privée des citoyens qui n'est pas suffisamment protégée par la législation actuelle, qui tend à servir les intérêts des entreprises... L'existence des "Listes Robinson", est très peu connue, il s'agit de fichiers de personnes qui ont demandé à être exclues des bases de données pour des actions commerciales, même si le fait de devoir inscrire les personnes qui ne souhaitent pas recevoir de publicité plutôt que d'inscrire celles qui le souhaitent est paradoxal... Mancur Olson a expliqué avec brio pourquoi et comment le processus politique est plus sensible aux demandes de groupes organisés avec d'importants intérêts particuliers qu'aux souhaits de plusieurs individus désorganisés. Je pense que cela explique que les intérêts économiques des entreprises dédiées au courrier commercial, aux appels commerciaux et au commerce de la circulation des données personnelles prennent le pas sur le droit à notre vie privée. » (Article paru dans « El País » de Germà Bel, professeur de Politique Économique de l'Université de Barcelone et député du PSC, janvier 2002). Actuellement (2008), les problèmes que dénonçait l'article ne sont toujours pas résolus et parfois la situation s'est même aggravée.

[8] Protección de Datos investigará la difusión de imágenes de cámaras de seguridad en la Red La protection des données enquêtera sur la diffusion d'images provenant des caméras de sécurité sur le Réseau L'Agence Espagnole de Protection des Données a ouvert une enquête sur la diffusion des images sur Internet, prises par des caméras de surveillance dans des garderies, gymnases, hôpitaux ou bureaux et a demandé d'évaluer l'intérêt d'avoir des programmes comme Emule sur le poste de travail... Dans le cadre des moteurs de recherche Internet, le dialogue de l'AEPD avec ses entreprises titulaires a abouti, par exemple, sur le fait que le prochain service de Google en Espagne connu comme « Street View » (qui permet de parcourir les rues des villes en images), soit proposé en floutant les visages des personnes et les immatriculations des voitures.

[9] Algunas resoluciones de la AEPD en su página web

[10] Protección de Datos multa al PP por los "falsos voluntarios" de las listas vascas

[11] Protección de Datos multa al PP por los "falsos voluntarios" de las listas vascas

[12] [3] Soyez vigilant lorsque vous envoyez des données à un ami ! La Protection des données considère que la mention suivante est passible de sanction « Recommandez à un ami ». Si sur votre page web cette mention d'autopromotion apparaît, sachez que les jours sont comptés pour cette option si vous ne voulez pas recevoir une amende. D'après l'Agence Espagnole de Protection des Données cette pratique enfreint la Loi des Services de la Société de l'Information et du Commerce Électronique (LSSI) qui ne prévoit pas l'envoi de mail avec un contenu publicitaire ou promotionnel. Elle apparaît dans une décision de l'Agence, du 20 février 2008 dans laquelle une page web reçoit une amende si elle facilite aux internautes l'envoi à une adresse mail d'un proche ou d'un ami d'un message informatif invitant le destinataire à s'inscrire.

[13] « La Agencia de protección de datos contra el "enviar a un amigo" »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) On reste de marbre face à la sanction de l'Agence de Protection des Données pour un site web où figurait l'option « envoyer à un ami », ce mécanisme qui incite nombre de ses utilisateurs les plus convaincus à inviter leurs amis et proches. L'information est donnée, entre autres, par El economista (journal) et sur le site web de l'Agence de Protection des Données on peut accéder à la décision (au format PDF)..

[14] « La Agencia de Protección de Datos exige respetar la confidencialidad en los abortos. » La polémique sur l'avortement s'est déclenchée au début de cette année. Les cliniques où se pratique l'avortement ont organisé une grève pour protester contre les pressions que ses professionnels reçoivent et contre les enquêtes débutées dans plusieurs centres de Madrid et de Barcelone pour des avortements supposés irréguliers... Enfin, le document établit que l'accès des organes d'inspection sanitaire sera autorisé dès lors que leur objectif consiste à « vérifier la qualité de l'aide, le respect des droits du patient ou tout autre obligation du centre liée aux patients et utilisateurs ou à l'administration sanitaire ».

[15] «La Agencia de Protección de Datos y la apostasía.» « La Protection des Données gèle les démarches des demandes d'apostasie. Coup de frein brusque pour plus d'un demi-milliard de pétitions d'apostasie qui étaient sur le point d'être acceptées dans l'Agence Espagnole de Protection des Données (AEPD) et de toutes celles qui peuvent encore arriver. Le directeur de l'AEPD, Artemi Rallo, a annoncé hier que toutes ces demandes d'annulation des données dans les livres de baptême sont suspendues jusqu'à ce que de nouvelles décisions judiciaires confirment ou s'éloignent de la sentence du Tribunal Suprême du mois de septembre dernier qui, pour la première fois, a dispensé la hiérarchie ecclésiastique de faire une annotation d'apostasie sur les livres de baptêmes. » (La décision du Tribunal Suprême est disponible au format PDF).

[16] [Protección de Datos, nueva multa a una entidad de salud] C'est pour cela que l'AEPD impose à l'établissement une amende de 60 101,27 euros pour une infraction très grave et une autre du même montant et adressée au médecin de la partie demanderesse. Les fautes très graves sont généralement sanctionnées avec des amendes entre 300 506 et 601 012 euros. Dans ce cas, l'agence reconnaît des circonstances atténuantes comme le fait que « l'infraction n'a pas été commise volontairement, il n'y a pas de récidive et le rapport pour éviter un préjudice à la compagnie a été demandé, étant donné que la partie plaignante avait déclaré qu'elle ne souffrait pas d'insuffisances veineuses (varices) alors qu'en réalité elle en avait » Audience nationale.

[17] PROBLEMÁTICA ACTUAL EN TORNO A LA PROTECCIÓN DE DATOS PERSONALES EN EL SECTOR SANITARIO Le résultat « apte » ou « inapte » d'un salarié lorsqu'il passe la visite médicale annuelle de l'entreprise est-il considéré comme une donnée de santé ? Une simple prescription médicale avec le nom d'un médicament est-elle une donné de santé, bien que la maladie exacte ne soit pas mentionnée ? Les mensurations et caractéristiques physiques d'une personne telles que la taille des pieds ou par exemple la couleur des yeux sont-elles considérées comme des données de santé ?

[18] «Protección de Datos multa a Telefónica con 60.000 euros.» « La protection des données remet une amende de 60 000 euros à Telefónica.» L'agence a approuvé le haut niveau de connaissances informatiques du plaignant ainsi que son but lucratif qui frôlait l'infraction pénale et de notoriété digne d'un « pirate informatique », selon le contenu de la décision. Son rapport s'appuie sur l'article 9 de la Loi organique de Protection des Données à Caractère Personnel qui établit le principe de « Sécurité des données », en imposant l'obligation d'adopter des mesures de nature technique et organisationnelle qui garantissent leur sécurité, afin d'éviter l'accès non autorisé. Dans tous les cas, l'amende imposée par l'organisme de contrôle est d'un « montant minimum » puisqu'elle affirme qu'il n'y a pas eu d'intention de la part de Telefónica. Toutefois, l'entreprise a annoncé son intention d'interjeter appel contre cette décision.

[19] «Recibir llamadas publicitarias no solicitadas, en el límite de la legislación.»

[20] «Cerco a los 'telefonazos basura'.»^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 septembre 2017) Le Gouvernement veut mettre fin aux appels indésirables, dérangeants et au spam téléphonique de plus en plus fréquent, avec des appels sur le téléphone fixe ou portable au moment de la sieste pour proposer un changement d'opérateur, un nouveau crédit ou une offre de connexion Internet, souvent émis depuis des « numéros privés » ou « inconnus » ou des centres d'appel automatiques locaux ou depuis l'étranger, ce qui empêche le consommateur de les dénoncer. Le Ministère de la Santé et de la Consommation en collaboration avec ceux de la Justice, de l'Économie et de l'Industrie travaillent sur un avant-projet de loi pour transposer une directive européenne qui considère cette pratique illégale. Le Gouvernement prévoit qu'il entre en vigueur avant la fin de l'année... « De plus, beaucoup se produisent au moment de la sieste ou la nuit, ce qui les rend d'autant plus dérangeants » ajoute le responsable de la Santé et de la Consommation. Jusqu'à maintenant, ces pratiques n'étaient pas réglementées de manière spécifique. Il existe une loi (de 2002) qui interdit les messages électroniques indésirables. (El País, août 2008).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]