Datuak BabestekoErregelamendu Orokorra
Eusko Jaurlaritzan
El Reglamento General de Protección de Datos en el Gobierno Vasco
Dirección de Informática y Telecomunicaciones
Xabier Patxi Arrieta
Gabinete Tecnológico del Gobierno Vasco
RGPD europeo• Expedientes DIT-8-2017 y DIT-6-2018• Secretaría Técnica de apoyo
2
«La protección de las personas físicas, en relación con el tratamiento de datos personales, es un derecho fundamental»
Antecedentes• Marco general hasta 2017
3
Directiva europea 1995Directiva 95/46/CE, a transponer por los Estados miembros
LOPD 1999 (transposición)Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
LVPD 2004Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos
RLOPD 2007Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD
Actualidad• Marco a partir del 25 de mayo de 2018
4
Reglamento europeo 2016
Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos o RGPD)
Anteproyecto LOPD ¿2018?
(Pero el RGPD es de aplicación directa)
LVPD ¿?
(¿Será necesaria?) RLOPD ¿?
(¿Hará falta?)
Situación organizativa en GV
5
Acuerdo de Consejo de Gobierno, de 16 de julio de 2002, que facilitó la implantación de la LOPD en el Gobierno Vasco, realizando una propuesta organizativa y de distribución de funciones
Adaptación Situación organizativa en GV• A partir de mayo de 2018
6
Esta NORMA se debe crear, por lo que la Secretaría Técnica propondrá diversas alternativas en concordancia con la propuesta organizativa
Necesidad de un norma jurídica que organice la seguridad de los datos personales de la Comunidad Autónoma del País Vasco
Objetivos de la implantación RGPD
7
Roles y responsabilidades Norma Política
Revisar la política de protección de datos personales y los procesos existentes en el ámbito del Gobierno Vasco
Proponer un modelo de roles y responsabilidades
Ejecutar el plan de adecuación, a través de la realización del documento legal que corresponda (Norma)
Crear un documento de alto nivel de Política de Protección de datos personales en el Gobierno Vasco
Retos del RGPD
8
•Por defecto y desde el diseño
•Evaluaciones de Impacto sobre la Privacidad
•Proactividad o Principio de Responsabilidad
•Delegado de Protección de Datos (obligatorio para Autoridades y organismos públicos) DPD Accountability
PrivacidadPIA
DERECHOS de la ciudadanía
9
TRANSPARENCIA e INFORMACIÓN
CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro
DERECHO AL OLVIDO
DERECHO A LA LIMITACIÓN DEL TRATAMIENTO
PORTABILIDAD DE LOS DATOS
DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios
INDEMNIZACIONES
Tareas de la Secretaría Técnica
10
Apoyo a la implantación del RGPD
Revisión de información existente en GV
Política de protección de
datos personales
Procesos asociados a dicha política
Roles (RF, RS y ET) con responsabilidades y tareas asociadas
Propuestas de modificación
Política adaptada el RGPD
Procesos adoptando el RGPD
Nuevos roles (RT, ET, DPD)
Tareas de la Secretaría Técnica (cont.)
11
Revisió
n Obligaciones del Encargado de Tratamiento principal del GV —EJIE, S.A.—desde el punto de vista del RGPD
Revisió
n Encargo general que realiza el GV a EJIE para adaptarse al RGPD (que contiene obligaciones expresamente dirigidas a los Encargados, ya que tienen obligaciones propias)
Prop
uesta Modificación del
Encargo general que realiza el GV a EJIE en función de las obligaciones asociadas a los Encargados de Tratamiento
Tareas de la Secretaría Técnica (cont.)
12
Revisió
n y encaje de las novedades aparecidas en el RGPD y propuesta de nuevos procesos asociados a estas novedades• registro interno de tratamientos• nombramiento delegado de protección de datos
• evaluaciones de impacto• privacidad desde el diseño• seguridad basada en el análisis de riesgos
• adopción de códigos de conducta• derecho al olvido• notificación de las brechas de seguridad…
Revisió
n del modelo de transferencia internacionales según el RGPD
Notificación de violaciones de seguridad y
comunicación(a las Autoridades de Control y a las personas afectadas)
Tareas de la Secretaría Técnica - Resumen
13
Adecuación de la documentación que regula la protección de datos personales en Gobierno Vasco
Propuesta de estructura de Roles y responsabilidades
Creación de una NORMA y una Política de protección de datos personales
Situación organizativa propuesta
14
Responsables del Tratamiento: Directores/as sectoriales(anteriores Responsables de Fichero)
Responsables de las medidas de privacidad (figura NO obligatoria): Directores/as de Servicios (responsables de aplicar dicha medidas en el Departamento)
•Dependencia funcional (no jerárquica con el DPD)•El Delegado de Protección de Datos coordina, controla y supervisa su actuación•Dependencia funcional (no jerárquica con el DPD)•El Delegado de Protección de Datos coordina, controla y supervisa su actuación
Referentes de Protección de Datos (figura NO obligatoria): persona perteneciente a la Dirección de Servicios (con perfil jurídico)
Situación organizativa propuesta (cont.)
15
•Dependiente de la persona titular de la Consejería competente en Administración Pública•Con personal adscrito (unidad de apoyo técnico‐administrativo)
Delegado/a de Protección de Datos (DPD), una persona delegada única para todo el Gobierno Vasco (Departamentos + Organismos Autónomos + EPDP)
•Órgano propuesto por la Secretaría Técnica (no obligatoria)•De nueva creación (para coordinar la labor de velar por la protección de datos)• Presidido por el DPD del GV•Compuesto además por los Referentes de Protección de Datos
Comité de Protección de Datos, cuya misión sea velar por la protección de datos(DPD + Referentes)
• Las personas Responsables de la Información son también las Responsables de las medidas de privacidad
Propuesta: reconvertir el Comité de Seguridad Corporativa (asociado al ENS) en Comité de Seguridad y Privacidad Corporativa
Roles y Responsabilidades
16
Gobernanza Pública y Autogobierno
Competente en
Protección de
Datos Unidad de apoyo
técnico‐administrativa
Persona Delegada de Protección de Datos —DPD—(órgano de nueva creación)
Responsable del Tratamiento:‐ Director/a sectorial en Dpto.(antiguo Responsable de Fichero)‐ Órgano directivo en OOAA / EPDP
Referente de Protección de Datos:Persona con conocimientos jurídicos Adscrita a ‐ Dirección de Servicios del Dpto.‐ Órgano directivo en OOAA / EPDP
Responsable de las medidas de privacidad‐ Director/a de Servicios del Dpto.‐ Órgano directivo en OOAA / EPDP
Comparativa LOPD / ENS / RGPD
17
Concepto LOPD ENS RGPDNorma interna ACG 2002 ACG 2015 ACG 2018
Responsable del Fichero
de la Informaciónde los Servicios Comunesde la Seguridad y los Sistemasde Explotación de los Sistemas
del Tratamiento
Encargado del Tratamiento (ver Responsable) del TratamientoDPD n/a n/a Decreto creación órganoResponsable de Seguridad Obligatorio (ver Responsable) n/aRegistro de Ficheros Obligatorio n/a n/aDocumento de Seguridad Obligatorio n/a n/aRegistro de Tratamientos n/a Catálogo de Servicios ObligatorioAuditoria nivel Básico optativa Autoevaluación Posible
Auditoria niveles Medio y Alto BienalBienal – entidad externa certificada
Posible
Análisis de Riesgos n/a bienal ObligatorioPIA n/a n/a Obligatorio (ciertos tratamientos)Incidentes seguridad n/a CNN‐CERT Notificar en 72 h.Consentimiento interesado Tácito n/a ExplícitoDerechos ciudadanía ARCO n/a ARCO + Limitación + Portabilidad
18