el nuevo marco europeo de protección de datos...agencia española de protección de datos 1 el...

1Agencia Española de Protección de Datos

El nuevo marco europeo de

protección de datos

2º Congreso Internacional de Protección de Datos

Pereira

5/6 de junio de 2014

JOSE LUIS RODRIGUEZ ALVAREZ

DIRECTOR

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS


Instrumentos

• 25 de Enero de 2012 Vicepresidenta Reding

presentó las propuestas de reforma elaboradas

por la Comisión

• dos instrumentos:

• Propuesta de Reglamento relativo a la protección de

las personas físicas en lo que respecta al tratamiento

de datos personales y a la libre circulación de estos

datos (Reglamento general de protección de datos)

• Propuesta de Directiva para el tratamiento de datos

por las autoridades competentes a efectos de la

prevención, investigación, detección y

enjuiciamiento de infracciones penales o la

ejecución de sanciones penales (ámbito policial y

judicial penal)


El Reglamento

El instrumento principal es un Reglamento

• Directamente aplicable

• Extenso y detallado (91 artículos, frente a 34

de actual Directiva)

• Marco uniforme para toda la UE

• Limitado margen de desarrollo para EEMM


Aspectos generales

• Una única norma para toda la Unión Europea

• Aplicación a entidades no establecidas en UE cuando traten datos para• ofertar bienes o servicios a residentes en UE• controlar su conducta

• Actualiza y adecua los instrumentos de protección a la realidad actual

• Clarifica y refuerza el sistema de garantías

• Se refuerzan y homogenizan potestades Autoridades Protección Datos

que están obligadas a cooperar entre sí

• Mayor seguridad jurídica: más certeza para los operadores económicos


Ámbito de aplicación

Mantiene el criterio territorial de la Directiva para entidades

radicadas en la UE:

• Reglamento aplicable a tratamientos desarrollados en el

contexto de las actividades de un establecimiento del

responsable o encargado en la UE

Pero añade como novedad que será también aplicable a los

tratamientos de responsables no establecidos en UE

relacionados con

• Oferta de bienes y servicios a interesados en UE, o

• Control (“monitoring”) de su conducta


Derechos

Catálogo tradicional con dos novedades:

• Información

• Acceso

• Rectificación

• Derecho al olvido y al borrado

• Portabilidad

• Oposición

Régimen general ejercicio de estos derechos

• Claridad y accesibilidad

• Plazos de respuesta máx. 1 mes

• Formas de ejercicio Posible vía electrónica

• Formas de respuesta Formato electrónico

• Gratuidad


Responsabilidad activa

(“Accountability”)

• El Reglamento prevé que los responsables adoptarán políticas y

pondrán en práctica medidas para asegurar y estar en condiciones

de demostrar que los tratamientos que realizan son conformes al

Reglamento

• El Reglamento

• Considera insuficiente “no incumplir”

• Incluye exigencias de “responsabilidad activa” dirigidas a evitar

o paliar infracciones

• Es el enfoque de la “accountability”, aunque el listado de medidas

incluye algunas típicas de accountability y otras que son más

propias del enfoque prescriptivo clásico

• La no existencia de estas medidas es sancionable


Protección de datos desde el diseño y por defecto

Protección de datos desde el Diseño

• Implementación en el momento de determinación de los medios del tratamiento y en el tratamiento propiamente dicho medidas y procedimientos técnicos y organizativosapropiados para cumplir el Reglamento y proteger los derechos de los interesados

• Condicionamiento: Técnicas existentes y costes de implementación

Protección de datos por Defecto

Implantar mecanismos que garanticen

• Sólo se traten los datos necesarios para cada finalidad

• Conservación tiempo mínimo necesario para finalidad

• Por defecto, no sean accesibles a un número indeterminadode personas(v.gr.configuración de privacidad para redes sociales)


Autoridades de Protección de Datos

Obligación de que en cada EM haya al menos una autoridadencargada de velar por la aplicación del Reglamento

Las APD deberán ser independientes

• Miembros nombrados por Parlamento o Gobierno

• Personas de cualificación, experiencia e independencia

• Nombramiento por un mínimo de 4 años

• Inamovilidad excepto por causas penales, renuncia o fin de mandato

• Prohibición recibir instrucciones

• Recursos suficientes. Presupuesto separado

• Personal propio bajo su exclusiva dirección

• Deber de secreto

Amplio catálogo de competencias

• Incluye potestades investigación y sanción

• Principio general de gratuidad


Régimen sancionador

El Reglamento establece un régimen sancionador completo

Sanciones deberán ser, en cada caso, efectivas, proporcionadas y

disuasorias

Posibilidad de apercibimiento (advertencia escrita sin sanción) en

primer incumplimiento no deliberado:

Persona física sin interés comercial

Empresa con menos de 250 empleados que trata datos como

actividad auxiliar de la principal

Importe sanciones deberá modularse atendiendo a varios criterios:

Naturaleza, gravedad y duración de la infracción

Carácter intencional o accidental

Grado de responsabilidad del infractor e infracciones previas

Existencia de medidas preventivas

Cooperación con la Autoridad


Régimen sancionador

Tipificación infracciones y sanciones:

• Multa hasta 250.000€ o hasta el 0,5% de volumen de negocio anual a nivel mundial (empresa)

• Cobrar por ejercicio derechos…

• Multa hasta 500.000€ o hasta el 1%

• No proporcionar información o información incompleta

• No proporcionar acceso o no rectificar datos

• Incumplir derecho al olvido o al borrado

• No mantener documentación exigida...

• Multa hasta 1.000.000€ o hasta el 2%

• Tratamiento sin legitimación

• Tratamiento irregular de datos sensibles

• No adoptar medidas de “accountability”

• No notificar violaciones de seguridad…

El Reglamento no prevé régimen especial para poderes públicos


Estado actual

Parlamento Europeo

Posición Común Comisión LIBE) Octubre de 2013

Posición Común Plenario 12 Marzo 2014

Consejo

Finalizada tercera lectura Reglamento

No acuerdo final sobre ningún área

Acuerdos específicos sobre materias aisladas

Aprobación

Depende de “posición común” del Consejo

Previsiones “Timely adoption” (CEUR)

“Posible antes de finales de 2014” (COM)


Temas clave

Ámbito territorial “Amplio apoyo” CJAI a propuesta COM

Previsión de aplicabilidad a empresas no establecidas en UE, pero que tratan datos en el contexto de

• Oferta de bienes o servicios dirigidos a ciudadanos UE

• Control de su actividad (“monitoring”)

Concepto de dato personal

Debate sobre datos pseudónimos

Aplicabilidad a sector público

Se está planteando el problema de si la rigidez que supone

un Reglamento permite adaptar normativa a sector público


Temas clave

Derechos Catálogo tradicional con adiciones

Consentimiento explícito vs. consentimiento inequívoco

Derecho al olvido ¿Cuál es el efecto de la Sentencia

Google?

“Obligaciones del responsable”

“Risk based approach”

Apoyo generalizado a aplicar el criterio de RBA en

obligaciones

Problema ¿Cómo medir riesgo y cómo guiar a

responsables?

DPD Acuerdo sobre carácter voluntario

Notificación quiebras de seguridad

Esfuerzos para limitar mejor el ámbito de aplicación

(desde la obligación general prevista por la COM)


Temas clave

Corregulación Avances sustanciales en GT del Consejo sobre

Códigos de conducta

Mecanismos de certificación

Establecimiento principal y “ventanilla única”

Tema principal de discusión desde presidencia lituana

Postura COM Toda la competencia para la APD del

establecimiento principal cuando hay varios en la UE

PE ofrece una primera modulación en su posición común

Posición de CJAI a favor de

Ventanilla única en “important transnational cases”

Garantizando la proximidad al ciudadano en las decisiones

Sanciones

Debate sobre alternativas a sanciones económicas

Debate sobre cuantía máxima


MUCHAS GRACIAS

[email protected]

el nuevo marco europeo de protección de datos...agencia española de protección de datos 1 el...

Documents