www.iecisa.com

GDPR y Nueva Ley de Contratación

www.iecisa.com

C o n t e n i d o

0 1

0 2

0 3

0 4

0 5

0 6

Aproximación a las leyes

Regl. (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)

Proyecto de L.O. de Protección de Datos de Carácter Personal

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público

2

www.iecisa.com

Aproximación a las leyes 01

www.iecisa.com

Aproximación a las leyes Substrato histórico, sociológico, cultural…

Las leyes son resultado de una historia y de un entorno económico, político, cultural, tecnológico…

Y tienen una finalidad

www.iecisa.com

El cumplimiento de las Normas Administrativas aproxima a las Administraciones al cumplimiento del GDPR

www.iecisa.com

Regl. (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)

02

www.iecisa.com 7

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 mayo de 2018 Directamente aplicable, no requiere de normas internas de trasposición ni de desarrollo o aplicación.

Reglamento (UE) 2016/679 GDPR

www.iecisa.com

Datos Personales Personal – Curricula Clientes – Contactos

Imágenes- Videovigilamcia

Licitud del Tratamiento

Consentimiento – Finalidad Conservación – Destinatarios Derechos de los Interesados

Política de Información Transparencia del Tratamiento

Información al interesado Comunicación al Interesado

Derechos de los Interesados Acceso – Rectificación – Supresión -

Limitación - Oposición - Reclamación - Portabilidad - Perfiles

Mantenimiento

Política de Información Derechos de los Interesados Responsabilidad Proactiva

Documentación Informativa Garantías de Cumplimiento

Política de Seguridad

Desde el Diseño y por defecto Medidas de Seguridad Evaluación de Impacto

Responsabilidad Encargados del tratamiento

Destinatarios de Datos Personal Autorizado

Mantenimiento Política de Seguridad

Contratos de Responsabilidad Registro de Actividades

Violación de Datos Evaluación de Impacto

Reglamento (UE) 2016/679 GDPR.

Esquema

DELEGADO DE PROTECCIÓN DE DATOS (DPD / DPO)

www.iecisa.com

Reglamento (UE) 2016/679 GDPR. Novedades

9

1995 2018 Cambio de foco

Fichero Datos

Qué datos tengo

Tratamiento Finalidad

Riesgo Qué hago con los

datos

www.iecisa.com

En buena posición

10

www.iecisa.com

Reglamento (UE) 2016/679 GDPR. Novedades

11

Nuevas obligaciones:

Información Clara

Notificación de violaciones de seguridad

Facilitar el ejercicio de los derechos de los interesados

Registro de Actividades

Evaluación de impacto previa.

Nuevos Sujetos: Delegado de Protección de datos

Corresponsables

Representantes

Nuevos Derechos de los interesados:

Olvido

Portabilidad

Limitación del tratamiento

Decisiones Individualizadas

Acceso a copias

Notificaciones

Nuevas sanciones: 20.000.000 euros

4% del volumen de negocio total anual global del ejercicio financiero anterior

Nuevos Principios

¿Qué cambia el Reglamento?

Proactividad Evaluación del Riesgo Verificación

www.iecisa.com

Hoja de Ruta de la AEPD

Además…

www.iecisa.com

Reglamento (UE) 2016/679 GDPR Políticas

13

CONSERVACIÓN EVIDENCIAS ELECTRÓNICAS

POLITICA DOCUMENTAL

CARPETA DE DATOS DEL

INTERESADO

POLÍTICA DE PROTECCIÓN

DE DATOS

POLÍTICA DE SEGURIDAD

REPOSITORIO UNIFICADO ECM

Discovery Suite

Políticas de retención

Decomisionado de aplicaciones Seguridad

Auditorías

Acceso al contenido Microservicios Servicios web

Rectificación de datos. Supresión de datos (Olvido)

Dar Acceso del Interesado a los datos y enviarle copias.

Limitación del tratamiento

Notificación de Violaciones de Seguridad a la Autoridad y al interesado. PLAZO 72 HORAS

Acreditar que se ha obtenido el consentimiento libre, específico, informado e inequívoco

Oposición

Portabilidad

Informar sobre todos los extremos del tratamiento

Control de plazos de conservación y de supresión

www.iecisa.com

Qué hacer hasta el 25 de mayo... Y después El Tratamiento Las Operaciones Los Ficheros de Datos

IDENTIFICAR

• Colectivos de Interesados • Fines del Tratamiento • Ficheros de Datos • Sistemas de Tratamiento

• Obtención • Acceso • Operaciones • Conservación - Supresión

• Responsabilidades (RT/ET) • Categorías de Datos • Categorías de Tratamiento • Diseño del Tratamiento

El Tratamiento Política de Información Política de Seguridad

LEGITIMAR

• Consentimiento • Interés Legítimo • Categorías Especiales • Categorías Penales • Elaboración de Perfiles

• Información al Interesado • Comunicación de la Información • Derechos del Interesado

• Desde el diseño y por defecto • Análisis de Riesgos • Evaluación de Impacto • Medidas de Seguridad

www.iecisa.com

Qué hacer hasta el 25 de mayo... Y después

Intervinientes en el Tratamiento

Garantías de Protección de Datos

Documentación del Tratamiento

DOCUMENTAR

• Personal Autorizado • Encargados del Tratamiento • Subcontrataciones • Destinatario de datos • Corresponsables • Transferencias Internacionales

• Contratos con los intervinientes • Contratación del DPO • Consentimientos explícitos • Cláusulas Informativas • Iconos Informativos • Cláusulas de la web e Internet

• Responsabilidad Proactiva • Política de Información • Política de Seguridad • Registro de Actividades • Auditoría de Cumplimiento

Protocolos de Protección

de Datos Garantías de

Cumplimiento Autoridad de Control

GARANTIZAR

• Derechos del Interesado • Violaciones de Seguridad • Situaciones específicas de

tratamiento

• Certificación del RT o ET • Certificación de la AC • Códigos de Conducta • Normas Corporativas Vinculantes

• Notificación de violaciones • Cláusulas tipo de contratos • Cláusulas tipo de transferencias • Evaluación de Impacto • Consultas Previas

www.iecisa.com

INFORMACIÓN REFERENTE A LOS DATOS PERSONALES OBTENIDOS A TRAVÉS DEL TERMINAL PUNTO DE VENTA (T.P.V.) DISPONIBLES EN LAS EMPRESAS DEL GRUPO EL CORTE INGLÉS

RESPONSABLE El responsable del tratamiento es El Corte Inglés, S.A., con domicilio social en la C/ Hermosilla 112, 28009 Madrid. Contacto: delegado.protecciondatos@elcorteingles.es

FINALIDAD Actualizar sus datos personales de cliente con la finalidad de incorporarlos a los ficheros de las empresas del Grupo El Corte Inglés y Financiera El Corte Inglés para realizar comunicaciones publicitarios o comerciales conforme a su perfil mediante tratamientos automatizados, por todos los canales disponibles incluidos medios electrónicos. Su consentimiento ha sido facilitado por usted, mediante la aceptación en la tableta del Terminal Punto de Venta. Sus datos de contacto se conservarán mientras exista un interés mutuo para mantener la finalidad del tratamiento, o cuando usted ejerza el derecho de supresión, cancelación u oposición de los mismos.

LEGITIMACIÓN La licitud para el tratamiento viene determinada por su consentimiento, el cual ha sido prestado y recabado a través de la tableta digital del Terminal Punto de Venta.

DESTINATARIOS Sus datos se comunicarán a las siguientes empresas del Grupo El Corte Inglés y afines: (Se incluye la relación y los datos de esas empresas)

DERECHOS Usted tiene derecho a obtener el acceso a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos. En determinadas circunstancias, usted podrá solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o defensa de reclamaciones. Cuando sea técnicamente posible, usted podrá solicitar la portabilidad de sus datos a otro responsable del tratamiento, en cuyo caso únicamente los conservaremos para el ejercicio o defensa de reclamaciones. Para ejercitar estos derechos, de conformidad con la legislación vigente, usted puede dirigirse a C/ Hermosilla 112, 28009 Madrid (REF. LOPD), o llamar al teléfono 901 122 122, o enviar un correo electrónico a servicio_clientes@elcorteingles.es, acreditando su identidad. Así mismo, le informamos que usted puede presentar una reclamación ante la Agencia Española de Protección de Datos, especialmente cuando considere que no han sido atendidos sus derechos, para más detalle consulte la web https://www.agpd.es

16

www.iecisa.com

Proyecto de L.O. de Protección de Datos de Carácter Personal

03

www.iecisa.com 18

El GDPR es de aplicación directa a fin de lograr una regulación uniforme, pero al mismo tiempo permite que sus normas sean especificadas por los Estados miembros en la medida en que sea necesario para facilitar su comprensión por los destinatarios

La adaptación del GDPR

Habilitación a los Estados Miembros

www.iecisa.com

Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal 121/000013; 24/11/17

19

Artículo 18.4 de la Constitución española “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. El Tribunal Constitucional: el derecho a la protección • facultad del ciudadano para oponerse a que determinados datos

personales sean usados para fines distintos a aquél que justificó su obtención.

• poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

Proyecto de Ley Orgánica. Versión Española.

www.iecisa.com

Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 73 a 75 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

Art. 83.7 GDPR: Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

Proyecto. Novedades. SANCIONES A LAS ADMINISTRACIONES PÚBLICAS

www.iecisa.com

¿Peor que las sanciones económicas…?

21

www.iecisa.com

¿Peor que las sanciones económicas…?

22

La Agencia Española de Protección de Datos (AEPD) ha hecho pública su Resolución en la que confirma que el Ministerio de Justicia ha cometido una infracción tipificada como grave en la Ley Orgánica de Protección de Datos (LOPD) a causa de la brecha de seguridad de la plataforma LexNET que permitió a los usuarios acceder a los buzones personales de terceros. También queda demostrado, que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos.

www.iecisa.com

Principio de minimización de datos.

Excluye “consentimiento tácito”.

Edad a partir de la cual el menor puede prestar su consentimiento en trece años.

Derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.

Responsable y encargado del tratamiento: medidas generales de responsabilidad activa, régimen del encargado del tratamiento, figura del delegado de protección de datos y mecanismos de autorregulación y certificación.

Delegado de Protección de Datos.

Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos.

Régimen Sancionador infracciones muy graves, graves y leves.

Proyecto. Novedades. Desarrollo del RGPD

www.iecisa.com

• Disposición Adicional Primera

“El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en

caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o

acceso no autorizado, adaptando los criterios de determinación del riesgo en el

tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE)

2016/679” ( *)

( *) Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

(ISO 27001 en el Sector Privado)

Proyecto. Novedades Medidas de Seguridad en el ámbito del Sector Público

www.iecisa.com

Herramientas para las AAPP https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Impacto_RGPD_en_AAPP.pdf

www.iecisa.com

• Principio de limitación de la recogida Los datos deben obtenerse por medios legales y justos, y siempre que sea apropiado, con el conocimiento o consentimiento del interesado.

• Principio de calidad de datos Los datos personales deben ser relevantes para los fines para los cuales se van a utilizar

• Principio de especificación del Propósito El propósito de la recogida de datos se deberá especificar en el momento en que se produce, y su uso se verá limitado al cumplimiento de los objetivos comunicados

• Principio de Limitación de uso Los datos personales no deben utilizarse para fines que no estén destinados al propósito original y especificado.

• Principio de salvaguardias de seguridad Los datos personales deben estar protegidos por medidas de seguridad razonables contra riesgos tales como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de datos.

• Principio de transparencia Los interesados deben tener fácil acceso a la información sobre sus datos personales, quién la tiene, dónde y para qué la utilizan.

• Principio de participación individual Los interesados deben tener derecho a saber si un responsable tiene datos sobre ellos y a tener acceso a esos datos en forma inteligible, en un tiempo razonable y por un coste, si lo hay, que no sea excesivo. También derecho a actuar contra un responsable por negarse a otorgar acceso a sus datos, así como a cuestionar la exactitud de los datos. Si se encuentra que estos datos son inexactos, los datos deben borrarse o rectificarse.

Directrices de la OCDE

26

www.iecisa.com

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público

04

www.iecisa.com

• Transposición de las Directivas • Directiva 2014/24/UE, sobre contratación pública. • Directiva 2014/25/UE, relativa a la contratación por entidades que

operan en los sectores del agua, la energía, los transportes y los servicios postales.

• Directiva 2014/23/UE, relativa a la adjudicación de contratos de concesión.

• Objetivos internos: • Tramitación Electrónica • Mayor transparencia. • Incrementar los controles sobre la corrupción. • Control de la morosidad. • Favorecer la contratación con PYMES. • Mejor relación calidad-precio. • Simplificación de trámites. • Sociales, laborales, medioambientales e innovadores.

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Objetivos

200.000 millones de euros anuales, 20% del PIB.

www.iecisa.com

La licitación Electrónica • La presentación de ofertas y solicitudes de participación se llevará a cabo

utilizando medios electrónicos (hay excepciones técnicas y de seguridad) – Estándares – Garantías de integridad; acceso controlado; NO acceso antes de los plazos – fecha y hora de presentación y de acceso – Posibilidad de detectar violaciones

• El envío por medios electrónicos de las ofertas podrá hacerse en dos fases: – huella electrónica de la oferta, presentación válida – la oferta propiamente dicha en un plazo máximo de 24 horas.

Facturación • Obligación de presentación de facturas en un registro administrativo e

identificación de órganos • Los subcontratistas deberán utilizar en su relación con el contratista

principal la factura electrónica

Lo electrónico en la Ley 9/2017

29

PLACE

Integraciones

www.iecisa.com

Deberán garantizar • Hora y la fecha exactas de la recepción de las ofertas, de las solicitudes de participación, de la

documentación asociada a estas y las del envío de los planos y proyectos. • que nadie tenga acceso a los datos y documentos transmitidos antes de que finalicen los plazos

especificados. • Que únicamente las personas autorizadas puedan fijar o modificar las fechas de apertura de los

datos y documentos recibidos. • Que solo las personas autorizadas puedan acceder a la totalidad o a parte de los datos y

documentos presentados. • Que solo las personas autorizadas puedan dar acceso a los datos y documentos transmitidos, y

solo después de la fecha especificada. • Que los datos y documentos recibidos y abiertos en aplicación de los presentes requisitos solo

sean accesibles a las personas autorizadas a tener conocimiento de los mismos. • Que en caso de que se infrinjan o se intenten infringir las prohibiciones o condiciones de acceso

pueda garantizarse razonablemente que las infracciones o tentativas sean claramente detectables.

Requisitos específicos relativos a las herramientas y los dispositivos de recepción electrónica de documentos

30

www.iecisa.com

PUBLICIDAD Se suprime la posibilidad de contratar sin publicidad (Excepto Artículo 168. Supuestos de aplicación del procedimiento negociado sin publicidad.)

PYMES División de los contratos por lotes. Menos requisitos de Solvencia técnica. Criterio calidad precio

MOROSIDAD Registro electrónico de facturas. Fra. Electrónica. Plazos legales. Posibilidad pago directo AAPP a proveedores.

MENORES REDUCCIÓN DE LÍMITES 40.000 € OBRAS 15.000€ RESTO

ADJUDICACIÓN EXPRÉS 80.000€ OBRAS 35.000 RESTO

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (I)

www.iecisa.com

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (II)

CLAUSULAS SOCIALES Y MEDIOAMBIENTALES Incorporación en toda contratación de criterios sociales y medioambientales.

INSERCIÓN LABORAL Se reservará un porcentaje de contratos para empresas de inserción laboral y discapacidad.

IMPAGO DE SALARIOS Posibilidad de rescindir los contratos por impago de salario a los trabajadores.

CORRUPCIÓN

No podrán ser contratistas de las Administraciones Públicas los condenados por corrupción entre particulares.

CONTROLES OFICINA INDEPENDIENTE DE REGULACIÓN Y SUPERVISIÓN Ponencia Permanente en Las Cortes. Empleado Público RESPOSABLE DEL CONTRATO

www.iecisa.com

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (III)

PARTIDOS POLÍTICOS Y SINDICATOS Quedan sometidos a la nueva Ley

PARAISOS FISCALES Se adquiere el compromiso del Gobierno de actualizar la lista de países y territorios que tengan la calificación de paraíso fiscal, una vez publicadas la lista de paraísos fiscales de la UE y de la OCDE.

NUEVOS PROCEDIMIENTOS

• Abierto simplificado • Licitación con Negociación • Asociación para la Innovación

CONTRATACIÓN ELECTRÓNICA Obligatoria en todos los aspectos del proceso

EXPECTATIVAS NO CUMPLIDAS

Indemnizaciones. Se prohíben las indemnizaciones por expectativas de mercado no cumplidas, lo que dificultará la asunción de responsabilidades patrimoniales por parte de la Administración ante proyectos fallidos como las radiales o el Proyecto Castor.

www.iecisa.com

Ejemplo de Información al Interesado

Anexo I

www.iecisa.com

José Estañ Iniciativas Digitales & ECM jose_estan@iecisa.com Informática El Corte Inglés