gdpr y nueva ley de contratación€¦ · substrato histórico, sociológico, cultural… las leyes...
TRANSCRIPT
www.iecisa.com
C o n t e n i d o
0 1
0 2
0 3
0 4
0 5
0 6
Aproximación a las leyes
Regl. (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)
Proyecto de L.O. de Protección de Datos de Carácter Personal
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público
2
www.iecisa.com
Aproximación a las leyes Substrato histórico, sociológico, cultural…
Las leyes son resultado de una historia y de un entorno económico, político, cultural, tecnológico…
Y tienen una finalidad
www.iecisa.com
El cumplimiento de las Normas Administrativas aproxima a las Administraciones al cumplimiento del GDPR
www.iecisa.com 7
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 mayo de 2018 Directamente aplicable, no requiere de normas internas de trasposición ni de desarrollo o aplicación.
Reglamento (UE) 2016/679 GDPR
www.iecisa.com
Datos Personales Personal – Curricula Clientes – Contactos
Imágenes- Videovigilamcia
Licitud del Tratamiento
Consentimiento – Finalidad Conservación – Destinatarios Derechos de los Interesados
Política de Información Transparencia del Tratamiento
Información al interesado Comunicación al Interesado
Derechos de los Interesados Acceso – Rectificación – Supresión -
Limitación - Oposición - Reclamación - Portabilidad - Perfiles
Mantenimiento
Política de Información Derechos de los Interesados Responsabilidad Proactiva
Documentación Informativa Garantías de Cumplimiento
Política de Seguridad
Desde el Diseño y por defecto Medidas de Seguridad Evaluación de Impacto
Responsabilidad Encargados del tratamiento
Destinatarios de Datos Personal Autorizado
Mantenimiento Política de Seguridad
Contratos de Responsabilidad Registro de Actividades
Violación de Datos Evaluación de Impacto
Reglamento (UE) 2016/679 GDPR.
Esquema
DELEGADO DE PROTECCIÓN DE DATOS (DPD / DPO)
www.iecisa.com
Reglamento (UE) 2016/679 GDPR. Novedades
9
1995 2018 Cambio de foco
Fichero Datos
Qué datos tengo
Tratamiento Finalidad
Riesgo Qué hago con los
datos
www.iecisa.com
Reglamento (UE) 2016/679 GDPR. Novedades
11
Nuevas obligaciones:
Información Clara
Notificación de violaciones de seguridad
Facilitar el ejercicio de los derechos de los interesados
Registro de Actividades
Evaluación de impacto previa.
Nuevos Sujetos: Delegado de Protección de datos
Corresponsables
Representantes
Nuevos Derechos de los interesados:
Olvido
Portabilidad
Limitación del tratamiento
Decisiones Individualizadas
Acceso a copias
Notificaciones
Nuevas sanciones: 20.000.000 euros
4% del volumen de negocio total anual global del ejercicio financiero anterior
Nuevos Principios
¿Qué cambia el Reglamento?
Proactividad Evaluación del Riesgo Verificación
www.iecisa.com
Reglamento (UE) 2016/679 GDPR Políticas
13
CONSERVACIÓN EVIDENCIAS ELECTRÓNICAS
POLITICA DOCUMENTAL
CARPETA DE DATOS DEL
INTERESADO
POLÍTICA DE PROTECCIÓN
DE DATOS
POLÍTICA DE SEGURIDAD
REPOSITORIO UNIFICADO ECM
Discovery Suite
Políticas de retención
Decomisionado de aplicaciones Seguridad
Auditorías
Acceso al contenido Microservicios Servicios web
Rectificación de datos. Supresión de datos (Olvido)
Dar Acceso del Interesado a los datos y enviarle copias.
Limitación del tratamiento
Notificación de Violaciones de Seguridad a la Autoridad y al interesado. PLAZO 72 HORAS
Acreditar que se ha obtenido el consentimiento libre, específico, informado e inequívoco
Oposición
Portabilidad
Informar sobre todos los extremos del tratamiento
Control de plazos de conservación y de supresión
www.iecisa.com
Qué hacer hasta el 25 de mayo... Y después El Tratamiento Las Operaciones Los Ficheros de Datos
IDENTIFICAR
• Colectivos de Interesados • Fines del Tratamiento • Ficheros de Datos • Sistemas de Tratamiento
• Obtención • Acceso • Operaciones • Conservación - Supresión
• Responsabilidades (RT/ET) • Categorías de Datos • Categorías de Tratamiento • Diseño del Tratamiento
El Tratamiento Política de Información Política de Seguridad
LEGITIMAR
• Consentimiento • Interés Legítimo • Categorías Especiales • Categorías Penales • Elaboración de Perfiles
• Información al Interesado • Comunicación de la Información • Derechos del Interesado
• Desde el diseño y por defecto • Análisis de Riesgos • Evaluación de Impacto • Medidas de Seguridad
www.iecisa.com
Qué hacer hasta el 25 de mayo... Y después
Intervinientes en el Tratamiento
Garantías de Protección de Datos
Documentación del Tratamiento
DOCUMENTAR
• Personal Autorizado • Encargados del Tratamiento • Subcontrataciones • Destinatario de datos • Corresponsables • Transferencias Internacionales
• Contratos con los intervinientes • Contratación del DPO • Consentimientos explícitos • Cláusulas Informativas • Iconos Informativos • Cláusulas de la web e Internet
• Responsabilidad Proactiva • Política de Información • Política de Seguridad • Registro de Actividades • Auditoría de Cumplimiento
Protocolos de Protección
de Datos Garantías de
Cumplimiento Autoridad de Control
GARANTIZAR
• Derechos del Interesado • Violaciones de Seguridad • Situaciones específicas de
tratamiento
• Certificación del RT o ET • Certificación de la AC • Códigos de Conducta • Normas Corporativas Vinculantes
• Notificación de violaciones • Cláusulas tipo de contratos • Cláusulas tipo de transferencias • Evaluación de Impacto • Consultas Previas
www.iecisa.com
INFORMACIÓN REFERENTE A LOS DATOS PERSONALES OBTENIDOS A TRAVÉS DEL TERMINAL PUNTO DE VENTA (T.P.V.) DISPONIBLES EN LAS EMPRESAS DEL GRUPO EL CORTE INGLÉS
RESPONSABLE El responsable del tratamiento es El Corte Inglés, S.A., con domicilio social en la C/ Hermosilla 112, 28009 Madrid. Contacto: [email protected]
FINALIDAD Actualizar sus datos personales de cliente con la finalidad de incorporarlos a los ficheros de las empresas del Grupo El Corte Inglés y Financiera El Corte Inglés para realizar comunicaciones publicitarios o comerciales conforme a su perfil mediante tratamientos automatizados, por todos los canales disponibles incluidos medios electrónicos. Su consentimiento ha sido facilitado por usted, mediante la aceptación en la tableta del Terminal Punto de Venta. Sus datos de contacto se conservarán mientras exista un interés mutuo para mantener la finalidad del tratamiento, o cuando usted ejerza el derecho de supresión, cancelación u oposición de los mismos.
LEGITIMACIÓN La licitud para el tratamiento viene determinada por su consentimiento, el cual ha sido prestado y recabado a través de la tableta digital del Terminal Punto de Venta.
DESTINATARIOS Sus datos se comunicarán a las siguientes empresas del Grupo El Corte Inglés y afines: (Se incluye la relación y los datos de esas empresas)
DERECHOS Usted tiene derecho a obtener el acceso a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos. En determinadas circunstancias, usted podrá solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o defensa de reclamaciones. Cuando sea técnicamente posible, usted podrá solicitar la portabilidad de sus datos a otro responsable del tratamiento, en cuyo caso únicamente los conservaremos para el ejercicio o defensa de reclamaciones. Para ejercitar estos derechos, de conformidad con la legislación vigente, usted puede dirigirse a C/ Hermosilla 112, 28009 Madrid (REF. LOPD), o llamar al teléfono 901 122 122, o enviar un correo electrónico a [email protected], acreditando su identidad. Así mismo, le informamos que usted puede presentar una reclamación ante la Agencia Española de Protección de Datos, especialmente cuando considere que no han sido atendidos sus derechos, para más detalle consulte la web https://www.agpd.es
16
www.iecisa.com 18
El GDPR es de aplicación directa a fin de lograr una regulación uniforme, pero al mismo tiempo permite que sus normas sean especificadas por los Estados miembros en la medida en que sea necesario para facilitar su comprensión por los destinatarios
La adaptación del GDPR
Habilitación a los Estados Miembros
www.iecisa.com
Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal 121/000013; 24/11/17
19
Artículo 18.4 de la Constitución española “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. El Tribunal Constitucional: el derecho a la protección • facultad del ciudadano para oponerse a que determinados datos
personales sean usados para fines distintos a aquél que justificó su obtención.
• poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.
Proyecto de Ley Orgánica. Versión Española.
www.iecisa.com
Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 73 a 75 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Art. 83.7 GDPR: Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.
Proyecto. Novedades. SANCIONES A LAS ADMINISTRACIONES PÚBLICAS
www.iecisa.com
¿Peor que las sanciones económicas…?
22
La Agencia Española de Protección de Datos (AEPD) ha hecho pública su Resolución en la que confirma que el Ministerio de Justicia ha cometido una infracción tipificada como grave en la Ley Orgánica de Protección de Datos (LOPD) a causa de la brecha de seguridad de la plataforma LexNET que permitió a los usuarios acceder a los buzones personales de terceros. También queda demostrado, que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos.
www.iecisa.com
Principio de minimización de datos.
Excluye “consentimiento tácito”.
Edad a partir de la cual el menor puede prestar su consentimiento en trece años.
Derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Responsable y encargado del tratamiento: medidas generales de responsabilidad activa, régimen del encargado del tratamiento, figura del delegado de protección de datos y mecanismos de autorregulación y certificación.
Delegado de Protección de Datos.
Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos.
Régimen Sancionador infracciones muy graves, graves y leves.
Proyecto. Novedades. Desarrollo del RGPD
www.iecisa.com
• Disposición Adicional Primera
“El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en
caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o
acceso no autorizado, adaptando los criterios de determinación del riesgo en el
tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE)
2016/679” ( *)
( *) Medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
(ISO 27001 en el Sector Privado)
Proyecto. Novedades Medidas de Seguridad en el ámbito del Sector Público
www.iecisa.com
Herramientas para las AAPP https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Impacto_RGPD_en_AAPP.pdf
www.iecisa.com
• Principio de limitación de la recogida Los datos deben obtenerse por medios legales y justos, y siempre que sea apropiado, con el conocimiento o consentimiento del interesado.
• Principio de calidad de datos Los datos personales deben ser relevantes para los fines para los cuales se van a utilizar
• Principio de especificación del Propósito El propósito de la recogida de datos se deberá especificar en el momento en que se produce, y su uso se verá limitado al cumplimiento de los objetivos comunicados
• Principio de Limitación de uso Los datos personales no deben utilizarse para fines que no estén destinados al propósito original y especificado.
• Principio de salvaguardias de seguridad Los datos personales deben estar protegidos por medidas de seguridad razonables contra riesgos tales como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de datos.
• Principio de transparencia Los interesados deben tener fácil acceso a la información sobre sus datos personales, quién la tiene, dónde y para qué la utilizan.
• Principio de participación individual Los interesados deben tener derecho a saber si un responsable tiene datos sobre ellos y a tener acceso a esos datos en forma inteligible, en un tiempo razonable y por un coste, si lo hay, que no sea excesivo. También derecho a actuar contra un responsable por negarse a otorgar acceso a sus datos, así como a cuestionar la exactitud de los datos. Si se encuentra que estos datos son inexactos, los datos deben borrarse o rectificarse.
Directrices de la OCDE
26
www.iecisa.com
• Transposición de las Directivas • Directiva 2014/24/UE, sobre contratación pública. • Directiva 2014/25/UE, relativa a la contratación por entidades que
operan en los sectores del agua, la energía, los transportes y los servicios postales.
• Directiva 2014/23/UE, relativa a la adjudicación de contratos de concesión.
• Objetivos internos: • Tramitación Electrónica • Mayor transparencia. • Incrementar los controles sobre la corrupción. • Control de la morosidad. • Favorecer la contratación con PYMES. • Mejor relación calidad-precio. • Simplificación de trámites. • Sociales, laborales, medioambientales e innovadores.
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Objetivos
200.000 millones de euros anuales, 20% del PIB.
www.iecisa.com
La licitación Electrónica • La presentación de ofertas y solicitudes de participación se llevará a cabo
utilizando medios electrónicos (hay excepciones técnicas y de seguridad) – Estándares – Garantías de integridad; acceso controlado; NO acceso antes de los plazos – fecha y hora de presentación y de acceso – Posibilidad de detectar violaciones
• El envío por medios electrónicos de las ofertas podrá hacerse en dos fases: – huella electrónica de la oferta, presentación válida – la oferta propiamente dicha en un plazo máximo de 24 horas.
Facturación • Obligación de presentación de facturas en un registro administrativo e
identificación de órganos • Los subcontratistas deberán utilizar en su relación con el contratista
principal la factura electrónica
Lo electrónico en la Ley 9/2017
29
PLACE
Integraciones
www.iecisa.com
Deberán garantizar • Hora y la fecha exactas de la recepción de las ofertas, de las solicitudes de participación, de la
documentación asociada a estas y las del envío de los planos y proyectos. • que nadie tenga acceso a los datos y documentos transmitidos antes de que finalicen los plazos
especificados. • Que únicamente las personas autorizadas puedan fijar o modificar las fechas de apertura de los
datos y documentos recibidos. • Que solo las personas autorizadas puedan acceder a la totalidad o a parte de los datos y
documentos presentados. • Que solo las personas autorizadas puedan dar acceso a los datos y documentos transmitidos, y
solo después de la fecha especificada. • Que los datos y documentos recibidos y abiertos en aplicación de los presentes requisitos solo
sean accesibles a las personas autorizadas a tener conocimiento de los mismos. • Que en caso de que se infrinjan o se intenten infringir las prohibiciones o condiciones de acceso
pueda garantizarse razonablemente que las infracciones o tentativas sean claramente detectables.
Requisitos específicos relativos a las herramientas y los dispositivos de recepción electrónica de documentos
30
www.iecisa.com
PUBLICIDAD Se suprime la posibilidad de contratar sin publicidad (Excepto Artículo 168. Supuestos de aplicación del procedimiento negociado sin publicidad.)
PYMES División de los contratos por lotes. Menos requisitos de Solvencia técnica. Criterio calidad precio
MOROSIDAD Registro electrónico de facturas. Fra. Electrónica. Plazos legales. Posibilidad pago directo AAPP a proveedores.
MENORES REDUCCIÓN DE LÍMITES 40.000 € OBRAS 15.000€ RESTO
ADJUDICACIÓN EXPRÉS 80.000€ OBRAS 35.000 RESTO
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (I)
www.iecisa.com
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (II)
CLAUSULAS SOCIALES Y MEDIOAMBIENTALES Incorporación en toda contratación de criterios sociales y medioambientales.
INSERCIÓN LABORAL Se reservará un porcentaje de contratos para empresas de inserción laboral y discapacidad.
IMPAGO DE SALARIOS Posibilidad de rescindir los contratos por impago de salario a los trabajadores.
CORRUPCIÓN
No podrán ser contratistas de las Administraciones Públicas los condenados por corrupción entre particulares.
CONTROLES OFICINA INDEPENDIENTE DE REGULACIÓN Y SUPERVISIÓN Ponencia Permanente en Las Cortes. Empleado Público RESPOSABLE DEL CONTRATO
www.iecisa.com
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público Novedades (III)
PARTIDOS POLÍTICOS Y SINDICATOS Quedan sometidos a la nueva Ley
PARAISOS FISCALES Se adquiere el compromiso del Gobierno de actualizar la lista de países y territorios que tengan la calificación de paraíso fiscal, una vez publicadas la lista de paraísos fiscales de la UE y de la OCDE.
NUEVOS PROCEDIMIENTOS
• Abierto simplificado • Licitación con Negociación • Asociación para la Innovación
CONTRATACIÓN ELECTRÓNICA Obligatoria en todos los aspectos del proceso
EXPECTATIVAS NO CUMPLIDAS
Indemnizaciones. Se prohíben las indemnizaciones por expectativas de mercado no cumplidas, lo que dificultará la asunción de responsabilidades patrimoniales por parte de la Administración ante proyectos fallidos como las radiales o el Proyecto Castor.
www.iecisa.com
José Estañ Iniciativas Digitales & ECM [email protected] Informática El Corte Inglés