Datuak BabestekoErregelamendu Orokorra

Eusko Jaurlaritzan

El Reglamento General de Protección de Datos en el Gobierno Vasco

Dirección de Informática y Telecomunicaciones

Xabier Patxi Arrieta

Gabinete Tecnológico del Gobierno Vasco

RGPD europeo• Expedientes DIT-8-2017 y DIT-6-2018• Secretaría Técnica de apoyo

2

«La protección de las personas físicas, en relación con el tratamiento de datos personales, es un derecho fundamental»

Antecedentes• Marco general hasta 2017

3

Directiva europea 1995Directiva 95/46/CE, a transponer por los Estados miembros

LOPD 1999 (transposición)Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

LVPD 2004Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos

RLOPD 2007Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD

Actualidad• Marco a partir del 25 de mayo de 2018

4

Reglamento europeo 2016

Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de  2016 (Reglamento General de Protección de Datos o RGPD)

Anteproyecto LOPD ¿2018?

(Pero el RGPD es de aplicación directa)

LVPD ¿?

(¿Será necesaria?) RLOPD ¿?

(¿Hará falta?)

Situación organizativa en GV

5

Acuerdo de Consejo de Gobierno, de 16 de julio de 2002, que facilitó la implantación de la LOPD en el Gobierno Vasco, realizando una propuesta organizativa y de distribución de funciones

Adaptación Situación organizativa en GV• A partir de mayo de 2018

6

Esta NORMA se debe crear, por lo que la Secretaría Técnica propondrá diversas alternativas en concordancia con la propuesta organizativa

Necesidad de un norma jurídica que organice la seguridad de los datos personales de la Comunidad Autónoma del País Vasco

Objetivos de la implantación RGPD

7

Roles y responsabilidades Norma Política 

Revisar la política de protección de datos personales y los procesos existentes en el ámbito del Gobierno Vasco

Proponer un modelo de roles y responsabilidades

Ejecutar el plan de adecuación, a través de la realización del documento legal que corresponda (Norma)

Crear un documento de alto nivel de Política de Protección de datos personales en el Gobierno Vasco

Retos del RGPD

8

•Por defecto y desde el diseño

•Evaluaciones de Impacto sobre la Privacidad

•Proactividad o Principio de Responsabilidad

•Delegado de Protección de Datos (obligatorio para Autoridades y organismos públicos) DPD Accountability

PrivacidadPIA

DERECHOS de la ciudadanía

9

TRANSPARENCIA e INFORMACIÓN

CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro

DERECHO AL OLVIDO

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

PORTABILIDAD DE LOS DATOS

DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios

INDEMNIZACIONES

Tareas de la Secretaría Técnica

10

Apoyo a la implantación del RGPD

Revisión de información existente en GV

Política de protección de 

datos personales

Procesos asociados a dicha política 

Roles (RF, RS y ET) con responsabilidades y tareas asociadas

Propuestas de modificación

Política adaptada el RGPD

Procesos adoptando el RGPD

Nuevos roles (RT, ET, DPD)

Tareas de la Secretaría Técnica (cont.)

11

Revisió

n Obligaciones del Encargado de Tratamiento principal del GV —EJIE, S.A.—desde el punto de vista del RGPD

Revisió

n Encargo general que realiza el GV a EJIE para adaptarse al RGPD (que contiene obligaciones expresamente dirigidas a los Encargados, ya que tienen obligaciones propias)

Prop

uesta Modificación del 

Encargo general que realiza el GV a EJIE en función de las obligaciones asociadas a los Encargados de Tratamiento

Tareas de la Secretaría Técnica (cont.)

12

Revisió

n y encaje de las novedades aparecidas en el RGPD y propuesta de nuevos procesos asociados a estas novedades• registro interno de tratamientos• nombramiento delegado de protección de datos

• evaluaciones de impacto• privacidad desde el diseño• seguridad basada en el análisis de riesgos

• adopción de códigos de conducta• derecho al olvido• notificación de las brechas de seguridad…

Revisió

n del modelo de transferencia internacionales según el RGPD

Notificación de violaciones de seguridad y 

comunicación(a las Autoridades de Control y a las personas afectadas)

Tareas de la Secretaría Técnica - Resumen

13

Adecuación de la documentación que regula la protección de datos personales en Gobierno Vasco

Propuesta de estructura de Roles y responsabilidades

Creación de una NORMA y una Política de protección de datos personales

Situación organizativa propuesta

14

Responsables del Tratamiento: Directores/as sectoriales(anteriores Responsables de Fichero)

Responsables de las medidas de privacidad (figura NO obligatoria): Directores/as de Servicios (responsables de aplicar dicha medidas en el Departamento)

•Dependencia funcional (no jerárquica con el DPD)•El Delegado de Protección de Datos coordina, controla y supervisa su actuación•Dependencia funcional (no jerárquica con el DPD)•El Delegado de Protección de Datos coordina, controla y supervisa su actuación

Referentes de Protección de Datos (figura NO obligatoria):  persona perteneciente a la Dirección de Servicios (con perfil jurídico)

Situación organizativa propuesta (cont.)

15

•Dependiente de la persona titular de la Consejería competente en Administración Pública•Con personal adscrito (unidad de apoyo técnico‐administrativo)

Delegado/a de Protección de Datos (DPD), una persona delegada única para todo el Gobierno Vasco (Departamentos + Organismos Autónomos + EPDP)

•Órgano propuesto por la Secretaría Técnica (no obligatoria)•De nueva creación (para coordinar la labor de velar por la protección de datos)• Presidido por el DPD del GV•Compuesto además por los Referentes de Protección de Datos

Comité de Protección de Datos, cuya misión sea velar por la protección de datos(DPD + Referentes)

• Las personas Responsables de la Información son también las Responsables de las medidas de privacidad

Propuesta: reconvertir el Comité de Seguridad Corporativa (asociado al ENS) en Comité de Seguridad y Privacidad Corporativa

Roles y Responsabilidades

16

Gobernanza Pública y Autogobierno

Competente en

 Protección de

 Datos Unidad de apoyo 

técnico‐administrativa

Persona Delegada de Protección de Datos —DPD—(órgano de nueva creación)

Responsable del Tratamiento:‐ Director/a sectorial en Dpto.(antiguo Responsable de Fichero)‐ Órgano directivo en OOAA / EPDP

Referente de Protección de Datos:Persona con conocimientos jurídicos Adscrita a ‐ Dirección de Servicios del Dpto.‐ Órgano directivo en OOAA / EPDP

Responsable de las medidas de privacidad‐ Director/a de Servicios del Dpto.‐ Órgano directivo en OOAA / EPDP

Comparativa LOPD / ENS / RGPD

17

Concepto LOPD ENS RGPDNorma interna ACG 2002 ACG 2015 ACG 2018

Responsable del Fichero

de la Informaciónde los Servicios Comunesde la Seguridad y los Sistemasde Explotación de los Sistemas

del Tratamiento

Encargado del Tratamiento (ver Responsable) del TratamientoDPD n/a n/a Decreto creación órganoResponsable de Seguridad Obligatorio (ver Responsable) n/aRegistro de Ficheros Obligatorio n/a n/aDocumento de Seguridad Obligatorio n/a n/aRegistro de Tratamientos n/a Catálogo de Servicios ObligatorioAuditoria nivel Básico optativa Autoevaluación Posible

Auditoria niveles Medio y Alto BienalBienal – entidad externa certificada

Posible

Análisis de Riesgos n/a bienal ObligatorioPIA n/a n/a Obligatorio (ciertos tratamientos)Incidentes seguridad n/a CNN‐CERT Notificar en 72 h.Consentimiento interesado Tácito n/a ExplícitoDerechos ciudadanía ARCO n/a ARCO + Limitación + Portabilidad

18