presentación de powerpoint - iisgm · la ue, que actuará como punto de contacto entre las...
TRANSCRIPT
1
Reglamento General de
Protecc ión de Datos
(F IBHGM)
N a t a l i a O l i v a r e s Á l v a r e z
n a t a l i a . o l i v a r e s @ a l a r o a v a n t . c o m
PARTE GENERAL
2Estrictamente privado y confidencial. Para uso exclusivo del destinatario
3Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Artículo 18.4 Constitución Española
“La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”
La protección de datos de carácter personal es un derecho fundamental
1978
Reglamento General de Protección de Datos
Reglamento General de Protección de Datos
4Estrictamente privado y confidencial. Para uso exclusivo del destinatario
I N T R O D U C C I Ó N
• Deroga la actual Directiva 95/46/CE de protección de datos
• Sustituye en aquello que lo contradiga a la LOPD y al RLOPD
Será aplicable en toda la Unión Europea desde el 25 de mayo de 2018
El Reglamento Europeo 2016/679 de Protección de Datos (RGPD) es el nuevo marco jurídico de la UE que rige el uso de los datos personales
Hasta el 25 de mayo de 2018 se aplicaba la LOPD y el RLOPD
5Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Objeto del RGPD
El objetivo del RGPD es dar más control a los
ciudadanos sobre su información privada en un
mundo con cada vez más dependencia a los
teléfonos inteligentes, a las redes sociales, a la
banca por internet, al internet de las cosas, al
big data y a las transferencias globales.
Reglamento General de Protección de Datos
I N T R O D U C C I Ó N
Reglamento General de Protección de Datos
6Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Á M B I T O D E A P L I C A C I Ó N
• Territorial: responsables o encargados del tratamiento establecidos
en la Unión Europea
Ámbito de aplicación general
• Objetivo: protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de los
mismos.
• Material: se aplica al tratamiento de datos personales,
automatizados o no automatizados.
Reglamento General de Protección de Datos
7Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Nuevos ámbitos de aplicación
Á M B I T O D E A P L I C A C I Ó N
• Responsables y encargados del tratamiento no establecidos en la Unión
Europea, siempre que realicen tratamientos derivados de una oferta de
bienes o servicios destinados a ciudadanos de la UE (redes sociales,
buscadores o comercio electrónico) o como consecuencia de una
monitorización y seguimiento de su comportamiento (cookies de
seguimiento de navegación o tracking).
Para ello, estas organizaciones deberán nombrar un representante en la UE, que actuará como punto de contacto entre las Autoridades de Control (como la AEPD) y los ciudadanos
8Estrictamente privado y confidencial. Para uso exclusivo del destinatario
NO APLICA
Reglamento General de Protección de Datos
• Tratamiento de datos por Estados Miembros en el ejercicio de actividades
relacionadas con el SEBC (Sistema Europeo de Bancos Centrales).
• Tratamiento de datos por autoridades competentes para los fines de
prevención, investigación, detección o enjuiciamiento de infracciones
penales, o de ejecución de sanciones penales, incluida la protección frente
amenazas a la seguridad pública.
• Persona física en el ejercicio de actividades exclusivamente personales o
domésticas. Sin embargo se aplica el Reglamento a los responsables de
tratamiento que proporcionen los medios para tratar datos personales
para actividades personales o domésticas (p.e. Facebook).
Á M B I T O D E A P L I C A C I Ó N
9Estrictamente privado y confidencial. Para uso exclusivo del destinatario
NO APLICA
Reglamento General de Protección de Datos
• Cuestiones de protección de los derechos y libertades fundamentales o
la libre circulación de datos personales relacionadas con actividades
excluidas del ámbito del derecho de la Unión Europea (p.ej.,
Actividades relativas a la Seguridad Nacional)
• Tratamiento de datos de personas fallecidas.
• Tratamiento de datos personales relativos a personas jurídicas, incluido el
nombre y la forma de la persona jurídica
Á M B I T O D E A P L I C A C I Ó N
10Estrictamente privado y confidencial. Para uso exclusivo del destinatario
“Toda información sobre una persona física identificada o
identificable”
D AT O S D E C A R Á C T E R P E R S O N A L
Es importante apuntar que el afectado o titular del dato será calificado por el RGPD como “el interesado“
Reglamento General de Protección de Datos
11Estrictamente privado y confidencial. Para uso exclusivo del destinatario
En el RGPD, la identificación de una persona a los efectos de protecciónde datos se realiza cuando puede determinarse la identidad directa oindirectamente a través de:
D AT O S D E C A R Á C T E R P E R S O N A L
Reglamento General de Protección de Datos
o elementos propios de la identidad física, fisiológica, psíquica,económica y cultural o social, a los cuales añade el elementogenético; o
«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridasde una persona física que proporcionen una información única sobre la fisiología o la salud de esapersona, obtenidos en particular del análisis de una muestra biológica de tal persona.
o por identificadores, como, por ejemplo, el nombre, un número deidentificación, datos de localización o un identificador en línea
Para conseguir identificar a una persona identificable, tener en cuenta: costes, tiempo, tecnología disponible…
Persona física identificable
12Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Tipo de información
• Alfabética: nombre y apellidos, dirección de email…
• Numérica: DNI, IP, número de teléfono…
• Fotográfica: imágenes captadas por cámara o vídeo…
• Acústica: voz humana
D AT O S D E C A R Á C T E R P E R S O N A L
• Datos genéticos y biométricos (ADN, huella digital)
Reglamento General de Protección de Datos
13Estrictamente privado y confidencial. Para uso exclusivo del destinatario
• Origen racial -> Origen étnico o racial
• Ideología -> Opiniones políticas
• Religión o Creencias -> Convicciones religiosas o filosóficas
• Afiliación sindical -> Afiliación sindical
• Salud -> Datos relativos a la Salud
• Vida sexual -> Datos relativos a la vida sexual o las orientaciones sexuales
C AT E G O R Í A S E S P E C I A L E S D E D AT O S
• Datos genéticos: información única sobre su fisiología o salud obtenidos
a partir de una muestra biológica (ej. ADN)
• Datos biométricos: obtenidos a partir de un tratamiento técnico
específico (huella digital, el iris del ojo, etc.)
→ dirigidos a identificar de manera unívoca a una persona física
Reglamento General de Protección de Datos
14Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Reglamento General de Protección de Datos
• Consentimiento explícito
• Obligación legal: por ejemplo, en derecho laboral (accidentalidad / Mutuas)
• Interés vital del interesado: por ejemplo, en un hospital
• Fundaciones o asociaciones políticas, filosóficas, religiosas o sindicales
• Datos manifiestamente públicos
• Formulación, ejercicio o defensa de reclamaciones / tribunales
• Interés público en el ámbito de la salud pública, investigación científica, histórica…
(Ley 14/2007 de investigación biomédica y el Real Decreto 1716/2011)
Regla general:
se prohíbe el tratamiento de estos datos,
salvo:
C AT E G O R Í A S E S P E C I A L E S D E D AT O S
15Estrictamente privado y confidencial. Para uso exclusivo del destinatario
• Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización, comunicación
por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción;
T R ATA M I E N T O S D E D AT O S
R E S P O N S A B L E Y E N C A R G A D O
• Responsable del tratamiento o Responsable: la persona física o jurídica, autoridadpública, servicio u otro organismo que, solo o junto con otros, determine los fines ymedios del tratamiento; si el Derecho de la Unión o de los Estados miembros determinalos fines y medios del tratamiento, el responsable del tratamiento o los criteriosespecíficos para su nombramiento podrá establecerlos el Derecho de la Unión o de losEstados miembros;
• Encargado del tratamiento o Encargado: la persona física o jurídica, autoridad pública,servicio u otro organismo que trate datos personales por cuenta del responsable deltratamiento;
Reglamento General de Protección de Datos
P R I N C I P I O S
1. Principio de licitud, lealtad y transparenciaEl tratamiento deberá ser lícito, leal y transparente.
2. Principio de limitación de la finalidadLos datos deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
3. Principio de minimización de datosLos datos deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Reglamento General de Protección de Datos
16Estrictamente privado y confidencial. Para uso exclusivo del destinatario
P R I N C I P I O S
4. Principio de exactitudLos datos deberán ser exactos, y, si fuera necesario, actualizados; se adoptarántodas las medidas razonables para que se supriman o rectifiquen sin dilación losdatos personales que sean inexactos con respecto a los fines para los que setratan.
5. Principio de limitación del plazo de conservaciónLos datos deberán ser mantenidos de forma que se permita la identificación delos interesados durante no más tiempo del necesario para los fines deltratamiento.Plazos legales establecidos para la conservación de determinados datos ydocumentos por motivos fiscales, probatorios del cumplimiento de obligaciones,etc.Excepción: fines de archivo, investigación científica, estadística etc., que podránconservarse más tiempo.
Reglamento General de Protección de Datos
17Estrictamente privado y confidencial. Para uso exclusivo del destinatario
P R I N C I P I O S
6. Principio de integridad y confidencialidadLos datos serán tratados de manera que se garantice una seguridad adecuada delos datos personales, incluida la protección contra el tratamiento no autorizado olícito y contra su pérdida, destrucción o daño accidental, mediante la aplicaciónde medidas técnicas u organizativas apropiadas.
7. Principio de responsabilidad proactivaEl Responsable debe cumplir con el RGPD y debe ser capaz de demostrarlo.
Reglamento General de Protección de Datos
18Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Reglamento General de Protección de Datos
19Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Privacidad por defecto: sólo serán objeto de tratamiento:• los datos personales que sean necesarios,• para cada uno de los fines específicos del tratamiento,• se limitará la extensión del tratamiento (plazos de conservación),• y no deberán ser accesibles a un número indeterminado de
personas físicas.
P R I VA C I D A D P O R D E F E C T O Y D E S D E E L D I S E Ñ O
Privacidad desde el diseño: en el momento de determinar losmedios (soportes) para el tratamiento de los datos y también en elmomento del tratamiento, así como a la hora de diseñar ydesarrollar aplicaciones, servicios y productos, deberá tenerse encuenta la protección de datos y considerarse la aplicación demedidas técnicas y organizativas adecuadas, como laseudonimización, el cifrado o la minimización de los datos.
Reglamento General de Protección de Datos
20Estrictamente privado y confidencial. Para uso exclusivo del destinatario
P R I VA C I D A D P O R D E F E C T O Y D E S D E E L D I S E Ñ O
• Teniendo presentes todos los principios de protección de datos durantetodo el ciclo de vida del tratamiento: desde el diseño, pasando por lapuesta en práctica, hasta la supresión de los datos.
• Reduciendo al máximo el tratamiento de los datos personales: porejemplo, utilizar una única aplicación y no muchos excel, no duplicarinformación, no recoger más datos de los necesarios…
• Dando acceso únicamente a las personas necesarias e imprescindiblespara realzar el tratamiento
• Seudonimizar lo antes posible los datos personales; cifrar la información olas comunicaciones; otras medidas que ayuden a proteger los datos
• Dar transparencia al tratamiento de datos, permitiendo a los interesadossupervisarlo
¿Cómo cumplir con estos principios?
Reglamento General de Protección de Datos
21Estrictamente privado y confidencial. Para uso exclusivo del destinatario
P R I N C I P I O D E R E S P O N S A B I L I D A D P R O A C T I VA
El Reglamento entiende que actuar sólocuando ya se ha producido unainfracción es insuficiente comoestrategia, dado que esa infracciónpuede causar daños a los interesadosque pueden ser muy difíciles decompensar o reparar.
Por ello, el Reglamento prevé una bateríacompleta de medidas:
Reglamento General de Protección de Datos
22Estrictamente privado y confidencial. Para uso exclusivo del destinatario
P R I N C I P I O D E R E S P O N S A B I L I D A D P R O A C T I VA
• Mantener un registro de actividades de tratamiento• Nombrar a un DPO• Privacidad por defecto• Privacidad desde el diseño• Notificación de brechas de seguridad• Aplicar medidas de seguridad adecuadas (enfoque del riesgo)• Realizar Evaluaciones de impacto (EIPD o PIA)• Promoción de códigos de conducta y esquemas de certificación,
política y procedimientos de protección de datos• Diligencia debida en la selección de los encargados del tratamiento• Autorizaciones o consultas previas con la AEPD• Formación
Medidas de responsabilidad proactiva
23Estrictamente privado y confidencial. Para uso exclusivo del destinatario
El tratamiento de datos personales solo se considerará
lícito si cumple una de las siguientes condiciones:
L I C I T U D D E L T R ATA M I E N T O
• El interesado ha prestado su consentimiento.
• El tratamiento es necesario para:
• La ejecución de un contrato.
• Una obligación legal.
• Proteger los intereses vitales del interesado o de otra persona física.
• El cumplimiento de una misión realizada en interés público o en el ejerciciode poderes públicos conferidos al responsable del tratamiento.
• La satisfacción de un interés legitimo siempre que, sobre dichos intereses,no prevalezcan los intereses o los derechos y libertades fundamentales delinteresado que requieran la protección de datos personales
Reglamento General de Protección de Datos
24Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Con la aprobación del Reglamento se modifica la regulaciónrespecto a la obtención del consentimiento del interesado.
Cuando el tratamiento se base en el consentimiento delinteresado, corresponderá al responsable del tratamientodemostrar que el interesado prestó el consentimiento porcualquier medio de prueba admisible en derecho.
Por lo tanto, la carga de la prueba recae en el responsable deltratamiento.
Carga de prueba en cuanto a la obtención del consentimiento
Reglamento General de Protección de Datos
C O N S E N T I M I E N T O
25Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C O N S E N T I M I E N T O
art. 3.h) LOPDToda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta
art. 4.11 RGPDToda manifestación de voluntad, libre, específica, informada e inequívoca, por la que el interesado acepta,
el tratamiento de los datos personales que le conciernen
ya sea mediante una declaración o una clara acción afirmativa,el tratamiento de datos personales que le conciernen
Reglamento General de Protección de Datos
C O N S E N T I M I E N T O
Reglamento General de Protección de Datos
El consentimiento debe ser “inequívoco”
A diferencia del RLOPD, el RGPD no admite formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.
cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
El consentimiento puede ser inequívoco y otorgarse de forma implícita
26Estrictamente privado y confidencial. Para uso exclusivo del destinatario
27Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C O N S E N T I M I E N T O
Reglamento General de Protección de Datos
Situaciones en las que el consentimiento, además de
inequívoco, ha de ser explícito:
Los tratamientos iniciados con anterioridad al inicio de la aplicación delRGPD sobre la base del consentimiento seguirán siendo legítimos siempreque ese consentimiento se hubiera prestado del modo en que prevé elpropio RGPD, es decir, mediante una manifestación o acción afirmativa.
El interesado tiene derecho a retirar su consentimiento en cualquier momento.
• Tratamiento de datos sensibles• Adopción de decisiones automatizadas• Transferencias internacionales de datos
28Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Recogida de datos personales a través de páginas web (formularios)
La prestación del consentimiento por el interesado en un sitio web debe realizarse mediante una acción afirmativa:
C O N S E N T I M I E N T O
• Marcar una casilla• Seleccionar la configuración técnica de los servicios de sociedad de la información • Cualquier otra declaración o conducta por la que el usuario acepta el tratamiento
NO constituirá obtención del consentimiento: • El silencio• Las casillas premarcadas• La inacción (p.ej., plazo de 30 días)
El consentimiento debe darse para todas las actividades de tratamiento y para todos los fines
Reglamento General de Protección de Datos
29Estrictamente privado y confidencial. Para uso exclusivo del destinatario
El derecho de transparencia exige a los responsables del tratamiento a
tomar las medidas pertinentes para proporcionar al interesado
cualquier información:
• En una forma concisa, transparente, comprensible y de fácil acceso,
• utilizando un lenguaje claro y sencillo,
• y especialmente, para cualquier información dirigida a un menor.
• Por escrito (inclusive, medios electrónicos),
• en el plazo de un mes desde que se recibe la solicitud,
• de forma gratuita (salvo excepciones).
• A través de iconos (opcional)
D E R E C H O S
Reglamento General de Protección de Datos
Derecho de transparencia e información
• Base jurídica del tratamiento (consentimiento, relación contractual, obligación legal, etc.)
• Los interés legítimos, si es el caso• Intención de realizar TID• Datos del DPO (si lo hubiere)• Plazo de conservación• Nuevos derechos: portabilidad, limitación,
presentar una reclamación ante la AEPD• Decisiones automatizadas (elaboración de perfiles)
30Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D E R E C H O D E I N F O R M A C I Ó N
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade:
Reglamento General de Protección de Datos
31Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D E R E C H O D E I N F O R M A C I Ó N
Cuando los datos se obtengan del interesado se deberá informar sobre:• la identidad y los datos de contacto del responsable y, en su caso, de su representante• los datos de contacto del DPO, en su caso• los fines del tratamiento a que se destinan los datos personales• la base jurídica del tratamiento (fundamento: consentimiento, ley, contrato, interés legítimo…)• los intereses legítimos del responsable o de un tercero;• los destinatarios o las categorías de destinatarios de los datos personales, en su caso;• la intención del responsable de transferir datos personales a un tercer país u organización
internacional y la existencia o ausencia de una decisión de adecuación de la Comisión;• el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios
utilizados para determinarlo• la existencia de derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y
portabilidad• el derecho a retirar el consentimiento• el derecho a presentar una reclamación ante la AEPD• si el interesado está obligado a facilitar los datos o las consecuencias de no hacerlo• la existencia de decisiones automatizadas, incluida la elaboración de perfiles
Cuando los datos no se obtengan del interesado se deberá informar también de:• la procedencia de los datos• las categorías de datos
Reglamento General de Protección de Datos
32Estrictamente privado y confidencial. Para uso exclusivo del destinatario
TÍTULO III. LOPDDerechos de las personas
Derecho de rectificación
Derecho de cancelación
Derecho de oposición
D E R E C H O S
CAPÍTULO III. RGPDDerechos del interesado
Reglamento General de Protección de Datos
Derecho de acceso Derecho de acceso
Derecho de rectificación
Derecho de supresión (“derecho al olvido”)
Derecho a la limitación del tratamiento
Derecho a la portabilidad de los datos
Derecho de oposición
33Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Derecho de acceso
D E R E C H O S
Reglamento General de Protección de Datos
• Fines del tratamiento.• Categoría de datos que se traten por la empresa.• Los destinatarios de los datos en caso de comunicaciones y/o transferencias
internacionales.• El plazo de conservación de los datos cuando sea posible y/o de no ser posible los
criterios utilizados para determinar este plazo.• La existencia del derecho de rectificación, cancelación u oposición.• Derecho a presentar reclamación ante una autoridad de control.• En el caso de que los datos no se hayan obtenido del interesado, cualquier
información sobre su origen.• La existencia de decisiones automatizadas (incluye elaboración de perfiles).
Comprende el acceso a la siguiente información:
El responsable del tratamiento resolverá sobre la solicitud de rectificación sindilación indebida o como máximo en el plazo de 1 mes a contar desde larecepción de la solicitud.
34Estrictamente privado y confidencial. Para uso exclusivo del destinatario
La solicitud de rectificación deberá indicar a qué datos se refiere, así comola corrección que haya de realizarse y deberá ir acompañada de ladocumentación justificativa de lo solicitado.
D E R E C H O S
Reglamento General de Protección de Datos
Derecho de rectificación
El derecho de rectificación es el derecho del interesado a que semodifiquen los datos que resulten ser inexactos o incompletos.
El responsable del tratamiento deberá conservar bloqueados los datosrectificados.
35Estrictamente privado y confidencial. Para uso exclusivo del destinatario
• Dejen de ser necesarios
• El consentimiento haya sido retirado por el interesado
• El interesado se oponga al tratamiento
• Los datos hayan sido tratados ilícitamente
• Para el cumplimiento de un obligación legal
• Se hayan obtenido en relación a una oferta de servicios de la sociedad de lainformación efectuada a menores de edad
D E R E C H O S
Reglamento General de Protección de Datos
Derecho de supresión
Exige que los datos sean suprimidos en los siguientes supuestos:
En determinados casos, el responsable del tratamiento deberá conservarbloqueados los datos afectados por la solicitud de supresión.
36Estrictamente privado y confidencial. Para uso exclusivo del destinatario
El derecho al olvido o el derecho a la supresión de los datos en internet es elderecho a solicitar que se bloqueen o eliminen en las listas de resultados de losbuscadores los vínculos que conduzcan a informaciones que le afecten y queresulten obsoletas, incompletas, falsas o irrelevantes, y no sean de interéspúblico, entre otros motivos.
Reglamento General de Protección de Datos
Derecho al olvido
El interesado puede ejercer este derecho ante los buscadores o ante el responsable del tratamiento
Si el interesado ejerce un derecho de supresión y el responsable del tratamiento ha hecho públicos los datos en internet, debe solicitar a los buscadores correspondientes que eliminen los datos indexados.
D E R E C H O S
37Estrictamente privado y confidencial. Para uso exclusivo del destinatario
El interesado tiene derecho a:• recibir/recuperar los datos personas que previamente haya facilitado
al responsable• y los que se deriven directamente del uso del servicio prestado (los
generados por su actividad),• en un formato estructurado, de uso común y lectura mecánica,• así como a solicitar el traslado de dichos datos a otro responsable
(siempre que sea técnicamente factible), cuando:o El tratamiento se basa en el consentimiento o en un contrato.o El tratamiento se haga a través de medios automatizados. No
cubre los archivos en papel.
D E R E C H O S
Reglamento General de Protección de Datos
Derecho a la portabilidad de los datos
No se incluyen los datos inferidos o deducidos (ej. los resultados de unexamen de salud, la elaboración de un perfil…)
El interesado tendrá derecho al “bloqueo o marcado” de los datos porpropia voluntad en los siguientes supuestos:
• Cuando el tratamiento sea ilícito y el interesado se oponga a lasupresión de los datos.
• En el caso de que el responsable ya no necesite los datospersonales, pero el interesado los necesite para la formulación, elejercicio o la defensa de reclamaciones.
38Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D E R E C H O S
Reglamento General de Protección de Datos
Derecho a la limitación del tratamiento
El responsable podrá “bloquear o marcar ” los datos para verificar lalicitud del tratamiento en los siguientes supuestos :
• Cuando el interesado impugne la exactitud de los datospersonales: para verificar la inexactitud
• Cuando el interesado se opongo al tratamiento: mientras severifica el interés legítimo del responsable
39Estrictamente privado y confidencial. Para uso exclusivo del destinatario
El responsable del tratamiento dejará de tratar los datos personales, salvo queacredite motivos legítimos imperiosos para el tratamiento que prevalezcansobre los intereses, los derechos y las libertades del interesado, o para laformulación, el ejercicio o la defensa de reclamaciones.
El interesado tendrá derecho a oposición, en cualquier momento, por motivosrelacionados con su situación particular sobre aquellos datos personales suyosque sean objeto de un tratamiento basado en el interés público o en el interéslegítimo del responsable, incluida la elaboración de perfiles.
D E R E C H O S
Reglamento General de Protección de Datos
Derecho de oposición
40Estrictamente privado y confidencial. Para uso exclusivo del destinatario
S A N C I O N E S
Responsable de las sanciones: la empresa
Pero… existen procedimientos disciplinarios internos y la obligación detodo el personal con acceso a datos de carácter personal de conocer lapolítica de seguridad de la empresa.
• 20.000.000 € o el 4% como máximo del volumen de negocio total anual global
del ejercicio financiero anterior. Ej.: incumplimiento de los principios de
protección de datos y los derechos de los individuos.
Reglamento General de Protección de Datos
• 10.000.000 € o el 2% como máximo del volumen de negocio total anual global
del ejercicio financiero anterior. Ej.: incumplimiento de obligaciones relacionadas
con la seguridad de los datos.
Reglamento General de Protección de Datos
41Estrictamente privado y confidencial. Para uso exclusivo del destinatario
A G E N C I A E S PA Ñ O L A D E P R O T E C C I Ó N D E D AT O S
Con el RGPD se mantienen, como es el casode la AEPD, las autoridades independientesde control y con competencia en el territoriode su Estado miembro.
Las autoridades de control supervisarán elcumplimiento de la normativa de protecciónde datos.
PARTE ESPECÍFICA
42Estrictamente privado y confidencial. Para uso exclusivo del destinatario
43Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D AT O S D E C O N TA C T O
Reglamento General de Protección de Datos
Artículo 2.2 y 2.3 del RLOPD
2. Este reglamento no será aplicable a los tratamientos de datosreferidos a personas jurídicas, ni a los ficheros que se limiten aincorporar los datos de las personas físicas que presten sus serviciosen aquéllas, consistentes únicamente en su nombre y apellidos, lasfunciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales
3. Asimismo, los datos relativos a empresarios individuales, cuandohagan referencia a ellos en su calidad de comerciantes,industriales o navieros, también se entenderán excluidos delrégimen de aplicación de la protección de datos de carácterpersonal.
44Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D AT O S D E C O N TA C T O
Reglamento General de Protección de Datos
• Los datos de contacto son información referida a personas físicas identificadas
(datos personales ) por lo que su tratamiento se encuentra sometido al RGPD.
• En consecuencia no cabe considerar aplicable la exclusión hasta ahora vigente
• El tratamiento deberá cumplir con el RGPD, en particular en lo referente a la
legitimación.
¿Qué establece el RGPD sobre esta exclusión de los datos de contacto
prevista en el artículo 2.2 del RLOPD?
45Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D AT O S D E C O N TA C T O
Reglamento General de Protección de Datos
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del interesado que requieran la protección de
datos personales, en particular cuando el interesado sea un niño“
Artículo 6.1 RGPD
“El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
46Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Reglamento General de Protección de Datos
Un responsable del tratamiento podrá alegar que tiene un interés legítimo para tratar los datos de contacto de las personas físicas que presten servicios en una empresa:
• Si únicamente trata los datos imprescindibles para localizar profesionalmente a dicho contacto
• Si trata estos datos con la única finalidad de mantener relaciones con dicha empresa
Anteproyecto de LOPD
Igualmente, un responsable del tratamiento podrá alegar que
tiene un interés legítimo para tratar los datos de empresarios
individuales, siempre que no se traten dichos datos para
entablar una relación con los mismos como personas físicas.
D AT O S D E C O N TA C T O
47Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C O N T R AT O S C O N E N C A R G A D O S
Contratos entre Responsables y Encargados de Tratamiento – art. 28 RGPD
• Objeto• Duración• Naturaleza y finalidad• Tipo de datos personales• Categorías de interesados• Obligaciones y derechos del Responsable• Obligaciones del Encargado del Tratamiento
Debe regirse por un contrato o acto jurídico, escrito(inclusive en formato electrónico)
Debe establecer:
Reglamento General de Protección de Datos
48Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C O N T R AT O S C O N E N C A R G A D O S
El contrato debe recoger las obligaciones del Encargado del Tratamiento
• Seguir las instrucciones del responsable• Confidencialidad de todas las personas con acceso• Cumplir con las medidas de seguridad (conforme a art. 32 RGPD)• Solicitar la autorización, específica o general para subcontratar.
• Si es general: informar previamente• Asistir al responsable en el ejercicio de derechos• Devolver o destruir los datos al fin de la prestación• Poner a disposición del responsable la información necesaria para
demostrar su cumplimiento, así como permitirle auditorías oinspecciones, o códigos de conducta…
Obligaciones del Encargado del Tratamiento
Reglamento General de Protección de Datos
49Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C O N T R AT O S C O N E N C A R G A D O S
Los responsables habrán de elegir únicamente encargados que ofrezcan
garantías suficientes para aplicar medidas técnicas y organizativas
apropiadas, de manera que el tratamiento sea conforme con los requisitos
del Reglamento.
Principio de responsabilidad proactivadiligencia debida en la selección de encargados
Esta previsión se extiende también a los encargados cuando subcontraten
operaciones de tratamiento con otros subencargados.
Reglamento General de Protección de Datos
Reglamento General de Protección de Datos
50Estrictamente privado y confidencial. Para uso exclusivo del destinatario
T R A N S F E R E N C I A S I N T E R N A C I O N A L E S D E D AT O S
• TID basadas en una decisión de adecuación (Art. 45 RGPD): podrá realizarse cuando Comisión hayadecidido que garantiza nivel de protección adecuado, sin que requiera autorización específica
• TID mediante garantías adecuadas: a falta de decisión, solo cabe TID si ofreciera garantíasadecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legalesefectivas
Nota: las autorizaciones otorgadas con anterioridad a la entrada en vigor del RGPD seguirán siendoválidas hasta que sean derogadas, modificadas o sustituidas por la autoridad de control y la comisión
• Excepciones TID en ausencia de anteriores:• Consentimiento explícito del interesado• Necesario para ejecución contrato entre interesado y responsable• Necesario para celebración o ejecución contrato en interés del interesado• Interés público• Formulación, ejercicio o defensa reclamaciones• Proteger intereses vitales• Registro Público determinadas condiciones
TID a EEUU: permitidas TID con entidades certificadas en el marco del Escudo de Privacidad UE-EEUU
51Estrictamente privado y confidencial. Para uso exclusivo del destinatario
R E G I S T R O D E A C T I V I D A D E S D E T R ATA M I E N T O
• Nombre y datos de contacto del responsable y del DPO
• Categorías de destinatarios
• Finalidades del tratamiento
• Categorías de interesados
• Categorías de datos
• Transferencias internaciones de datos
• Plazos de conservación de los datos
Contenido
• Descripción general de las medidas técnicas y organizativas de seguridad
Reglamento General de Protección de Datos
52Estrictamente privado y confidencial. Para uso exclusivo del destinatario
R E G I S T R O D E A C T I V I D A D E S D E T R ATA M I E N T O
Se recomienda que los Departamentos correspondientes sean los responsables de mantener actualizado este RAT y comunicar al
DPO las modificaciones que se realicen en el mismo.
Los registros deberán constar por escrito,incluso en formato electrónico.
Reglamento General de Protección de Datos
Reglamento General de Protección de Datos
53Estrictamente privado y confidencial. Para uso exclusivo del destinatario
M E D I D A S T É C N I C A S Y O R G A N I Z AT I VA S
Art. 32 RGPD: Teniendo en cuenta el estado de la técnica, loscostes de aplicación, y la naturaleza, el alcance, el contexto ylos fines del tratamiento, así como riesgos de probabilidad ygravedad variables para los derechos y libertades de laspersonas físicas, el responsable y el encargado deltratamiento aplicarán medidas técnicas y organizativasapropiadas para garantizar un nivel de seguridad adecuadoal riesgo
Organizativas: manual funciones y obligaciones del personal en PDTécnicas: normas de seguridad para usuarios, gestión documentos papelcon datos salud, etc.
54Estrictamente privado y confidencial. Para uso exclusivo del destinatario
• Guardar confidencialidad sobre toda la información con datos personales.
• Consultar al DPO siempre que tenga dudas en la aplicación de estas obligaciones.
O B L I G A C I O N E S D E L O S E M P L E A D O S ( U S U A R I O S C O N A C C E S O A D AT O S )
Reglamento General de Protección de Datos
• Llevar a cabo el Registro de Actividades de Tratamiento y mantenerlo
actualizado.
• Comunicar las modificaciones realizadas en el registro al DPO.
• Recoger el consentimiento siempre que sea necesario.
• Cumplir con el derecho de información, utilizando los modelos de cláusulas
aprobados en la empresa.
• Comunicar al DPO los proyectos que implican tratamiento de datos personales
• Seleccionar diligentemente a los encargados de tratamiento y firmar los
modelos de contratos aprobados en la empresa.
• Atender y/o comunicar al DPO las solicitudes de ejercicio de derechos.
• Cumplir con los procedimientos de protección de datos y utilizar los modelos facilitados.
• Cumplir con las medidas de seguridad establecidas.
• Comunicar al DPO las brechas de seguridad.
• Guardar evidencias del cumplimiento de sus obligaciones.
55Estrictamente privado y confidencial. Para uso exclusivo del destinatario
M E D I D A S D E S E G U R I D A D
nivel básico
Documento de Seguridad Responsable de seguridad
Gestión de soportes
Identificación y autenticación
Copias de respaldo y recuperación
Registro de incidencias
Funciones y obligaciones del personal Auditoría bienales
Limitar intentos de accesos
Control de accesos
nivel medio nivel alto
Control de acceso físico
Registro de entrada y salida
Registro recuperación de datos
Pruebas sin datos reales
Cifrado de datos soportes
Cifrado de datos comunicaciones
Registro de accesos:
• Quién
• Cuándo
• A qué
• Qué hizo
Informe mensual Registro de accesos
Copias de respaldo en lugar distinto
nivel básico
Documento de Seguridad Responsable de seguridad
Gestión de soportes
Identificación y autenticación
Copias de respaldo y recuperación
Registro de incidencias
Funciones y obligaciones del personal Auditoría bienales
Limitar intentos de accesos
Control de accesos
nivel medio nivel alto
Control de acceso físico
Registro de entrada y salida
Registro recuperación de datos
Pruebas sin datos reales
Cifrado de datos soportes
Cifrado de datos comunicaciones
Registro de accesos:
• Quién
• Cuándo
• A qué
• Qué hizo
Informe mensual Registro de accesos
Copias de respaldo en lugar distinto
En el RGPD no existe un listado tasado de medidas de seguridad
Reglamento General de Protección de Datos
56Estrictamente privado y confidencial. Para uso exclusivo del destinatario
Reglamento General de Protección de Datos
M E D I D A S D E S E G U R I D A D
• Den lugar a discriminación, usurpación de la identidad, pérdidas
financieras, daño para la reputación, pérdida de confidencialidad…
• Afecten a los derechos y libertades de los individuos
• Datos sensibles, condenas e infracciones penales, datos de personas
vulnerables (niños)
• Elaborar perfiles con el fin de crear o utilizar perfiles personales sobre
rendimiento laboral, economía, salud, intereses personales…
• Gran cantidad de datos personales y afecten a un gran número de
personas
Enfoque de aproximación al riesgo
¿Qué posibles escenarios de riesgo (PER) pueden llegar a afectar a los derechos y libertades de los individuos?
57Estrictamente privado y confidencial. Para uso exclusivo del destinatario
¿Qué medidas son apropiadas para garantizar
un nivel adecuado de riesgo?• Seudonimización y cifrado de datos
• Aquellas que garanticen confidencialidad, integridad, disponibilidad y resiliencia de los
sistemas y servicios
• Aquellas que permitan recuperar la disponibilidad de los datos en caso de incidencia
• Establecer procesos de verificación, evaluación y valoración que midan la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento y el
cumplimiento del RGPD (listas de verificación, evaluación de riesgos, auditorías…)
• Auditorías regulares de la eficacia de estas medidas
• Otras medidas: nombrar a un DPO, certificados, registro de actividades de tratamiento…
Reglamento General de Protección de Datos
M E D I D A S D E S E G U R I D A D
Enfoque de aproximación al riesgo
58Estrictamente privado y confidencial. Para uso exclusivo del destinatario
S E U D O N I M I Z A C I Ó N Y A N O N I M I Z A C I Ó N
Sólo nos encontraremos ante un datoanonimizado cuando en ningún caso sea posiblela vinculación del dato con la persona a la quehubiese identificado. Es decir, cuando seaimposible volver a identificar a la persona através de ese dato.
Es el tratamiento de datos de carácter personal, de manera que ya nopuedan atribuirse a un interesado sin utilizar información adicional.Es decir, a una técnica que reduciría el vínculo existente entre losdatos de carácter personal y la persona a la que identifican.
Reglamento General de Protección de Datos
Al igual que la seudonimización, el cifrado de los datos (o de las comunicaciones) reduce el riesgo en el tratamiento de datos personales.
Reglamento General de Protección de Datos
59Estrictamente privado y confidencial. Para uso exclusivo del destinatario
C I F R A D O D E D AT O S
¿Qué debe tenerse en cuenta para decidir implantar ciertas medidas de seguridad como el cifrado o la seudonimización?
No se establece en qué supuestos es obligatorio, pero sí se considera una buena práctica establecerla desde el inicio (privacidad desde el diseño) para garantizar un tratamiento de datos más seguro. Principalmente, cuando existe un riesgo para los derechos y libertades de los individuos.
- el estado de la técnica- los costes de aplicación- la naturaleza, el alcance, el contexto y los fines del tratamiento, - los riesgos de probabilidad y gravedad variables para los
derechos y libertades de las personas físicas
Reglamento General de Protección de Datos
60Estrictamente privado y confidencial. Para uso exclusivo del destinatario
E VA L U A C I O N E S D E I M PA C T O
• RGPD: siempre que sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de individuos, es decir, que puedan vulnerar gravemente los derechos y libertades de los individuos.
Supuestos obligatorios
• Listas de la AEPD (aún sin publicar)o Supuestos en los que no es obligatorio
realizar una EIPDo Supuestos en los que es obligatorio
realizar una EIPD
o evaluación sistemática exhaustiva de aspectos personales (evaluación de perfiles)o tratamiento datos sensibles a gran escala o condenas e infracciones penaleso observación sistemática de zonas de acceso público a gran escala
Una brecha de seguridad es “toda violación de la seguridadque ocasione la destrucción, pérdida o alteración accidental oilícita de datos personales transmitidos, conservados o tratadosde otra forma, o la comunicación o acceso no autorizado adichos datos”
Reglamento General de Protección de Datos
61Estrictamente privado y confidencial. Para uso exclusivo del destinatario
BRECHAS DE SEGURIDAD
• Hackers• Proveedores negligentes• Publicación accidental• Empleado desleal• Ordenador perdido o robado • USB perdido o robado
Principales causas de los incidentes de seguridad:
Notificación de una violación de la seguridad a la AEPD
Reglamento General de Protección de Datos
62Estrictamente privado y confidencial. Para uso exclusivo del destinatario
NOTIFICACIÓN DE BRECHAS DE SEGURIDAD
Notificación de una violación de la seguridad a los interesados
En caso de violación de la seguridad de los datos personales, elresponsable del tratamiento la notificará a la AEPD sin dilaciónindebida y, de ser posible, a más tardar 72 horas después de quehaya tenido constancia de ella, salvo que sea improbable que dichaviolación de la seguridad constituya un riesgo para los derechos ylibertados de los individuos.
En caso de violación de la seguridad de los datos personales, elresponsable del tratamiento la notificará a la AEPD sin dilaciónindebida, cuando la misma entrañe un alto riesgo para los derechos ylibertades de los interesados.
• Descripción de la naturaleza de la violación de la seguridad de los datos personales,incluido, cuando sea posible, las categorías y el número aproximado de interesadosafectados, así como también las categorías y el número aproximado de registros de datospersonales afectados.
• El nombre y los datos de contacto del DPO (si lo hubiere) o de otro punto de contacto en laempresa del que se pudiere obtener información.
• Descripción de las consecuencias de la violación de la seguridad de los datos personales.• Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento
para poner remedio a la violación de la seguridad de los datos personales, así comotambién las medidas que se adopten para mitigar los posibles efectos negativos.
Reglamento General de Protección de Datos
63Estrictamente privado y confidencial. Para uso exclusivo del destinatario
NOTIFICACIÓN DE BRECHAS DE SEGURIDAD
Formulario estandarizado de la AEPD: notificación de quiebras de seguridad para los operadores/proveedores
de servicios de comunicaciones electrónicas
Contenido de la notificación
64Estrictamente privado y confidencial. Para uso exclusivo del destinatario
D E L E G A D O D E P R O T E C C I Ó N D E D AT O S
• El tratamiento a gran escala de datos sensibles
• El tratamiento de datos relativos a condenas e infracciones penales
• Observación habitual y sistemática de interesados a gran escala
El Delegado de Protección de Datos (DPD) o, en inglés, “Data ProtectionOfficer” (DPO), es una nueva figura en la protección de datospersonales.
• Tratamiento llevado a cabo por una autoridad u organismo públicos
Es obligatorio para el responsable y el encargado de tratamiento designara un DPO en los siguientes supuestos:
Debe ser un especialista en derecho de protección de datos.
• Que la actividad principal del responsable o encargado conlleve:
Reglamento General de Protección de Datos
D E L E G A D O D E P R O T E C C I Ó N D E D AT O S
• Informar y asesorar al responsable o al encargado y a los
empleados sobre sus obligaciones
• Supervisar el cumplimiento del RGPD:
• Responsabilidades
• Concienciación y formación
• Auditorías
• Asesorar en las EIPD
• Supervisar que se implantan las medidas acordadas en las EIPD
• Cooperar con la autoridad de control
• Actuar como punto de contacto con la autoridad de control
Funciones
Reglamento General de Protección de Datos
65Estrictamente privado y confidencial. Para uso exclusivo del destinatario
66Estrictamente privado y confidencial. Para uso exclusivo del destinatario
¡¡¡Muchas gracias por su atención!!!
Natalia Olivares Álvarez
67Estrictamente privado y confidencial. Para uso exclusivo del destinatario