Reglamento Europeo de Protección de datos Recomendaciones prácticas para la adecuación de la actividad colegial a dicho reglamento y Protocolo de medidas de actuación por Colegios de abogados Teresa Granda, letrada del CGAE Noelia Fantova, Directora General del ICAM Cartagena de Indias, Colombia Jornadas tecnológicas CGAE Gijón 2017
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de ABRIL de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
Aspectos generales Publicado el 27 de abril de 2016 entrada en vigor a los veinte días. Aplicable 25 de mayo de 2018 (artículo 99): dos años de adecuación, menos de un año de entrada en vigor Anteproyecto de Ley Orgánica de Protección de Datos (Junio 2017) Cambio de mentalidad para los Colegios de Abogados; de una política reactiva a un gobierno responsable de la información; Políticas proactivas Los Colegios de Abogados como Corporaciones de Derecho público tenemos las obligaciones atribuidas a las AAPP en nuestra activad administrativa.
Aspectos generales El RGPD afecta a los datos que tengamos tanto en soporte electrónico como en soporte físico El consentimiento del afectado, cambia la forma de recabar el consentimiento ( no consentimiento tácito) Desaparece la obligación de registrar ficheros en la AEPD. Aparece la obligación de llevar Registro de las actividades de tratamiento Desaparece las medidas de seguridad técnicas establecidas en nuestra legislación. Aparece la implantación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo El documento de seguridad se sustituye por la obligación de cumplimiento de seguridad de tratamiento (Art.32)
Aspectos generales que se deben ir revisando Revisión interna de la información que gestionamos ( en función de la criticidad y la confidencialidad), a nivel técnico y a nivel organizativo y revisar el fin que estemos dando a la información Adecuar y adaptar nuestro Plan de continuidad de negocio Realizar una evaluación de impacto de las herramientas tecnológicas que tenemos en uso Elegir DPO ( Art 35.1 de ALOPD) Valorar la posibilidad de someterse a códigos de conducta Tener claro procedimiento de notificación de agujeros de seguridad Formación y concienciación al personal del Colegio Posible multa a las AAPP (art. 83.7): decisión de cada Estado
Análisis previo del nuevo reglamento Cambios relativos a la normativa actual Obtención del consentimiento para el tratamiento de datos El Reglamento Europeo mantiene los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad, indica que para poder considerar que el consentimiento es inequívoco deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. Deber de información El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD). Consentimiento: el silencio, las casillas ya marcadas o la inacción (consentimiento tácito) no constituirán prueba de consentimiento (Considerando 32 del RGPD)
Análisis previo del nuevo reglamento Cambios relativos a la normativa actual Derechos de los interesados Además de los derechos reconocidos en la actual LOPD (derecho de acceso, rectificación, cancelación y oposición), el Reglamento Europeo incluye los siguientes: Derecho a la transparencia de la información Derecho de supresión (derecho al olvido) Derecho de limitación del tratamiento Derecho de portabilidad Aplicación de medidas de seguridad El Reglamento ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Análisis previo del nuevo reglamento Nuevas obligaciones que trae el reglamento Evaluación de impacto del tratamiento de datos personales Se establece la obligación de realizar una evaluación de impacto en la protección de datos personales para aquellos tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD). Comunicación de fallos a la autoridad de protección de datos Se impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos. Registro: Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por el Colegio para realizar dicho tratamiento Registro de tratamiento de datos Las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad (Art.30 del RGPD).
Análisis previo del nuevo reglamento Nuevas obligaciones que trae el reglamento Delegado de protección de datos Se introduce la nueva figura del Data Protection Officer (DPO) o Delegado de Protección de Datos (DPD), que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos. Privacidad desde el diseño y por defecto, códigos de conducta Con el nuevo Reglamento se avanza un paso más para reforzar la responsabilidad proactiva en el cumplimiento normativo. Para ello se establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (Art. 42.3 del RGPD). DPO: Es conveniente designar lo primero esta figura, con el fin de que el inicie el proceso de implementación de las novedades legislativas del Reglamento de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.
SITUACIÓN ACTUAL DELCOLEGIO Tratamientos actuales Ficheros Públicos Administradores Concursales Asistencia Letrada al Detenido Atención al Colegiado Base de Datos de Colegiados Comunicación Ejercicio Profesional Contadores Partidores Expedientes Deontológicos Gestión del Turno de Oficio (cont.) Gestión Servicio Justicia Gratuita Habilitaciones para Asuntos Propios Mediaciones Decanales Mediadores Familiares Miembros Junta de Gobierno Registro de Abogados para designaciones del artículo 170 Registro de Sociedades Profesionales Volantes de Prisión Ficheros Privados Centro de Estudios Confirming Correo Electrónico Eventos Corporativos Expedientes Honorarios Proveedores Suscriptores Comunicados Electrónicos Video Vigilancia etc. El Colegio cuenta con 16 ficheros de carácter público y 37 de carácter privado declarados
SITUACIÓN ACTUAL DELCOLEGIO El documento de seguridad y los procedimientos Documento de Seguridad Anexos Ficheros Protegidos Documentos de notificación de ficheros Decretos de creación de ficheros Estructura de los ficheros Descripción de los sistemas de Información Recursos Protegidos Personal autorizado Control de Accesos Procedimientos de respaldo y recuperación Gestión de Soportes y Documentación Inventario de Soportes Registro de Entrada/Salida de Soportes Verificación del Cumplimiento (controles periódicos) Ejercicio de Derechos sobre Datos Personales
PROYECTO DE ADECUACIÓN Plazo de ejecución Inicio: Jul-17 Fin: Feb-18 Intervinientes Control de Gestión Servicios Jurídicos Sistemas Departamento de Compras RRHH Responsables de departamento
PROYECTO DE ADECUACIÓN Calendario del proyecto Jul-17 Ámbito material Medidas de Seguridad Sep-17 Estructura del Colegio Control de Empleados Oct-17 Control de Proveedores Control de Colegiados y Clientes Nov-17 Políticas y procedimientos Ene-18 Planificación de calendarios Formación y sensibilización Feb-18 Informes y certificaciones
PROYECTO DE ADECUACIÓN Tareas y acciones más relevantes (1/5) Ámbito material Medidas de Seguridad Comprobar el ámbito de aplicación material del Reglamento en los tratamientos que realice el Colegio Identificar los tipos de datos personales Elaborar una tabla con los diferentes tratamientos que se hacen por cada departamento del Colegio Adecuar los procedimientos de Copias de Seguridad y Control de Accesos Relación de las medidas de seguridad establecidas en cada departamento Elaborar procedimiento de clasificación y tratamiento de la información confidencial
PROYECTO DE ADECUACIÓN Tareas y acciones más relevantes (2/5) Estructura del Colegio Control de Empleados Identificar la base legal sobre la que se desarrollan los tratamientos Documentar el flujo de datos entre los distintos departamentos Elaborar el Registro de Actividades con las medidas técnicas y organizativas de los diferentes tratamientos Identificar datos a los que acceden los trabajadores por perfil del puesto de trabajo Clausula de confidencialidad, normas de uso, etc. Formación sobre los principios del reglamento a través de casos prácticos
PROYECTO DE ADECUACIÓN Tareas y acciones más relevantes (3/5) Proveedores Colegiados y clientes Recopilación y revisión de los distintos contratos y acuerdos de encargo del tratamiento Regulación de los servicios con acceso a datos Control de obligaciones de los proveedores, plazos de conservación de los datos, etc. Identificar los canales de entrada de los datos Regulación de los servicios con acceso a datos de los Colegiados y clientes
PROYECTO DE ADECUACIÓN Tareas y acciones más relevantes (4/5) Políticas y procedimientos Planificación de calendarios Establecer políticas para las áreas críticas del Colegio Establecer políticas para la portabilidad de datos Actualizar el procedimiento de ejercicio de los derechos Adecuación de las clausulas de información y consentimiento para el tratamiento de datos personales Establecer los calendarios anuales de: Revisiones y controles Evaluaciones Reuniones con los departamentos Recogida de evidencias
PROYECTO DE ADECUACIÓN Tareas y acciones más relevantes (5/5) Formación y sensibilización Informes y certificaciones Establecer calendario de formación y sensibilización en materia de protección de datos para todo el personal del Colegio Realizar y dejar evidencia de las convocatorias así como del acuse de recibo por el personal de la formación recibida Informe general sobre el nivel de adecuación jurídica del Colegio al Reglamento Realización de auditoría externa: Informe de deficiencias detectadas Propuesta de medidas correctoras o complementarias Informe de la evaluación del impacto