FORMACION - CONCIENCIACION NUEVO RGPD

Índice Objetivos de la formación Importancia del RGPD. Objeto. Ámbito. Alcance. Organismos de supervisión Responsabilidad y sanciones Aspectos novedosos del RGPD.

…pero sus principios siguen Importancia del RGPD. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) …pero sus principios siguen R G P D

PROCESO DE ADECUACIÓN AL NUEVO R.G.P.D Importancia del RGPD. Un “Reglamento Europeo” <> Otros tipos de Reglamentos “un acto jurídico definido por el artículo 288 del Tratado de Funcionamiento de la Unión Europea (TFEU). Reviste un alcance general, es obligatorio en todos sus elementos y directamente aplicable en todos los países de la Unión Europea (UE)”. Es una norma del más alto rango jerárquico que puede invocarse directamente desde: cualquier institución Europea, Administración de los Estados o particulares. Se aplica directamente en todos los Estados miembros (no es necesario transponerlo a las leyes nacionales) Es obligatorio (nadie puede impedir su aplicación) Su alcance es general (cubre todas las situaciones previstas en su ámbito) Prevalece (es superior) a nuestras leyes actuales (LOPD, RLOPD, LVPD… que siguen existiendo en lo que no se le opongan) El 25/05/2016 entró en vigor. Pero se aplicará 2 años después: 25/05/2018 PROCESO DE ADECUACIÓN AL NUEVO R.G.P.D

Objeto. Ámbito. Alcance. OBJETO  Establecer las normas relativas a: La protección de las personas físicas en el tratamiento de datos personales. La libre circulación de los datos personales. ÁMBITO MATERIAL Se aplica al tratamiento de datos personales: totalmente automatizado parcialmente automatizado tratamiento no automatizado de datos incluidos en un fichero ALCANCE Se aplica a: Todas las personas físicas y jurídicas, Estados e Instituciones de la Unión que traten datos de carácter personal, salvo las excepciones especialmente contempladas. No se aplica al tratamiento : a) en el ejercicio de una actividad fuera del derecho de la Unión; b) por parte de los Estados miembros en actividades de política exterior y seguridad común; c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; d) por parte de las Autoridades competentes con fines penales.

Organismos de supervisión. Comité Europeo de Protección de Datos: Se crea como organismo de la Unión con personalidad jurídica Composición: Presidente CEPD El Supervisor Europeo de PD Los Directores de las APD’s nacionales (si hay varias, eligen a 1 de ellos) Es independiente y no recibe instrucciones de nadie Funciones (destacables): Garantizará y supervisará la aplicación coherente y correcta del RGPD Emitirá directrices, recomendaciones y buenas prácticas, en temas del RGPD Emitirá Dictámenes sobre diversos temas del RGPD Llevará ciertos Registros (organismos de certificación, decisiones de APD’s y Tribunales) Autoridades nacionales de Protección de Datos: AEPD (Estatal) AVPD (Autonómica) Atenderán las reclamaciones de los interesados que consideren que el tratamiento de datos personales que le conciernen infringe el RGPD

Responsabilidad y sanciones. Indemnización: Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. (Art. 82.1 RGPD) Multas administrativas (Art. 83 RGPD): Cada autoridad de control garantizará que la imposición de las multas administrativas sean en cada caso individual efectivas, proporcionadas y disuasorias. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual. (Según infracción: naturaleza, gravedad, duración, intencionalidad, negligencia, responsabilidad, reincidencia, …) Las infracciones de las disposiciones del RGPD se sancionarán con multas administrativas: de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Aspectos novedosos RGPD. 1 – Delegado de Protección de Datos. 2 – Deber de información (avisos legales) y consentimiento. 3 – Contratos con Encargados de tratamiento. 4 – Registro de tratamientos (Ficheros). 5 – Evaluaciones de impacto (EiPD) y Consulta previa a la APD. 6 – Medidas de seguridad. 7 – Derechos (ARCO) ARLOPOR. 8 – Notificación de violaciones de la seguridad de los DCP. 9 – Protección de datos desde el diseño y por defecto. Nota  RT = Responsable de tratamiento ET = Encargado de tratamiento

Aspectos novedosos RGPD. 1 – Delegado de Protección de Datos (DPD). Obligatorio, si: Se trata de una autoridad u organismo público (excepto los tribunales). Las actividades principales del RT ó ET requieren una observación habitual y sistemática de interesados a gran escala. Las actividades principales del RT ó ET requieren el tratamiento a gran escala de categorías especiales de datos personales. Designado atendiendo a sus cualidades profesionales, conocimientos y experiencia en materia de protección de datos y a su capacidad para desempeñar sus funciones. Puede ser interno o externo. El RT o el ET publicarán los datos de contacto del DPD y los comunicarán a la APD. El RT y el ET garantizarán que el DPD participa en todas las cuestiones de PD. El RT y el ET respaldarán al DPD en el desempeño de las funciones. El RT y el ET garantizarán que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por desempeñar sus funciones, rindiendo cuentas directamente al más alto nivel jerárquico del RT o del ET . Los interesados podrán ponerse en contacto con el DPD por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos. El DPD podrá desempeñar otras funciones y cometidos, garantizando que dichas funciones y cometidos no den lugar a conflicto de intereses.

Aspectos novedosos RGPD. 2 – Deber de información (avisos legales) y consentimiento. La información que se ofrezca a los ciudadanos debe entregarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Si la información se dirige a niños lo anterior debe aplicarse con especial rigor. De qué hay que informar: la identidad y los datos de contacto del RT los datos de contacto del DPD los fines del tratamiento y la base jurídica del tratamiento los intereses legítimos, cuando el tratamiento se base en los del RT, los destinatarios o las categorías de destinatarios en su caso, la intención del RT de transferir datos personales a un tercer país el plazo de conservación de los datos personales la existencia del derecho de Acceso, Rectificación, Supresión, Oposición, Limitación al Tratamiento y su Portabilidad. el derecho a retirar el consentimiento en cualquier momento el derecho a presentar una reclamación ante una autoridad de control si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos la existencia de decisiones automatizadas

Aspectos novedosos RGPD. 3 – Contratos con Encargados de tratamiento. Contrato (u acto jurídico en Derecho de la UE o Estados) que vincule al ET con el RT y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del RT. En particular, que el ET: Seguirá las instrucciones documentadas del RT; Garantizará que quienes acceden a los datos guardarán la confidencialidad; Tomará todas las medidas de seguridad necesarias; Si recurre a otro ET lo autorizará el RT imponiéndole las mismas condiciones; Asistirá al RT, para responder a los derechos de los interesados; Ayudará al RT a cumplir las medidas de seguridad, las notificaciones de violaciones, las evaluaciones de impacto y las consultas previas a la APD; El ET suprimirá o devolverá los datos personales una vez finalice la prestación; Pondrá a disposición del RT toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, e inspecciones.

Aspectos novedosos RGPD. 4 – Registro de tratamientos (Ficheros). Cada RT llevará un registro (escrito o electrónico) de las actividades de tratamiento. Dicho registro deberá contener la siguiente información: Nombre y datos de contacto del RT Nombre y datos de contacto del DPD Los fines del tratamiento Las categorías de interesados y las categorías de los datos personales Las categorías de destinatarios a quienes se ceden los datos personales Las Transferencias internacionales de datos Los plazos previstos para la supresión de los datos Una descripción general de las medidas técnicas y organizativas de seguridad El registro a disposición de la APD que lo solicite. No se aplica a entidades que empleen a menos de 250 personas, salvo que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.

Aspectos novedosos RGPD. 5 – Evaluaciones de impacto (EiPD) y Consulta previa a la APD. Obligatorio si un tratamiento de datos puede entrañar riesgos para los derechos y libertades de las personas. En particular: a) En la elaboración de perfiles para tomar decisiones. b) En el tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales. c) En la observación sistemática de una zona de acceso público a gran escala. La EiPD deberá incluir como mínimo: a) Descripción sistemática de los tratamientos y sus fines, y del interés legítimo del RT. b) Evaluación (necesidad y proporcionalidad) de las operaciones con respecto a su finalidad. c) Evaluación de los riesgos para los derechos y libertades de los interesados. d) Las medidas previstas para afrontar los riesgos. Intervendrá el DPD. La APD dará una lista de los tipos de tratamientos que requieran una EiPD, y las que no. El RT debe consultar a la APD antes de proceder al tratamiento cuando una EiPD muestre un alto riesgo. La consulta incluirá: las responsabilidades de los respectivos implicados; los fines y medios del tratamiento; las medidas y garantías establecidas; los datos de contacto del DPD; la EiPD; cualquier otra información que solicite la APD.

Aspectos novedosos RGPD. 6 – Medidas de seguridad. El RT y el ET aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. >>> auditoría Al evaluar la adecuación del nivel de seguridad deben considerarse los riesgos del tratamiento, en particular, analizando las consecuencias de su posible: destrucción pérdida alteración accidental o ilícita la comunicación o acceso no autorizados a dichos datos Adhesión a códigos de conducta o certificaciones (demostrar que cumple) RESILIENCIA Del ingl. resilience, y este der. del lat. resiliens, -entis, part. pres. act. de resilīre 'saltar hacia atrás, rebotar', 'replegarse'. 1. f. Capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos. 2. f. Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido.

Aspectos novedosos RGPD. 7 – Derechos (ARCO) ARLOPOR. ACCESO  (Derecho) A obtener del RT confirmación de si se están tratando o no sus DCP y, en tal caso, derecho de consultarlos y a la siguiente información: fines, categorías de datos, destinatarios, plazo de conservación, …) RECTIFICACIÓN  () A corregir los datos inexactos y que se completen los incompletos. LIMITACIÓN AL TRATAMIENTO  () A restringir el tratamiento (diversos motivos). OLVIDO  () A que se supriman los datos (diversos motivos). PORTABILIDAD DE LOS DATOS  () A recibir los datos personales que le incumban, que haya facilitado a un RT, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro RT sin que lo impida el anterior. OPOSICIÓN  () A oponerse al tratamiento (diversos motivos). REPUDIO DE DECISIONES AUTOMATIZADAS  () A no ser objeto de una decisión basada únicamente en el tratamiento automatizado (salvo algunas excepciones).

Aspectos novedosos RGPD. 8 – Notificación de violaciones de la seguridad de los DCP. El RT notificará a la APD competente de conformidad en el plazo máximo de 72 horas cualquier violación de la seguridad de los datos, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos de las personas. El RT documentará cualquier violación de la seguridad de los datos personales, hechos, efectos y medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto. Si la violación puede entrañar un alto riesgo para los derechos de las personas físicas, el RT la comunicará a los interesados. La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación y las medidas que se han adoptado. Cuando el RT todavía no haya comunicado al interesado la violación de la seguridad, la APD, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá exigirle otras medidas concretas.

Aspectos novedosos RGPD. 9 – Protección de datos desde el diseño y por defecto. Protección desde el Diseño: El RT aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas para aplicar los principios de protección de datos. Protección por Defecto: El RT aplicará las medidas técnicas y organizativas apropiadas para garantizar, por defecto, que solo sean objeto de tratamiento los datos personales que sean necesarios. Esta obligación se aplicará a: la cantidad de datos personales recogidos a la extensión de su tratamiento a su plazo de conservación y a su accesibilidad

Aspectos novedosos RGPD. Referencias cruzadas: Considerandos y Artículos del RGPD Aspectos a trabajar Considerandos Artículos 1 – DPD. 97 37, 38, 39 2 – Información y consentimiento. 39, 50, 58, 60-63 32, 40, 42, 43 12, 13, 14 4.11, 7, 8 3 – Encargados de tratamiento. 81, 109 28 4 – Registro de tratamientos. 89 30 5 – EiPD y Consulta a la APD. 75, 76, 83, 84, 89-95 35, 36, 39 6 – Medidas de seguridad. 83 24, 25, 32 7 – Derechos ARLOPOR. 59, 63-73 12, 15-22 8 – Notificación de violaciones. 85-88 4.12, 33, 34 9 – PD por diseño y por defecto. 78 25

Gracias por la atención prestada.