El nuevo Reglamento de la Unión Europea sobre protección de datos personales: Algunas experiencias previas de las instituciones de la UE Maria Verónica Pérez Asinari Jefa de Unidad Supervisión y aplicación de la ley

Wojciech Wiewiórowski El SEPD El SEPD es una institución independiente de la UE responsable de garantizar la protección de datos personales por parte de las instituciones y órganos de la UE Giovanni Buttarelli EDPS Roughly 60 staff, located in BXL’s European Quarter Established in 2004 Appointed by a joint decision of the EP and the Council for a 5 year mandate Mandate current team of Supervisors started Dec 2014; new Strategy 2015-2019 “Leading by Example” Wojciech Wiewiórowski Assistant EDPS

Importancia de la Carta de Derechos Fundamentales de la UE Artículo 7: Respeto de la vida privada y familiar Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones. Artículo 8: Protección de datos de carácter personal 1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.

El paquete legislativo Consulta pública (May-Dic 2009) Comunicación (COM(2012) 9 final) (4/11/2010) Propuestas de la Comisión - 25/1/12 : Reglamento General de Protección de datos (COM(2012) 11 final) Directiva para la policía y la justicia penal (COM(2012) 10 final) Seguido de un trilogo entre Comisión, Consejo y Parlamento

Factores determinantes Desarrollo tecnológico: necesidad de protección más efectiva en la era de Big Data, Cloud Computing y el Internet de la cosas Globalización Tratado de Lisboa (2009) Reformas paralelas - Convention 108 - OECD Guidelines

Objetivos Continuidad y construcción sobre los ppios pre- existentes Clarificción del ámbito de aplicación – territorial, exceptiones (household) Responzabilización de los responsables del tratamiento Fortalecimiento de los derechos de los titulares Mejorar la armonización y la consistencia entre las AP Fortalecer la supervisión y la aplicación de la ley: ventanilla única, mecanismo de consistencia, EDPB, sanciones

EDPS Mobile App

EDPS Mobile App

Capítulo I Ámbito de aplicación territorial Definiciones: -Dato personal: amplia, no hace falta el nombre, cada vez mas fácil re-identificar datos “anónimos”, concepto de “singling-out” -Profiling -Pseudonimysation -Datos genéticos, datos biométricos

Capítulo II Principios: -Calidad de los datos: tratamiento ulterior: necesidad de compatibilidad de la finalidad(vínculo de finalidades, contexto, tipo de dato, consecuencias posibles, medidas de protección, etc.), minimización, etc. -Legalidad del tratamiento (base legal): consentimiento (fortalecimiento de condiciones), contrato, interés público, interés legítimo (salvo que sea superado por los intereses o dchos fundamentales del titular)

Capítulo III Derechos del titular de los datos -información -precisiones para la facilitación del ejercicio -acceso: dar copia -derecho de supresión (dcho al olvido) -derecho a la portabilidad

Capítulo IV Obligaciones del responsable y encargado de tratamiento: SUPRESIÓN DEL REGISTRO DE LA AUTORIDAD -ppio de riesgo (implementar protección y documentar) -protección de datos por diseño y por defecto -notificación de la violación de seguridad -evaluación de impacto (puede resultar en consulta previa a la APD) -Delegado de protección de datos

Capítulo V: transferencias internacionales Capítulo VI: autoridades de PD Capítulo VII: cooperación y consistencia Capítulo VIII: sanciones (multas hasta el 4% de la ganancia global)

Experiencia de las Instituciones de la UE Responsabilidad del responsable del tratamiento: “poder demostrar” Ejemplos: Documentar la aplicación de excepciones Registro de transferencias internacionales Consulta al DPD Etc.

Experiencia de las Instituciones de la UE RGPD: Registro de las actividades de tratamiento, evaluación de impacto, consulta previa Reglamento 45/2001: notificación al DPD, control previo para casos de riesgo (no hay obligación general de registro ante la autoridad)

Experiencia de las Instituciones de la UE Delegado de protección de datos Obligatorio Rol En la práctica: diseño, quejas, consultas, etc. 2 reuniones por año, Bilaterales

Para recibir nuestra revista se puede realizar la inscripción en la Para mayor información: www.edps.europa.eu edps@edps.europa.eu Para recibir nuestra revista se puede realizar la inscripción en la página web del SEPD @EU_EDPS